Noch eine Sicherheitslücke in OpenSSL gefunden

(Bild: openssl.org)

Die Verschlüsselungssoftware OpenSSL kennt mittlerweile wegen des Heartbleed-Problems vom letzten Jahr fast jeder. Wer jedoch hoffte, dass nun Schluss ist mit den Sicherheitslücken dieser essentiellen Anwendung, hat sich getäuscht. Am Donnerstag kommt einmal mehr ein Update heraus.

Für Donnerstag hat das OpenSSL-Projekt Updates für seine Verschlüsselungssoftware angekündigt, die gravierende Sicherheitslücken aufweist. Die Versionen 1.0.2a, 1.0.1m, 1.0.0r and 0.9.8zf sollen mehrere Schwachstellen beseitigen. Nicht alle sind gravierend, einige schon.

Auf Twitter wird bereits über die Schwere des Fehlers spekuliert. Sicherheitsforscher hoffen, dass die entdeckte Lücke nicht so schwerwiegend ist wie die vor etwa einem Jahr entdeckte Schwachstelle, die unter dem Namen Heartbleed auch einer größeren Öffentlichkeit bekannt geworden ist. Offiziell trug die Sicherheitslücke die Kennung CVE-2014-0160.

Alle Administratoren von Servern, die OpenSSL nutzen, können sich aber schon einmal bereit machen, ihre Systeme zu aktualisieren.

Heartbleed wurde von der Sicherheitsfirma Codenomicon und Google-Forscher Neel Mehta entdeckt. Durch die Schwachstelle konnten Angreifer auf den flüchtigen Speicher eines Webservers zugreifen, wodurch beispielsweise das Auslesen von Nutzernamen und Passwörter von Usern möglich war. Millionen von Servern waren von dem Fehler betroffen. Selbst zwei Monate nach Bereitstellung von fehlerberinigten OpenSSL-Varianten waren noch etwa 300.000 Server von der Schwachstelle betroffen.

Hierzulande mussten beispielsweise die großen E-Mail-Provider ihre Server aktualisieren. Innerhalb weniger Tage gelang dies, sodass die Gefahr durch Heartbleed relativ schnell gebannt war. Nutzern wurde trotzdem empfohlen, ihre Passwörter für Server betroffener Dienste zu wechseln.

In Kritik geriet der amerikansiche Geheimdienst NSA, dem vorgeworfen wurde, die Heartbleed-Lücke für Spionagezwecke ausgenutzt zu haben. Ein hochrangiger Beamter des Weißen Hauses dementierte dies in einem Blogeintrag, räumte aber das Zurückhalten einzelner Schwachstellen ein.

Um derartige schwere Fehler zukünftig zu vermeiden, hat das OpenSSL-Projekt beschlossen, zukünftigen Programm-Code von unabhängigen Spezialisten prüfen zu lassen. Vor wenigen Tagen wurde bekannt, dass das sogenannte “Code Audit” durch die angesehene Sicherheitsfirma NCC Group durchgeführt wird.

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Tags :Quellen:Mit Material von Kai Schmerer, ZDNet.de

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising