Die Open Source-Bibliothek OpenSSL weist (wegen eines Bugs) eine dicke Zero-Day-Sicherheitslücke auf, die bisher noch nicht gepatcht ist. Brisant, weil viele OpenSource-Produkte ihre Verschlüsselung auf diese Bibliothek stützen.
Anzeige
Wie ZDNet.com in diesem Artikel schreibt sind zwar nur die OpenSSL 1.0.1 und die 1.0.2-beta-release von diesem Bug betroffen. Aber die Verschlüsselungsbibliothek ist quasi in fast allen Open Source-Produkten beinhaltet. Momentan muss man davon ausgehen, dass SLL- und TLS-verschlüsselte Nachrichten unsicher sind.
Bei heise.de gibt es hier noch einige Details zum Bug, der es einem Angreifer ermöglicht, Passwörter und weitere Informationen einzusehen. Das pikante: Die Entdecker des Heartbleed-Bugs veröffentlichten die Informationen, bevor entsprechende Patches in den verwendeten Produkten verfügbar sind. Eine vom Bug bereinigte OpenSLL-Variante ist zwar jetzt verfügbar. Das betrifft aber nicht Produkte, die diese Bibliothek nutzen, aber bereits ausgerollt sind.
So arbeiten Linux-Entwickler bei Red Hat, Debian, SuSE, Canonical, Oracle etc. momentan fieberhaft daran arbeiten, Patches für ihre Produkte bereitzustellen. Das Problem geht aber weiter. heise.de schreibt hier mit Recht, dass nicht nur PCs, sondern auch Geräte wie Smartphones oder Smart TVs betroffen seien. Mir schoss sofort der Gedanke "und Router" durch den Kopf – und in der Tat werden die bei heise.de auch genannt. Insbesondere bei Android-Smartphones muss man bei vielen Geräten davon ausgehen, dass keine Updates herauskommen. Und da träumen die Marketing-Strategen vom Internet der Dinge – welches sicherheitstechnisch löchrig wie ein Emmentaler daher kommt.
Anzeige
Nachtrag: Gute Nachrichten für FRITZ!Box-Nutzer
In meinen Facebook-Timelines gibt es eine Info von Thomas K. – dieser hat geschrieben: „Hier mal eine Antwort – von AVM:
Na, das ist ja schon mal eine gute Nachricht. Wenn ich dann meine Androiden anwerfe, gehe ich über WLAN in dieses Internets (und hoffe, dass die WiFi-Verbindung nicht belauscht wird). Und bei 2G/3G/4G-Verbindungen muss ich hoffen, dass kein "man-in-the-middle" meine Kommunikation mitschneidet. Aber immerhin – wenigstens etwas positives.
Und es gibt den Hinweis, dass es unter Android nur die Version 4.1.1 trifft (muss ich noch verifizieren – ich bin nicht so genau im Bilde, welche Android-Version auf welcher OpenSSL Build aufsetzt). Wenn ich was belastbares herausfinde, trage ich es nach. Update: Die Info findet sich in diesem reddit.com-Thread. Und hier habe ich noch eine weitere Ergänzung veröffentlicht.
Ähnliche Artikel zu Heartbleed
1: http://www.borncity.com/blog/2014/04/09/adobe-und-wordpress-sicherheits-updates-win-xp-absichern-openssl-lcke/
2: http://www.borncity.com/blog/2014/04/08/katastrophe-openssl-mit-heartbleed-sicherheitslcke/
3: http://www.borncity.com/blog/2014/04/11/nsa-nutzt-heardbleed-sicherheitslcke-seit-jahren/
Nachtrag: Noch eine unschöne Info, die ich euch nicht vorenthalten möchte. Sind Server-Zertifikate durch Heartbleed kompromittiert, können Server-Administratoren diese zwar zurückziehen. Aber die Browser bekommen das mitunter nicht mit, weil die betreffende Prüfung nicht ausgeführt wird. Einige Inside-Betrachtungen finden sich hier bei heise.de.