Nach Heartbleed Entwickler warnen vor Schwachstelle in OpenSSL-Verschlüsselung

Wenige Wochen nach der schweren Heartbleed-Sicherheitslücke taucht ein neuer Fehler in der Internet-Verschlüsselungssoftware OpenSSL auf. Die Schwachstelle ermöglicht Angreifern, den Datenstrom unbemerkt anzuzapfen - und ist seit 16 Jahren unentdeckt.

OpenSSL-Webseite (Archivbild): Der jetzt entdeckte Fehler schlummert seit Jahren in der Software

OpenSSL-Webseite (Archivbild): Der jetzt entdeckte Fehler schlummert seit Jahren in der Software


Erneut ist eine Sicherheitslücke in der weitverbreiteten Online-Verschlüsselungssoftware OpenSSL aufgetaucht. Wenige Wochen nach Heartbleed hat der japanische Entwickler Masashi Kikuchi eine Schwachstelle entdeckt, die den verschlüsselten Datenaustausch über das Protokoll anfällig für Angriffe macht. Am Donnerstag teilte die OpenSSL Foundation mit, dass der Fehler für einen Man-in-the-Middle-Angriff ausgenutzt werden könne. Sprich: Ein Angreifer schaltet sich zwischen einen Rechner und einen Server, die untereinander Daten austauschen. Der Angreifer kann über die Schwachstelle den Datenstrom anzapfen, die Inhalte mitlesen und auch manipulieren, bevor er sie weiterleitet.

"Dieser Fehler existiert seit der allerersten Version von OpenSSL", schreibt Masashi Kikuchi in einem Blogbeitrag. Er wirft den SSL-Experten vor, den Code nie ordentlich überprüft zu haben. Nur so sei es möglich, dass die Sicherheitslücke mehr als 16 Jahre unbemerkt im Code schlummern konnte. "Hätten die Prüfer genügend Erfahrung gehabt, dann hätten sie den OpenSSL-Code genauso testen können wie sie ihren eigenen Code testen würden". Sie hätten das Problem entdecken können, schreibt Kikuchi.

Gefahr besteht demnach beim Surfen im Netz, beim Senden und Empfangen von E-Mails und selbst beim Datenaustausch über eine VPN-Verbindung. Von einem solchen Angriff bemerke der Anwender nichts. Für eine erfolgreiche Attacke muss allerdings auch der Server von dem Fehler im Code betroffen sein.

Zeitgleich warnt die OpenSSL-Foundation vor sechs weiteren Schwachstellen in ihrer Software. Für alle liegen jedoch bereits Updates bereit, mit denen sich die potenziellen Probleme beseitigen lassen.

Die Sicherheitslücken treten nur wenige Wochen nach der Entdeckung der OpenSSL-Schwachstelle Heartbleed auf, einem der schlimmsten Internet-Verschlüsselungsfehler aller Zeiten. Heartbleed ermöglichte es Angreifern, geheime Schlüssel, Nutzernamen und Passwörter von Servern zu stehlen. Internetnutzer sind seither aufgerufen, alle alten Passwörter für Internetdienste zu ändern.



insgesamt 5 Beiträge
Alle Kommentare öffnen
Seite 1
ncc1701 06.06.2014
1. Da kommt noch mehr...
Wegen Heartbleed sind überhaupt erst Leute auf die Idee gekommen, einen Code-Audit durchzuführen. Der neue Fall zeigt: 1. Es wurde offenbar noch nie ein Code-Audit gemacht. 2. Nutzer des Codes (Hersteller sicherheitsrelevanter Software) haben den Code auch nie geprüft 3. Dass so kurz nach Beginn des Audits solche Fehler entdeckt wurden, zeigt dass es sich um mehr oder weniger offensichtliche Fehler handelt. Fazit: Man wird noch sehr viel mehr Fehler dieser Art finden.
otto987 06.06.2014
2. Panikmache
Das ist ganz schön viel Panikmache. Der Fehler lässt sich nur ausnutzen, wenn Webbrowser UND Server die verwundbare Version von OpenSSL verwenden. Nun kenne ich bis auf Konqueror aber keinen modernen Webbrowser, der OpenSSL verwendet. Firefox, Seamonkey verwenden NSS, Chrome weiss ich nicht und IE verwendet irgendein Microsoft-SSL. Ist also ziemlich unwahrscheinlich, dass der Fehler überhaupt ausgenutzt werden kann. Nichtsdestotrotz sollten trotzdem alle ihre OpenSSL Version updaten.
Dr.Fuzzi 06.06.2014
3. Och Joh!
Es bleibt zu hoffen, das nun endlich diese mantraartig von Linuxjüngern verbreitete Mär einer prompten Fehlerentdeckung und -beseitigung, da der Quellcode offen und dessen Bearbeiter/Tester so unglaublich qualifiziert und zahlreich seien, endgültig ad absurdum geführt ist.
Dr.Fuzzi 06.06.2014
4. Och Joh!
Es bleibt zu hoffen, das nun endlich diese mantraartig von Linuxjüngern verbreitete Mär einer prompten Fehlerentdeckung und -beseitigung, da der Quellcode offen und dessen Bearbeiter/Tester so unglaublich qualifiziert und zahlreich seien, endgültig ad absurdum geführt ist.
nipah 07.06.2014
5.
Zitat von otto987Das ist ganz schön viel Panikmache. Der Fehler lässt sich nur ausnutzen, wenn Webbrowser UND Server die verwundbare Version von OpenSSL verwenden. Nun kenne ich bis auf Konqueror aber keinen modernen Webbrowser, der OpenSSL verwendet. Firefox, Seamonkey verwenden NSS, Chrome weiss ich nicht und IE verwendet irgendein Microsoft-SSL. Ist also ziemlich unwahrscheinlich, dass der Fehler überhaupt ausgenutzt werden kann. Nichtsdestotrotz sollten trotzdem alle ihre OpenSSL Version updaten.
Chrome auf Android verwendet OpenSSL (http://www.zdnet.com/openssl-fixes-another-severe-vulnerability-7000030253/). Für Desktops verwendet es NSS, wobei jedoch im Januar 2014 angekündigt wurde hier auch auf OpenSSL umzustellen (http://www.golem.de/news/chrome-openssl-statt-nss-1401-104187.html).
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2014
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.