Ein äußerst schwerwiegender Programmierfehler gefährdet
derzeit Verschlüsselung, Schlüssel und Daten der mit OpenSSL gesicherten
Verbindungen im Internet. Die Entdecker der Lücke sprechen vom so
genannten Heartbleed-Bug.
Durch ein Update von OpenSSL, einer weit verbreiteten
Verschlüsselungsbibliothek, hat sich ein Programmierfehler
eingeschlichen. Dieser Fehler erlaubt es jedem Kommunikationspartner,
Speicher der Gegenstelle auszulesen, was bedeutet, dass ein Angreifer Schlüssel, Passwörter und andere geheime Daten stehlen kann.
Bild Quelle: heartbleed.com
Aufgrund einer fehlenden Überprüfung des Speicherzugriffs soll ein Angreifer bis zu 64 KByte der Gegenstelle auslesen können.
Bei Versuchen konnten so geheime Schlüssel eines Server-Zertifikats,
Usernamen, Passwörter und auch verschlüsselte übertragenen Daten wie
E-Mails abgerufen werden, ohne dass dabei Spuren hinterlassen wurden.
Betroffen davon sind Serverbetreiber, die SSL zur Verschlüsselung einsetzen. Darunter zählen neben Web-Servern auch E-Mail, VPN und weitere Dienste.
Seitens der Entwickler von OpenSSL wurde schon ein Update nachgereicht, Version 1.0.1g, das den Fehler nicht mehr enthält.
Endanwender sollten Versionen aktuell halten
Auch Endanwender, die Produkte auf OpenSSL-Basis nutzen, können
betroffen sein. Um wieder geschützt zu sein, sollten die aktuellsten
Versionen installiert werden.
Betroffen hierbei können so gut wie alle Geräte sein, die mit dem
Internet kommunizieren – sprich Smartphones, SmartTVs, Router, und alle SmartDevices.
Sicherheitsratschlag der Redaktion:
Laut Website LastPass und deren kooperierenden Bloggern, wurde eine Liste von noch aktuellen “verwundbaren” Webseiten erstellt.
Sollten Sie daher auf betroffenen Seiten einen Account haben, empfiehlt es sich das Passwort zu ändern. Weitere Seiten können hier auf Verwundbarkeit gegenüber Heartbeat-Attacken kontrolliert werde