Ob die in Anlehnung an die Heartbeat-Erweiterung von TLS/DTLS (RFC 6520) genannte Heardbleed-Lücke auch tatsächlich ausgenutzt wurde, kann derzeit niemand mit Sicherheit sagen. Fest steht aber, dass OpenSSL von gut zwei Dritteln aller Webseiten, die SSL zur Verschlüsselung einsetzen, verwendet wird. Allerdings bedeutet dies nicht, dass automatisch alle Server angreifbar waren. Denn dafür muss die Heartbeat-Erweiterung auch aktiviert sein. Das trifft laut Internet-Dienstleister Netcraft für gut 500.000 Webserver zu.
Die meisten von der Schwachstelle betroffenen Webserver haben die Heartbleed-Lücke mit einem Patch inzwischen geschlossen. Das bedeutet allerdings nicht, dass die Gefahr nun vorüber ist. Erst wenn auch ein neu ausgestelltes Zertifkat installiert ist, besteht für Angreifer keine Möglichkeit, die Sicherheitslücke auszunutzen.
Anwender sollten daher die Zugangsdaten des betreffenden Servers ändern, wenn Patch und Zertifikat installiert sind. Dies lässt sich mit dem Heartbleed-Checker von Lastpass überprüfen. Das Online-Tool informiert über den Installationszeitpunkt des Zertifikats. Server, deren Zertifikate vor der Entdeckung des Bugs am 7. April ausgestellt wurden, gelten als verwundbar. Eine Liste von der Heartbleed-Lücke betroffene Server steht auf Github zur Verfügung.
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Von ihr geht ein hohes Risiko aus. Angreifbar sind Chrome für Windows, macOS und Linux.
Forschende des KIT haben ein Modell zur Emotionsanalyse entwickelt, das affektive Zustände ähnlich genau wie…
Sie decken die Identität des Kopfs der Gruppe auf. Britische Behörden fahnden mit einem Foto…
Er treibt das neue iPad Pro mit OLED-Display an. Apple verspricht eine deutliche Leistungssteigerung gegenüber…
Davon entfällt ein Viertel auf staatliche Einrichtungen und 12 Prozent auf Industrieunternehmen.
Forscher umgehen die Verschlüsselung und erhalten Zugriff auf VPN-Datenverkehr im Klartext. Für ihren Angriff benötigen…