Patch schließt Man-in-the-Middle-Lücke in OpenSSL

Das OpenSSL-Project hat wie angekündigt ein Sicherheitsupdate für die Verschlüsselungsbibliothek OpenSSL veröffentlicht. Die Schwachstelle, die Man-in-the-Middle-Angriffe erlaubt, wird allerdings noch nicht aktiv ausgenutzt. Betroffen sind auch nur die seit Juni erhältlichen Versionen 1.0.1n , 1.0.1o, 1.0.2b und 1.0.2c.

Wie Threatpost berichtet, könnte sich ein Angreifer als eine Certificate Authority ausgeben und ein gefälschtes TLS-Zertifikat ausstellen. Mithilfe des falschen Zertifikats sei es dann möglich, eine manipulierte Website als eine legitime Website auszugeben. Ursache seien fehlende Sicherheitsprüfungen für neue oder nicht vertrauenswürdige Zertifikate.

„Das ist ein schlimmer Fehler, der aber nur diejenigen betrifft, die das Release aus Juni installiert haben“, zitiert Threatpost Rich Salz, Mitglied des OpenSSL Development Team. „Der Bug wurde mit diesem Update eingeführt und betrifft nur relativ wenige Organisationen.“

Entdeckt wurde die Lücke von Entwicklern von BoringSSL – Googles eigner Open-Source-SSL-Software. Sie ist allerdings nicht als Ersatz für OpenSSL gedacht, weil ihr Application Programming Interface (ABI) und auch ihr Application Binary Interface für einen Einsatz in Sicherheitsprogrammen noch nicht stabil genug sind.

Schwachstellen wie diese zeigen leider auch, dass den Entwicklern von weit verbreiteten Open-Source-Technologien oft keine ausreichenden finanziellen Mittel zur Verfügung stehen. Sie sind beispielsweise nicht in der Lage, wie Google und andere Technologiefirmen Prämien für die Entdeckung von Sicherheitslücken zu zahlen.

OpenSSL war im vergangenen Jahr durch die Heartbleed genannte Anfälligkeit in das Interesse der Öffentlichkeit gerückt. Sie gibt Zugriff auf den flüchtigen Speicher eines Webservers. Mit den Daten könnte ein Angreifer kritische Informationen auslesen und den Server sogar gegenüber Dritten verkörpern, indem er sich den Schlüssel des Originalservers verschafft. Als Reaktion darauf hatte Google dann auch das Projekt BoringSSL ins Leben gerufen, um den Aufwand zu reduzieren, der durch Patches für OpenSSL entsteht.

[mit Material von Tom Jowitt, TechWeekEurope]

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

ESA Mars Express verabschiedet sich von Windows 98

Eine der kostengünstigsten und erfolgreichsten Missionen der Europäischen Weltraumorganisation ESA, Mars Express, erhält nach fast…

24 Stunden ago

Erste Schritte mit Threat Hunting

Bedrohungen proaktiv abwehren ist besser als bloßes Reagieren. Wir geben Ihnen eine praktische Anleitung zur…

1 Tag ago

CNAPP als Multifunktionstool der Cloud-Sicherheit

Eine Cloud Native Application ProtectionPlattform (CNAPP) umfasst eine Suite von Security-Tools, die sowohl Sicherheit als…

2 Tagen ago

Schwachstellen in Programmierschnittstellen

Weltweit sind 4,1 bis 7,5 Prozent der Cybersecurity-Vorfälle und -schäden auf Schwachstellen in Programmierschnittstellen (Application…

2 Tagen ago

Mit Ransomware von Spionage ablenken

Vom chinesischen Geheimdienst unterstützte Hacker verbreiten Ransomware als Ablenkung, um ihre Cyberspionage zu verbergen. Fünf…

2 Tagen ago

PowerShell nicht blockieren, aber richtig konfigurieren

PowerShell wird oft von Angreifern missbraucht, aber Verteidiger sollten das Windows-Befehlszeilentool nicht abschalten, warnen angelsächsische…

2 Tagen ago