Das OpenSSL-Projekt hat Updates für seine freie Software für Transport Layer Security (TLS) veröffentlicht und damit zwei schwere Sicherheitslücken geschlossen. Die Patches dienen zugleich zur Behebung einer Reihe weniger gravierender Fehler. Mit den aktuellsten OpenSSL-Versionen 1.0.2h sowie 1.0.1t sollen alle derzeit bekannten Schwachstellen behoben sein.
Die erste schwere Lücke stellt eine neue Form der Man-in-the-Middle-Attacke dar, die als Padding-Oracle-Angriff bekannt ist und die Entschlüsselung von Traffic erlaubt. Gemeldet wurde sie von Juraj Somorovsky von der Ruhr-Universität Bochum, der entdeckte, dass die Überprüfung der Padding-Bytes nicht immer wie erwartet abläuft.
Der Fehler entstand paradoxerweise im Jahr 2013 durch die Behebung eines anderen Padding-Oracle-Fehlers namens Lucky 13. Dieser Bugfix führte unabsichtlich dazu, dass OpenSSL eine Überprüfung nicht mehr ausführt, die andere Formen von Oracle-Angriffen verhindern soll. Die neue Anfälligkeit ist dann gegeben, wenn Verbindungen ein AES-CBC-Verfahren nutzen und der Server AES-NI unterstützt. Da ältere TLS-Verfahren noch weithin genutzt werden, könnte eine von vier Verbindungen angreifbar sein.
Mit einem Gewicht von nur 693 Gramm gehört das Samsung Galaxy TabPro S zu den Leichtgewichten unter den 12-Zoll-Windows-Tablets. Hervorzuheben ist auch das verwendete Super AMOLED-Display: Es liefert einen hervorragenden Schwarzwert und einen sehr hohen Kontrast. Die Farbdarstellung ist exzellent
Als hohes Risiko schätzen die Entwickler außerdem eine Memory-Corruption-Lücke ein, die durch das Zusammenwirken von zwei für sich genommen harmlosen Fehlern im ASN.1-Encoder entsteht. Sie wurden eigentlich schon im letzten Jahr behoben, dabei wurde allerdings die Sicherheitsrelevanz ihrer Kombination noch nicht erkannt. Die Schwachstelle könnte Angreifern die Ausführung bösartigen Codes erlauben. In der Praxis ist sie andererseits nur schwer auszunutzen, da mehrere Voraussetzungen das erschweren.
Experten führen die beiden schweren Fehler mindestens teilweise auf die Unterstützung älterer Verschlüsselungsverfahren durch OpenSSL zurück, die inzwischen nicht mehr Stand der Technik sind. „Beide Bugs sind das Ergebnis komplexer Legacy-Interoperabilität“, zitiert Ars Technica dazu den Sicherheitsexperten Kenn White. „Dieses grundlegende Problem wird zu beheben sein durch das Abgehen von bekannt gefährlichen Protokoll-Konstruktionen wie CBC – das unter TLS 1.3 obligatorisch ist – sowie die Entwicklung und Übernahme weit weniger komplexer Software für Encoding und Parsing.“
Die neuen Chips bieten bis zu 25 Prozent mehr Leistung. Samsung steigert auch die Energieeffizienz…
Betroffen sind Lösungen von Cisco, Fortinet, SonicWall und anderen Anbietern. Die Hacker nehmen Konten mit…
Immer häufiger müssen sich Betriebe gegen Online-Gefahren wehren. Vor allem in KMUs werden oft noch…
Darunter ist ein weiterer Sandbox-Escape. Angreifer können unter Umständen aus der Ferne Schadcode einschleusen und…
Sie steigt auf 8 Prozent Wachstum in diesem Jahr. Der Bereich IT-Services wächst in diesem…
Die Hintermänner stammen mutmaßlich aus Russland und haben staatliche Unterstützung. Die Backdoor Kapeka wird seit…