Categories: Sicherheit

OpenSSL schließt zwei schwere Sicherheitslücken

Das OpenSSL-Projekt hat Updates für seine freie Software für Transport Layer Security (TLS) veröffentlicht und damit zwei schwere Sicherheitslücken geschlossen. Die Patches dienen zugleich zur Behebung einer Reihe weniger gravierender Fehler. Mit den aktuellsten OpenSSL-Versionen 1.0.2h sowie 1.0.1t sollen alle derzeit bekannten Schwachstellen behoben sein.

Die erste schwere Lücke stellt eine neue Form der Man-in-the-Middle-Attacke dar, die als Padding-Oracle-Angriff bekannt ist und die Entschlüsselung von Traffic erlaubt. Gemeldet wurde sie von Juraj Somorovsky von der Ruhr-Universität Bochum, der entdeckte, dass die Überprüfung der Padding-Bytes nicht immer wie erwartet abläuft.

Der Fehler entstand paradoxerweise im Jahr 2013 durch die Behebung eines anderen Padding-Oracle-Fehlers namens Lucky 13. Dieser Bugfix führte unabsichtlich dazu, dass OpenSSL eine Überprüfung nicht mehr ausführt, die andere Formen von Oracle-Angriffen verhindern soll. Die neue Anfälligkeit ist dann gegeben, wenn Verbindungen ein AES-CBC-Verfahren nutzen und der Server AES-NI unterstützt. Da ältere TLS-Verfahren noch weithin genutzt werden, könnte eine von vier Verbindungen angreifbar sein.

HIGHLIGHT

Samsung Galaxy TabPro S im Test

Mit einem Gewicht von nur 693 Gramm gehört das Samsung Galaxy TabPro S zu den Leichtgewichten unter den 12-Zoll-Windows-Tablets. Hervorzuheben ist auch das verwendete Super AMOLED-Display: Es liefert einen hervorragenden Schwarzwert und einen sehr hohen Kontrast. Die Farbdarstellung ist exzellent

Als hohes Risiko schätzen die Entwickler außerdem eine Memory-Corruption-Lücke ein, die durch das Zusammenwirken von zwei für sich genommen harmlosen Fehlern im ASN.1-Encoder entsteht. Sie wurden eigentlich schon im letzten Jahr behoben, dabei wurde allerdings die Sicherheitsrelevanz ihrer Kombination noch nicht erkannt. Die Schwachstelle könnte Angreifern die Ausführung bösartigen Codes erlauben. In der Praxis ist sie andererseits nur schwer auszunutzen, da mehrere Voraussetzungen das erschweren.

Experten führen die beiden schweren Fehler mindestens teilweise auf die Unterstützung älterer Verschlüsselungsverfahren durch OpenSSL zurück, die inzwischen nicht mehr Stand der Technik sind. „Beide Bugs sind das Ergebnis komplexer Legacy-Interoperabilität“, zitiert Ars Technica dazu den Sicherheitsexperten Kenn White. „Dieses grundlegende Problem wird zu beheben sein durch das Abgehen von bekannt gefährlichen Protokoll-Konstruktionen wie CBC – das unter TLS 1.3 obligatorisch ist – sowie die Entwicklung und Übernahme weit weniger komplexer Software für Encoding und Parsing.“

Loading ...
ZDNet.de Redaktion

Recent Posts

Beta 3 von Android 15: Google stellt neue Sicherheitsfunktionen vor

Android 15 erreicht den Meilenstein Platform Stability. Die neue OS-Version verbessert die Implementierung von Passkeys…

14 Stunden ago

Apple entwickelt Hochsicherheits-OS für seine KI-Rechenzentren

Es soll die Grundlage für die Sicherheitsfunktion Private Compute Cloud bilden. Diese wiederum soll die…

15 Stunden ago

Google schließt schwerwiegende Sicherheitslöcher in Chrome

Sie stecken unter anderem in der JavaScript Engine V8. Betroffen sind Chrome für Windows, macOS…

22 Stunden ago

Cyberkriminelle umgehen Sicherheitsvorkehrungen mit Powershell-Skripten

Nutzer werden per Social Engineering dazu verleitet, Schadcode in die Windows PowerShell einzugeben. Die Skripte…

2 Tagen ago

In 3 von 4 Büros wird noch gefaxt

Laut Bitkom-Umfrage faxt ein Viertel der Unternehmen häufig oder sehr häufig. Grund ist vor allem…

3 Tagen ago

Salesforce baut KI-Angebot aus

Mehrere neue Copilot-Lösungen sollen Marketiers und Händlern helfen, ihre Kunden kanalübergreifend anzusprechen.

3 Tagen ago