OpenSSL Patch

OpenSSL: Patch für „geheime“ Sicherheitslücken

Und tatsächlich – um nicht noch einmal in den Schlagzeilen zu stehen, hat die OpenSSL Foundation für diese Woche mehrere OpenSSL-Patchs angekündigt, die bisher noch nicht bekannt gegebene Sicherheitslücken stopfen sollen. Eine davon wurde sogar mit einem hohen Schweregrad eingestuft.

Laut Matt Caswell aus dem OpenSSL Projektteam sollen diesen Donnerstag, also heute, die OpenSSL-Versionen 1.0.2a, 1.0.1m, 1.0.0r und 0.9.8zf veröffentlicht werden.

„Die Patches werden am 19. März freigegeben“, schrieb Caswell. „Sie werden einige Sicherheitsprobleme beheben. Der höchste von ihnen wurde mit einem hohen Schweregrad eingestuft.“

Open SSL war in den letzten 12 Monaten aufgrund großer Sicherheitslücken mehrmals in den Schlagzeilen, was das Vertrauen in die Verschlüsselungssoftware stark geschwächt hat.

Letztes Jahr im April wurde Heartbleed (CVE-2014-0160) in einer älteren OpenSSL-Version entdeckt, die noch immer sehr häufig verwendet wurde. Heartbleed erlaubte es Hackern, die sensiblen Inhalte der verschlüsselten Daten von Nutzern zu lesen – zum Beispiel Sofortnachrichten und finanzielle Transaktionen. Außerdem konnte man auch die SSL-Keys von Internetservern oder Clients stehlen, die die betroffene OpenSSL-Version nutzen.

Zwei Monate später, im Juni desselben Jahres, wurde eine Man-in-the-Middle-Sicherheitslücke (CVE-2014-0224) entdeckt und behoben. Diese Lücke war zwar nicht so gravierend wie Heartbleed, aber dennoch ernst genug: Man konnte verschlüsselte Daten entschlüsseln, lesen und manipulieren.

Letzten Oktober war POODLE (CVE-2014-3566) (Padding Oracle On Downgraded Legacy Encryption) an der Reihe. Diese Lücke wurde im 15 Jahre alten Verschlüsselungsprotokoll SSL 3.0 entdeckt und erlaubte es, Cookies einer aktuellen Verbindung abzugreifen und dies zum Beispiel beim Einloggen in geschützte Profile (Onlinebanking, etc.) auszunutzen.

Dann, vor einer Woche, wurde die neuste Sicherheitslücke namens FREAK (CVE-2015-0204) (Factoring Attack on RSA-EXPORT Keys) gefunden. FREAK erlaubt es einem Angreifer, durch Manipulation des Verbindungsaufbaus die Verschlüsselung auf einen einfach zu knackenden 512-Bit-Schlüssel herunterzusetzen. Es versteht sich von alleine, dass ein Cyberkrimineller durch eine schwache Verschlüsselung kaum Probleme haben wird, mit Man-in-the-Middle-Angriffen an verschlüsselten Netzwerken zu lauschen.  Diesmal war auch so gut wie jeder große Software-Verkäufer davon betroffen: Apple mit MacOS, dem iPhone und dem iPad, Google mit Android und Chrome und zu guter Letzt auch noch Microsoft mit all seinen Windows-Versionen.

OpenSSL gilt durch seine weite Verbreitung als wichtige Software und steht auch auf der Linux Foundation‘s Core Infrastructure Initiative an erster Stelle. Aufgrund seiner Komplexität, der häufigen Nutzung und dem Fehlen von genauen Überprüfungen investieren Google, Facebook und Cisco nun sehr viel in das Projekt. Das Ziel: Lange vergessenen Bugs den Garaus zu machen, bevor sie plötzlich wieder zum Vorschein kommen und allen in den Rücken fallen.

Nun, es scheint als ob sich das für OpenSSL bereits auszahlen würde.

Dieser Artikel ist auch verfügbar in: Englisch

Avira ist mit rund 100 Millionen Kunden und 500 Mitarbeitern ein weltweit führender Anbieter selbst entwickelter Sicherheitslösungen für den professionellen und privaten Einsatz. Das Unternehmen gehört mit mehr als 25-jähriger Erfahrung zu den Pionieren in diesem Bereich.