Nach Heartbleed

Neue OpenSSL-Sicherheitslücke entdeckt

Die OpenSSL-Bibliothek ist erneut von einer kritischen Sicherheitslücke betroffen. Der Fehler soll allerdings bereits behoben worden sein.

Symbolbild: Sicherheit

© Pavel Ignatov - Fotolia.com

Die OpenSSL-Bibliothek ist erneut von einer Sicherheitslücke betroffen.

Die OpenSSL-Sicherheitslücke "Heartbleed" sorgte für viele Probleme bei rund zwei Drittel der am Internet hängenden Server. Rund ein Jahr später ist die Verschüsselungsbibliothek OpenSSL erneut von einem kritischen Fehler betroffen.

Unter bestimmten Umständen wird das CA-Flag, das die Zertifierungsstelle für digitale Zertifikate ausweist, nicht korrekt überprüft. Angreifer könnten sich dadurch leicht als "Certificate Authority" (CA) zwischenschalten und sich als vertrauenswürdiger Absender, wie zum Beispiel eine dem Nutzer bekannte Bank, ausgeben.

Ausgelöst wird die Schwachstelle durch einen Bug, bei dem der Angreifer dafür sorgt, dass die erste Prüfung der CA-Flag fehlschlägt. Beim zweiten Versuch wird die Sicherheitslücke dann angreifbar. Der zuständige Code der Prüfung wurde dabei wohl im Januar dieses Jahres in OpenSSL aufgenommen.

Wie die OpenSSL-Entwickler nun melden, habe man die Schwachstelle inzwischen allerdings ausgebessert. Generell sei die Gefahr, die von der Sicherheitslücke ausgeht, eher gering, da Client-Zertifikate kaum bei Servern zum Einsatz kommen.

Unabhängig von der Betroffenheit der Server raten wir dennoch zum Update auf die aktuellste Version des Open-SSL-Projekts, die Sie auf der offiziellen Website als Download finden.

Mehr zum Thema

Microsoft auf der gamescom
Patch Day Oktober 2014

Microsoft hat acht Security Bulletins veröffentlicht: Die Sicherheits-Updates beseitigen 14 Schwachstellen vor allem in Internet Explorer und…
windows update, KB 2949927, Probleme, Fehler 80004005
KB 2949927 Probleme

Microsoft hat das Windows-Update KB 2949927 zurückgezogen. Nutzer sollten das Windows Update dringend deinstallieren.
Neue Snowden-Enthüllungen offenbaren eine deutsche Beteiligung.
Malware im Kanzleramt

Der Trojaner Regin, der unter anderem bei einer Mitarbeiterin des Kanzleramts gefunden wurde, stammt mutmaßlich von der NSA. Darauf weisen die Funde…
Firefox
Mozilla-Browser

Mozilla hat Firefox 38 zum Download freigegeben. Die neue Version des Browsers bringt unter anderem ein DRM-Modul von Adobe mit. Wir erklären, was…
Jeep Cherokee Hack
Sicherheitslücke in Uconnect

Zwei Hackern ist es gelungen, über das Internet die Kontrolle über einen Jeep Cherokee zu übernehmen - während der Fahrt auf einem Highway.