60 Tage nach Heartbleed: Neue OpenSSL-Sicherheitslücken

Heartbleed lässt grüßen: Neue Sicherheitslücken in OpenSSL reichen bis 1998 zurück
Heartbleed lässt grüßen: Neue Sicherheitslücken in OpenSSL reichen bis 1998 zurück(© 2014 Heartbleed)

Neue Sicherheitslücken wurden in OpenSSL entdeckt: Zwei Monate nach Bekanntgabe und Ausbesserung des Heartbleed-Bugs berichtet Naked Security von sechs neuen Stellen, die von Hackern als Angriffswinkel genutzt werden können.

Die neuen Probleme der Open-Source-Verschlüsselungssoftware OpenSSL betreffen möglicherweise die meisten großen Web-Dienste wie Twitter, Facebook, Yahoo und Google. Bevor Ihr allerdings schon wieder Eure Passwörter ändert, solltet Ihr zunächst Ruhe bewahren: Die neuen Lücken haben nicht ganz die Ausmaße von Heartbleed und lassen sich großteils serverseitig ausbessern.

Vorsicht in ungeschütztem WLAN

Die wohl gravierenste Sicherheitslücke erlaubt das Mitlesen der gesamten verschlüsselten Kommunikation, sollte sich der Angreifer zwischen Server und Nutzer schalten können. Da diese Lücke auf Code aus dem Jahr 1998 zurückgeht, sind alle OpenSSL-Systeme seit Version 1.01 betroffen. Allerdings müssen beide Kommunikationspartner angreifbar sein und der Unbefugte zwischen Euch und dem Server im Netz sitzen. Der beste Schutz: Meidet die Verwendung von öffentlichen, ungeschützten WLAN-Hotspots.

Weitere Sicherheitslücken eher Randerscheinungen

Die zweite größere Lücke betrifft nur wenige Nutzer: Ein Bug im Buffer-Management des DTLS-Clients kann von Angreifern dazu genutzt werden, auf einem verwundbaren Server eigene Programme zu installieren und auszuführen. Glücklicherweise kommen dafür nicht allzu viele Systeme infrage: DTLS ist als Client für VPN- und VoIP-Verschlüsselung nicht sehr weit verbreitet.

Weitere Lücken in OpenSSL betreffen vor allem die Betreiber von Servern. Für Endnutzer ist allerdings ratsam, bei allen Apps und Anwendungen, die OpenSSL verwenden immer auf dem neuesten Update-Stand zu sein. In den nächsten Wochen sollten Patches für alle wichtigen Anwendungen kommen, welche die bekannten Sicherheitslücken schließen.


Weitere Artikel zum Thema
Google Play Protect: So will Google Eure Smart­pho­nes vor Malware bewah­ren
Google Play Protect scannt Eure Apps auf Malware (links) und warnt in Chrome vor unsicheren Webseiten (rechts)
Google schützt Euch noch besser vor Viren und Malware: Play Protect scannt Euer Smartphone nach Schadsoftware. Der Rollout ist nun gestartet.
Google will Euch besser vor Schad­soft­ware schüt­zen
1
Künftig müsst Ihr in der G Suite für den Start von Web-Apps ohne Google-Verifizierung zur Sicherheit ein Wort eintippen
Eine neue Eingabeaufforderung in der G Suite soll vor Schadsoftware schützen. Zunächst bieten nur Web-Apps und Google Scripts die Extra-Sicherheit.
OnePlus 5: Herstel­ler verspricht Update für Notruf-Bug
Guido Karsten
UPDATEDer Reboot-Bug des OnePlus 5 soll schon bald per Hotfix behoben werden
OnePlus hat die Rufe der Nutzer gehört: Schon bald soll ein Update den Fehler beheben, der beim Wählen von Notrufnummern zum Neustart führen kann.