Neues rund um die Heartbleed-Schwachstelle
Es gibt ein paar Neuigkeiten rund um die Heartbleed-Schwachstelle in OpenSSL:
Es gibt ein paar Neuigkeiten rund um die Heartbleed-Schwachstelle in OpenSSL:
Es gibt ein paar Neuigkeiten zum Heartbleed Bug in OpenSSL. Und leider mit einer Ausnahme nichts Gutes. Die Ausnahme ist ein xkcd-Cartoon, der den Heartbleed-Fehler sehr schön erklärt. Und damit kommen wir zu den schlechten Nachrichten.
In OpenSSL wurde eine kritische Schwachstelle behoben: Der Heartbleed Bug. Und diesmal ist "kritisch" sehr ernst gemeint. Oder um Bruce Schneier zu zitieren:
""Catastrophic" is the right word. On the scale of 1 to 10, this is an 11."
Über die Schwachstelle können vertrauliche Daten, insbesondere die privaten Schlüssel der Server, aber auch Sitzungsschlüssel, übertragene Zugangsdaten und vieles mehr ausgespäht werden.
Betroffen sind alle Dienste, die TLS verwenden und eine angreifbare OpenSSL-Version einsetzen. Vor allem sind das natürlich Webserver, aber auch Mailserver, VPN, Updatefunktionen, ... sind von der Schwachstelle betroffen und damit angreifbar.
Ab dieser Folge gibt es eine Aktualisierung zu gleich zwei Themengebieten, denn Wasserloch-Angriffe ("Watering Hole Attacks") sind gezielte Drive-by-Infektionen, die meist im Rahmen von Advanced Persistent Threats zum Einsatz kommen.