Heartbleed: Mailserver im Visier
Das BSI meldet, dass das Internet jetzt nicht mehr nur nach durch die Heartbleed-Schwachstelle angreifbaren Webservern durchsucht wird, sondern auch nach Mailservern. Denken Sie also daran: Sie müssen OpenSSL auf allen Servern aktualisieren, nicht nur auf dem Webserver. Und überall müssen die Zertifikate erneuert werden. Bekanntlich kann man Angriffe nicht erkennen, also muss man mit dem Schlimmsten rechnen. In diesem Fall also damit, dass der private Schlüssel ausgespäht wurde und das Zertifikat dadurch kompromittiert ist.
Weitere Neuigkeiten im Überblick
Trend Micro weist darauf hin, dass außer Android 4.1.1 auch Apps durch eine enthaltene OpenSSL-Library verwundbar sein können. In Google Play wurden 273 betroffene Apps entdeckt, darunter populäre Spiele, VPN-Clients und mehr. Auch ältere Versionen von Google-Apps sind betroffen. Wenigstens ist die Anzahl der Apps, die sich mit verwundbaren Servern verbinden, gesunken: Statt rund 7.000 Apps sind es nur noch rund 6.000. Vor allem "Lifestyle-Apps" sind betroffen, die zugehörigen Server können also sensitive Informationen preisgeben.
Wie Sie prüfen können, ob Ihr Android-Smartphone Android 4.1.1 verwendet, hat Graham Cluley beschrieben: Die Android-Versionsnummer finden Sie in den Systemeinstellungen unter "About" (mangels Android-Gerät weiß ich nicht, wie der Punkt auf deutsch heißt). Laut einem Bericht von Blomberg ist ein vor allem in Deutschland beliebtes Smartphone-Modell betroffen. Welches, wird leider nicht verraten. Hoffen wir mal, dass der Hersteller ein Update für Android bereit stellt.
Ein Verdächtiger, der die Sozialversicherungsnummern von 900 Steuerzahlern aus der kanadischen Steuerbehörde "entfernt" haben soll, wurde von der Royal Canadian Mounted Police festgenommen. Die Daten wurden also tatsächlich ausgespäht, kopiert, gelesen, ..., aber nicht "entfernt". Denn über die Heartbleed-Lücke kann man zwar Daten lesen, aber nicht löschen oder überschreiben.
Heise berichtet, dass die meisten Router nach Angaben ihrer Hersteller nicht verwundbar sind.
Etwas Werbung in eigener Sache:
Auf JAXenter.de ist ein Artikel von mir zur Heartbleed-Schwachstelle erschienen: "Die Heartbleed-Katastrophe: Wie funktioniert der Angriff und was kann passieren?".
Trackbacks
Dipl.-Inform. Carsten Eilers am : Neues rund um die Heartbleed-Schwachstelle
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : 2014 - Das Jahr, in dem die Schwachstellen Namen bekamen
Vorschau anzeigen