Ein zwei Jahre alter Faux-pas eines deutschen Programmierers hat es ermöglicht, dass bei SSL-Verbindungen - beispielsweise Homebanking - der Speicher der Server ausgelesen werden konnte. Betroffen ist "OpenSSL", eine der am häufigsten verwendeten Verschlüsselungsanwendungen, die von einer Vielzahl anderer Software verwendet wird. Über die Hälfte der Webserver weltweit verwenden OpenSSL, Banken, Online-Shops, automatisch ablaufende Prozesse für Software-Updates.
Ein zwei Jahre alter Faux-pas eines deutschen Programmierers hat es ermöglicht, dass bei SSL-Verbindungen - beispielsweise Homebanking - der Speicher der Server ausgelesen werden konnte. Betroffen ist "OpenSSL", eine der am häufigsten verwendeten Verschlüsselungsanwendungen, die von einer Vielzahl anderer Software verwendet wird. Über die Hälfte der Webserver weltweit verwenden OpenSSL, Banken, Online-Shops, automatisch ablaufende Prozesse für Software-Updates.
Der "Heartbleed" getaufte Fehler ist somit nicht nur weit verbreitet, sondern auch besonders gefährlich. Er ermöglicht Angreifern, kleine Teile des Arbeitsspeichers der Server auszulesen. In diesen Speichern können unter anderem entschlüsselte Dateien und Passwörter liegen. Genau das sollte SSL eigentlich verhindern soll. Als wäre das alles nicht schon apokalyptisch genug, muss man unter anderem davon ausgehen, dass es Angreifern möglich war, mit ausgelesenen Server-Schlüsseln Opfern gefälschte Software-Updates aufzuspielen.
Da theoretisch jedes einzelne Passwort betroffen sein kann, müsste nun eigentlich jeder Nutzer seine Passwörter ersetzen. Und da viele Nutzer dasselbe Passwort bei verschiedenen Websites verwenden, müssten alle, auch die nicht direkt betroffenen Passwörter geändert werden.
Info des Bundesamt für Sicherheit in der Informationstechnik (BSI)
