Eine Sicherheitsüberprüfung durch Red Hat hat ergeben, dass alle Versionen des verbreiteten Linux-Werkzeugs GnuTLS eine Schwäche bei der Kontrolle von Sicherheitszertifikaten aufweisen. Die Nachricht kommt nur eine Woche, nachdem Apple eine ähnliche Schwachstelle in iOS und (drei Tage später) auch in OS X behoben hat.
Um die Lücke zu schließen, muss die Bibliothek auf eine der neusten Versionen – 3.2.12 oder 3.1.22 – gebracht werden. Für GnuTLS 2.12.x liegt außerdem ein Patch vor.
Als „Goto fail“-Lücke wurde Apples Schwachstelle bekannt, weil der Programmcode einen relativ simplen, aber schwerwiegenden Fehler aufwies. Die Sprunganweisung „Goto fail“ wurde an einer Stelle versehentlich doppelt eingefügt – und damit die vorgesehene Überprüfung der digitalen Signatur verhindert. Das ermöglichte Man-in-the-Middle-Angriffe mit weitreichenden Folgen, wie Sicherheitsforscher Aldo Cortesi mit dem modifizierten Tool Mitmproxy demonstrierte: „Fast jeder verschlüsselte Traffic ließ sich abfangen – einschließlich Benutzernamen, Passwörtern und selbst Apples App-Updates.“
Auch in Linux ist es ein falsch gesetzter Sprungbefehl, der das Problem verursacht. Wie bei Apples „Goto Fail“-Lücke ist also ein Man-in-the-Middle-Angriff realisierbar, und vermeintlich sichere Kommunikation kann abgehört werden. Cortesi sagte dazu: „Ich halte es für gut möglich, dass ich nicht der Erste war, daher sollten wir sicherheitshalber annehmen, dass die Lücke bereits aktiv ausgenützt wird. Außerdem ist natürlich auch wahrscheinlich, dass die Nachrichtendienste schon länger an der Sache dran sind.“
[mit Material von Chris Duckett, ZDNet.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…
Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…
Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.
Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…
Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…
Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…