Eine Sicherheitsüberprüfung durch Red Hat hat ergeben, dass alle Versionen des verbreiteten Linux-Werkzeugs GnuTLS eine Schwäche bei der Kontrolle von Sicherheitszertifikaten aufweisen. Die Nachricht kommt nur eine Woche, nachdem Apple eine ähnliche Schwachstelle in iOS und (drei Tage später) auch in OS X behoben hat.
Um die Lücke zu schließen, muss die Bibliothek auf eine der neusten Versionen – 3.2.12 oder 3.1.22 – gebracht werden. Für GnuTLS 2.12.x liegt außerdem ein Patch vor.
Als „Goto fail“-Lücke wurde Apples Schwachstelle bekannt, weil der Programmcode einen relativ simplen, aber schwerwiegenden Fehler aufwies. Die Sprunganweisung „Goto fail“ wurde an einer Stelle versehentlich doppelt eingefügt – und damit die vorgesehene Überprüfung der digitalen Signatur verhindert. Das ermöglichte Man-in-the-Middle-Angriffe mit weitreichenden Folgen, wie Sicherheitsforscher Aldo Cortesi mit dem modifizierten Tool Mitmproxy demonstrierte: „Fast jeder verschlüsselte Traffic ließ sich abfangen – einschließlich Benutzernamen, Passwörtern und selbst Apples App-Updates.“
Auch in Linux ist es ein falsch gesetzter Sprungbefehl, der das Problem verursacht. Wie bei Apples „Goto Fail“-Lücke ist also ein Man-in-the-Middle-Angriff realisierbar, und vermeintlich sichere Kommunikation kann abgehört werden. Cortesi sagte dazu: „Ich halte es für gut möglich, dass ich nicht der Erste war, daher sollten wir sicherheitshalber annehmen, dass die Lücke bereits aktiv ausgenützt wird. Außerdem ist natürlich auch wahrscheinlich, dass die Nachrichtendienste schon länger an der Sache dran sind.“
[mit Material von Chris Duckett, ZDNet.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…