Das OpenSSL-Projekt hat Updates für seine freie Software für Transport Layer Security (TLS) veröffentlicht und damit zwei schwere Sicherheitslücken geschlossen. Die Patches dienen zugleich zur Behebung einer Reihe weniger gravierender Fehler. Mit den aktuellsten OpenSSL-Versionen 1.0.2h sowie 1.0.1t sollen alle derzeit bekannten Schwachstellen behoben sein.
Die erste schwere Lücke stellt eine neue Form der Man-in-the-Middle-Attacke dar, die als Padding-Oracle-Angriff bekannt ist und die Entschlüsselung von Traffic erlaubt. Gemeldet wurde sie von Juraj Somorovsky von der Ruhr-Universität Bochum, der entdeckte, dass die Überprüfung der Padding-Bytes nicht immer wie erwartet abläuft.
Der Fehler entstand paradoxerweise im Jahr 2013 durch die Behebung eines anderen Padding-Oracle-Fehlers namens Lucky 13. Dieser Bugfix führte unabsichtlich dazu, dass OpenSSL eine Überprüfung nicht mehr ausführt, die andere Formen von Oracle-Angriffen verhindern soll. Die neue Anfälligkeit ist dann gegeben, wenn Verbindungen ein AES-CBC-Verfahren nutzen und der Server AES-NI unterstützt. Da ältere TLS-Verfahren noch weithin genutzt werden, könnte eine von vier Verbindungen angreifbar sein.
Mit einem Gewicht von nur 693 Gramm gehört das Samsung Galaxy TabPro S zu den Leichtgewichten unter den 12-Zoll-Windows-Tablets. Hervorzuheben ist auch das verwendete Super AMOLED-Display: Es liefert einen hervorragenden Schwarzwert und einen sehr hohen Kontrast. Die Farbdarstellung ist exzellent
Als hohes Risiko schätzen die Entwickler außerdem eine Memory-Corruption-Lücke ein, die durch das Zusammenwirken von zwei für sich genommen harmlosen Fehlern im ASN.1-Encoder entsteht. Sie wurden eigentlich schon im letzten Jahr behoben, dabei wurde allerdings die Sicherheitsrelevanz ihrer Kombination noch nicht erkannt. Die Schwachstelle könnte Angreifern die Ausführung bösartigen Codes erlauben. In der Praxis ist sie andererseits nur schwer auszunutzen, da mehrere Voraussetzungen das erschweren.
Experten führen die beiden schweren Fehler mindestens teilweise auf die Unterstützung älterer Verschlüsselungsverfahren durch OpenSSL zurück, die inzwischen nicht mehr Stand der Technik sind. „Beide Bugs sind das Ergebnis komplexer Legacy-Interoperabilität“, zitiert Ars Technica dazu den Sicherheitsexperten Kenn White. „Dieses grundlegende Problem wird zu beheben sein durch das Abgehen von bekannt gefährlichen Protokoll-Konstruktionen wie CBC – das unter TLS 1.3 obligatorisch ist – sowie die Entwicklung und Übernahme weit weniger komplexer Software für Encoding und Parsing.“
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…
Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.
2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…
Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…
NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.
Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.