Das Angriffsverfahren stellen universitäre Forscher und Open-Source-Entwickler vor. Es ermöglicht zwei Arten Angriffe. Der allgemeinere kann auf jeden Server angewandt werden, der grundsätzlich SSL 2.0 unterstützt - etwa ein Drittel oder etwa 11,5 Millionen Webserver weltweit. weiter

Ein Angreifer kann unter Umständen den privaten Teil eines Schlüssels ausspähen. Davon ist allerdings nur die Version 1.0.2 betroffen. Der Patch wirkt sich aber möglicherweise negativ auf die Performance eines TLS-Servers aus. weiter

Die Schwachstelle steckt nur in den Versionen 1.0.1n, 1.0.1o, 1.0.2b und 1.0.2c. Sie sind erst seit wenigen Wochen erhältlich und von daher nicht sehr weit verbreitet. Ein Angreifer könnte ein gefälschtes Zertifikat benutzen, um eine manipulierte Website als legitime Seite auszugeben. weiter

Sie steckt in der Versionen 1.0.1 und 1.0.2. Die Lücke kann unter Umständen für Denial-of-Service-Angriffe oder das Einschleusen und Ausführen von Schadcode ausgenutzt werden. Am Donnerstag stellt das OpenSSL Project einen Patch für die Schwachstelle zur Verfügung. weiter

Sie resultierte aus einem Problem mit dem Diffie-Hellman-Schlüsselaustausch, das Angreifer zum Schwächen der Verschlüsselung von HTTPS-Verbindungen ausnutzen konnten. Durch den Fix werden Schlüssellängen unter 768 Bit abgelehnt. Außerdem hat das OpenSSL-Team noch sechs weitere Schwachstellen beseitigt. weiter

Es erlaubt Denial-of-Service-Angriffe. Das OpenSSL-Projekt schließt insgesamt zwölf Sicherheitslücken. Experten stufen sie aber als nicht so schwerwiegend ein wie die Heartbleed-Lücke. weiter

Details zu der Schwachstelle sind bisher nicht bekannt. Allerdings kündigt das OpenSSL-Project Updates für den 19. März an, die neben mindestens einer kritischen Schwachstelle weitere Sicherheitslücken schließen sollen. weiter

Sie ermöglichen unter anderem DoS-Angriffe. Davon betroffen ist allerdings nur die DTLS-Implementierung von OpenSSL, die für VPN und WebRTC verwendet wird. Ein anderer Fehler führt dazu, dass die Sicherheitstechnik Forward Secrecy entfernt wird. weiter

Die neue SSL/TLS-Bibliothek wurde vom OpenBSD-Team als Reaktion auf die Unzulänglichkeiten von OpenSSL entwickelt, die durch den Heartbleed-Bug ans Licht kamen. Der Fork soll API-Kompatibilität bieten und verzichtet zur Vereinfachung auf nicht relevante Funktionen. weiter

Er beseitigt drei weitere Anfälligkeiten in der Open-Source-Shell. Sie sind allerdings nicht so schwerwiegend wie der ursprüngliche Shellshock genannte Bug. Eine neuseeländische IT-Sicherheitsfirma hat indes zahlreiche Scans nach Servern mit ungepatchten Bash-Versionen registriert. weiter

Seit Anfang April hat sich ihre Zahl etwa halbiert. Seit Ende Mai haben Websitebetreiber allerdings nur rund 9.000 Server gepatcht. Errata Security geht davon aus, dass es auch noch in zehn Jahren Server mit einer für Heartbleed anfällig OpenSSL-Version geben wird. weiter

Es will das Projekt künftig in Chromium und Android integrieren. Google wurde nach eigenen Angaben die Pflege von OpenSSL für seinen Browser und das Mobil-OS zu aufwendig. Der Internetkonzern unterstützt weiterhin OpenBSD und auch LibreSSL. weiter

Die Aktualisierung auf Android 4.4.4. wird bereits Over-the-Air (OTA) ausgeliefert. Factory-Images stehen für Nexus 5, 4, 7 und 10 ebenfalls bereit. Für das Nexus 7 2013 gibt es hingegen noch kein Update. weiter

Amazon, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace und VMware werden jeder jährlich 100.000 Dollar beitragen. Damit bezahlt die Initiative Entwickler oder auch Sicherheitsexperten. Als erstes wird sie die OpenSSL-Entwicklung professionalisieren. weiter

Die meisten Betreiber haben inzwischen reagiert und ihre Webserver abgesichert - aber nicht alle. Sicherheitsforscher berichten von einem erfolgreichen Angriff auf ein VPN, bei dem Heartbleed benutzt wurde. Das BSI sieht weiteren Handlungsbedarf, da Angriffe nun zunehmend auf andere Systeme erfolgen, die OpenSSL einsetzen. weiter

Eile birgt die Gefahr, auf falsche Patches hereinzufallen. Ein Passwortwechsel ist "wahrscheinlich eine gute Idee", sollte aber besonnen durchgeführt werden. Sinnvoll sei die Installation eines Passwort-Managers. "Wenn Sie sich alle Passwörter merken müssen und das auch noch schaffen, sind Ihre Passwörter zu schwach." weiter