ausblenden > Netzwerk, Internet, Provider
Schwerer Fehler in OpenSSL
Florian:
1. Die Betriebssysteme und auch manche Programme haben ja die Root-Zertifikate der als vertrauenswürdig anerkannten Institutionen/Firmen gespeichert. kannst Du auch im Schlüsselbund sehen.
Ist ein Zertifikat nicht von solch einer Stelle ausgestellt, kommt eine Fehlermeldung.
Oder sollte zumindest kommen. Leider prüfen immer mehr Programme auf diversen Geräten nicht, sondern verbinden munter. Das ist natürlich nicht im Sinne des Erfinders, sondern eine grobe Missachtung der Datensicherheit.
2. Durch den Abgleich mit den Root-Zertfikaten geht das nicht so einfach.
Man müsste schon die Rechner des Herausgebers hacken und dort Zertifikate erstellen. Ist auch schon passiert, leider. DigiNotar aus Holland musste danach das Geschäft schließen.
3. Das ist theoretisch immer möglich.
Florian:
Forscher demonstrieren:
http://www.heise.de/newsticker/meldung/SSL-Gau-Heartbleed-Angriff-ueber-WLAN-2213966.html
radneuerfinder:
http://www.macnotes.de/2015/03/04/freak-sicherheitsluecke/
http://www.heise.de/security/meldung/Freak-Attack-SSL-Verschluesselung-von-Millionen-Webseiten-angreifbar-2566444.html
radneuerfinder:
http://www.heise.de/security/meldung/Apple-schliesst-gefaehrliche-Freak-Attack-Luecke-in-OS-X-und-iOS-2571717.html
Florian:
https://www.heise.de/security/meldung/Sicherheitsupdate-Angriff-auf-Luecke-in-OpenSSL-kann-Client-und-Server-abstuerzen-lassen-3629698.html
Updates stehen bereit.
Navigation
[0] Themen-Index
[*] Vorherige Sete
Zur normalen Ansicht wechseln