News

OpenSSL veröffentlicht Patch zum Schutz vor POODLE

Das OpenSSL-Projekt hat eine neue Version der kryptografischen Software veröffentlicht, in der mehrere Sicherheitslücken geschlossen wurden, unter anderem ein Bug, der in der POODLE-Attacke ausgenutzt werden konnte.

Die aktualisierte Version von OpenSSL erschien bereits wenige Tage, nachdem das Trio von Google über die POODLE-Attacke berichtet hatte, die es einem Cyberkriminellen ermöglichen könnte, einen Server unter bestimmten Umständen dazu zu zwingen, SSLv3 zu verwenden und die geschützte Kommunikation zwischen dem Client und dem Server zu entschlüsseln. Um das Problem zu beheben, wurde in OpenSSL die Unterstützung des Mechanismus‘ TLS_FALLBACK_SCSV hinzugefügt, der es einem Angreifer unmöglich macht, die Bedingungen für einen Fallback von TLS auf SSLv3 zu schaffen.

„OpenSSL hat die Unterstützung von TLS_FALLBACK_SCSV integriert, um Anwendungen zu erlauben, einem Man-in-the-Middle-Angreifer die Möglichkeit zu entziehen, einen Downgrade auf eine niedrigere Version zu erzwingen“, heißt es in einer Erklärung. „Einige Client-Anwendungen (wie etwa Browser) schalten auf ein veraltetes Protokoll um, um so Probleme mit der Interaktion mit alten Servern zu beheben. Das lässt sich durch einen „Man-in-the-Middle“-Angriff ausnutzen, indem ein Downgrade auf SSL 3.0 erzwungen wird, selbst wenn beide Seiten neuere Protokolle unterstützen. SSL 3.0 enthält eine Reihe von Sicherheitslücken, unter anderem auch POODLE (CVE-2014-3566).”

Die aktualisierten OpenSSL-Versionen patchen zudem eine hochriskante Sicherheitslücke in der DTLS SRTP-Erweiterung, die ein Speicherleck verursachen könnte.

„Die Schwachstelle im Parser der Erweiterung DTLS SRTP ermöglicht es einem Cyberkriminellen, der eine speziell konstruierte Handshake-Mitteilung verschickt, zu verhindern, dass OpenSSL bis 64 KB Speicher freisetzt, was ein Speicherleck zur Folge hat. Das wiederum lässt sich bei der Durchführung von DoS-Attacken einsetzen. Dieses Problem besteht in den Server-Ausführungen OpenSSL 1.0.1 für SSL/TLS und DTLS, unabhängig davon, ob SRTP verwendet wird oder konfiguriert ist. Ausführungen von OpenSSL, die mit dem Parameter OPENSSL_NO_SRTP kompiliert sind, sind von der Schwachstelle nicht betroffen“, heißt es in der Erklärung.

Ebenfalls geschlossen wurde ein risikoarme Schwachstelle, die aus einem Problem in der Kompilierungsoption „no-ssl3“ resultiert, das dazu führen kann, dass der Server trotz allem einen Handshake über SSLv3 durchführt.

Quelle:        Threatpost

OpenSSL veröffentlicht Patch zum Schutz vor POODLE

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach