Heartbleed iOS

Kaum das die Aufregung um den goto Fail Bug in der Apple SSL Implementierung etwas abflaute, entdecken Sicherheitsforscher eine gravierende Lücke in der OpenSSL Bibliothek. Die Heartbleed getaufte Schwachstelle im populären OpenSSL, die man getrost als Super GAU bezeichnen kann, wurde anfang April entdeckt und veröffentlicht.

Dabei führt im wesentlichen eine fehlende Überprüfung eines Strings dazu, dass Fragmente aus dem Arbeitspeicher des Webservers ausgelesen werden können. Neben Klartext Passwörtern, Session Cookies eben auch die privaten Schlüssel der SSL Zertifikate. Der Angreifer muss hierzu nichts weiter machen als nur oft genug die SSL Seite aufrufen um an die sensiblen Informationen zu gelangen. Der Betreiber kann den Angriff nicht feststellen, eine beängstigende Tatsache, insbesondere weil die betroffene OpenSSL Version seit März 2012 veröffentlicht war. Besitzt ein Angreifer dann auch noch aufgezeichneten SSL Traffic der Seite - frei nach dem Motto der NSA Save now, decrypt later - kann er diesen mit dem privaten Schlüssel endlich auch entschlüsseln. Die NSA soll die Lücke sowieso schon systematisch ausgenutzt haben.

Quelle: XKCD

Aufgrund der Tatsache, dass OpenSSL eine sehr verbreitete Bibliothek ist, ist der Zeitaufwand die betroffene Version zu aktualisieren entsprechend groß. Dabei ist es noch relativ einfach auf einem Linux Server OpenSSL zu aktualisieren, weniger transparent ist hingegen ob die Bibliothek in einem Softwareprodukt, einer Appliance oder einem Client zum Einsatz kommt, hier muss man sich auf den Anbieter verlassen und auf ein Update hoffen. Erst dann können auch die betroffenen SSL Zertifikate getauscht werden, um der Ungewissheit zu entgehen ob der private Schlüssel extrahiert wurde. Diverse Zertifizierungsstellen haben bereits Angekündigt SSL Zertifikate kostenlos zu tauschen.

Heartbleed iOS

OS X und Apple iOS sind von der Schwachstelle nicht betroffen, Apple verwendet eine ältere Variante (Version 0.9.8) von OpenSSL. Dies heisst nicht, dass Daten die über Apps oder den Browser mit einem von Heartbleed betroffenen Server getauscht werden sicher sind. Große Webseiten wie Yahoo Mail oder Web.de waren zum Beispiel betroffen, der Anwender sollte zumindest seine Passwörter wechseln. Dies ist die letzten Monate ja bereits zur Routine geworden.

2014

2013

2012