Heartbleed-Fehler: Informationen zur OpenSSL-Sicherheitslücke und Listen der betroffenen Seiten

Heartbleed-Fehler: Informationen zur OpenSSL-Sicherheitslücke und Listen der betroffenen Seiten

Der Heartbleed-Fehler wurde schon vielfach zur größten Sicherheitslücke in der Geschichte des Internet erklärt. Ein Fehler in einem Modul der weit verbreiteten Kryptographie-Bibliothek OpenSSL lässt sich zum Ausspähen des verschlüsselten Datenverkehrs ausnutzen. Seit Bekanntwerden der Schwachstelle aktualisieren Webdienste ihre Server. Anhand von Listen können Anwender überprüfen, welche Internetseiten die Sicherheitslücke schon behoben haben und welche eventuell noch betroffen sind.

Passwort erst nach der Fehlerbehebung ändern

Der Fehler lässt sich durch eine Aktualisierung der OpenSSL-Version beheben. Diese Aktualisierung müssen aber die Seitenbetreiber vornehmen. Nutzer können nur kontrollieren, wer dies bereits getan hat, und welche Seiten erst gar nicht betroffen waren. Wichtig ist aber, Passwörter und Zugangsdaten erst nach der Fehlerbehebung zu aktualisieren. Da der Fehler jetzt weit bekannt ist, sollte man das Eingeben von Passwörtern und vertraulichen Informationen auf anfälligen Seiten vermeiden – auch das Ändern der Zugangsdaten. Wir fassen in einer detaillierten Anleitung zusammen, wie Sie Ihre Internetkonten wieder sicher machen.

Google: Fast alle Dienste aktualisiert, nur Android 4.1.1 ist betroffen

Google gibt auf dem Sicherheitsblog des Unternehmens bekannt, dass fast alle Dienste bereits aktualisiert sind. Dazu zählen Gmail, Google Play, die Google Suche, Apps und YouTube. Chrome und ChromeOS sind nicht betroffen. Android ist so gut wie sicher, lediglich die Version 4.1.1 weist die Sicherheitslücke auf. Google hat hier den Softwarepatch bereits fertig gestellt und arbeitet mit Geräteherstellern und Mobilfunkunternehmen zusammen, um die Aktualisierung auszuliefern.

Listen der betroffenen Seiten

Inzwischen haben viele Anbieter bekannte Internetseiten und Portale auf die Schwachstelle geprüft. Mithilfe eines Test-Skripts haben Entwickler auf dem Portal Github eine lange Liste von betroffenen Servern zusammengetragen. Auch die Hersteller des Passwort-Managers LastPass bieten eine Liste an, außerdem stellen sie einen Heartbleed-Test zur eigenen Überprüfung beliebiger Seiten zur Verfügung. Mashable bietet eine Übersicht beliebter sozialer Netzwerke und Portale und zeigt denn aktuellen Status an.

Insgesamt lässt sich nur in etwa abschätzen, wie viele Internetseiten und Server durch den Heartbeat-Fehler angreifbar sind oder waren. OpenSSL kommt auf rund zwei Dritteln aller Internetseiten weltweit zum Einsatz. Die Schwachstelle befindet sich aber im sogenannten Heartbeat-Modul – daher der angelehnte Name Heartbleed. Dieses Modul ist weit weniger verbreitet und betrifft rund 17 Prozent aller SSL-Server. Die Schwachstelle macht aber die Kommunikation eines betroffenen Servers mit geschützten Servern angreifbar.

Sicherheitsexperte von Microsoft arbeitet für die Entdecker des Heartbeat-Fehlers

Sicherheitsexperten von Codenomicon haben den Heartbeat-Fehler entdeckt und eine entsprechende Informationsseite eingerichtet. Server-Administratoren haben kritisiert, dass Codenomicon die Schwachstelle öffentlich publiziert hat, bevor einige Betroffene reagieren konnten. Howard Schmidt, der Aufsichtsratsvorsitzende bei Codenomicon, hatte vorher den Posten des höchsten Sicherheitsbeauftragen, und zwar bei Microsoft. Für Jacob Appelbaum vom Anonymisierungsdienst Tor ist das kein Zufall, ebenso wenig wie der Zeitpunkt der Veröffentlichung.

Der Heartbleed-Fehler bestand seit zwei Jahren, aber genau am 8. April 2014 geht Codenomicon damit an die Öffentlichkeit, mit einer eigenen Internetseite und einem Logo. Zum gleichen Zeitpunkt veröffentlicht Microsoft die letzten Sicherheitsupdates für Windows XP. Howard Schmidt ist nach wie vor Mitglied der Abteilung für Sicherheitsentwicklung von Microsoft.  Aus der Linux-Gemeinde werden daher Stimmen laut, dass die Heartbleed-Bekanntmachung auch die Sicherheit von Linux und Open-Source anschwärzen will.

Passende Artikel

Quelle: Google Online Security Blog | LastPass | Mashable | Techrights | Github

Kommentare laden