Neuer OpenSSL-Bug macht gesicherte Verbindungen angreifbar

Die Schwachstelle wurde ursprünglich im Mai vom Sicherheitsforscher Masashi Kikuchi aufgedeckt. Sie erlaubt es einem Angreifer durch eine sogenannte Man-in-the-Middle-Attacke, den Datenverkehr zwischen einem OpenSSL Client und einem OpenSSL Server abzufangen und zu modifizieren. Der Bug tritt in den OpenSSL-Versionen 1.0.1 oder 1.0.2-beta1 auf. Es existieren bereits neuere Versionen, die die die Lücke nicht mehr aufweisen, wie unter anderem Engadget berichtet.

In der Praxis ist die Gefahr durch die Lücke überschaubar, da nur spezifische Versionen betroffen sind und sowohl Client als auch Server über die gleiche Version verfügen müssen. Auch die Attacke selbst ist sehr komplex in der Durchführung. Gängige Browser wie der Internet Explorer, Firefox, Chrome für Desktops und iOS, Safari, etc. sind außerdem nicht betroffen, da sie OpenSSL nicht nutzen.

Nach Heartbleed ist es die zweite OpenSSL-Lücke in kurzer Zeit. Heartbleed selbst dürfte jedoch auch zum Teil dafür verantwortlich sein, dass sie nun aufgedeckt wurde. Durch den massiven Bug stand OpenSSL zuletzt im Fokus von Sicherheitsexperten, um mögliche weitere Schwachstellen zu identifizieren.