11.04.2014, 18:13
|
#4
|
|
Mod, bin gerne da
Registriert seit: 09.11.1999
Ort: W, NÖ
Alter: 74
Beiträge: 13.646
|
Heartbleed-Lücke: Vorsichtige Entwarnung auf Client-Seite
Zitat:
Zwar gibt es sehr viele Programme, die die verwundbare Bibliothek OpenSSL einsetzen. Doch die größten potenziellen Einfallstore, nämlich die Browser, sind offenbar nicht betroffen.
Der Heartbeat von OpenSSL funktioniert in beide Richtungen; folglich könnte ein böser Server über die Heartbleed-Lücke auch Clients ausspionieren. Doch die meisten Windows-Programme und die großen Browser benutzen OpenSSL erst gar nicht. Und auch bei den Programmen, die es tun, hält sich das Risiko in Grenzen.
Windows bietet eine eigene Krypto-Infrastruktur namens Secure Channel (SChannel), die die meisten Windows-Programme nutzen, auch wenn sie nicht von Microsoft stammen. SChannel hat nichts mit OpenSSL zu tun und ist folglich auch nicht für Heartbleed anfällig. Mozilla pflegt ebenfalls eine eigene Krypto-Bibliothek, die Netscape Security Services (NSS). Durch deren Nutzung sind Firefox und Thunderbird ebenfalls außen vor. Google Chrome setzt ebenfalls auf NSS; den bereits geplanten Umstieg von NSS auf OpenSSL wird man sich dort jetzt wohl nochmal überlegen.
OpenSSL im Open-Source-Umfeld
.....
|
Quelle und ganzer Artikel: http://www.heise.de/newsticker/meldu...e-2168698.html
c't Bankix 12.04.4 mit Heartbleed-Bugfix
Zitat:
Auch wenn der Heartbleed-SSL-Bug hauptsächlich Server betrifft, könnten Angreifer versuchen, die Lücke auf Clients auszunutzen. Deshalb wurde c't Bankix 12.04.4 aktualisiert. Wer es bereits nutzt, bekommt den Bugfix via Online-Update.
Die fehlerhafte Längenprüfung in der Hearbeat-Funktion von OpenSSL, bekanntgeworden unter dem Namen Heartbleed-Bug, betrifft nicht ausschließlich Server: Die Bibliothek ist auch Bestandteil der meisten Linux-Distributionen, darunter auch c't Bankix. Wer als Anwender ein Programm startet, das diese Bibliothek für verschlüsselte Verbindungen benutzt, macht sich somit theoretisch angreifbar. Daher haben wir vorsorglich c't Bankix 12.04.4 aktualisiert und ältere, potenziell verwundbare Versionen aus dem Download-Bereich entfernt.
Grund zur Panik besteht jedoch nicht: ........
|
Quelle und ganzer Artikel: http://www.heise.de/newsticker/meldu...x-2168715.html
____________________________________
Liebe Grüße
Christoph
Ein Kluger bemerkt alles, ein Dummer macht über alles seine Bemerkungen.
(Heinrich Heine)
Geändert von Christoph (11.04.2014 um 18:18 Uhr).
|
|
|