WCM - Das österreichische Computer Magazin Forenübersicht
 

Zurück   WCM Forum > Rat & Tat > IT-Security
Seite neu laden Chrome- und Firefox-Entwickler schließen gravierende Lücke Update
Registrieren Hilfe/Forumregeln Benutzerliste Kalender Heutige Beiträge

IT-Security Rat & Tat bei Fragen und Problemen zu Computer-, Netzwerk- und Daten-Sicherheit

Microsoft KARRIERECAMPUS

Antwort
 
Themen-Optionen Ansicht
Alt 25.09.2014, 13:26   #1
Christoph
Mod, bin gerne da
 
Benutzerbild von Christoph
 
Registriert seit: 09.11.1999
Ort: W, NÖ
Alter: 74
Beiträge: 13.646


Standard Chrome- und Firefox-Entwickler schließen gravierende Lücke Update
Zitat:
Nahezu gleichzeitig sind neue Versionen der Browser von Mozilla und Google erschienen. Sie beheben einen Fehler, durch den es Angreifern möglich wurde, sichere Verbindungen mit anderen Websites vorzutäuschen.

Ein Fehler in der Sicherheitsbibliothek NSS (Network Security Services) ermöglicht es offenbar Angreifern, RSA-Zertifikate für SSL-Verbindungen zu fälschen. Damit könnte eine Website jede beliebige Identität vortäuschen, etwa die einer Bank. Google hat seinen Browser Chrome aktualisiert und Mozilla stellt korrigierte Versionen von Firefox, Thunderbird sowie weiteren Produkten bereit. [Update:] Apples Safari ist aufgrund der Verwendung einer eigenen Verschlüsselungsbibliothek (SecureTransport) offenbar nicht betroffen. [/Update] Bei den meisten Anwendern dürften sich die Browser selbsttätig aktualisieren. Wer diese Funktion deaktiviert hat, sollte das Update möglichst schnell selbst installieren.

Nach Auffassung der Sicherheitsfirma McAfee geht der Bug auf eine zu laxe Prüfung der RSA-Signatur zurück. Er stehe in Verbindung mit einem ähnlichen Fehler, den Daniel Bleichenbacher bereits 2006 entdeckt hatte. Adam Langley widersprach dieser Auffassung jedoch, ohne dies genauer zu begründen. Er arbeitet bei Google an der HTTPS-Infrastruktur und der Implementierung des Netzwerk-Codes von Chrome.

Unklar ist, ob auch die Open-Source-Bibliothek gnutls von dem Bug betroffen war. Ein Kommentar in der jüngst veröffentlichten Version 3.2.18 deutet auf einen Fehler im Zusammenhang mit der Prüfung von Zertifikatssignaturen hin. Angreifbar war möglicherweise auch die Bibliothek CyaSSL des US-Anbieters wolfSSL, die im Embedded-Bereich eingesetzt wird. Die wenige Tage alte Version 3.2.0 enthält eine Korrektur für eine Schwachstelle bei der RSA-Padding-Prüfung, die Intels Team "Advanced Threat Research" entdeckt wurde. Diese Gruppe nennen auch Google und Mozilla als Mit-Entdecker des jetzt behobenen Fehlers. (ck)
Quelle: http://www.heise.de/newsticker/meldu...e-2403406.html
____________________________________
Liebe Grüße
Christoph

Ein Kluger bemerkt alles, ein Dummer macht über alles seine Bemerkungen.
(Heinrich Heine)
Christoph ist offline   Mit Zitat antworten
Antwort

« Vorheriges Thema | Nächstes Thema »

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Gehe zu


Alle Zeitangaben in WEZ +2. Es ist jetzt 15:34 Uhr.

Kontakt - WCM - Nach oben

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Forum SEO by Zoints
© 2009 FSL Verlag