HTTPS-Bug aus dem Jahr 1998 ist immer noch da - u.a. bei Facebook

Verschlüsselung, Kryptographie, Code Bildquelle: Christian Ditaputratama (CC BY-SA 2.0)
Wenn Bugs nicht komplett behoben werden (können), tauchen sie irgendwann einfach wieder auf. Das zeigt sich nun auch bei einer uralten Schwachstelle in der Verschlüsselung von Webseiten, die schon vor fast zwei Jahrzehnten erstmals beschrieben wurde. Sogar einige der größten Webseiten der Welt sind heute noch anfällig.

Infografik: Wie funktioniert SSL?Wie funktioniert SSL?
Laut einem Bericht des US-Magazins Ars Technica handelt es sich um eine Sicherheitslücke, die einst in den tieferen Bereichen des SSL-Verfahrens gefunden wurde. Die RSA-Krypto-Keys wurden hier von den Algorithmen teilweise falsch behandelt. Ein Angreifer konnte den Bug ausnutzen, indem er eine größere Menge speziell formatierter Anfragen an den Webserver schickte. Dies sorgte dann dafür, dass Übertragungen, die eigentlich verschlüsselt erfolgen sollten, wieder in Klartext übersetzt werden konnten.

Als Informationen über das Problem veröffentlicht wurden, passierte etwas, das immer wieder einmal vorkommt: Weil die zuständigen Entwickler der Ansicht waren, dass der eigentliche Bug momentan nicht ohne größere Probleme komplett aus der Welt geschafft werden kann, sorgte man erst einmal mit einer Reihe von Workarounds dafür, dass der Fehler nicht mehr von Angreifern getriggert werden konnte.

Bauzaun davor und fertig

Damit wurde die Schwachstelle sozusagen in aller Öffentlichkeit versteckt. Die Workarounds funktionierten im Wesentlichen und so wurde irgendwann faktisch einfach vergessen, dass man das Problem irgendwann auch mal grundlegend angehen sollte. Die Sicherheitslücke selbst ist also immer noch da - und aufgrund der in den vielen Jahren erfolgten Umbauten an diversen Software-Architekturen, sind verschiedene Seiten inzwischen wieder angreifbar.

Eine Untersuchung förderte nun zutage, dass acht Produkte von Software-Unternehmen und Open Source-Teams die Schwachstelle in sich tragen. Und tausende Webseiten sind dadurch angreifbar - zwar nicht mit genau dem ursprünglich im Jahr 1998 beschriebenen Verfahren, aber doch mit leichten Abwandlungen. Betroffen sind unter anderem 27 der hundert meistbesuchten Webseiten, darunter Angebote wie Facebook und PayPal. Verschlüsselung, Kryptographie, Code Verschlüsselung, Kryptographie, Code Christian Ditaputratama (CC BY-SA 2.0)
Mehr zum Thema: Soziale Netzwerke
Diese Nachricht empfehlen
Kommentieren1
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 00:00 Uhr Bosch Professional Akku-Bohrschrauber GSR 12V-15 mit ZubehörBosch Professional Akku-Bohrschrauber GSR 12V-15 mit Zubehör
Original Amazon-Preis
125,61
Im Preisvergleich ab
112,02
Blitzangebot-Preis
108,99
Ersparnis zu Amazon 13% oder 16,62

Tipp einsenden