HTTPS-Bug aus dem Jahr 1998 ist immer noch da - u.a. bei Facebook
Wenn Bugs nicht komplett behoben werden (können), tauchen sie irgendwann einfach wieder auf. Das zeigt sich nun auch bei einer uralten Schwachstelle in der Verschlüsselung von Webseiten, die schon vor fast zwei Jahrzehnten erstmals beschrieben wurde. Sogar einige der größten Webseiten der Welt sind heute noch anfällig.
Infografik: Wie funktioniert SSL?
Laut einem Bericht des US-Magazins Ars Technica handelt es sich um eine Sicherheitslücke, die einst in den tieferen Bereichen des SSL-Verfahrens gefunden wurde. Die RSA-Krypto-Keys wurden hier von den Algorithmen teilweise falsch behandelt. Ein Angreifer konnte den Bug ausnutzen, indem er eine größere Menge speziell formatierter Anfragen an den Webserver schickte. Dies sorgte dann dafür, dass Übertragungen, die eigentlich verschlüsselt erfolgen sollten, wieder in Klartext übersetzt werden konnten.
Als Informationen über das Problem veröffentlicht wurden, passierte etwas, das immer wieder einmal vorkommt: Weil die zuständigen Entwickler der Ansicht waren, dass der eigentliche Bug momentan nicht ohne größere Probleme komplett aus der Welt geschafft werden kann, sorgte man erst einmal mit einer Reihe von Workarounds dafür, dass der Fehler nicht mehr von Angreifern getriggert werden konnte.
Eine Untersuchung förderte nun zutage, dass acht Produkte von Software-Unternehmen und Open Source-Teams die Schwachstelle in sich tragen. Und tausende Webseiten sind dadurch angreifbar - zwar nicht mit genau dem ursprünglich im Jahr 1998 beschriebenen Verfahren, aber doch mit leichten Abwandlungen. Betroffen sind unter anderem 27 der hundert meistbesuchten Webseiten, darunter Angebote wie Facebook und PayPal.
Infografik: Wie funktioniert SSL?
Laut einem Bericht des US-Magazins Ars Technica handelt es sich um eine Sicherheitslücke, die einst in den tieferen Bereichen des SSL-Verfahrens gefunden wurde. Die RSA-Krypto-Keys wurden hier von den Algorithmen teilweise falsch behandelt. Ein Angreifer konnte den Bug ausnutzen, indem er eine größere Menge speziell formatierter Anfragen an den Webserver schickte. Dies sorgte dann dafür, dass Übertragungen, die eigentlich verschlüsselt erfolgen sollten, wieder in Klartext übersetzt werden konnten.
Als Informationen über das Problem veröffentlicht wurden, passierte etwas, das immer wieder einmal vorkommt: Weil die zuständigen Entwickler der Ansicht waren, dass der eigentliche Bug momentan nicht ohne größere Probleme komplett aus der Welt geschafft werden kann, sorgte man erst einmal mit einer Reihe von Workarounds dafür, dass der Fehler nicht mehr von Angreifern getriggert werden konnte.
Bauzaun davor und fertig
Damit wurde die Schwachstelle sozusagen in aller Öffentlichkeit versteckt. Die Workarounds funktionierten im Wesentlichen und so wurde irgendwann faktisch einfach vergessen, dass man das Problem irgendwann auch mal grundlegend angehen sollte. Die Sicherheitslücke selbst ist also immer noch da - und aufgrund der in den vielen Jahren erfolgten Umbauten an diversen Software-Architekturen, sind verschiedene Seiten inzwischen wieder angreifbar.Eine Untersuchung förderte nun zutage, dass acht Produkte von Software-Unternehmen und Open Source-Teams die Schwachstelle in sich tragen. Und tausende Webseiten sind dadurch angreifbar - zwar nicht mit genau dem ursprünglich im Jahr 1998 beschriebenen Verfahren, aber doch mit leichten Abwandlungen. Betroffen sind unter anderem 27 der hundert meistbesuchten Webseiten, darunter Angebote wie Facebook und PayPal.
Thema:
Beliebte Downloads
Videos zum Thema soziale Netzwerke
- The Social Reckoning: Erster Trailer zum brisanten Facebook-Thriller
- Super Bowl 2026: Oakley Meta-Brillen halten epische Sportmomente fest
- Mehr als eine Kamerabrille? Die Ray-Ban-Meta-Smart Glasses im Test
- Super Bowl 2022: Meta schickt Animatronics ins Metaverse
- "Schnelle Lacher": Netflix kopiert TikTok und erweitert mobile Apps
Beiträge aus dem Forum
Interessante Links
Neue Nachrichten
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- Microsoft erklärt: Das sind die Update-Typen für Windows 11
- VW ID Polo: Elektro-Kleinwagen startet in Kürze für unter 25.000 Euro
- Nächstes FritzOS-Update sichert WireGuard-VPN per Kill-Switch
- Lidl Datenleck: Hacker erbeuten sensible Kundendaten im Netz
- Disney+ plant Gratis-Tarif: Werbefinanziertes Streaming kommt
- Fenster bricht im Flug, saugt Mann teilweise aus einer Ryanair-Maschine
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen