Heartbleed – schon wieder Passwörter in Gefahr

wurde eine Sicherheitslücke bekannt, bei der es recht einfach möglich ist auch eine verschlüsselte Verbindung abzuhören, oder besser gesagt, mit einem Trick den Server anzurufen und bei der Gelegenheit gleich den Benutzernamen und das Passwort aus dem Arbeitsspeicher zu lesen. Grund dafür ist die fehlende Sicherheit in der OpenSSL Implementierung der Heartbleed Erweiterung der Transportschicht (TLS un DTLS). Dabei schickt der Server den sogenannten Payload-Teil an den Absender zurück, allerdings überprüft er dabei nicht die Datenlänge und somit kann ein Angreifer bei jeder Anfrage bis zu 64 KB aus dem Arbeitsspeicher auslesen.

Read More