Offenbar ermöglicht es ein Fehler in der Sicherheitsbibliothek NSS (Network Security Services) Angreifern, RSA-Zertifikate für SSL-Verbindungen zu fälschen. Eine Website könnte damit jede beliebige Identität vortäuschen, wie zum Beispiel die einer Bank. Mozilla stellt korrigierte Versionen von Thunderbird, Firefox sowie weiteren Produkten bereit und Google hat seinen Browser Chrome aktualisiert.

Aufgrund der Verwendung einer eigenen Verschlüsselungsbibliothek (SecureTransport) ist Apples Safari offenbar nicht betroffen. Es wird geraten das Update möglichst schnell zu installieren.

Ob auch die Open-Source-Bibliothek gnutls von dem Bug betroffen war, ist zurzeit unklar. In der jüngst veröffentlichten Version 3.2.18 deutet ein Kommentar auf einen Fehler im Zusammenhang mit der Prüfung von Zertifikatssignaturen hin. Die Bibliothek CyaSSL des US-Anbieters wolfSSL, die im Embedded-Bereich eingesetzt wird, war möglicherweise auch angreifbar. Für eine Schwachstelle bei der RSA-Padding-Prüfung, die von Intels Team "Advanced Threat Research" entdeckt wurde, enthält die wenige Tage alte Version 3.2.0 eine Korrektur. Google und Mozilla werden von dieser Gruppe auch als Mit-Entdecker des jetzt behobenen Fehlers genannt.

(nd, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE