Ein Angreifer könnte mit einer übergroßen Nachricht einen Pufferüberlauf in der Krypto-Bibliothek LibOTR verursachen, der es ihnen erlaubt, das Zielsystem zu kapern. Vor allem der beliebte Jabber-Client Pidgin verwendet LibOTR als Krypto-Erweiterung. Die neue Version LibOTR 4.1.1 beseitigt den verantwortlichen Fehler.

Der Fehler wird ausgelöst wenn ein Datenpaket über 4 GByte groß ist, da die Daten noch Base64-kodiert werden. Der Angreifer muss deshalb eine Nachricht mit einer Länge von 5,5 GByte senden können. Prinzipiell sei dies möglich. Der Entdecker der Lücke, Markus Vervier von X41 D-Sec, der die Lücke den Entwicklern gemeldet hat, meint einen voll funktionsfähigen Demo-Exploit entwickelt zu haben. Mit seiner Sicherheitsnotiz stellt er öffentlich jedoch nur eine entschärfte Version bereit, die den Jabber-Client zum Absturz bringt. Betroffen sind alle Versionen von Windows als auch auf Linux- und BSD-Systemen die 64-Bit-Versionen bis LibOTR 4.1.0.

Da es die Verschlüsselung von Nachrichten um ein neues Konzept erweiterte, die Abstreitbarkeit, galt das Off-the-Record-Konzept lange Zeit als vorbildlich. Die klassische Verschlüsselung im Vergleich erhebt jede eindeutig einer Person zuzuordnende Nachricht in den Status eines digital signierten Dokuments z.B. PGP. Der Empfänger einer Nachricht kann bei OTR hingegen Dritten nicht nachweisen, dass der Absender etwas gesagt hat, da er diese Nachricht hätte fälschen können. Der OTR-Chat erhält damit den Status eines Vieraugen-Gesprächs, bei dem nur die Beteiligten letztlich genau wissen, was gesagt wurde.

Die OTR-Verschlüsselung erfordert allerdings, dass beide Partner online sind. Somit ist diese Art der Verschlüsselung nicht für Messenger-Dienste auf dem Smartphone geeignet.

(ms, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE