TuEsOdErLaSsEs schrieb:
Hier spricht man von der Lücke im Open SSL und Android 4.4.3 und anders wo heißt das nur Android 4.1 betroffen ist davon .
Ja was stimmt den nun davon
?
Bis zur Version 4.1.1 und nach 4.1.1 ist Android von der OpenSSL Lücke "Heartbleed-Bug" nicht betroffen.
Aufgrund des
Heartbleed-Bug (CVE-2014-0160) hat man sich OpenSSL nochmals genauer angeschaut und dabei hat man weitere Sicherheitslücken entdeckt.
Zu den weiteren Lücken die man
nach dem Heartbleed-Bug gefunden hat, zählt
CVE-2014-0224.
Wenn beide, sprich der Client
UND der Server OpenSSL in einer betroffenen Version einsetzen, könnte ein Angreifer dies für einen Man-in-the-Middle-Angriff ausnutzen und die Verbindung so manipulieren, dass die Software auf ein knackbares Schlüsselmaterial zurückfällt, das es ihm dann wiederum ermöglichen würde, den Datenverkehr zu entschlüsseln.
Nochmals:
Diese Lücke (CVE-2014-
0224) ist nur aus-nutzbar, wenn Server- und Client-Version von OpenSSL angreifbar sind.
Beispiel: Du bist im Urlaub mit deinem Smartphone in einem öffentlichen WLAN unterwegs. Du greifst mit deiner Banking app auf dein Konto zu und wenn auf dem Bank Server auch OpenSSL in der ungepatchten Version läuft und wenn deine Banking app keine eigene KryptoBibliothek benutzt, sonder eine der ungepatchte OpenSSL-Versionen 0.9.8, 1.0.0 und 1.0.1 und wenn ein Krimineller ...
Generell sind alle Geräte und Programme in den ungepatchten OpenSSL-Versionen 0.9.8, 1.0.0 und 1.0.1 betroffen, sofern sie OpenSSL verwenden. Firefox oder auch Chrome verwenden jedoch beispielsweise auf dem Desktop die "SSL-Technik" NSS (Mozilla) und nicht OpenSSL, sind also generell davon nicht betroffen. Google wollte ursprünglich mal auf dem Desktop von NSS auf OpenSSL wechseln. Mittlerweile hat man sich aber dazu entschlossen eine eigene SSL-Implementierung zu entwickeln (BoringSSL). Sie wollen aber weiterhin Korrekturen an die OpenSSL-Entwickler zurückgeben. (
https://www.imperialviolet.org/2014/06/20/boringssl.html)
Die anderen Lücken die man nach dem Heartbleed-Bug gefunden hat, sind weit weniger gefährlich, wie beispielsweise CVE-2014-0198 und CVE-2010-5298, da die Option "SSL_MODE_RELEASE_BUFFERS" standardmäßig ab Werk deaktiviert ist und auch selten genutzt wird. Ansonsten könnte man mit diesen Lücken beispielsweise einen betroffenen Server zum Absturz bringen.
Genauso die (CVE-2014-3470) Lücke. Wenn ECDH-Cipher ohne Authentifizierung verwendet wird (anonymer Modus), dann ist ein Denial-of-Service-Angriff möglich. Wer jedoch diese Art der Verschlüsselung verwendet, hat sowieso andere Probleme (generell unsicher).
