Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.

Update - Notizen zu FREAK

6. März 2015

Update 9. März 2015

In den letzten Tagen gab es wieder einmal große mediale Aufmerksamkeit für eine Schwachstelle in OpenSSL und anderen Crypto-Libraries. Der Eintrag für die zugehörige CVE-ID CVE-2015-0204 besteht seit November letzten Jahres, aktualisierte Versionen von OpenSSL wurden heuer im Jänner veröffentlicht.

Update 2015-03-09

Ergänzung: Auflistungen betroffener Bibliotheken/Anbieter finden sich auf https://www.smacktls.com/#freak und http://www.kb.cert.org/vuls/id/243585.

Die FREAK-Attacke basiert - stark verkürzt gesagt - darauf, dass in der Kommunikation zwischen einem anfälligen Client und einem anfälligen Server ein "Man-In-The-Middle" die Verwendung von sog. "Export Ciphers" erzwingen kann, die keine ausreichend starke Verschlüsselung bieten.

Dadurch ergeben sich in weiterer Folge eine Reihe von Angriffsmöglichkeiten, bzw. sind gewisse Attacken dann deutlich leichter durchführbar.

Detaillierte Beschreibungen des Problems und der Hintergründe gibt es hier:

Update 2015-03-09

Auf https://freakattack.com/ werden unter anderem betroffene Browser sowie mögliche Gegenmassnahmen aufgelistet. Weiters wird dort eine Testseite angeboten, mit der man feststellen kann, ob der eigene Webbrowser gegen den Angriff geschützt ist. Benutzer für deren Browser es (noch) keine Updates gibt sollten nach Möglichkeit - zumindest temporär - auf einen sicheren Browser umsteigen.

Der SSL Server Test von Qualys gibt Auskunft zur Sicherheit von Servern (nicht nur hinsichtlich FREAK).

Benachrichtigungen zu Webservern, die für die FREAK-Attacke anfällig sind werden wir demnächst versenden.

Autor: Stephan Richter

Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Update: "Zero-Day" Sicherheitslücke in Adobe Flash Player - aktiv ausgenützt - Patches verfügbar
7. Juni 2018 | Update: ...
Kritische Sicherheitslücken in Adobe Acrobat, Adobe Reader und Adobe Photoshop CC - Patches verfügbar
15. Mai 2018 | Beschreibung Adobe ...
mehr ...
In eigener Sache: CERT.at sucht Verstärkung
5. Juni 2018 | Für unsere ...
NIS Update
15. Mai 2018 | Am 9. ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2015/3/9 - 09:50:35
Haftungsausschluss / Datenschutzerklärung