Heartbleed
Heartbleed ist eine Sicherheitslücke in einigen Implementierungen der Verschlüsselungssoftware OpenSSL. OpenSSL ist kostenlos und daher weit verbreitet. Auch das macht die Schwachstelle so gravierend.
Aufgrund der Sicherheitslücke, die formal unter dem Kürzel CVE-2014-0160 bekannt ist, kann ein Angreifer pro Angriff bis zu 64 KB des Arbeitsspeichers auf jedem angeschlossenen Client oder Server auslesen. Der Angriff kann mehrmals hintereinander erfolgen, um mehr Speicher auszulesen und so Daten abzufischen.
Heartbleed erhielt seinen Namen, weil es eine OpenSSL-Schwachstelle der Heartbeat-Erweiterung für die Protokolle TLS und DTLS (RFC 6520) darstellt. Die Funktion Heartbeat ("Herzschlag") schickt bei einer verschlüsselten Verbindung regelmäßig Daten hin und her, um sicherzugehen, dass beide Seiten online sind.
Security-Experten von Google und Codenomicon entdeckten die Sicherheitslücke, die auf schlecht geschriebenem Code zurückgeht. Den Forschern war schnell klar, dass ein Angreifer den Fehler ausnutzen kann, um verschlüsselte Inhalte, Benutzernamen, Passwörter und private Schlüssel für X.509-Zertifikate auszulesen. Da rund 66 Prozent aller aktiven Websites im Internet OpenSSL verwenden, schätzen viele Experten Heartbleed als eine der schlimmsten Sicherheitslücken in der Geschichte des Internets ein.
Die Heartbleed-Schwachstelle existiert in allen zwischen März 2012 und April 2014 veröffentlichten Versionen von OpenSSL. Mit dem Release von OpenSSL Version 1.0.1g im April wurde der Softwarefehler behoben. OpenSSL.org empfiehlt Unternehmen ein Upgrade auf die neueste Version von OpenSSL und die Neuauflage der X.509-Zertifikate mit neuen Schlüsseln, um die negativen Auswirkungen der Heartbleed zu verringern. Internet-Nutzer selbst sollten dringend ihre Passwörter für Websites ändern.