Kritische Lücke in NSS: Chrome und Firefox liefern Updates

25. September 2014, 13:24
posten

Offenbar möglich falsche Zertifikate unterzujubeln - Sensible Verbindungen könnten ausspioniert werden

Von einer kritischen Lücke sind nun gleichermaßen Chrome und Firefox-Nutzer gefährdet: Hat doch das Sicherheitsteam von Intel / McAfee ein BERserk getauftes Problem in der NSS-Bibliothek (Network Security Services) gefunden, die von beiden Projekten genutzt wird.

Attacke

Und dessen Gefährdungspotenial ist durchaus nicht zu unterschätzen: Eine fehlerhafte Prüfung von RSA-Signaturen führt dazu, dass Angreifer den Nutzern gefälschte Zertifikate als echt unterjubeln können. Infolge könnte etwa auf gefälschte Bankseiten gelockt werden, die den Usern als echt angezeigt werden. Wie McAfee betont, handelt es sich dabei um eine Variante einer Attacke, die bereits 2006 zum ersten Mal aufgetaucht ist.

Update

Die Browserhersteller haben jedenfalls bereits prompt reagiert: Sowohl Mozilla als auch Google liefern seit Mittwoch Updates für ihre Browser aus, die den Fehler beseitigen. Auch die NSS-Bibliothek selbst, die bei zahlreichen Linux- und Unix-Systemen genutzt, steht mittlerweile in neuer Version zur Verfügung. Ein Update ist angesichts der Schwere des Problems dringend angeraten. (apo, derStandard.at, 25.9.2014)

  • Durch die Lücke können den Nutzern falsche Zertifikate als echt untergejubelt werden.
    foto: mcafee / intel

    Durch die Lücke können den Nutzern falsche Zertifikate als echt untergejubelt werden.

Share if you care.