Eigentlich soll das "Off-the-Record"-(OTR)-Protokoll dafür sorgen, dass private Nachrichten auch wirklich privat bleiben. Ein Fehler in der LibOTR bringt nun aber die Systeme der von der Ende-zu-Ende-Verschlüsselung Gebrauch machenden Nutzer in Gefahr.

Sicherheitslücke

Angreifer könnten einen Pufferüberlauf in der Software auslösen, in dem sie ein übergroßes Datenpaket an ihr Gegenüber schicken. In Folge könnte Schadcode auf dem betreffenden System eingeschmuggelt und zur Ausführung gebracht werden, warnen die Sicherheitsforscher von X41 D-Sec.

Update

Übergroß heißt in dem Fall eine Nachricht mit mindestens 5,5 GByte Umfang. Eine weitere Einschränkung ist, dass offenbar nur 64-Bit-Versionen der Software betroffen sind, dafür aber die Ausgaben für Windows, Linux und BSD. Betroffene Nutzer sollten umgehend auf die Version 4.1.1 von LibOTR wechseln, die den Fehler ausbessert.

Hintergrund

Die LibOTR wird vor allem vom Multi-Protokoll-Messenger Pidgin genutzt. Off-the-Record bietet neben vollständiger Ende-zu-Ende-Verschlüsselung ein zweites zentrales Sicherheits-Feature: Die Abstreitbarkeit. Wo bei anderen Diensten wie PGP jede Nachricht eindeutig zuordenbar ist, wird dies bei OTR bewusst nicht so gehalten. (red, 11.3.2016)