SSL Protokoll-Exploit

d4f

d4f

Kaffee? Wo?
Ich finde es eine interessante Lektüre:
http://arstechnica.com/security/201...k-snarfs-cookies-protected-by-ssl-encryption/

Im alltäglichen Betrieb eines 0815-Benutzers vermutlich kaum bis gar nicht relevant aber wie auch BEAST ein interessanter Angriffsvektor der aufzeigt dass selbst Designentscheidungen welche eigentlich gegen bsp. Korruption vorsorgen sollen zu Problemen führen können.
Generell ist die Methode jetzt nicht umwerfend neu, der Ansatz aber imho schon.
 
Nein lieber nicht. Wenn sie nach zig Tagen einen Fix releasen fixt er nicht wirklich das Problem und öffnet neue Lücken.
Wie sieht es dann so aus bei paar Stunden?

Es ist aber zu vermuten dass die Hersteller von Netzwerkgeräten und kritischer Infrastruktur bereits vorher von der Lücke wussten - eventuell somit auch einige OpenSSL-Entwickler entweder durch ihren eigentlichen Job oder weil OpenSSL so verbreitet ist.
So wird im ArsTechnica Artikel nämlich erwähnt dass Microsoft festgestellt habe, die Windows-Implementierung sei nicht betroffen.
 
Whistler said:
Von der Reaktionsgeschwindigkeit könnte sich Oracle mal eine Scheibe abschneiden.
Click to expand...

Da das Ganze eine koordinierte Veröffentlichung ist, dürfte die Lücke schon seit Wochen oder Monaten bekannt sein. Insofern sind die OpenSSL-Devs diesmal kein Beispiel, zumal sie fast die Letzten mit einem Patch sind.
 
You must log in or register to reply here.
Back
Top