1937555

Hacker wollen neue OpenSSL-Lücke entdeckt haben

28.04.2014 | 14:07 Uhr |

Heartbleed reloaded: Blutet das Herz immer noch? Einige Hacker behaupten, dass sie eine neue Sicherheitslücke in dem mittlerweile gepatchten OpenSSL entdeckt hätten. Sicherheitsexperten äußern aber Zweifel an dieser Behauptung.

Eine Gruppe von fünf Hackern behauptet, dass sie in der neuen, fehlerbereinigten Version von OpenSSL eine neue Schwachstelle aufgespürt hätten. Das OpenSSL-Update wurde nötig, weil in der jahrelang verwendeten OpenSSL-Version eine der schwersten Sicherheitslücken der Internetgeschichte entdeckt wurde, die als Heartbleed in die IT-Geschichte eingegangen ist. Unter anderem waren Facebook, Gmail, Yahoo und Minecraftvon der OpenSLL-Lücke betroffen.

Bei diesen Diensten sollten Sie Ihr Passwort ändern

Zwei Wochen lang wollen die fünf Hacker im Code des OpenSSL-Updates gesucht haben, dann wollen sie fündig geworden sein. Zumindest schreiben sie das hier. Bei der neuen Schwachstelle soll es sich wieder um einen Puffer-Überlauf handeln, eine ähnliche Lücke also wie bei Heartbleed. Die Hacker haben ihre Entdeckung aber noch nicht veröffentlicht, bieten den Code aber im Internet gegen eine Bitcoin-Überweisung an. Somit kann niemand die Behauptung nachprüfen.

Experten haben allerdings die von den Hackern gemachten technischen Informationen in Zweifel gezogen. Zum Beispiel würde die genannten Variable überhaupt nicht existieren. Und die von den Hackern zur Kontaktaufnahme angegebene Mailadresse kursiert schon seit einiger Zeit im Web in Zusammenhang mit Angeboten von Daten- oder Code-Funden. Unter anderem auch in Zusammenhang mit Mt. Gox, der pleite gegangenen Bitcoin-Börse. Außerdem wurde diese Mailadresse auch als Kontakt genannt, wenn man an gestohlene Kreditkartendaten herankommen will. Wegen der gesamten Geheimniskrämerei, der nicht existierenden Variable und der dubiosen Mailadresse bezweifeln Sicherheitsexperten den Wahrheitsgehalt der Hackergruppe.

0 Kommentare zu diesem Artikel
1937555