1931078

Heartbleed-Lücke stammt von deutschem Entwickler

11.04.2014 | 08:41 Uhr |

Für die in OpenSSL steckende gefährliche Sicherheitslücke ist offenbar ein deutscher Entwickler verantwortlich. Die auf den Namen "Heartbleed" getaufte Lücke entstand nach seinem Programmierfehler.

Aufgrund einer gefährlichen Lücke in der OpenSSL-Bibliothek müssen Millionen Internet-Nutzer ihre Passwörter ändern. Immer mehr Web-Dienste aktualisieren ihre Server, um ihre Nutzer vor der auf den Namen "Heartbleed" getauften Lücke zu schützen. Bei welchen Diensten Sie Ihre Passwörter ändern sollten, erfahren Sie in dieser Meldung .

Mittlerweile scheint auch festzustehen, wie die Lücke vor Jahren in OpenSSL gelang. Nachdem anfänglich der Name eines deutschen Entwicklers im Internet verbreitet wurde, hat sich dieser mittlerweile zu Wort gemeldet und bestätigt, dass die Lücke auf einen Fehler in seinem Programmcode zurückzuführen ist. Der Entwickler meldete sich per Mail bei Spiegel Online .

Dort wird der Entwickler Robin S., der als freier Programmierer am OpenSLL-Projekt mitarbeitet, mit den Worten zitiert: "Ich habe an OpenSSL mitgearbeitet und eine Reihe von Bugfixes und neuer Features eingereicht. In einem Patch für ein neues Feature habe ich offenbar eine Längenprüfung übersehen."

Bei der Kontrolle des neuen Programmcodes fiel der Fehler offenbar nicht auf und so gelangte die Änderung in den ausgelieferten Code. Zwei Jahre dauerte es, bis die Lücke schließlich gefunden wurde. Und das obwohl in der Zwischenzeit der Code offen lag, wie bei allen anderen OpenSource-Programmen. Den Fehler selbst bezeichnet der Programmierer als "trivial". Nur in dem Kontext, dass durch ihn an sich sichere Daten aus dem Speicher ausgelesen werden können, mache ihn so schwerwiegend.

Festzuhalten bleibt, dass es unfair ist, einen einzelnen Programmierer auch noch namentlich für eine aufgrund seines Codes entstandene Sicherheitslücke an den Pranger zu stellen.

0 Kommentare zu diesem Artikel
1931078