Abo
  • Services:
Anzeige
Libotr verschlüsselt zwar sicher, doch ein Fehler ermöglicht die Ausführung von bösartigem Code.
Libotr verschlüsselt zwar sicher, doch ein Fehler ermöglicht die Ausführung von bösartigem Code. (Bild: Simon Becker)

Jabber-Verschlüsselung: Sicherheitslücke in OTR-Bibliothek erlaubt Code-Ausführung

Libotr verschlüsselt zwar sicher, doch ein Fehler ermöglicht die Ausführung von bösartigem Code.
Libotr verschlüsselt zwar sicher, doch ein Fehler ermöglicht die Ausführung von bösartigem Code. (Bild: Simon Becker)

In der Verschlüsselungsbibliothek Libotr wurde ein Integer Overflow gefunden, der Angreifern unter Umständen die Ausführung von bösartigem Code erlaubt. Das sogenannte Off-the-Record-Messaging ist eine beliebte Methode, um Nachrichten in Jabber-Chats zu verschlüsseln.

In einer beliebten Verschlüsselungsbibliothek ist eine gravierende Sicherheitslücke gefunden worden: Markus Vervier von der Firma X41 D-Sec entdeckte bei einer Analyse des Codes von Libotr einen Integer Overflow. Die Libotr-Bibliothek implementiert das Off-the-Record-Protokoll (OTR), das vor allem im Jabber-Netzwerk und im Chatclient Pidgin eingesetzt wird.

Anzeige

Vier Gigabyte große Nachricht

Der verwundbare Code speichert die Länge einer Nachricht in einer Integer-Variable. Der Code versucht anschließend, mittels der Malloc-Funktion einen Speicherbereich zu reservieren, der ein Byte größer als diese Nachrichtenlänge ist. Das Problem: Wenn die Nachricht genau vier Gigabyte groß ist, hat die Integer-Variable den maximal möglichen Wert. Dadurch kommt es zu einem Überlauf, es wird ein Speicherbereich der Größe null reserviert. Trotzdem werden die Daten in den Speicher geschrieben. Ausnutzen lässt sich der Bug nur auf 64-Bit-Systemen.

Um sich die Sicherheitslücke zunutze zu machen, muss ein Angreifer also mehrere Gigabyte an Daten an das Opfer schicken. Da die Daten Base64-codiert sind, müssen etwa 5,5 Gigabyte übertragen werden. Libotr erlaubt das Splitten der Daten in mehrere Datenblöcke, dadurch dauert dieser Angriff zwar einige Zeit, ist aber durchaus praktisch durchführbar.

Ein Proof-of-Concept, der das OTR-Plugin von Pidgin zum Absturz bringt, wurde von den Entdeckern der Lücke veröffentlicht. Nach eigenen Angaben gelang es ihnen ebenfalls, einen Exploit zu entwickeln, der die Ausführung von Code ermöglicht. Dieser soll jedoch zumindest vorerst nicht veröffentlicht werden.

Behoben wurde die Lücke in der Version 4.1.1 von Libotr, für gängige Linux-Distributionen sollte in Kürze ein Update bereitstehen. Für das entsprechende Pidgin-Plugin wurde die Version 4.0.2 veröffentlicht. Alle Nutzer von Libotr oder dem Pidgin-Plugin sollten dringend die entsprechenden Updates installieren.

Eine Wette um die Sicherheit von Libotr

Eine derartige Sicherheitslücke in Libotr dürfte für viele eine Überraschung sein: Die Bibliothek gilt als relativ solide und wurde in der Vergangenheit intensiv untersucht. Im Jahr 2014 war die Sicherheit von Libotr Gegenstand einer Wette zwischen den Kryptographen Matthew Green und Thomas Ptacek. Ptacek prophezeite, dass innerhalb des nächsten Jahres keine exploitbare Sicherheitslücke in Libotr gefunden werde. Thomas Ptacek gewann die Wette - zwar fanden sich einige Bugs in Libotr, doch keiner davon war praktisch ausnutzbar. Die jetzt gefundene Lücke hatte im Wettzeitraum niemand entdeckt.

Das Off-the-Record-Protokoll hat als eines der ersten eine Chat-Technologie ermöglicht, die mittels Forward Secrecy abgesichert ist. Dadurch ist gewährleistet, dass selbst ein späteres Kompromittieren des privaten Schlüssels nicht dazu führt, dass Nachrichten aus der Vergangenheit entschlüsselt werden können. Inzwischen ist OTR jedoch etwas in die Jahre gekommen. Ein Problem ist, dass es ist damit nicht möglich ist, verschlüsselte Nachrichten zu verschicken, wenn der Gesprächspartner offline ist. Ein Verschlüsselungsprotokoll für Jabber, welches Forward Secrecy auch bei Offline-Nachrichten ermöglicht und auf der Axolotl-Technologie von Signal basiert, ist unter dem Namen Omemo in Entwicklung.


eye home zur Startseite
Auspuffanlage 10. Mär 2016

Jap genau das meine ich :D Ja aber im "normalen" Sprachgebrauch gibt es auch für einige...

brutos 10. Mär 2016

So, habe es installiert. Es sieht aber Frozenchat mehr als ähnlich. Ich würde sagen, es...

brutos 10. Mär 2016

Für Linux flattert bereit das otr-Update herein... Für Android wird das wohl so schnell...

NeoCronos 10. Mär 2016

Du hast natürlich recht, ich habe allerdings nichts gerechnet :D Bei den 50 Tagen fehlt...

LoopBack 10. Mär 2016

OpenPGP über XMPP gibt es schon seit Ewigkeiten, ist brauchbar standardisiert und...



Anzeige

Stellenmarkt
  1. Panasonic Industrial Devices Europe GmbH, Lüneburg
  2. IT-Dienstleistungszentrum Berlin Anstalt des öffentlichen Rechts, Berlin
  3. Schaeffler Technologies AG & Co. KG, Herzogenaurach
  4. Hughes Network Systems GmbH, Griesheim


Anzeige
Top-Angebote
  1. (u. a. ROG Strix GTX1080-8G-Gaming, ROG Strix GTX1070-8G-Gaming u. ROG Strix Radeon RX 460 OC)
  2. (u. a. London Has Fallen, The Imitation Game, Lone Survivor, Olympus Has Fallen)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mit digitalen Workflows Geschäftsprozesse agiler machen
  2. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  3. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Android

    Google kann Größe von App-Updates weiter verkleinern

  2. Exilim EX-FR 110H

    Casio stellt Actionkamera für die Nacht vor

  3. Webmailer

    Mit einer Mail Code in Roundcube ausführen

  4. A1 Telekom Austria

    Im kommenden Jahr hohe Datenraten mit LTE

  5. Pebble am Ende

    Pebble Time 2 und Core wegen Übernahme gecancelt

  6. Handheld

    Nintendo zahlt bis zu 20.000 US-Dollar für 3DS-Hacks

  7. Großbatterien

    Sechs 15-Megawatt-Anlagen sollen deutsches Stromnetz sichern

  8. Traditionsbruch

    Apple will KI-Forschungsergebnisse veröffentlichen

  9. Cloudspeicher

    Dropbox plant Offline-Modus für Mobilanwender

  10. Apple

    Akkuprobleme des iPhone 6S betreffen mehr Geräte als gedacht



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Gear S3 im Test: Großes Display, großer Akku, große Uhr
Gear S3 im Test
Großes Display, großer Akku, große Uhr
  1. In der Zuliefererkette Samsung und Panasonic sollen Arbeiter ausgebeutet haben
  2. Vernetztes Auto Samsung kauft Harman für 8 Milliarden US-Dollar
  3. 10LPU und 14LPU Samsung mit günstigerem 10- und schnellerem 14-nm-Prozess

Robot Operating System: Was Bratwurst-Bot und autonome Autos gemeinsam haben
Robot Operating System
Was Bratwurst-Bot und autonome Autos gemeinsam haben
  1. Roboterarm Dobot M1 - der Industrieroboter für daheim
  2. Roboter Laundroid faltet die Wäsche
  3. Fahrbare Roboter Japanische Firmen arbeiten an Transformers

Super Mario Bros. (1985): Fahrt ab auf den Bruder!
Super Mario Bros. (1985)
Fahrt ab auf den Bruder!
  1. Quake (1996) Urknall für Mouselook, Mods und moderne 3D-Grafik
  2. NES Classic Mini im Vergleichstest Technischer K.o.-Sieg für die Original-Hardware

  1. Re: Digitale Zähler und "Nachtarif" würden das...

    martin28 | 11:45

  2. Re: Kohle- und Kernkraftwerke als Stabilisatoren?!

    chefin | 11:43

  3. Re: Das mit Elektroautos ist doch unsinn

    peh.guevara | 11:42

  4. Re: Bullshit!

    GenXRoad | 11:42

  5. Re: Also quasi Titanfall 2

    lgo | 11:41


  1. 11:44

  2. 11:38

  3. 11:05

  4. 10:53

  5. 10:23

  6. 10:14

  7. 09:05

  8. 07:34


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel