Abo
  • Services:
Anzeige
Libotr verschlüsselt zwar sicher, doch ein Fehler ermöglicht die Ausführung von bösartigem Code.
Libotr verschlüsselt zwar sicher, doch ein Fehler ermöglicht die Ausführung von bösartigem Code. (Bild: Simon Becker)

Jabber-Verschlüsselung: Sicherheitslücke in OTR-Bibliothek erlaubt Code-Ausführung

Libotr verschlüsselt zwar sicher, doch ein Fehler ermöglicht die Ausführung von bösartigem Code.
Libotr verschlüsselt zwar sicher, doch ein Fehler ermöglicht die Ausführung von bösartigem Code. (Bild: Simon Becker)

In der Verschlüsselungsbibliothek Libotr wurde ein Integer Overflow gefunden, der Angreifern unter Umständen die Ausführung von bösartigem Code erlaubt. Das sogenannte Off-the-Record-Messaging ist eine beliebte Methode, um Nachrichten in Jabber-Chats zu verschlüsseln.

In einer beliebten Verschlüsselungsbibliothek ist eine gravierende Sicherheitslücke gefunden worden: Markus Vervier von der Firma X41 D-Sec entdeckte bei einer Analyse des Codes von Libotr einen Integer Overflow. Die Libotr-Bibliothek implementiert das Off-the-Record-Protokoll (OTR), das vor allem im Jabber-Netzwerk und im Chatclient Pidgin eingesetzt wird.

Anzeige

Vier Gigabyte große Nachricht

Der verwundbare Code speichert die Länge einer Nachricht in einer Integer-Variable. Der Code versucht anschließend, mittels der Malloc-Funktion einen Speicherbereich zu reservieren, der ein Byte größer als diese Nachrichtenlänge ist. Das Problem: Wenn die Nachricht genau vier Gigabyte groß ist, hat die Integer-Variable den maximal möglichen Wert. Dadurch kommt es zu einem Überlauf, es wird ein Speicherbereich der Größe null reserviert. Trotzdem werden die Daten in den Speicher geschrieben. Ausnutzen lässt sich der Bug nur auf 64-Bit-Systemen.

Um sich die Sicherheitslücke zunutze zu machen, muss ein Angreifer also mehrere Gigabyte an Daten an das Opfer schicken. Da die Daten Base64-codiert sind, müssen etwa 5,5 Gigabyte übertragen werden. Libotr erlaubt das Splitten der Daten in mehrere Datenblöcke, dadurch dauert dieser Angriff zwar einige Zeit, ist aber durchaus praktisch durchführbar.

Ein Proof-of-Concept, der das OTR-Plugin von Pidgin zum Absturz bringt, wurde von den Entdeckern der Lücke veröffentlicht. Nach eigenen Angaben gelang es ihnen ebenfalls, einen Exploit zu entwickeln, der die Ausführung von Code ermöglicht. Dieser soll jedoch zumindest vorerst nicht veröffentlicht werden.

Behoben wurde die Lücke in der Version 4.1.1 von Libotr, für gängige Linux-Distributionen sollte in Kürze ein Update bereitstehen. Für das entsprechende Pidgin-Plugin wurde die Version 4.0.2 veröffentlicht. Alle Nutzer von Libotr oder dem Pidgin-Plugin sollten dringend die entsprechenden Updates installieren.

Eine Wette um die Sicherheit von Libotr

Eine derartige Sicherheitslücke in Libotr dürfte für viele eine Überraschung sein: Die Bibliothek gilt als relativ solide und wurde in der Vergangenheit intensiv untersucht. Im Jahr 2014 war die Sicherheit von Libotr Gegenstand einer Wette zwischen den Kryptographen Matthew Green und Thomas Ptacek. Ptacek prophezeite, dass innerhalb des nächsten Jahres keine exploitbare Sicherheitslücke in Libotr gefunden werde. Thomas Ptacek gewann die Wette - zwar fanden sich einige Bugs in Libotr, doch keiner davon war praktisch ausnutzbar. Die jetzt gefundene Lücke hatte im Wettzeitraum niemand entdeckt.

Das Off-the-Record-Protokoll hat als eines der ersten eine Chat-Technologie ermöglicht, die mittels Forward Secrecy abgesichert ist. Dadurch ist gewährleistet, dass selbst ein späteres Kompromittieren des privaten Schlüssels nicht dazu führt, dass Nachrichten aus der Vergangenheit entschlüsselt werden können. Inzwischen ist OTR jedoch etwas in die Jahre gekommen. Ein Problem ist, dass es ist damit nicht möglich ist, verschlüsselte Nachrichten zu verschicken, wenn der Gesprächspartner offline ist. Ein Verschlüsselungsprotokoll für Jabber, welches Forward Secrecy auch bei Offline-Nachrichten ermöglicht und auf der Axolotl-Technologie von Signal basiert, ist unter dem Namen Omemo in Entwicklung.


eye home zur Startseite
Auspuffanlage 10. Mär 2016

Jap genau das meine ich :D Ja aber im "normalen" Sprachgebrauch gibt es auch für einige...

brutos 10. Mär 2016

So, habe es installiert. Es sieht aber Frozenchat mehr als ähnlich. Ich würde sagen, es...

brutos 10. Mär 2016

Für Linux flattert bereit das otr-Update herein... Für Android wird das wohl so schnell...

NeoCronos 10. Mär 2016

Du hast natürlich recht, ich habe allerdings nichts gerechnet :D Bei den 50 Tagen fehlt...

LoopBack 10. Mär 2016

OpenPGP über XMPP gibt es schon seit Ewigkeiten, ist brauchbar standardisiert und...



Anzeige

Stellenmarkt
  1. Continental AG, Markdorf
  2. Worldline GmbH, Aachen
  3. T-Systems International GmbH, Bonn, Frankfurt am Main, Leinfelden-Echterdingen, München
  4. Hemmersbach GmbH & Co. KG, Nürnberg


Anzeige
Blu-ray-Angebote
  1. 5,49€
  2. 9,99€
  3. (u. a. Minions 11,97€, Game of Thrones, The Dark Knight Trilogy)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Tipps für IT-Engagement in Fernost
  3. Mehr dazu im aktuellen Whitepaper von IBM


  1. Maru

    Quellcode von Desktop-Android als Open Source verfügbar

  2. Linux

    Kernel-Sicherheitsinitiative wächst "langsam aber stetig"

  3. VR-Handschuh

    Dexta Robotics' Exoskelett für Motion Capturing

  4. Dragonfly 44

    Eine Galaxie fast ganz aus dunkler Materie

  5. Gigabit-Breitband

    Google Fiber soll Alphabet zu teuer sein

  6. Google-Steuer

    EU-Kommission plädiert für europäisches Leistungsschutzrecht

  7. Code-Gründer Thomas Bachem

    "Wir wollen weg vom Frontalunterricht"

  8. Pegasus

    Ausgeklügelte Spyware attackiert gezielt iPhones

  9. Fenix Chronos

    Garmins neue Sport-Smartwatch kostet ab 1.000 Euro

  10. C-94

    Cratoni baut vernetzten Fahrradhelm mit Crash-Sensor



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Xfel: Riesenkamera nimmt Filme von Atomen auf
Xfel
Riesenkamera nimmt Filme von Atomen auf
  1. US Air Force Modifikation der Ionosphäre soll Funk verbessern
  2. Teilchenbeschleuniger Mögliches neues Boson weist auf fünfte Fundamentalkraft hin
  3. Materialforschung Glas wechselt zwischen durchsichtig und schwarz

Deus Ex Mankind Divided im Test: Der Agent aus dem Hardwarelabor
Deus Ex Mankind Divided im Test
Der Agent aus dem Hardwarelabor
  1. Summit Ridge AMDs Zen-Chip ist so schnell wie Intels 1.000-Euro-Core-i7
  2. Doom Denuvo schützt offenbar nicht mehr
  3. Deus Ex angespielt Eine Steuerung für fast jeden Agenten

Avegant Glyph aufgesetzt: Echtes Kopfkino
Avegant Glyph aufgesetzt
Echtes Kopfkino

  1. Re: Golem vergleicht Äpfel mit Birnen

    Graveangel | 13:30

  2. Re: IMHO: FTTH ist auch ziemlicher overkill

    ChMu | 13:26

  3. Der schwerste Schritt für Entwickler

    GaliMali | 13:19

  4. Re: Nur um das nochmal klar zu stellen

    Komischer_Phreak | 13:14

  5. Mund aufmachen reicht leider nicht

    Friedhelm | 13:14


  1. 12:59

  2. 15:33

  3. 15:17

  4. 14:29

  5. 12:57

  6. 12:30

  7. 12:01

  8. 11:57


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel