Abo
  • Services:
Anzeige
Libotr verschlüsselt zwar sicher, doch ein Fehler ermöglicht die Ausführung von bösartigem Code.
Libotr verschlüsselt zwar sicher, doch ein Fehler ermöglicht die Ausführung von bösartigem Code. (Bild: Simon Becker)

Jabber-Verschlüsselung: Sicherheitslücke in OTR-Bibliothek erlaubt Code-Ausführung

Libotr verschlüsselt zwar sicher, doch ein Fehler ermöglicht die Ausführung von bösartigem Code.
Libotr verschlüsselt zwar sicher, doch ein Fehler ermöglicht die Ausführung von bösartigem Code. (Bild: Simon Becker)

In der Verschlüsselungsbibliothek Libotr wurde ein Integer Overflow gefunden, der Angreifern unter Umständen die Ausführung von bösartigem Code erlaubt. Das sogenannte Off-the-Record-Messaging ist eine beliebte Methode, um Nachrichten in Jabber-Chats zu verschlüsseln.

In einer beliebten Verschlüsselungsbibliothek ist eine gravierende Sicherheitslücke gefunden worden: Markus Vervier von der Firma X41 D-Sec entdeckte bei einer Analyse des Codes von Libotr einen Integer Overflow. Die Libotr-Bibliothek implementiert das Off-the-Record-Protokoll (OTR), das vor allem im Jabber-Netzwerk und im Chatclient Pidgin eingesetzt wird.

Anzeige

Vier Gigabyte große Nachricht

Der verwundbare Code speichert die Länge einer Nachricht in einer Integer-Variable. Der Code versucht anschließend, mittels der Malloc-Funktion einen Speicherbereich zu reservieren, der ein Byte größer als diese Nachrichtenlänge ist. Das Problem: Wenn die Nachricht genau vier Gigabyte groß ist, hat die Integer-Variable den maximal möglichen Wert. Dadurch kommt es zu einem Überlauf, es wird ein Speicherbereich der Größe null reserviert. Trotzdem werden die Daten in den Speicher geschrieben. Ausnutzen lässt sich der Bug nur auf 64-Bit-Systemen.

Um sich die Sicherheitslücke zunutze zu machen, muss ein Angreifer also mehrere Gigabyte an Daten an das Opfer schicken. Da die Daten Base64-codiert sind, müssen etwa 5,5 Gigabyte übertragen werden. Libotr erlaubt das Splitten der Daten in mehrere Datenblöcke, dadurch dauert dieser Angriff zwar einige Zeit, ist aber durchaus praktisch durchführbar.

Ein Proof-of-Concept, der das OTR-Plugin von Pidgin zum Absturz bringt, wurde von den Entdeckern der Lücke veröffentlicht. Nach eigenen Angaben gelang es ihnen ebenfalls, einen Exploit zu entwickeln, der die Ausführung von Code ermöglicht. Dieser soll jedoch zumindest vorerst nicht veröffentlicht werden.

Behoben wurde die Lücke in der Version 4.1.1 von Libotr, für gängige Linux-Distributionen sollte in Kürze ein Update bereitstehen. Für das entsprechende Pidgin-Plugin wurde die Version 4.0.2 veröffentlicht. Alle Nutzer von Libotr oder dem Pidgin-Plugin sollten dringend die entsprechenden Updates installieren.

Eine Wette um die Sicherheit von Libotr

Eine derartige Sicherheitslücke in Libotr dürfte für viele eine Überraschung sein: Die Bibliothek gilt als relativ solide und wurde in der Vergangenheit intensiv untersucht. Im Jahr 2014 war die Sicherheit von Libotr Gegenstand einer Wette zwischen den Kryptographen Matthew Green und Thomas Ptacek. Ptacek prophezeite, dass innerhalb des nächsten Jahres keine exploitbare Sicherheitslücke in Libotr gefunden werde. Thomas Ptacek gewann die Wette - zwar fanden sich einige Bugs in Libotr, doch keiner davon war praktisch ausnutzbar. Die jetzt gefundene Lücke hatte im Wettzeitraum niemand entdeckt.

Das Off-the-Record-Protokoll hat als eines der ersten eine Chat-Technologie ermöglicht, die mittels Forward Secrecy abgesichert ist. Dadurch ist gewährleistet, dass selbst ein späteres Kompromittieren des privaten Schlüssels nicht dazu führt, dass Nachrichten aus der Vergangenheit entschlüsselt werden können. Inzwischen ist OTR jedoch etwas in die Jahre gekommen. Ein Problem ist, dass es ist damit nicht möglich ist, verschlüsselte Nachrichten zu verschicken, wenn der Gesprächspartner offline ist. Ein Verschlüsselungsprotokoll für Jabber, welches Forward Secrecy auch bei Offline-Nachrichten ermöglicht und auf der Axolotl-Technologie von Signal basiert, ist unter dem Namen Omemo in Entwicklung.


eye home zur Startseite
Auspuffanlage 10. Mär 2016

Jap genau das meine ich :D Ja aber im "normalen" Sprachgebrauch gibt es auch für einige...

brutos 10. Mär 2016

So, habe es installiert. Es sieht aber Frozenchat mehr als ähnlich. Ich würde sagen, es...

brutos 10. Mär 2016

Für Linux flattert bereit das otr-Update herein... Für Android wird das wohl so schnell...

NeoCronos 10. Mär 2016

Du hast natürlich recht, ich habe allerdings nichts gerechnet :D Bei den 50 Tagen fehlt...

LoopBack 10. Mär 2016

OpenPGP über XMPP gibt es schon seit Ewigkeiten, ist brauchbar standardisiert und...



Anzeige

Stellenmarkt
  1. MBtech Group GmbH & Co. KGaA, Regensburg, Neutraubling
  2. T-Systems International GmbH, Berlin, Bonn
  3. über Hanseatisches Personalkontor Kassel, Kassel
  4. T-Systems International GmbH, Bonn, Berlin


Anzeige
Spiele-Angebote
  1. (-90%) 1,99€
  2. 5,99€
  3. 15,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. Privatsphäre

    Verschlüsselter E-Mail-Dienst Lavabit kommt wieder

  2. Potus

    Donald Trump übernimmt präsidiales Twitter-Konto

  3. Funkchips

    Apple klagt gegen Qualcomm

  4. Die Woche im Video

    B/ow the Wh:st/e!

  5. Verbraucherzentrale

    O2-Datenautomatik dürfte vor Bundesgerichtshof gehen

  6. TLS-Zertifikate

    Symantec verpeilt es schon wieder

  7. Werbung

    Vodafone will mit DVB-T-Abschaltung einschüchtern

  8. Zaber Sentry

    Mini-ITX-Gehäuse mit 7 Litern Volumen und für 30-cm-Karten

  9. Weltraumteleskop

    Erosita soll Hinweise auf Dunkle Energie finden

  10. Anonymität

    Protonmail ist als Hidden-Service verfügbar



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Intel Core i7-7700K im Test: Kaby Lake = Skylake + HEVC + Overclocking
Intel Core i7-7700K im Test
Kaby Lake = Skylake + HEVC + Overclocking
  1. Kaby Lake Intel macht den Pentium dank HT fast zum Core i3
  2. Kaby Lake Refresh Intel plant weitere 14-nm-CPU-Generation
  3. Intel Kaby Lake Vor der Vorstellung schon im Handel

Dienste, Programme und Unternehmen: Was 2016 eingestellt und geschlossen wurde
Dienste, Programme und Unternehmen
Was 2016 eingestellt und geschlossen wurde
  1. Kabel Mietminderung wegen defektem Internetkabel zulässig
  2. Grundversorgung Kanada macht Drosselung illegal
  3. Internetzugänge 50 MBit/s günstiger als 16 MBit/s

Macbook Pro 13 mit Touch Bar im Test: Schöne Enttäuschung!
Macbook Pro 13 mit Touch Bar im Test
Schöne Enttäuschung!
  1. Schwankende Laufzeiten Warentester ändern Akku-Bewertung des Macbook Pro
  2. Consumer Reports Safari-Bug verursachte schwankende Macbook-Pro-Laufzeiten
  3. Notebook Apple will Akkuprobleme beim Macbook Pro nochmal untersuchen

  1. Re: Komplett integer

    Stereo | 16:30

  2. +++++

    moppi | 16:28

  3. Re: !! ACHTUNG !! Reflexartiger Aufschrei erfolgt...

    Dragon0001 | 16:26

  4. Re: Die man sich nicht leisten kann...

    My1 | 16:21

  5. Re: Hat sich organisatorisch etwas geändert?

    MK899 | 16:17


  1. 14:09

  2. 12:44

  3. 11:21

  4. 09:02

  5. 19:03

  6. 18:45

  7. 18:27

  8. 18:12


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel