• IT-Karriere:
  • Services:

BSI: Die fragwürdigen Sicherheitswarnungen des Cert-Bund

Eine Falschmeldung vieler Medien über eine Sicherheitslücke im VLC-Player war auf eine unseriöse Meldung des Cert-Bund zurückzuführen. Kein Einzelfall: Das dem BSI unterstellte Cert-Bund gibt regelmäßig fragwürdige Meldungen heraus, die Sicherheitslücken systematisch übertrieben darstellen.

Eine Analyse von veröffentlicht am
Das zum BSI gehörende Cert-Bund veröffentlicht regelmäßig Kurzinfos über Sicherheitslücken - seriös sind diese allerdings nicht.
Das zum BSI gehörende Cert-Bund veröffentlicht regelmäßig Kurzinfos über Sicherheitslücken - seriös sind diese allerdings nicht. (Bild: Olaf Kosinsky/Wikimedia Commons/CC-BY-SA 3.0)

Die Videolan-Entwickler sparten nicht mit Kritik: Eine angeblich kritische Sicherheitslücke im VLC-Player führte zu völlig absurden Medienberichten, die Quelle davon war ein fehlerhafter Eintrag in der CVE-Datenbank und eine Meldung des Cert-Bund.

Das Cert-Bund, das zum Bundesamt für Sicherheit in der Informationstechnik (BSI) gehört, veröffentlicht regelmäßig Kurzinfos zu Sicherheitslücken auf seiner Webseite. Eine solche Kurzinfo war der Grund für die Empörung der Videolan-Entwickler. Sie wurde inzwischen teilweise geändert, enthält aber immer noch grob falsche Angaben. So wird dort nach wie vor von einem Remoteangriff gesprochen und behauptet, dass die Lücke ein "Ausführen beliebigen Programmcodes" ermöglicht. Belege dafür liefert das Cert-Bund keine, realistisch ist ein solches Szenario angesichts der Art des Fehlers - ein sogenannter Out-of-Bounds-Read - nicht.

Kurzinfos des Cert-Bund fast immer übertrieben

Die VLC-Meldung ist aber kein Einzelfall. Wir haben uns einige Meldungen des Cert-Bund angesehen. Fast alle sind massiv übertrieben, lassen wichtige Infos zur Einordnung weg oder sind schlicht unsinnig.

In einer Meldung vom 25. Juli 2019 ist die Rede von mehreren Schwachstellen im E-Mail-Program Thunderbird. Es handelt sich laut Cert-Bund dabei um einen Remoteangriff und die Auswirkung ist: "Ausführen beliebigen Programmcodes mit Benutzerrechten". Klingt für ein Mailprogramm reichlich dramatisch, man würde wohl beim Lesen davon ausgehen, dass hier ein simpler Mailempfang reicht, um Code auf dem System des Mailempfängers auszuführen.

Stellenmarkt
  1. finanzen.de, Berlin
  2. Fachhochschule Aachen, Aachen

Verlinkt sind mehrere Meldungen von Linux-Distributionen sowie ein Advisory von Mozilla über die in Thunderbird 60.8 behobenen Sicherheitslücken. Dort werden tatsächlich mehrere Lücken aufgelistet, deren Gefährlichkeit als hoch oder kritisch eingestuft wird. Allerdings steht dort auch ein Satz, der zur Einordnung dieser Lücken wichtig ist: "Im Normalfall können diese Schwächen nicht über E-Mails im Thunderbird-Produkt ausgenutzt werden, weil die Script-Ausführung beim Lesen von Mails deaktiviert ist, sie sind aber möglicherweise ein Risiko in browserartigen Kontexten".

Dafür muss man Folgendes verstehen: Thunderbird nutzt zur Anzeige von HTML die Rendering-Engine des Firefox-Browsers, große Teile des Codes werden von beiden Projekten genutzt. Der Code wird regelmäßig in Thunderbird aktualisiert und dabei werden alle Bugs und Sicherheitslücken behoben, die auch Firefox betreffen. Doch wie Mozilla selber schreibt: Ein Großteil dieser Fehler dürfte für Thunderbird-Nutzer keinerlei Gefahr darstellen.

Gefixt werden sie trotzdem und Mozilla schreibt auch regelmäßig ein Security-Advisory dafür. Das ist natürlich sinnvoll - sicher ist sicher -, aber es ist zur Einschätzung der Gefährlichkeit wichtig, diesen Zusammenhang zu verstehen. Es ist nicht völlig auszuschließen, dass eine der aufgelisteten Lücken tatsächlich einen Angriff auf Thunderbird-Nutzer ermöglicht, aber besonders wahrscheinlich ist es nicht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Remoteangriff auf Exim - aber nur in sehr ungewöhnlicher Konfiguration 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Spiele-Angebote
  1. (-35%) 25,99€
  2. 4,65€
  3. (-92%) 0,75€

FreiGeistler 05. Nov 2019

Die Grenze zwischen Heldentum und Dummheit ziehen wir wohl an unterschiedlicher Stelle.

FreiGeistler 04. Nov 2019

Und denkt doch an die Kinder! Sorry, passte so schön. Oettinger, bist du's?

ldlx 01. Aug 2019

Art der Meldung: Warnmeldung Risikostufe 2 VLC: Mehrere Schwachstellen ermöglichen...

Illy 31. Jul 2019

Als Mitarbeiter bei einem ISP bekomme ich regelmäßig mit, wie wir täglich CERT-Bund...

gadthrawn 31. Jul 2019

Oh, das ist super einfach nachzuvollziehen. VLC kann als Webplayer eingebunden werden...


Folgen Sie uns
       


Blackmagic Pocket Cinema Camera 6k im Test

Die neue Pocket Cinema Camera 6k von Blackmagicdesign hat nur wenig mit DSLR-Kameras gemein. Die Kamera liefert Highend-Qualität, erfordert aber entsprechendes Profiwissen - und wir vermissen einige Funktionen.

Blackmagic Pocket Cinema Camera 6k im Test Video aufrufen
Concept One ausprobiert: Oneplus lässt die Kameras verschwinden
Concept One ausprobiert
Oneplus lässt die Kameras verschwinden

CES 2020 Oneplus hat sein erstes Konzept-Smartphone vorgestellt. Dessen einziger Zweck es ist, die neue ausblendbare Kamera zu zeigen.
Von Tobias Költzsch

  1. Bluetooth LE Audio Neuer Standard spielt parallel auf mehreren Geräten
  2. Streaming Amazon bringt Fire TV ins Auto
  3. Thinkpad X1 Fold im Hands-off Ein Blick auf Lenovos pfiffiges Falt-Tablet

Open Power CPU: Open-Source-ISA als letzte Chance
Open Power CPU
Open-Source-ISA als letzte Chance

Die CPU-Architektur Power fristet derzeit ein Nischendasein, wird aber Open Source. Das könnte auch mit Blick auf RISC-V ein notwendiger Befreiungsschlag werden. Dafür muss aber einiges zusammenkommen und sehr viel passen.
Eine Analyse von Sebastian Grüner

  1. Open Source Monitoring-Lösung Sentry wechselt auf proprietäre Lizenz
  2. VPN Wireguard fliegt wegen Spendenaufruf aus Play Store
  3. Picolibc Neue C-Bibliothek für Embedded-Systeme vorgestellt

Kaufberatung (2020): Die richtige CPU und Grafikkarte
Kaufberatung (2020)
Die richtige CPU und Grafikkarte

Grafikkarten und Prozessoren wurden 2019 deutlich besser, denn AMD ist komplett auf 7-nm-Technik umgestiegen. Intel hat zwar 10-nm-Chips marktreif, die Leistung stagniert aber und auch Nvidia verkauft nur 12-nm-Designs. Wir beraten bei Komponenten und geben einen Ausblick.
Von Marc Sauter

  1. SSDs Intel arbeitet an 144-Schicht-Speicher und 5-Bit-Zellen
  2. Schnittstelle PCIe Gen6 verdoppelt erneut Datenrate

    •  /