BSI: Die fragwürdigen Sicherheitswarnungen des Cert-Bund

Eine Falschmeldung vieler Medien über eine Sicherheitslücke im VLC-Player war auf eine unseriöse Meldung des Cert-Bund zurückzuführen. Kein Einzelfall: Das dem BSI unterstellte Cert-Bund gibt regelmäßig fragwürdige Meldungen heraus, die Sicherheitslücken systematisch übertrieben darstellen.

Eine Analyse von veröffentlicht am
Das zum BSI gehörende Cert-Bund veröffentlicht regelmäßig Kurzinfos über Sicherheitslücken - seriös sind diese allerdings nicht.
Das zum BSI gehörende Cert-Bund veröffentlicht regelmäßig Kurzinfos über Sicherheitslücken - seriös sind diese allerdings nicht. (Bild: Olaf Kosinsky/Wikimedia Commons/CC-BY-SA 3.0)

Die Videolan-Entwickler sparten nicht mit Kritik: Eine angeblich kritische Sicherheitslücke im VLC-Player führte zu völlig absurden Medienberichten, die Quelle davon war ein fehlerhafter Eintrag in der CVE-Datenbank und eine Meldung des Cert-Bund.

Das Cert-Bund, das zum Bundesamt für Sicherheit in der Informationstechnik (BSI) gehört, veröffentlicht regelmäßig Kurzinfos zu Sicherheitslücken auf seiner Webseite. Eine solche Kurzinfo war der Grund für die Empörung der Videolan-Entwickler. Sie wurde inzwischen teilweise geändert, enthält aber immer noch grob falsche Angaben. So wird dort nach wie vor von einem Remoteangriff gesprochen und behauptet, dass die Lücke ein "Ausführen beliebigen Programmcodes" ermöglicht. Belege dafür liefert das Cert-Bund keine, realistisch ist ein solches Szenario angesichts der Art des Fehlers - ein sogenannter Out-of-Bounds-Read - nicht.

Kurzinfos des Cert-Bund fast immer übertrieben

Die VLC-Meldung ist aber kein Einzelfall. Wir haben uns einige Meldungen des Cert-Bund angesehen. Fast alle sind massiv übertrieben, lassen wichtige Infos zur Einordnung weg oder sind schlicht unsinnig.

In einer Meldung vom 25. Juli 2019 ist die Rede von mehreren Schwachstellen im E-Mail-Program Thunderbird. Es handelt sich laut Cert-Bund dabei um einen Remoteangriff und die Auswirkung ist: "Ausführen beliebigen Programmcodes mit Benutzerrechten". Klingt für ein Mailprogramm reichlich dramatisch, man würde wohl beim Lesen davon ausgehen, dass hier ein simpler Mailempfang reicht, um Code auf dem System des Mailempfängers auszuführen.

Stellenmarkt
  1. Informatiker / Fachinformatiker als IT Netzwerkspezialist (m/w/d)
    Scheidt & Bachmann GmbH, Mönchengladbach
  2. Informatiker:in als Mitarbeiter:in IT Support Service (m/w/d)
    ARTS Holding SE, Darmstadt
Detailsuche

Verlinkt sind mehrere Meldungen von Linux-Distributionen sowie ein Advisory von Mozilla über die in Thunderbird 60.8 behobenen Sicherheitslücken. Dort werden tatsächlich mehrere Lücken aufgelistet, deren Gefährlichkeit als hoch oder kritisch eingestuft wird. Allerdings steht dort auch ein Satz, der zur Einordnung dieser Lücken wichtig ist: "Im Normalfall können diese Schwächen nicht über E-Mails im Thunderbird-Produkt ausgenutzt werden, weil die Script-Ausführung beim Lesen von Mails deaktiviert ist, sie sind aber möglicherweise ein Risiko in browserartigen Kontexten".

Dafür muss man Folgendes verstehen: Thunderbird nutzt zur Anzeige von HTML die Rendering-Engine des Firefox-Browsers, große Teile des Codes werden von beiden Projekten genutzt. Der Code wird regelmäßig in Thunderbird aktualisiert und dabei werden alle Bugs und Sicherheitslücken behoben, die auch Firefox betreffen. Doch wie Mozilla selber schreibt: Ein Großteil dieser Fehler dürfte für Thunderbird-Nutzer keinerlei Gefahr darstellen.

Gefixt werden sie trotzdem und Mozilla schreibt auch regelmäßig ein Security-Advisory dafür. Das ist natürlich sinnvoll - sicher ist sicher -, aber es ist zur Einschätzung der Gefährlichkeit wichtig, diesen Zusammenhang zu verstehen. Es ist nicht völlig auszuschließen, dass eine der aufgelisteten Lücken tatsächlich einen Angriff auf Thunderbird-Nutzer ermöglicht, aber besonders wahrscheinlich ist es nicht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Remoteangriff auf Exim - aber nur in sehr ungewöhnlicher Konfiguration 
  1. 1
  2. 2
  3. 3
  4.  


FreiGeistler 05. Nov 2019

Die Grenze zwischen Heldentum und Dummheit ziehen wir wohl an unterschiedlicher Stelle.

FreiGeistler 04. Nov 2019

Und denkt doch an die Kinder! Sorry, passte so schön. Oettinger, bist du's?

ldlx 01. Aug 2019

Art der Meldung: Warnmeldung Risikostufe 2 VLC: Mehrere Schwachstellen ermöglichen...

Illy 31. Jul 2019

Als Mitarbeiter bei einem ISP bekomme ich regelmäßig mit, wie wir täglich CERT-Bund...



Aktuell auf der Startseite von Golem.de
Windows on ARM
Mit einem Arm in der Entwicklungshölle

Eine Entwicklungsoffensive soll die Probleme von ARM-Laptops endlich lösen. Windows on ARM, Linux-Support und die CPUs zeigen dabei aber noch deutliche Schwächen.
Von Sebastian Grüner

Windows on ARM: Mit einem Arm in der Entwicklungshölle
Artikel
  1. Malware: ClamAV erscheint nach 20 Jahren in Version 1.0
    Malware
    ClamAV erscheint nach 20 Jahren in Version 1.0

    Die Open-Source-Software ClamAV bekommt mit Version 1.0 Langzeitunterstützung. Das Team hat die API erweitert und einen wichtigen Scan neu geschrieben.

  2. Kraftfahrt-Bundesamt: Elektrischer Corsa sollte zur Abgasuntersuchung
    Kraftfahrt-Bundesamt
    Elektrischer Corsa sollte zur Abgasuntersuchung

    Das Kraftfahrt-Bundesamt ruft den Opel Corsa samt der Elektro-Variante zurück, weil ein Softwarefehler im Auto eine Messung verhindert.

  3. World of Warcraft: Dragonflight zwischen Massentransport und Maxlevel
    World of Warcraft
    Dragonflight zwischen Massentransport und Maxlevel

    Ein harmloses Boot sorgt für vieldiskutierte Probleme beim Start von Dragonflight, der neuesten Erweiterung für World of Warcraft.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 bei Amazon bestellbar • Tiefstpreise: Crucial SSD 4TB 319€, Palit RTX 4080 1.499€, HTC Vive Pro 2 659€ • Alternate: Team Group SSD 512GB 29,99€, AOC Curved 27" 240 Hz 199,90€ • Samsung Cyber Week • Top-TVs (2022) LG & Samsung über 40% günstiger • AOC Curved 34" WQHD 389€ [Werbung]
    •  /