• IT-Karriere:
  • Services:

BSI: Die fragwürdigen Sicherheitswarnungen des Cert-Bund

Eine Falschmeldung vieler Medien über eine Sicherheitslücke im VLC-Player war auf eine unseriöse Meldung des Cert-Bund zurückzuführen. Kein Einzelfall: Das dem BSI unterstellte Cert-Bund gibt regelmäßig fragwürdige Meldungen heraus, die Sicherheitslücken systematisch übertrieben darstellen.

Eine Analyse von veröffentlicht am
Das zum BSI gehörende Cert-Bund veröffentlicht regelmäßig Kurzinfos über Sicherheitslücken - seriös sind diese allerdings nicht.
Das zum BSI gehörende Cert-Bund veröffentlicht regelmäßig Kurzinfos über Sicherheitslücken - seriös sind diese allerdings nicht. (Bild: Olaf Kosinsky/Wikimedia Commons/CC-BY-SA 3.0)

Die Videolan-Entwickler sparten nicht mit Kritik: Eine angeblich kritische Sicherheitslücke im VLC-Player führte zu völlig absurden Medienberichten, die Quelle davon war ein fehlerhafter Eintrag in der CVE-Datenbank und eine Meldung des Cert-Bund.

Das Cert-Bund, das zum Bundesamt für Sicherheit in der Informationstechnik (BSI) gehört, veröffentlicht regelmäßig Kurzinfos zu Sicherheitslücken auf seiner Webseite. Eine solche Kurzinfo war der Grund für die Empörung der Videolan-Entwickler. Sie wurde inzwischen teilweise geändert, enthält aber immer noch grob falsche Angaben. So wird dort nach wie vor von einem Remoteangriff gesprochen und behauptet, dass die Lücke ein "Ausführen beliebigen Programmcodes" ermöglicht. Belege dafür liefert das Cert-Bund keine, realistisch ist ein solches Szenario angesichts der Art des Fehlers - ein sogenannter Out-of-Bounds-Read - nicht.

Kurzinfos des Cert-Bund fast immer übertrieben

Die VLC-Meldung ist aber kein Einzelfall. Wir haben uns einige Meldungen des Cert-Bund angesehen. Fast alle sind massiv übertrieben, lassen wichtige Infos zur Einordnung weg oder sind schlicht unsinnig.

In einer Meldung vom 25. Juli 2019 ist die Rede von mehreren Schwachstellen im E-Mail-Program Thunderbird. Es handelt sich laut Cert-Bund dabei um einen Remoteangriff und die Auswirkung ist: "Ausführen beliebigen Programmcodes mit Benutzerrechten". Klingt für ein Mailprogramm reichlich dramatisch, man würde wohl beim Lesen davon ausgehen, dass hier ein simpler Mailempfang reicht, um Code auf dem System des Mailempfängers auszuführen.

Stellenmarkt
  1. ING-DiBa AG, Frankfurt
  2. INSYS MICROELECTRONICS GmbH, Regensburg

Verlinkt sind mehrere Meldungen von Linux-Distributionen sowie ein Advisory von Mozilla über die in Thunderbird 60.8 behobenen Sicherheitslücken. Dort werden tatsächlich mehrere Lücken aufgelistet, deren Gefährlichkeit als hoch oder kritisch eingestuft wird. Allerdings steht dort auch ein Satz, der zur Einordnung dieser Lücken wichtig ist: "Im Normalfall können diese Schwächen nicht über E-Mails im Thunderbird-Produkt ausgenutzt werden, weil die Script-Ausführung beim Lesen von Mails deaktiviert ist, sie sind aber möglicherweise ein Risiko in browserartigen Kontexten".

Dafür muss man Folgendes verstehen: Thunderbird nutzt zur Anzeige von HTML die Rendering-Engine des Firefox-Browsers, große Teile des Codes werden von beiden Projekten genutzt. Der Code wird regelmäßig in Thunderbird aktualisiert und dabei werden alle Bugs und Sicherheitslücken behoben, die auch Firefox betreffen. Doch wie Mozilla selber schreibt: Ein Großteil dieser Fehler dürfte für Thunderbird-Nutzer keinerlei Gefahr darstellen.

Gefixt werden sie trotzdem und Mozilla schreibt auch regelmäßig ein Security-Advisory dafür. Das ist natürlich sinnvoll - sicher ist sicher -, aber es ist zur Einschätzung der Gefährlichkeit wichtig, diesen Zusammenhang zu verstehen. Es ist nicht völlig auszuschließen, dass eine der aufgelisteten Lücken tatsächlich einen Angriff auf Thunderbird-Nutzer ermöglicht, aber besonders wahrscheinlich ist es nicht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Remoteangriff auf Exim - aber nur in sehr ungewöhnlicher Konfiguration 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. (u. a. RTX 2080 ROG Strix Gaming Advanced für 699€, RTX 2080 SUPER Dual Evo OC für 739€ und...
  3. (u. a. Aorus Pro für 219,90€, Aorus Pro WiFi für 229,90€, Aorus Elite für 189,90€)

FreiGeistler 05. Nov 2019

Die Grenze zwischen Heldentum und Dummheit ziehen wir wohl an unterschiedlicher Stelle.

FreiGeistler 04. Nov 2019

Und denkt doch an die Kinder! Sorry, passte so schön. Oettinger, bist du's?

ldlx 01. Aug 2019

Art der Meldung: Warnmeldung Risikostufe 2 VLC: Mehrere Schwachstellen ermöglichen...

Illy 31. Jul 2019

Als Mitarbeiter bei einem ISP bekomme ich regelmäßig mit, wie wir täglich CERT-Bund...

gadthrawn 31. Jul 2019

Oh, das ist super einfach nachzuvollziehen. VLC kann als Webplayer eingebunden werden...


Folgen Sie uns
       


Sega Dreamcast (1999) - Golem retro

Am 9.9.1999 startete Segas letzte Konsole in ein kurzes, aber erfülltes Spieleleben.

Sega Dreamcast (1999) - Golem retro Video aufrufen
Mi Note 10 im Hands on: Fünf Kameras, die sich lohnen
Mi Note 10 im Hands on
Fünf Kameras, die sich lohnen

Mit dem Mi Note 10 versucht Xiaomi, der Variabilität von Huaweis Vierfachkameras noch eins draufzusetzen - mit Erfolg: Die Fünffachkamera bietet in fast jeder Situation ein passendes Objektiv, auch die Bildqualität kann sich sehen lassen. Der Preis dafür ist ein recht hohes Gewicht.
Ein Hands on von Tobias Költzsch

  1. Xiaomi Neues Redmi Note 8T mit Vierfachkamera kostet 200 Euro
  2. Mi Note 10 Xiaomis neues Smartphone mit 108 Megapixeln kostet 550 Euro
  3. Mi Watch Xiaomi bringt Smartwatch mit Apfelgeschmack

Bosch-Parkplatzsensor im Test: Ein Knöllchen von LoRa
Bosch-Parkplatzsensor im Test
Ein Knöllchen von LoRa

Immer häufiger übernehmen Sensoren die Überwachung von Parkplätzen. Doch wie zuverlässig ist die Technik auf Basis von LoRa inzwischen? Golem.de hat einen Sensor von Bosch getestet und erläutert die Unterschiede zum Parking Pilot von Smart City System.
Ein Test von Friedhelm Greis

  1. Automated Valet Parking Daimler und Bosch dürfen autonom parken
  2. Enhanced Summon Teslas sollen künftig ausparken und vorfahren

Red Dead Redemption 2 für PC angespielt: Schusswechsel mit Startschwierigkeiten
Red Dead Redemption 2 für PC angespielt
Schusswechsel mit Startschwierigkeiten

Die PC-Version von Red Dead Redemption 2 bietet schönere Grafik als die Konsolenfassung - aber nach der Installation dauert es ganz schön lange bis zum ersten Feuergefecht in den Weiten des Wilden Westens.

  1. Rockstar Games Red Dead Redemption 2 belegt 150 GByte auf PC-Festplatte
  2. Rockstar Games Red Dead Redemption 2 erscheint für Windows-PC und Stadia
  3. Rockstar Games Red Dead Online wird zum Rollenspiel

    •  /