Abo
  • IT-Karriere:

BSI: Die fragwürdigen Sicherheitswarnungen des Cert-Bund

Eine Falschmeldung vieler Medien über eine Sicherheitslücke im VLC-Player war auf eine unseriöse Meldung des Cert-Bund zurückzuführen. Kein Einzelfall: Das dem BSI unterstellte Cert-Bund gibt regelmäßig fragwürdige Meldungen heraus, die Sicherheitslücken systematisch übertrieben darstellen.

Eine Analyse von veröffentlicht am
Das zum BSI gehörende Cert-Bund veröffentlicht regelmäßig Kurzinfos über Sicherheitslücken - seriös sind diese allerdings nicht.
Das zum BSI gehörende Cert-Bund veröffentlicht regelmäßig Kurzinfos über Sicherheitslücken - seriös sind diese allerdings nicht. (Bild: Olaf Kosinsky/Wikimedia Commons/CC-BY-SA 3.0)

Die Videolan-Entwickler sparten nicht mit Kritik: Eine angeblich kritische Sicherheitslücke im VLC-Player führte zu völlig absurden Medienberichten, die Quelle davon war ein fehlerhafter Eintrag in der CVE-Datenbank und eine Meldung des Cert-Bund.

Das Cert-Bund, das zum Bundesamt für Sicherheit in der Informationstechnik (BSI) gehört, veröffentlicht regelmäßig Kurzinfos zu Sicherheitslücken auf seiner Webseite. Eine solche Kurzinfo war der Grund für die Empörung der Videolan-Entwickler. Sie wurde inzwischen teilweise geändert, enthält aber immer noch grob falsche Angaben. So wird dort nach wie vor von einem Remoteangriff gesprochen und behauptet, dass die Lücke ein "Ausführen beliebigen Programmcodes" ermöglicht. Belege dafür liefert das Cert-Bund keine, realistisch ist ein solches Szenario angesichts der Art des Fehlers - ein sogenannter Out-of-Bounds-Read - nicht.

Kurzinfos des Cert-Bund fast immer übertrieben

Die VLC-Meldung ist aber kein Einzelfall. Wir haben uns einige Meldungen des Cert-Bund angesehen. Fast alle sind massiv übertrieben, lassen wichtige Infos zur Einordnung weg oder sind schlicht unsinnig.

In einer Meldung vom 25. Juli 2019 ist die Rede von mehreren Schwachstellen im E-Mail-Program Thunderbird. Es handelt sich laut Cert-Bund dabei um einen Remoteangriff und die Auswirkung ist: "Ausführen beliebigen Programmcodes mit Benutzerrechten". Klingt für ein Mailprogramm reichlich dramatisch, man würde wohl beim Lesen davon ausgehen, dass hier ein simpler Mailempfang reicht, um Code auf dem System des Mailempfängers auszuführen.

Stellenmarkt
  1. TÜV SÜD Gruppe, München
  2. BavariaDirekt, München

Verlinkt sind mehrere Meldungen von Linux-Distributionen sowie ein Advisory von Mozilla über die in Thunderbird 60.8 behobenen Sicherheitslücken. Dort werden tatsächlich mehrere Lücken aufgelistet, deren Gefährlichkeit als hoch oder kritisch eingestuft wird. Allerdings steht dort auch ein Satz, der zur Einordnung dieser Lücken wichtig ist: "Im Normalfall können diese Schwächen nicht über E-Mails im Thunderbird-Produkt ausgenutzt werden, weil die Script-Ausführung beim Lesen von Mails deaktiviert ist, sie sind aber möglicherweise ein Risiko in browserartigen Kontexten".

Dafür muss man Folgendes verstehen: Thunderbird nutzt zur Anzeige von HTML die Rendering-Engine des Firefox-Browsers, große Teile des Codes werden von beiden Projekten genutzt. Der Code wird regelmäßig in Thunderbird aktualisiert und dabei werden alle Bugs und Sicherheitslücken behoben, die auch Firefox betreffen. Doch wie Mozilla selber schreibt: Ein Großteil dieser Fehler dürfte für Thunderbird-Nutzer keinerlei Gefahr darstellen.

Gefixt werden sie trotzdem und Mozilla schreibt auch regelmäßig ein Security-Advisory dafür. Das ist natürlich sinnvoll - sicher ist sicher -, aber es ist zur Einschätzung der Gefährlichkeit wichtig, diesen Zusammenhang zu verstehen. Es ist nicht völlig auszuschließen, dass eine der aufgelisteten Lücken tatsächlich einen Angriff auf Thunderbird-Nutzer ermöglicht, aber besonders wahrscheinlich ist es nicht.

Remoteangriff auf Exim - aber nur in sehr ungewöhnlicher Konfiguration 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Top-Angebote
  1. (u. a. MacBook 12 m3-7Y32/8 GB/256 GB/Silber für 999€ + Versand oder kostenlose Marktabholung...
  2. (u. a. MacBook 12 m3-7Y32/8 GB/256 GB/Silber für 999€ + Versand oder kostenlose Marktabholung...
  3. 116,05€ (Bestpreis!)
  4. 849€ (Vergleichspreis über 1.000€)

ImBackAlive 02. Aug 2019 / Themenstart

Das ergibt nicht nur sehr wenig Sinn, sondern zielt auch an der Definition vorbei, wie...

ldlx 01. Aug 2019 / Themenstart

Art der Meldung: Warnmeldung Risikostufe 2 VLC: Mehrere Schwachstellen ermöglichen...

Illy 31. Jul 2019 / Themenstart

Als Mitarbeiter bei einem ISP bekomme ich regelmäßig mit, wie wir täglich CERT-Bund...

gadthrawn 31. Jul 2019 / Themenstart

Oh, das ist super einfach nachzuvollziehen. VLC kann als Webplayer eingebunden werden...

Gunstick 31. Jul 2019 / Themenstart

Der GovCERT gibt keine Meldungen raus. Das bleibt alles intern. Der CIRCL meldet...

Kommentieren


Folgen Sie uns
       


Google Game Builder ausprobiert

Mit dem Game Builder von Google können Anwender kleine, aber durchaus komplexe Spiele entwickeln. Der Editor richtet sich an neugierige Einsteiger, aber auch an professionelle Entwickler etwa für das Prototyping.

Google Game Builder ausprobiert Video aufrufen
IT-Arbeit: Was fürs Auge
IT-Arbeit
Was fürs Auge

Notebook, Display und Smartphone sind für alle, die in der IT arbeiten, wichtige Werkzeuge. Damit man etwas mit ihnen anfangen kann, ist ein anderes Werkzeug mindestens genauso wichtig: die Augen. Wir geben Tipps, wie man auch als Freiberufler augenschonend arbeiten kann.
Von Björn König

  1. Sysadmin "Man kommt erst ins Spiel, wenn es brennt"
  2. Verdeckte Leiharbeit Wenn die Firma IT-Spezialisten als Fremdpersonal einsetzt
  3. IT-Standorte Wie kann Leipzig Hypezig bleiben?

Harmony OS: Die große Luftnummer von Huawei
Harmony OS
Die große Luftnummer von Huawei

Mit viel Medienaufmerksamkeit und großen Versprechungen hat Huawei sein eigenes Betriebssystem Harmony OS vorgestellt. Bei einer näheren Betrachtung bleibt von dem großen Wurf allerdings kaum etwas übrig.
Ein IMHO von Sebastian Grüner


    Hyundai Kona Elektro: Der Ausdauerläufer
    Hyundai Kona Elektro
    Der Ausdauerläufer

    Der Hyundai Kona Elektro begeistert mit Energieeffizienz, Genauigkeit bei der Reichweitenberechnung und umfangreicher technischer Ausstattung. Nur in Sachen Emotionalität und Temperament könnte er etwas nachlegen.
    Ein Praxistest von Dirk Kunde

    1. Carver Elektro-Kabinenroller als Dreirad mit Neigetechnik
    2. Elektroauto Neuer Chevrolet Bolt fährt 34 km weiter
    3. Elektroauto Porsches Elektroauto Taycan im 24-Stunden-Dauertest

      •  /