Abo
  • Services:
Anzeige
Libotr verschlüsselt zwar sicher, doch ein Fehler ermöglicht die Ausführung von bösartigem Code.
Libotr verschlüsselt zwar sicher, doch ein Fehler ermöglicht die Ausführung von bösartigem Code. (Bild: Simon Becker)

Jabber-Verschlüsselung: Sicherheitslücke in OTR-Bibliothek erlaubt Code-Ausführung

Libotr verschlüsselt zwar sicher, doch ein Fehler ermöglicht die Ausführung von bösartigem Code.
Libotr verschlüsselt zwar sicher, doch ein Fehler ermöglicht die Ausführung von bösartigem Code. (Bild: Simon Becker)

In der Verschlüsselungsbibliothek Libotr wurde ein Integer Overflow gefunden, der Angreifern unter Umständen die Ausführung von bösartigem Code erlaubt. Das sogenannte Off-the-Record-Messaging ist eine beliebte Methode, um Nachrichten in Jabber-Chats zu verschlüsseln.

In einer beliebten Verschlüsselungsbibliothek ist eine gravierende Sicherheitslücke gefunden worden: Markus Vervier von der Firma X41 D-Sec entdeckte bei einer Analyse des Codes von Libotr einen Integer Overflow. Die Libotr-Bibliothek implementiert das Off-the-Record-Protokoll (OTR), das vor allem im Jabber-Netzwerk und im Chatclient Pidgin eingesetzt wird.

Anzeige

Vier Gigabyte große Nachricht

Der verwundbare Code speichert die Länge einer Nachricht in einer Integer-Variable. Der Code versucht anschließend, mittels der Malloc-Funktion einen Speicherbereich zu reservieren, der ein Byte größer als diese Nachrichtenlänge ist. Das Problem: Wenn die Nachricht genau vier Gigabyte groß ist, hat die Integer-Variable den maximal möglichen Wert. Dadurch kommt es zu einem Überlauf, es wird ein Speicherbereich der Größe null reserviert. Trotzdem werden die Daten in den Speicher geschrieben. Ausnutzen lässt sich der Bug nur auf 64-Bit-Systemen.

Um sich die Sicherheitslücke zunutze zu machen, muss ein Angreifer also mehrere Gigabyte an Daten an das Opfer schicken. Da die Daten Base64-codiert sind, müssen etwa 5,5 Gigabyte übertragen werden. Libotr erlaubt das Splitten der Daten in mehrere Datenblöcke, dadurch dauert dieser Angriff zwar einige Zeit, ist aber durchaus praktisch durchführbar.

Ein Proof-of-Concept, der das OTR-Plugin von Pidgin zum Absturz bringt, wurde von den Entdeckern der Lücke veröffentlicht. Nach eigenen Angaben gelang es ihnen ebenfalls, einen Exploit zu entwickeln, der die Ausführung von Code ermöglicht. Dieser soll jedoch zumindest vorerst nicht veröffentlicht werden.

Behoben wurde die Lücke in der Version 4.1.1 von Libotr, für gängige Linux-Distributionen sollte in Kürze ein Update bereitstehen. Für das entsprechende Pidgin-Plugin wurde die Version 4.0.2 veröffentlicht. Alle Nutzer von Libotr oder dem Pidgin-Plugin sollten dringend die entsprechenden Updates installieren.

Eine Wette um die Sicherheit von Libotr

Eine derartige Sicherheitslücke in Libotr dürfte für viele eine Überraschung sein: Die Bibliothek gilt als relativ solide und wurde in der Vergangenheit intensiv untersucht. Im Jahr 2014 war die Sicherheit von Libotr Gegenstand einer Wette zwischen den Kryptographen Matthew Green und Thomas Ptacek. Ptacek prophezeite, dass innerhalb des nächsten Jahres keine exploitbare Sicherheitslücke in Libotr gefunden werde. Thomas Ptacek gewann die Wette - zwar fanden sich einige Bugs in Libotr, doch keiner davon war praktisch ausnutzbar. Die jetzt gefundene Lücke hatte im Wettzeitraum niemand entdeckt.

Das Off-the-Record-Protokoll hat als eines der ersten eine Chat-Technologie ermöglicht, die mittels Forward Secrecy abgesichert ist. Dadurch ist gewährleistet, dass selbst ein späteres Kompromittieren des privaten Schlüssels nicht dazu führt, dass Nachrichten aus der Vergangenheit entschlüsselt werden können. Inzwischen ist OTR jedoch etwas in die Jahre gekommen. Ein Problem ist, dass es ist damit nicht möglich ist, verschlüsselte Nachrichten zu verschicken, wenn der Gesprächspartner offline ist. Ein Verschlüsselungsprotokoll für Jabber, welches Forward Secrecy auch bei Offline-Nachrichten ermöglicht und auf der Axolotl-Technologie von Signal basiert, ist unter dem Namen Omemo in Entwicklung.


eye home zur Startseite
Auspuffanlage 10. Mär 2016

Jap genau das meine ich :D Ja aber im "normalen" Sprachgebrauch gibt es auch für einige...

brutos 10. Mär 2016

So, habe es installiert. Es sieht aber Frozenchat mehr als ähnlich. Ich würde sagen, es...

brutos 10. Mär 2016

Für Linux flattert bereit das otr-Update herein... Für Android wird das wohl so schnell...

NeoCronos 10. Mär 2016

Du hast natürlich recht, ich habe allerdings nichts gerechnet :D Bei den 50 Tagen fehlt...

LoopBack 10. Mär 2016

OpenPGP über XMPP gibt es schon seit Ewigkeiten, ist brauchbar standardisiert und...



Anzeige

Stellenmarkt
  1. Lernstudio Barbarossa GmbH, Kaiserslautern
  2. BG-Phoenics GmbH, München
  3. Landeshauptstadt München, München
  4. BSH Hausgeräte GmbH, Traunreut


Anzeige
Hardware-Angebote
  1. 264€ + 5,99€ Versand
  2. 59,90€

Folgen Sie uns
       


  1. Knappe Mehrheit

    SPD stimmt für Koalitionsverhandlungen mit Union

  2. Gerichtspostfach

    EGVP-Client kann weiter genutzt werden

  3. DLD-Konferenz

    Gabriel warnt vor digitalem Schlachtfeld Europa

  4. NetzDG

    Streit mit EU über 100-Prozent-Löschquote in Deutschland

  5. Facebook

    Nutzer sollen Vertrauenswürdigkeit von Newsquellen bewerten

  6. Notebook-Grafik

    Nvidia hat eine Geforce GTX 1050 (Ti) mit Max-Q

  7. Gemini Lake

    Asrock und Gigabyte bringen Atom-Boards

  8. Eni HPC4

    Italienischer Supercomputer weltweit einer der schnellsten

  9. US-Wahl 2016

    Twitter findet weitere russische Manipulationskonten

  10. Die Woche im Video

    Das muss doch einfach schneller gehen!



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
EU-Netzpolitik: Mit vollen Hosen in die App-ocalypse
EU-Netzpolitik
Mit vollen Hosen in die App-ocalypse

Preiswertes Grafik-Dock ausprobiert: Ein eGPU-Biest für unter 50 Euro
Preiswertes Grafik-Dock ausprobiert
Ein eGPU-Biest für unter 50 Euro
  1. XG Station Pro Asus' zweite eGPU-Box ist schlicht
  2. Zotac Amp Box (Mini) TB3-Gehäuse eignen sich für eGPUs oder SSDs
  3. Snpr External Graphics Enclosure KFA2s Grafikbox samt Geforce GTX 1060 kostet 500 Euro

Kryptowährungen: Von Tulpen, Berg- und Talfahrten
Kryptowährungen
Von Tulpen, Berg- und Talfahrten
  1. Bitcoin Israels Marktaufsicht will Kryptoverbot an Börse durchsetzen
  2. Geldwäsche EU will den Bitcoin weniger anonym machen
  3. Kryptowährung 4.700 Bitcoin von Handelsplattform Nicehash gestohlen

  1. Re: Warum dieser Artikel / Clickbait ?

    v2nc | 21:41

  2. Re: das NetzDG ist eh unvollständig

    flike | 21:40

  3. Re: Ich verstehe die irischen Praktikanten

    divStar | 21:38

  4. Re: Evolution <> Sozialismus?

    SelfEsteem | 21:31

  5. von wegen 100% Löschquote :-( - Google weigert...

    jmayer | 21:27


  1. 16:59

  2. 14:13

  3. 13:15

  4. 12:31

  5. 14:35

  6. 14:00

  7. 13:30

  8. 12:57


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel