Abo
  • Services:
Anzeige
Libotr verschlüsselt zwar sicher, doch ein Fehler ermöglicht die Ausführung von bösartigem Code.
Libotr verschlüsselt zwar sicher, doch ein Fehler ermöglicht die Ausführung von bösartigem Code. (Bild: Simon Becker)

Jabber-Verschlüsselung: Sicherheitslücke in OTR-Bibliothek erlaubt Code-Ausführung

Libotr verschlüsselt zwar sicher, doch ein Fehler ermöglicht die Ausführung von bösartigem Code.
Libotr verschlüsselt zwar sicher, doch ein Fehler ermöglicht die Ausführung von bösartigem Code. (Bild: Simon Becker)

In der Verschlüsselungsbibliothek Libotr wurde ein Integer Overflow gefunden, der Angreifern unter Umständen die Ausführung von bösartigem Code erlaubt. Das sogenannte Off-the-Record-Messaging ist eine beliebte Methode, um Nachrichten in Jabber-Chats zu verschlüsseln.

In einer beliebten Verschlüsselungsbibliothek ist eine gravierende Sicherheitslücke gefunden worden: Markus Vervier von der Firma X41 D-Sec entdeckte bei einer Analyse des Codes von Libotr einen Integer Overflow. Die Libotr-Bibliothek implementiert das Off-the-Record-Protokoll (OTR), das vor allem im Jabber-Netzwerk und im Chatclient Pidgin eingesetzt wird.

Anzeige

Vier Gigabyte große Nachricht

Der verwundbare Code speichert die Länge einer Nachricht in einer Integer-Variable. Der Code versucht anschließend, mittels der Malloc-Funktion einen Speicherbereich zu reservieren, der ein Byte größer als diese Nachrichtenlänge ist. Das Problem: Wenn die Nachricht genau vier Gigabyte groß ist, hat die Integer-Variable den maximal möglichen Wert. Dadurch kommt es zu einem Überlauf, es wird ein Speicherbereich der Größe null reserviert. Trotzdem werden die Daten in den Speicher geschrieben. Ausnutzen lässt sich der Bug nur auf 64-Bit-Systemen.

Um sich die Sicherheitslücke zunutze zu machen, muss ein Angreifer also mehrere Gigabyte an Daten an das Opfer schicken. Da die Daten Base64-codiert sind, müssen etwa 5,5 Gigabyte übertragen werden. Libotr erlaubt das Splitten der Daten in mehrere Datenblöcke, dadurch dauert dieser Angriff zwar einige Zeit, ist aber durchaus praktisch durchführbar.

Ein Proof-of-Concept, der das OTR-Plugin von Pidgin zum Absturz bringt, wurde von den Entdeckern der Lücke veröffentlicht. Nach eigenen Angaben gelang es ihnen ebenfalls, einen Exploit zu entwickeln, der die Ausführung von Code ermöglicht. Dieser soll jedoch zumindest vorerst nicht veröffentlicht werden.

Behoben wurde die Lücke in der Version 4.1.1 von Libotr, für gängige Linux-Distributionen sollte in Kürze ein Update bereitstehen. Für das entsprechende Pidgin-Plugin wurde die Version 4.0.2 veröffentlicht. Alle Nutzer von Libotr oder dem Pidgin-Plugin sollten dringend die entsprechenden Updates installieren.

Eine Wette um die Sicherheit von Libotr

Eine derartige Sicherheitslücke in Libotr dürfte für viele eine Überraschung sein: Die Bibliothek gilt als relativ solide und wurde in der Vergangenheit intensiv untersucht. Im Jahr 2014 war die Sicherheit von Libotr Gegenstand einer Wette zwischen den Kryptographen Matthew Green und Thomas Ptacek. Ptacek prophezeite, dass innerhalb des nächsten Jahres keine exploitbare Sicherheitslücke in Libotr gefunden werde. Thomas Ptacek gewann die Wette - zwar fanden sich einige Bugs in Libotr, doch keiner davon war praktisch ausnutzbar. Die jetzt gefundene Lücke hatte im Wettzeitraum niemand entdeckt.

Das Off-the-Record-Protokoll hat als eines der ersten eine Chat-Technologie ermöglicht, die mittels Forward Secrecy abgesichert ist. Dadurch ist gewährleistet, dass selbst ein späteres Kompromittieren des privaten Schlüssels nicht dazu führt, dass Nachrichten aus der Vergangenheit entschlüsselt werden können. Inzwischen ist OTR jedoch etwas in die Jahre gekommen. Ein Problem ist, dass es ist damit nicht möglich ist, verschlüsselte Nachrichten zu verschicken, wenn der Gesprächspartner offline ist. Ein Verschlüsselungsprotokoll für Jabber, welches Forward Secrecy auch bei Offline-Nachrichten ermöglicht und auf der Axolotl-Technologie von Signal basiert, ist unter dem Namen Omemo in Entwicklung.


eye home zur Startseite
Auspuffanlage 10. Mär 2016

Jap genau das meine ich :D Ja aber im "normalen" Sprachgebrauch gibt es auch für einige...

brutos 10. Mär 2016

So, habe es installiert. Es sieht aber Frozenchat mehr als ähnlich. Ich würde sagen, es...

brutos 10. Mär 2016

Für Linux flattert bereit das otr-Update herein... Für Android wird das wohl so schnell...

NeoCronos 10. Mär 2016

Du hast natürlich recht, ich habe allerdings nichts gerechnet :D Bei den 50 Tagen fehlt...

LoopBack 10. Mär 2016

OpenPGP über XMPP gibt es schon seit Ewigkeiten, ist brauchbar standardisiert und...



Anzeige

Stellenmarkt
  1. gematik Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH, Berlin
  2. Ratbacher GmbH, Großraum Melsungen
  3. T-Systems International GmbH, verschiedene Standorte
  4. TAIFUN Software AG, Raum Bayern


Anzeige
Top-Angebote
  1. 279€
  2. 99,90€ + 4,99€ Versand (Vergleichspreis 128€)
  3. 190,01€

Folgen Sie uns
       


  1. Counter-Strike Go

    Bei Abschuss Ransomware

  2. Hacking

    Microsoft beschlagnahmt Fancy-Bear-Infrastruktur

  3. Die Woche im Video

    Strittige Standards, entzweite Bitcoins, eine Riesenkonsole

  4. Bundesverkehrsministerium

    Dobrindt finanziert weitere Projekte zum autonomen Fahren

  5. Mobile

    Razer soll Smartphone für Gamer planen

  6. Snail Games

    Dark and Light stürmt Steam

  7. IETF

    Netzwerker wollen Quic-Pakete tracken

  8. Surface Diagnostic Toolkit

    Surface-Tool kommt in den Windows Store

  9. Bürgermeister

    Telekom und Unitymedia verweigern Open-Access-FTTH

  10. Layton's Mystery Journey im Test

    Katrielle, fast ganz der Papa



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Kryptowährungen: Bitcoin steht vor grundlegenden Änderungen
Kryptowährungen
Bitcoin steht vor grundlegenden Änderungen
  1. Drogenhandel Weltweit größter Darknet-Marktplatz Alphabay ausgehoben
  2. Kryptowährungen Massiver Diebstahl von Ether
  3. Kryptowährung Bitcoin notiert auf neuem Rekordhoch

Indiegames Rundschau: Meisterdiebe, Anti- und Arcadehelden
Indiegames Rundschau
Meisterdiebe, Anti- und Arcadehelden
  1. Jump So was wie Netflix für Indiegames
  2. Indiegames-Rundschau Weltraumabenteuer und Strandurlaub
  3. Indiegames-Rundschau Familienflüche, Albträume und Nostalgie

IETF Webpackage: Wie das Offline-Internet auf SD-Karte kommen könnte
IETF Webpackage
Wie das Offline-Internet auf SD-Karte kommen könnte
  1. IETF DNS wird sicher, aber erst später
  2. IETF Wie TLS abgehört werden könnte
  3. IETF 5G braucht das Internet - auch ohne Internet

  1. Re: Achso

    forenuser | 12:23

  2. Re: Monorail

    Malukai | 12:21

  3. Re: Ich kaufe mir ein E-Auto wenn...

    Berner Rösti | 12:19

  4. Re: Darum Internetspiele immer nur Isoliert...

    DetlevCM | 12:15

  5. Re: Conti bleib bei deinen Reifen

    PiranhA | 12:01


  1. 12:43

  2. 11:54

  3. 09:02

  4. 16:55

  5. 16:33

  6. 16:10

  7. 15:56

  8. 15:21


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel