Heartbleed – Sicherheitslücke

Seit einigen Tagen ist bekannt, dass es eine schwerwiegende Sicherheitslücke in der OPENSSL-Verschlüsselung gibt. Viele Firmen, aber auch Privatleute, setzen auf die Technologie und nicht auf die SSL Technologie.

Das Bundesamt für Informationssicherheit stuft die Sicherheitslücke als kritisch ein:
“Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft diese Schwachstelle als kritisch ein. Ein Angreifer ist unter Ausnutzung der Schwachstelle in der Lage, Speicherinhalte des OpenSSL Servers auszulesen, sofern diese die “Heartbeat”-Erweiterung aktiviert haben. Mithilfe des “Heartbleed Bugs” können zudem unter Umständen die geheimen Schlüssel von OpenSSL-Servern ausgelesen werden.”
http://www.bsi.bund.de/DE/Presse/Kurzmitteilungen/Kurzmit2014/Heartbleed_11042014.html;jsessionid=C9F4010082106B19C6381EE14C2C7F9E.2_cid361

Eine kleine Grafik zeigt wer aktuell betroffen ist:
http://venturebeat.files.wordpress.com/2014/04/lwg_heartbleed.jpg

Wie Ihr wisst bin ich MVP für Office 365 und so fand ich natülich den passenden Eintrag auf dem Office Blog:
blogs.technet.com/b/security/archive/2014/04/10/microsoft-devices-and-services-and-the-openssl-heartbleed-vulnerability.aspx

“Nach einer gründlichen Untersuchung, bestimmt Microsoft, dass Microsoft-Konto, Microsoft Azure, Office 365, Yammer und Skype, zusammen mit den meisten Microsoft-Dienste, werden nicht von der OpenSSL “Heartbleed” Schwachstelle betroffen. Implementierung von SSL / TLS Windows ist auch nicht betroffen. Einige Dienstleistungen weiterhin überprüft und mit weiteren Schutzmaßnahmen aktualisiert werden.”

Konkret heißt es: Kunden von Office 365 oder auch eines Microsoft Kontos sind nicht betroffen.