Neue Sicherheitslücke namens Logjam entdeckt
- Lumi
- Beiträge: 986
- Registriert: Mo 15. Sep 2014, 10:19
- Betriebssystem: Win7 Home 64bit
- Virenscanner: Avira Free Antivirus
Neue Sicherheitslücke namens Logjam entdeckt
Forscher haben erneut eine Sicherheitslücke entdeckt, die es Angreifern ermöglichen soll Verschlüsselungen aufzubrechen und Daten abzugreifen. Von Logjam sollen unter anderem unzählige Websiten, Mailserver, die auf POP3 und IMAP setzen, und auch fast alle Browser betroffen sein. Ausnahme bildet wohl der Internet Explorer, bei dem die Sicherheitslücke laut Aussage von Microsoft schon beim letzten Patchday geschlossen worden sein soll. Für die Browser Firefox, Chrome und Safari wird wohl schon an Patches gearbeitet.
Quelle: Heise Logjam-Attacke
Quelle: Heise Logjam-Attacke
Re: Neue Sicherheitslücke namens Logjam entdeckt
wenn mein Router selber gar keinen USB Anschluß hat, dann kann er auch nciht betroffen sein, oder?
Auf der Liste steh ich nämlich nicht, aber da das nen gebrandeter Router von meinem Anbieter ist, würde mich das nicht wundern. Ist allerdings auch schon etwas älter die Kiste.
Auf der Liste steh ich nämlich nicht, aber da das nen gebrandeter Router von meinem Anbieter ist, würde mich das nicht wundern. Ist allerdings auch schon etwas älter die Kiste.
-
- Beiträge: 398
- Registriert: Do 4. Sep 2014, 20:20
- Betriebssystem: Win 7
- Virenscanner: Avira Free
Re: Neue Sicherheitslücke namens Logjam entdeckt
@IndyBaskets:
Kann es sein, dass du hier zwei Meldungen verwechselst?
Ich nehme an, du meinst diese hier.
Kann es sein, dass du hier zwei Meldungen verwechselst?
Ich nehme an, du meinst diese hier.
Re: Neue Sicherheitslücke namens Logjam entdeckt
opps ja die meinte ich. bin dann bei heise weitergegangen soll ich dafür nen neuen thread aufmachen oder kann mir jemand die frage hier beantworten?
-
- Moderator
- Beiträge: 7383
- Registriert: So 24. Aug 2014, 15:02
- Betriebssystem: Windows 8.1
- Virenscanner: GData
- Wohnort: Pinneberg
Re: Neue Sicherheitslücke namens Logjam entdeckt
Kurz und knapp - kein USB, kein Problem.
We have bugs the likes of which even God has never seen!
-
- Moderator
- Beiträge: 7383
- Registriert: So 24. Aug 2014, 15:02
- Betriebssystem: Windows 8.1
- Virenscanner: GData
- Wohnort: Pinneberg
Re: Neue Sicherheitslücke namens Logjam entdeckt
Hier ein Workaround fuer die Logjam-Luecke fuer Firefox:
Gib in der Browserzeile about:config ein und bestaetige mit der Eingabetaste.
Gib in das Suchfeld dhe ein.
Stelle die Eintraege, die sich auf DHE-Verschluesselung beziehen, mit einem Doppelklick auf false um.
http://www.pc-notfallklinik.de/pix/logjam.PNG
Diese Umkonfiguration kann allerdings dazu fuehren, dass zukuenftig eine verschluesselte Verbindung mit einzelnen Servern nicht mehr zustande kommt, wenn der Server keine alternativen Verschluesselungstechniken anbietet. Eine Kontrolle, ob Verbindungen verschluesselt werden, ist also unbedingt anzuraten
Gib in der Browserzeile about:config ein und bestaetige mit der Eingabetaste.
Gib in das Suchfeld dhe ein.
Stelle die Eintraege, die sich auf DHE-Verschluesselung beziehen, mit einem Doppelklick auf false um.
http://www.pc-notfallklinik.de/pix/logjam.PNG
Diese Umkonfiguration kann allerdings dazu fuehren, dass zukuenftig eine verschluesselte Verbindung mit einzelnen Servern nicht mehr zustande kommt, wenn der Server keine alternativen Verschluesselungstechniken anbietet. Eine Kontrolle, ob Verbindungen verschluesselt werden, ist also unbedingt anzuraten
We have bugs the likes of which even God has never seen!
-
- Moderator
- Beiträge: 7383
- Registriert: So 24. Aug 2014, 15:02
- Betriebssystem: Windows 8.1
- Virenscanner: GData
- Wohnort: Pinneberg
Re: Neue Sicherheitslücke namens Logjam entdeckt
An dieser Stelle auch noch mal kurz der Hinweis, dass die Logjam-Luecke in der Firefox-Version 38.0.5 noch nicht geschlossen wurde.
We have bugs the likes of which even God has never seen!
Re: Neue Sicherheitslücke namens Logjam entdeckt
bevor ich den Workaround im Firefox mache, würde mich mal interessieren, wie hoch die Wahrscheinlichkeit ist, dass Anbieter wie Amazon, Web.de bzw. GMX, 1und1, etc., also die großen Firmen die Lücke Serverseitig bisher nicht geschlossen haben?
Ich weiß auzuschließen ist das nicht. Aber ich bin mir nicht sicher, ob ich mit dem Workaround nicht mehr Probleme schaffe... Und wie hoch ist die Wahrscheinlichkeit, dass ich selber Ziel werde? Weil wenn ich das richtig verstanden habe, muß ich ja gezielt jemand angreifen, oder?
Gibt es schon eine Aussicht wann Firefox die Lücke schließt?
Ich weiß auzuschließen ist das nicht. Aber ich bin mir nicht sicher, ob ich mit dem Workaround nicht mehr Probleme schaffe... Und wie hoch ist die Wahrscheinlichkeit, dass ich selber Ziel werde? Weil wenn ich das richtig verstanden habe, muß ich ja gezielt jemand angreifen, oder?
Gibt es schon eine Aussicht wann Firefox die Lücke schließt?
-
- Moderator
- Beiträge: 7383
- Registriert: So 24. Aug 2014, 15:02
- Betriebssystem: Windows 8.1
- Virenscanner: GData
- Wohnort: Pinneberg
Re: Neue Sicherheitslücke namens Logjam entdeckt
Gegenfrage: warum darauf hoffen, dass jemand anderes sich des Problems annimmt, wenn man es selbst loesen kann?
Gezielt ist relativ. Das hoert sich so nach "da sitzt einer vorm Rechner und hat's auf mich abgesehen" an. Aber so laeuft das nun mal nicht. Und bei automatischen Angriffen kann jeder Ziel werden.
Die Schliessung der Logjam-Luecke ist wohl fuer die Firefox-Version 39 vorgesehen.
Gezielt ist relativ. Das hoert sich so nach "da sitzt einer vorm Rechner und hat's auf mich abgesehen" an. Aber so laeuft das nun mal nicht. Und bei automatischen Angriffen kann jeder Ziel werden.
Die Schliessung der Logjam-Luecke ist wohl fuer die Firefox-Version 39 vorgesehen.
We have bugs the likes of which even God has never seen!
Re: Neue Sicherheitslücke namens Logjam entdeckt
auf andere verlassen wegen dem hier:
was bedeutet das für mich? Krieg ich da bei gmx, etc. eher Probleme oder eher nicht? Und was könnte maximal passieren? Einfach nur kein Login mehr möglich?Diese Umkonfiguration kann allerdings dazu fuehren, dass zukuenftig eine verschluesselte Verbindung mit einzelnen Servern nicht mehr zustande kommt, wenn der Server keine alternativen Verschluesselungstechniken anbietet. Eine Kontrolle, ob Verbindungen verschluesselt werden, ist also unbedingt anzuraten
-
- Moderator
- Beiträge: 7383
- Registriert: So 24. Aug 2014, 15:02
- Betriebssystem: Windows 8.1
- Virenscanner: GData
- Wohnort: Pinneberg
Re: Neue Sicherheitslücke namens Logjam entdeckt
Was - in der Theorie - passieren kann ist, dass der Server eben nur genau diese Verschluesselungsmethoden anbietet, die dann im Browser deaktiviert sind. Folge - keine Verschluesselung.
We have bugs the likes of which even God has never seen!
Re: Neue Sicherheitslücke namens Logjam entdeckt
Bedeutet also, dass ich mich z.b. dann bei gmx ganz ohne Verschlüsselung einloggen würde?
Das blöde ist ja, dass ich dort z.b. nicht von einer https Seite komme, also dann das erst nach dem Login merken würde. Ist das Risiko dadurch nicht noch viel größer?
Das blöde ist ja, dass ich dort z.b. nicht von einer https Seite komme, also dann das erst nach dem Login merken würde. Ist das Risiko dadurch nicht noch viel größer?
-
- Moderator
- Beiträge: 7383
- Registriert: So 24. Aug 2014, 15:02
- Betriebssystem: Windows 8.1
- Virenscanner: GData
- Wohnort: Pinneberg
Re: Neue Sicherheitslücke namens Logjam entdeckt
Himmel, die geben sich ja wirklich Muehe, bloss nicht zu viel zu verschluesseln!
Zum Testen: https://kontakt.gmx.net/
Normalerweise laesst sich eine Website, die Verschluesselung kann, auch manuell (per HTTPS://) verschluesselt aufrufen.
Zum Testen: https://kontakt.gmx.net/
Normalerweise laesst sich eine Website, die Verschluesselung kann, auch manuell (per HTTPS://) verschluesselt aufrufen.
We have bugs the likes of which even God has never seen!
Re: Neue Sicherheitslücke namens Logjam entdeckt
ja der login bei gmx geht auch mit der Einstellung "false", bei meinen anderen Seiten auch. Mir ging es halt eher darum, dass ich es nicht so prickelnd finde, wenn ich erst nach dem Login merke, dass die Seite das nicht kann.
Aber ich hoffe ja, dass gmx und amazon auch alternative Verschlüsselungen können. Zur Zeit sieht das so aus. Einzig in dem Werbefenster, welches sich beim Login öffnet, kommt jetzt, wenn man sich über die https Seite einlogt, dass das Zertifikat nicht für die Seite der Werbung gilt und Firefox blockiert das. Ist jetzt aber nicht so schlimm
P.S.: wenn Firefox das gefixt hat, schließen die dann den Zugriff oder deaktivieren die dhe dann auch einfach?
Aber ich hoffe ja, dass gmx und amazon auch alternative Verschlüsselungen können. Zur Zeit sieht das so aus. Einzig in dem Werbefenster, welches sich beim Login öffnet, kommt jetzt, wenn man sich über die https Seite einlogt, dass das Zertifikat nicht für die Seite der Werbung gilt und Firefox blockiert das. Ist jetzt aber nicht so schlimm
P.S.: wenn Firefox das gefixt hat, schließen die dann den Zugriff oder deaktivieren die dhe dann auch einfach?
-
- Moderator
- Beiträge: 7383
- Registriert: So 24. Aug 2014, 15:02
- Betriebssystem: Windows 8.1
- Virenscanner: GData
- Wohnort: Pinneberg
Re: Neue Sicherheitslücke namens Logjam entdeckt
Wie gesagt - ich sehe das Problem eher theoretisch. Mir ist noch keine Website untergekommen, die nicht auch sichere Verschluesselungen beherrscht.
Das das Problem ja von den Servern ausgeht sehe ich fuer Mozilla wenig Moeglichkeiten, das Problem anders als durch Deaktivierung von DHE zu loesen. Bestenfalls noch, indem DHE als allerletzte Verschluesselungsmethode akzeptiert wuerde, was aber dann faktisch auch auf das gleiche hinauslaeuft.
Das das Problem ja von den Servern ausgeht sehe ich fuer Mozilla wenig Moeglichkeiten, das Problem anders als durch Deaktivierung von DHE zu loesen. Bestenfalls noch, indem DHE als allerletzte Verschluesselungsmethode akzeptiert wuerde, was aber dann faktisch auch auf das gleiche hinauslaeuft.
We have bugs the likes of which even God has never seen!
Re: Neue Sicherheitslücke namens Logjam entdeckt
ok dann lasse ich das erstmal deaktiviert. danke für die Infos.
was ich persönlich schlecht finde, dass wenn der Server nur die dhe Verschlüsselung anbietet und diese im Browser deaktiviert sind, ein Fallback auf keine Verschlüsselung erfolgt. Mir wäre es lieber, wenn dann ein Login gar nicht möglich wäre.
was ich persönlich schlecht finde, dass wenn der Server nur die dhe Verschlüsselung anbietet und diese im Browser deaktiviert sind, ein Fallback auf keine Verschlüsselung erfolgt. Mir wäre es lieber, wenn dann ein Login gar nicht möglich wäre.
Re: Neue Sicherheitslücke namens Logjam entdeckt
sorry kann in den anderen Beitrag nicht mehr schreiben. Zu der Frage oben, noch eine andere Frage das Forum betreffend. Wieso gibt es hier eigentlich kein https?
Ist keine Kritik, nur eine Frage
Ist keine Kritik, nur eine Frage
-
- Moderator
- Beiträge: 7383
- Registriert: So 24. Aug 2014, 15:02
- Betriebssystem: Windows 8.1
- Virenscanner: GData
- Wohnort: Pinneberg
Re: Neue Sicherheitslücke namens Logjam entdeckt
Weil das die derzeitige Konstruktion (Webhosting) nicht hergibt.
We have bugs the likes of which even God has never seen!
Re: Neue Sicherheitslücke namens Logjam entdeckt
danke
und gleichzeitig schon mal einen schönen, heißen Restfreitag
und gleichzeitig schon mal einen schönen, heißen Restfreitag