Hintertür zum System
11.03.2016, 07:22 Uhr
Sicherheitslücke in vielen Chat-Programmen
Ausgerechnet in mehreren Programmen, die zum sicheren Chatten verwendet werden, findet sich eine gefährliche Sicherheitslücke, die einem Angreifer vollen Zugriff auf das betreffende System ermöglicht.
Ein Sicherheitsloch in der Bibliothek „libotr“, die auf dem OTR-Protokoll (Off the Record) basiert, wirkt sich auch auf die Sicherheit mehrerer Chat-Programme aus. Betroffen sind unter anderem ChatSecure, Pidgin, Adium und Kopete, die alle diese Bibliothek eingebunden haben.
Ein Angreifer kann die Programme nach Informationen des deutschen Sicherheitsanbieters X41 D-SEC entweder zum Absturz bringen oder aus der Ferne Schadcode einschleusen. Dazu reiche das Versenden bestimmter, langer Nachrichten, schreibt X41-D-SEC-Gründer Markus Vervier.
Laut Vervier kann ein Angreifer nicht nur eigenen Code ausführen und so die Kontrolle über den kompletten PC übernehmen, sondern auch die für das Chatten verwendeten Schlüssel oder Chat-Protokolle klauen. Er müsse dazu nicht einmal in der Kontaktliste des Opfers stehen. Der Anwender habe keine Chance, den Angriff zu bemerken oder gar zu verhindern. Einzig ein Update verspricht Abhilfe.
Der Bug findet sich in libotr 4.1.0 und früheren Versionen. Das OTR-Team hat bereits ein Update auf Version 4.1.1 veröffentlicht. Bislang wurden ausserdem bereits Aktualisierungen für die Android- und iOS-App ChatSecure und Adium veröffentlicht. Das verbreitete Pidgin und der KDE-Client Kopete wurden dagegen noch nicht aktualisiert.