c't Bankix 12.04.4 mit Heartbleed-Bugfix

Auch wenn der Heartbleed-SSL-Bug hauptsächlich Server betrifft, könnten Angreifer versuchen, die Lücke auf Clients auszunutzen. Deshalb wurde c't Bankix 12.04.4 aktualisiert. Wer es bereits nutzt, bekommt den Bugfix via Online-Update.

In Pocket speichern vorlesen Druckansicht 14 Kommentare lesen
Lesezeit: 1 Min.
Heartbleed-Bug: Der GAU für Web-Verschlüsselung

Ein äußerst schwerwiegender Programmierfehler gefährdet Verschlüsselung, Schlüssel und Daten der mit OpenSSL gesicherten Verbindungen im Internet. Die Lücke erlaubt auch Zugriff auf vertrauliche Daten wie Klartext-Passwörter. Angesichts der Verbreitung der OpenSource-Bibliothek hat dies katastrophale Folgen.

Die fehlerhafte Längenprüfung in der Hearbeat-Funktion von OpenSSL, bekanntgeworden unter dem Namen Heartbleed-Bug, betrifft nicht ausschließlich Server: Die Bibliothek ist auch Bestandteil der meisten Linux-Distributionen, darunter auch c't Bankix. Wer als Anwender ein Programm startet, das diese Bibliothek für verschlüsselte Verbindungen benutzt, macht sich somit theoretisch angreifbar. Daher haben wir vorsorglich c't Bankix 12.04.4 aktualisiert und ältere, potenziell verwundbare Versionen aus dem Download-Bereich entfernt.

Grund zur Panik besteht jedoch nicht: Der Standard-Browser Firefox und auch die Finanzverwaltung Hibiscus verwenden die Bibliothek libnss, die von dem Problem nicht betroffen ist – Online-Banking und Surfen im Internet sind also unproblematisch. Manche Systemdienste hingegen bedienen sich bei der OpenSSL-Bibliothek, weshalb Anwender bei bestehenden Installationen die aktuell vorliegenden Updates einspielen sollten.

Da es funktionell keine Veränderungen gegenüber c't Bankix 12.04.4 aus c't 7/14 gab, haben wir die Versionsnummer beibehalten und nur das Release-Datum angepasst, es wird beim Starten im Menü eingeblendet. Auch von c't Surfix ist eine aktualisierte Version mit OpenSSL-Bugfix geplant. (mid)