OpenSSL

Die Schwachstelle steckt in den TLS- und DTLS-Implementierungen der Kryptografie-Bibliothek OpenSSL, konkret in der Verarbeitung von Paketen der sogenannten Heartbeat-Erweiterung. Diese Funktion dient eigentlich dazu, eine bestehende verschlüsselte Verbindung aufrechtzuerhalten. Durch fehlerhafte Prüfung der Paketangaben kann ein entfernter Angreifer ein manipuliertes Heartbeat-Paket senden, das eine Pufferüberlesung auslöst: Der Dienst gibt mehr Daten zurück, als er sollte, und liest dabei über den vorgesehenen Speicherbereich hinaus angrenzenden Arbeitsspeicher des Prozesses aus. Auf diese Weise gelangen sensible Inhalte aus dem Speicher des betroffenen Systems an den Angreifer – nachweislich sogar private Schlüssel, aber auch andere vertrauliche Daten wie Anmeldeinformationen. Der Angriff erfordert weder eine Anmeldung noch hinterlässt er ohne Weiteres Spuren. Betroffen ist eine extrem weit verbreitete Bibliothek, die zahllose Server und Dienste zur Verschlüsselung nutzen.