Bitcoin Core Version 0. 9. 1 ist out und adressiert die Heartbleed OpenSSL-Schwachstelle, auch bekannt als CVE-2014-0160. Die Sicherheitslücke wurde innerhalb weniger Stunden durch den Austausch großer Bitcoins behoben.

Falls Sie es verpasst haben, ist Heartbleed eine ziemlich große Sache in der Sicherheitsgemeinschaft. Der Krypto-Bug in OpenSSL (eine Open-Source-Implementierung der Internetprotokolle SSL und TLS, die den Internetverkehr verschlüsseln und schützen) hat zwei Drittel des Internets zum Abhören freigegeben. Es wurde Anfang dieser Woche aufgedeckt und viele Beobachter beschrieben es als nichts weniger als katastrophal.

Bitcoin-Spieler sprechen schnell Heartbleed

Zum Glück haben sich die Neuigkeiten schnell in branchenweitem Handeln niedergeschlagen: Patches werden weltweit implementiert.

Bitcoin-Börsen und -Wallets werden täglich von Hackern angegriffen, so dass seriöse Bitcoin-Outfits Zero-Day-Exploits, neue Angriffsvektoren und eine Vielzahl anderer Schwachstellen verfolgen.

Das Bitcoin Core-Team sagt Version 0. 9. 1 ist eine Wartungsversion, um eine dringende Sicherheitslücke (Heartbleed) zu beheben, und alle Benutzer sollten so schnell wie möglich upgraden. Die meisten haben den Aufruf zur Kenntnis genommen, und als Ergebnis hat die überwiegende Mehrheit der großen Bitcoin-Sites und Börsen das Update implementiert.

Worum geht es bei Heartbleed?

OpenSSL ist die beliebteste Codebibliothek für die HTTPS-Verschlüsselung. Es wird nicht von Microsoft IIS verwendet, sodass Windows-basierte Systeme nicht direkt betroffen sein können.

Dies ist zwar eine gute Nachricht für die meisten Desktop-Benutzer, aber IT-Abteilungen haben es eher umgekehrt. OpenSSL wird unter Linux, BSD und zahlreichen benutzerdefinierten Serverplattformen verwendet. Mac OS X ist ebenfalls betroffen. Der Fehler betrifft auch nicht alle Versionen von OpenSSL. Einige große Banken wie Chase und Schwab vertrauen auf Microsoft IIS. Andere setzen auf Linux / Apache, Java und andere Systeme.

Ars Technica meldet, dass der Fehler das Ergebnis eines "banalen Codierungsfehlers" in OpenSSL ist. Der Fehler ermöglicht es Angreifern im Wesentlichen, auf Teile des privaten Computerspeichers zuzugreifen, der den OpenSSL-Prozess verarbeitet.

Der Inhalt dieser Speicherabschnitte kann Authentifizierungsdaten oder sogar private Schlüssel enthalten, die das gesamte kryptografische Zertifikat der Website untergraben können.

Daher müssen Website-Betreiber ihre Server mit OpenSSL Version 1. 0. 1g patchen und ihre Sicherheitszertifikate aktualisieren. Das Problem ist, dass der OpenSSL-Patch nur der erste Schritt ist. Benutzer müssen darüber nachdenken, ihre X. 509-Zertifikate zu ersetzen, sobald sie das OpenSSL-Update anwenden.

Allen Admins und Benutzern wird empfohlen, ihre Passwörter sicherheitshalber zu ändern, da die Aktivität spurlos ist und diese Größenordnung der Sicherheitslücke in OpenSSL beispiellos ist.