// HEISE ONLINE — CYBERSECURITY
OpenSSL: Präparierte Signatur kann Weg für Schadcode ebnen
In aktuellen Versionen haben die OpenSSL-Entwickler insgesamt 18 Sicherheitslücken geschlossen.
This article is also available in
English.
It was translated with technical assistance and editorially reviewed before publication.
Die freie Software OpenSSL für SSL/TLS-Implementierungen ist verwundbar. Der Großteil der nun geschlossenen Schwachstellen ist mit dem Bedrohungsgrad „niedrig“ eingestuft. Es kann aber auch Schadcode auf Geräte gelangen. Bislang gibt es keine Hinweise auf Attacken. Das kann sich aber jederzeit ändern, sodass Admins mit der Installation der reparierten Ausgaben nicht zu lange zögern sollten.
Im Sicherheitsbereich der OpenSSL-Website listen die Entwickler die Sicherheitslücken auf. Davon ist nur eine Schwachstelle (CVE-2026-45447) mit dem Bedrohungsgrad „hoch“ eingestuft. Sie steckt in der PKCS7_verify()-Funktion.
Daran können Angreifer mit einer präparierten PKCS#7-Signatur ansetzen. Bei deren Verifizierung kommt es zu einem Speicherfehler (use-after-free) und es kann Schadcode auf Systeme gelangen. Die Beschreibung der Lücke liest sich so, als seien Attacken aus der Ferne möglich.
Durch das Ausnutzen der verbleibenden Schwachstellen können Angreifer unter anderem Abstürze auslösen (etwa CVE-2026-34183 „mittel“). Ein Fehler in AuthEnvelopedData vom Cryptographic Message Service sorgt dafür, dass von Angreifern kompromittierte Nachrichten verarbeitet werden.
Außerdem können Angreifer signierte Nachrichten mit dem RSA-Schlüssel eines Opfers entschlüsseln (CVE-2026-42768 „niedrig“). Auch der Tausch eines Root-Zertifikats durch Angreifer ist vorstellbar (CVE-2026-42769 „niedrig“).
Die Enwickler versichern, die Sicherheitslücken in den folgenden Versionen geschlossen zu haben:
Ob Sicherheitslücken, Viren oder Trojaner – alle sicherheitsrelevanten Meldungen gibts bei heise security
Ausführliche Informationen zum Versandverfahren und zu Ihren
Widerrufsmöglichkeiten erhalten Sie in unserer
Datenschutzerklärung.