Ernstig lek in Off-The-Record voor Adium en Pidgin gepatcht
Een populaire softwarebibliotheek waarmee internetgebruikers versleuteld communiceren bevat een ernstige kwetsbaarheid waardoor een aanvaller in het ergste geval de computers kan overnemen. Het gaat om de libotr-softwarebibliotheek die het Off-The-Record (OTR) Messaging-protocol implementeert.
Naast het versleutelen van communicatie kunnen gebruikers via OTR ook controleren dat degene met wie ze chatten daadwerkelijk de persoon is die hij of zij beweert te zijn. Verder voegt OTR perfect forward secrecy en "deniability" toe, zodat er kan worden ontkend dat de gebruiker een bepaald chatbericht heeft verstuurd. Het protocol wordt door verschillende chatprogramma's gebruikt, zoals Pidgin, ChatSecure, Adium en anderen. OTR was volgens documentairemaakster Laura Poitras ook een onmisbare privacytool voor het maken van de documentair Citizenfour over klokkenluider Edward Snowden.
Onderzoekers van het Duitse X41 D-Sec hebben tijdens onderzoek een kwetsbaarheid in libotr ontdekt. Door het versturen van grote OTR-berichten kan een aanvaller het gebruikte chatprogramma laten crashen of willekeurige code op de computer van het doelwit uitvoeren. Volgens de onderzoekers is erin de standaardconfiguratie geen speciale gebruikersinteractie of autorisatie nodig. Het probleem speelt in libotr 4.1.0 en ouder.
De onderzoekers hebben hun aanval gedemonstreerd op de OTR-plug-in van het chatprogramma Pidgin, dat voor zowel Linux als Windows beschikbaar is, en van libotr gebruikmaakt. De kwetsbaarheid werd op 18 februari aan de ontwikkelaars gemeld. Die ontwikkelden twee weken later op 3 maart een update, die nu samen naast het beveiligingsonderzoek van de onderzoekers openbaar is gemaakt.
Updates
Vanwege de kwetsbaarheid krijgen gebruikers van Off-The-Record voor Pidgin het advies om meteen naar Pidgin-OTR versie 4.0.2 te upgraden, die van de nieuwe libotr 4.1.1 is voorzien. Voor gebruikers van Adium, waar OTR is ingebouwd, is versie 1.5.10.2 uitgekomen. Van ChatSecure voor iOS is versie 3.1.3 verschenen. De ontwikkelaars merken op dat de aanval meer dan 4gb geheugen vereist, waardoor gebruikers waarschijnlijk geen risico lopen.
Om de een of andere reden geloof ik er geen barst van dat je een Apple gebruiker bent maar het zou kunnen.
Volgens je redenatie is Skype dan ook een fantastisch alternatief want dat zit ook dichter bij 'de vendor'.
Overigens worden overal af en toe lekken in gevonden, ook in Facetime, kijk maar in de cve nvd database, 10 stuks (low en medium weliswaar maar toch).
Mocht je daadwerkelijk een Apple gebruiker zijn dan weet je dat je met dit soort bijdragen discussie gaat uitlokken over Os en Merk die we kunnen missen als kiespijn.
Ik sluit echter ook zeker niet uit dat dit een pseudo Apple reactie is, een fenomeen wat een tijdje geleden hier is begonnen en vrij irrtant is.
Ben je een daadwerkelijke Apple gebruiker onderbouw je reactie dan svp met terdege Apple kennis opdat de pseudo 'grappenmakers' nog eerder door de mand vallen.
Getekend, een Mac gebruiker.
Om de een of andere reden geloof ik er geen barst van dat je een Apple gebruiker bent maar het zou kunnen.
Volgens je redenatie is Skype dan ook een fantastisch alternatief want dat zit ook dichter bij 'de vendor'.
Overigens worden overal af en toe lekken in gevonden, ook in Facetime, kijk maar in de cve nvd database, 10 stuks (low en medium weliswaar maar toch).
Mocht je daadwerkelijk een Apple gebruiker zijn dan weet je dat je met dit soort bijdragen discussie gaat uitlokken over Os en Merk die we kunnen missen als kiespijn.
Ik sluit echter ook zeker niet uit dat dit een pseudo Apple reactie is, een fenomeen wat een tijdje geleden hier is begonnen en vrij irrtant is.
Ben je een daadwerkelijke Apple gebruiker onderbouw je reactie dan svp met terdege Apple kennis opdat de pseudo 'grappenmakers' nog eerder door de mand vallen.
Getekend, een Mac gebruiker.
Onderbouwing: Apple heeft zijn software goed op orde, closed-source is nu eenmaal veiliger dan open source.
Skype is daarbij van Microsoft, dus in mijn ogen geen goed alternatief.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.