Gut zwei Monate nachdem der sogenannte Heartbleed-Bug bekannt geworden ist, hat OpenSSL sieben weitere Sicherheitslücken in seiner Verschlüsselungssoftware geschlossen. Eine der Schwachstellen, ein Bug mit der Bezeichnung CVE-2014-0224, hätte es ermöglichen können, Systeme mit sogenannten Man-in-the-Middle-Angriffen zu attackieren. Angreifer hätten dadurch den Datenverkehr zwischen zwei Systemen entschlüsseln, lesen und modifizieren können. Im Vergleich zum Heartbleed-Bug lässt sich die Lücke aber nur schwer ausnutzen. Die Attacke gelingt nur, wenn Client und Server eine fehlerhafte Version von OpenSSL verwenden. Gängige Browser wie Firefox, Internet Explorer, Chrome oder Safari nutzen die Verschlüsselungssoftware allerdings nicht. Betroffen von den Lücken sind nach Angaben von OpenSSL die Versionen 0.9.8, 1.0.0 und 1.0.1. Beheben lassen sich die Fehler mit einem Update auf die Versionen 0.9.8za, 1.0.0m und 1.0.1h. InterNetX hat die Aktualisierungen auf seinen Managed Server Systemen flächendeckend ausgerollt. Betreibern von Dedicated Server Systemen wird dringend empfohlen, die Updates so schnell wie möglich einzuspielen. Bei SSL-Zertifikaten besteht dagegen kein Handlungsbedarf. Symantec, der führende Anbieter von SSL-Zertifikaten, hat für seine Produkte bereits Entwarnung gegeben. SSL sei nicht geknackt, ebenso wenig die Zertifikate von Symantec und seiner angeschlossenen Marken, schreibt Symantec auf seiner Internetseite.