OpenSSL: Präparierte Signatur kann Weg für Schadcode ebnen

Die freie Software OpenSSL für SSL/TLS-Implementierungen ist verwundbar. Der Großteil der nun geschlossenen Schwachstellen ist mit dem Bedrohungsgrad „niedrig“ eingestuft. Es kann aber auch Schadcode auf Geräte gelangen. Bislang gibt es keine Hinweise auf Attacken. Das kann sich aber jederzeit ändern, sodass Admins mit der Installation der reparierten Ausgaben nicht zu lange zögern sollten.

Schadecode-Attacken möglich

Im Sicherheitsbereich der OpenSSL-Website listen die Entwickler die Sicherheitslücken auf. Davon ist nur eine Schwachstelle (CVE-2026-45447) mit dem Bedrohungsgrad „hoch“ eingestuft. Sie steckt in der PKCS7_verify()-Funktion.

Daran können Angreifer mit einer präparierten PKCS#7-Signatur ansetzen. Bei deren Verifizierung kommt es zu einem Speicherfehler (use-after-free) und es kann Schadcode auf Systeme gelangen. Die Beschreibung der Lücke liest sich so, als seien Attacken aus der Ferne möglich.

Durch das Ausnutzen der verbleibenden Schwachstellen können Angreifer unter anderem Abstürze auslösen (etwa CVE-2026-34183 „mittel“). Ein Fehler in AuthEnvelopedData vom Cryptographic Message Service sorgt dafür, dass von Angreifern kompromittierte Nachrichten verarbeitet werden.

Außerdem können Angreifer signierte Nachrichten mit dem RSA-Schlüssel eines Opfers entschlüsseln (CVE-2026-42768 „niedrig“). Auch der Tausch eines Root-Zertifikats durch Angreifer ist vorstellbar (CVE-2026-42769 „niedrig“).

Sicherheitsupdates

Die Enwickler versichern, die Sicherheitslücken in den folgenden Versionen geschlossen zu haben:

• OpenSSL 1.0.2zq (nur für Premium-Support-Kunden)
• OpenSSL 1.1.1zh (nur für Premium-Support-Kunden)
• OpenSSL 3.0.21
• OpenSSL 3.4.6
• OpenSSL 3.5.7
• OpenSSL 3.6.3
• OpenSSL 4.0.1

(des)