Am 08.04.2014 wurde eine dramatische Sicherheitslücke in der OpenSSL-Library der Versionen 1.0.1 bis 1.0.1f bekannt, die es Angreifern direkt ermöglichte, einen Teil des Speichers des angefragten Servers auszulesen und so an den privaten Schlüssel eines SSL-Zertifikats oder auch Benutzerdaten zu kommen. Mit dem Besitz des privaten Schlüssels ist sogar in der Vergangenheit abgefangener Traffic entschlüsselbar. Beschreibung des Heartbleed-Bugs
Mac OS X ist von dem Fehler nicht betroffen, weil es noch auf eine ältere Version der OpenSSL-Library (0.9.8y) setzt, wohl aber z.B. der Kerio Connect Mailserver in Version 8.2 bis einschließlich 8.2.3. Ein Patch wurde bereits bereitgestellt, Version 8.2.4 wird die Lücke vermutlich noch heute (09.04.2014) ebenfalls beseitigen. Wer auf Nummer Sicher gehen will, sollte darüber nachdenken, das Mail-Zertifikat vorzeitig zu erneuern und neue Passwörter für die User zu vergeben.
Hier gibt es eine Testseite zum Überprüfen der eigenen Server. Ich habe diesen Link auch benutzt, um einige Seiten, bei denen ich mich regelmäßig anmelde, zu überprüfen. Wenn auf einer dieser Seiten die Lücke noch vorhanden ist, mache ich einen großen Bogen darum, bis der Betreiber die Lücke auf seinem System geschlossen hat.
Für sicherheitsbewusste Anwender empfiehlt es sich nach diesem Vorfall, wichtige Passwörter zu erneuern (sollte man ja sowieso regelmäßig tun).
App-Tipp für Mac und iPhone/iPad: 1Password