Software-Forum von Heiko Schröder Softwareentwicklung

Im Heise-Forum schrieb jemand:

http://www.heise.de/security/news/foren ... wthread-1/

Bei mir nutzen mehrere Programme die Datei libeay32.dll, u.a. Starmoney, Spybot S&D, Kaspersky Internet Security und eben auch 1PW. Die Dateien sind unterschiedlich groß, welche Version "safe" ist kann ich nicht sagen. Ist es jetzt gefährlich die Programme zu nutzen? Kann ich irgendwo sichere Updates der dll kriegen und diese dann überall selbst ersetzen oder muss das der "Autor" bei einem Update erledigen?

Hallo,

und vielen Dank für den Hinweis.

Nein, 1PW ist nicht betroffen. 1PW nutzt die libeay32.dll 1.0.0c vom Dezember 2010. Die 1.0.0 Versionen sind nicht betroffen, da sie die fehlerhafte Heartbeat-Erweiterung noch nicht enthalten (https://netzpolitik.org/2014/heartbleed ... n-koennte/). Auslesen kann man die Version im Windows Explorer unter "Eigenschaften" -> Register "Details".

Aber selbst wenn, dann kann der Heartbleed Bug zwar die Verbindung auslesen, also die Kommunikation zwischen Rechner und Dropbox, aber die Daten innerhalb der Datenbank können nicht gelesen werden, da diese als binäre Datei kryptographisch verschlüsselt sind.

magma hat geschrieben: Kann ich irgendwo sichere Updates der dll kriegen

Hier wäre eine optimale Downloadseite: http://indy.fulgan.com/SSL/

magma hat geschrieben:oder muss das der "Autor" bei einem Update erledigen?

Gerade bei Starmoney sollte dies vom Autor kommen, denn hier werden tatsächlich Daten im Klartext übermittelt.