Jedes Jahr werden auf der Black-Hat-Konferenz mit einer glamourösen Zeremonie die Pwnie Awards verliehen. Dieses Jahr ging der Security-Oscar unter anderem an Heartbleed, Apple, den Hacker Geohot und Mt.Gox-Chef Mark Karpeles.

Die Firma schließt mit ihrem monatlichen Critical Patch Update (CPU) diesmal 113 Lücken. Eine ganze Reihe davon ist kritisch. Ein Bug wurde zum zweiten Mal ausgemerzt.

Die Entwickler des OpenSSL-Forks LibreSSL haben die erste Version ihrer Software veröffentlicht, die andere Plattformen als OpenBSD unterstützt. Damit schickt sich die SSL-Bibliothek an, eine echte Alternative zum Heartbleed-geplagten OpenSSL zu werden.

Nach der Heartbleed-Katastrophe hat das OpenSSL-Projekt nun eine Roadmap veröffentlicht, die helfen soll, organisatorische Mängel im Entwicklungsprozess auszubessern.

Der SSL-GAU ist gut zweieinhalb Monate her und immer noch sind Hunderttausende von Servern verwundbar. Die Patchwelle scheint zum Erliegen gekommen zu sein; das kann fatale Konsequenzen nach sich ziehen.

Der Verursacher der Heartbleed-Lücke hat weiteren Code zum Open-Source-Projekt beigetragen. Und auch der hat offensichtliche Sicherheitslücken.

Ein Proof-of-Concept-Tool zeigt, dass der Heartbleed-Angriff auch im WLAN funktioniert, wenn zur Authentifizierung EAP genutzt wird. Davon sind Access Points und Clients gleichermaßen betroffen.

Die Macher des OpenSSL-Forks ziehen nach 30 Tagen Entwicklung eine positive Bilanz. Man habe viel "schrecklichen Code" gesehen, aber auch viele Fortschritte gemacht. Trotzdem gäbe es noch viel zu tun, wenn man einen neuen Heartbleed-GAU verhindern wolle.

Wer einen Server mit einer für Heartbleed anfälligen OpenSSL-Version betrieben hat, muss damit rechnen, dass seine Private Keys kompromittiert wurden. Trotzdem sind diese in den meisten Fällen immer noch im Einsatz.

Heute unter anderem mit: Einem DCF77-Hack, Diamanten gegen Krypto, Fingerabdrücken im Netzwerk, Pawlowschen Hunden, Ende-zu-Ende-Verschlüsselung für Gruppenchats, etwas Herzblut und spiegelnden Glasflächen.

Nachdem die SSL-Lücke Heartbleed bekannt geworden war, wurde berichtet, die NSA habe von der Lücke gewusst. Das bestreitet die US-Regierung weiter, gibt aber zu, gefundene Sicherheitslücken nicht immer zu veröffentlichen.

Heute unter anderem mit: Heartbleed macht bei Servern das Licht aus, einem Exploit für Gegenangriffe, einem Tool das IPs ausspuckt und einem selbst gebauten Passwort-Safe.

Heartbleed bringt nicht nur Server, sondern auch Clients in Gefahr. FireEye hat nun potenziell verwundbare Android-Apps aufgespürt. Grund zur Panik ist das allerdings nicht.

Nach dem Beseitigen des Heartbleed-Problems sperrten viele Admins vorsorglich ihre SSL-Zertifikate und besorgten sich neue. Trotzdem bedeuten geklaute Server-Schlüssel auch weiterhin ein Problem – denn das Sperren funktioniert eigentlich nicht.

OpenSSL ist historisch gewachsen und unübersichtlich. Das OpenBSD-Team hat deshalb einen Fork namens LibreSSL gestartet, der von Ballast befreit werden soll.

Hackern ist es gelungen, die von SMS-Gateways verschickten Nachrichten auszulesen – Tokens zur Zwei-Faktor-Authentisierung inklusive. Und auch Tor-Exitnodes geben beliebige Speicherinhalte preis.