Ich muss das hier mal korrigieren. Auch wenn die Aussage, dass Hibiscus libnss verwendet, direkt bei heise.de stand. Es ist falsch (edit: nicht ganz richtig). Zur Klarstellung:
1) Firefox besitzt in der Tat eine eigene SSL-Implementierung namens NSS. Das stammt noch aus der Zeit, als der Browser noch Netscape hiess. Vermutlich gabs zur der Zeit openSSL schlicht noch nicht. Weiss ich aber nicht. Hier ist das naeher beschrieben:
http://en.wikipedia.org/wiki/Network_Security_Services
2) Weder Hibiscus selbst noch Jameica besitzt eine eigene SSL-Implementierung. Natuerlich nicht. Ich bin ja nicht wahnsinnig, sowas selbst programmieren zu wollen. Stattdessen werden die bei Java mitgelieferten Bordmittel verwendet. Schon von daher ist die Frage, ob Hibiscus betroffen ist, eigentlich falsch. Wenn, dann muesste man fragen, ob Java betroffen ist. Ist es nicht. Und Java verwendet auch nicht NSS. Stattdessen besitzt Java - seit so ziemlich jeher - ebenfalls eine eigene SSL-Implementierung. Nennt sich JSSE und ist hier ausfuehrlich beschrieben:
http://docs.oracle.com/javase/…l#Features Das ist komplett in Java geschrieben. Laeuft also in der Java VM und nutzt daher auch deren Speicher-Management. Also selbst wenn das TLS-Heartbeat-Feature (ich weiss gar nicht, ob das in JSSE ueberhaupt umgesetzt wurde) einen Bug haette, wuerde das keine Rolle spielen, weil direkter Speicher-Zugriff aus Java heraus gar nicht moeglich ist. Und erst recht keine haendische Allokierung eben dieses. Aber das schweift ab.
3) Im Visier der Heartbleed-Luecke stehen Server-Dienste, die gegen die entsprechenden OpenSSL-Versionen gelinkt sind. Server. Wo von aussen ein TCP-Port definiert erreichbar ist, dem man manipulierte TLS-Heartbeat-Pakete schicken kann. Der letzte Punkt trifft auf Clients (wie Hibiscus einer ist) schon mal gar nicht zu. Um ueberhaupt erstmal in der Lage zu sein, die Heartbleed-Luecke gegen einen Client fahren zu koennen, muesste man z.Bsp. mittels Man-in-the-Middle-Angriff Client-Anfragen auf einen kompromittierten Server umlenken, um von dort aus dann den Angriff zu fahren. Und wenn man das geschafft hat, braucht man die Heartbleed-Luecke eigentlich nicht mehr. Dann hat man aber noch 100 andere Moeglichkeiten, dem Client Schadsoftware unterzuschieben oder die Kontrolle ueber den Rechner zu uebernehmen.
Also hoert bitte auf, euch wegen Heartbleed Gedanken um die Client-Software (egal ob Hibiscus, Banking4W, Starmoney oder sonstwelche Software) zu machen. Selbst wenn sie die betroffene OpenSSL-Version verwenden wuerden. Das Szenario, einen Angriff ueber diese Luecke gegen einen Client zu fahren, bewegt sich auf einem Level, wo es auch 100 andere Moeglichkeiten fuer Angreifer gibt. Angefangen von Schwachstellen in Browsern, Browser-Plugins, Smartphones, u.ae.
Macht euch lieber Gedanken, ob der Server eurer Bank betroffen war/ist. Denn dort lauert die eigentliche Gefahr. Ich weiss nicht, wie da aktuell tatsaechlich die Gefahr ist. Das koennen nur die Banken bzw. deren IT-Dienstleister beantworten.
