Update schließt kritische Lücke in PuTTY

Für PuTTY, den quelloffenen SSH/Telnet-Client für Windows und Unix, gibt es ein Update, das acht Fehler behebt. Unter anderem wird mit Version 0.62 auch eine als kritisch eingestufte Sicherheitslücke geschlossen. Sie ermöglicht es Angreifern, sich die Zugangsdaten von Nutzern zu erschleichen. Durch die Schwachstelle verbleiben Passwörter nach dem Login auf einem SSH-Server im Arbeitsspeicher. Erst wenn die Anwendung wieder geschlossen wird, verschwindet auch das Passwort aus dem Speicher. So konnten Angreifer unter bestimmten Umständen die Passworte abgreifen. Dazu kommt, dass die Passworte in manchen Fällen auch in der Auslagerungs-Datei oder in Speicherdumps erhalten blieben. Laut dem Entwickler Simon Tatham sind von dieser Lücke die Versionen 0.59, 0.60 und 0.61 betroffen.

Alle anderen behobenen Fehler gelten nicht als sicherheitskritisch. Es handelt sich dabei beispielsweise um Darstellungsfehler. Außerdem werden mit der neuen Version Probleme bei der Authentifizierung über GSSAPI behoben. Davon betroffen sind auch sie Tools Pageant, PuTTYtel, Pscp und Psftp.

In der offiziellen Ankündigung und den Release-Notizen haben die Entwickler die einzelnen Fehler genau aufgelistet und beschrieben. Nutzer können die Binärdateien der freien Implementierung im Download-Bereich der Projektseite kostenlos herunterladen.