Sicherheitslücken bei BigBlueButton entdeckt und geschlossen - So schützen Sie Ihre Videokonferenzen
Sehr geehrte Leserinnen und Leser,
die zunehmende Nutzung von Videokonferenz-Tools hat die Sicherheit dieser Plattformen zu einer Priorität gemacht. Das Bundesamt für Informationssicherheit (BSI) hat im Rahmen des Projekts Codeanalyse von Open Source Software (CAOS) den Code beliebter Open-Source-Videokonferenz-Tools untersucht. Dabei wurden kritische Sicherheitslücken bei BigBlueButton entdeckt, die inzwischen von den Entwicklern geschlossen wurden.
Die Untersuchung von CAOS umfasste eine umfassende Sicherheitsprüfung, einschließlich Sourcecode Review, dynamischer Analyse und Schnittstellenanalyse. Bei BigBlueButton wurden zwei kritische Sicherheitslücken gefunden, die Cross-Site-Scripting ermöglichten und es Angreifern ermöglichten, JavaScript-Payloads über den Usernamen einzuschleusen. Glücklicherweise wurden diese Lücken bereits in den neueren Versionen des Open-Source-Werkzeugs behoben.
Neben den entdeckten Schwachstellen identifizierte das CAOS-Projekt auch 75 Abhängigkeiten von anderem Open-Source-Code mit kritischer oder hoher Sicherheitseinstufung bei BigBlueButton. Ähnlich wurden 31 solcher Abhängigkeiten bei Jitsi gefunden. Zudem wiesen beide Projekte Code auf, der auf "schlechte Praxis" hindeutete und durch softwaregestützte Qualitätsprüfung hätte entdeckt werden sollen. Die Untersuchung fand zwischen dem 1. Februar und dem 25. April 2022 statt.
Das CAOS-Projekt ist eine Zusammenarbeit zwischen dem Bundesamt für Sicherheit in der Informationstechnik und der mgm security partners GmbH in München. Ziel des Projekts ist es, die Sicherheit beliebter Open-Source-Software zu verbessern und die Teams der Entwickler beim Schreiben sicherer Codes zu unterstützen. Der Fokus liegt dabei auf Anwendungen, die vermehrt von Behörden oder Privatanwendern verwendet werden.
Wenn Sie Videokonferenz-Tools wie BigBlueButton nutzen, ist es wichtig, dass Sie die aktuellsten Versionen installieren, um von den behobenen Sicherheitslücken zu profitieren. Es wird empfohlen, die Sicherheitsvorkehrungen Ihres Systems regelmäßig zu überprüfen und sicherzustellen, dass alle erforderlichen Updates installiert sind.
Wir danken dem CAOS-Projekt für ihre Arbeit, um die Sicherheit von Open-Source-Software zu verbessern und die Anwender vor potenziellen Sicherheitsrisiken zu schützen. Ihre Sicherheit ist uns wichtig, und wir hoffen, dass diese Entdeckungen dazu beitragen, das Bewusstsein für Sicherheitsaspekte bei Videokonferenzen zu stärken.
Mit freundlichen Grüßen,
Ihr Stumptner IT Team