[LUG-RT] Matrix kolportierte Sicherheitslücken

[Friedrich Strohmaier]

Hi Thomas, *,

lieber spät, als nie..

Am 12.02.22 um 00:26 schrieb Thomas Eber:

> Hi,

> da wir es heute davon hatten, hier ein Link:

> https://www.heise.de/news/Luecken-im-Matrix-Protokoll-gefaehrden-Ende-zu-Ende-Verschluesselung-von-Messengern-6191625.html

Datum des Erscheinens: 14.09.2021

> Da liest sich das für mich schon etwas anders. Auch Element ist, je nach
> Version betroffen. Ich lese zwischen den Zeilen, dass da bald
> nachgebessert wird.

Du brauchst nicht zwischen den Zeilen lesen. In der verlinkten Warnmeldung:

https://matrix.org/blog/2021/09/13/vulnerability-disclosure-key-sharing/#timeline

Ultimately, Element took two weeks from initial discovery to completing an audit of all known, public E2EE implementations. It took a further week to coordinate disclosure, culminating in today's announcement.

    Monday, 23rd August — Discovery that Element Web is exploitable.
    Thursday, 26th August — Determination that Element Android is exploitable with a modified attack.
    Wednesday, 1 September — Determination that Element iOS fails safe in the presence of device changes.
    Friday, 3 September — Determination that FluffyChat and Nheko are exploitable.
    Tuesday, 7th September — Audit of Matrix clients and libraries complete.
    Wednesday, 8th September — Affected software authors contacted, disclosure timelines agreed.
    Friday, 10th September — Public pre-disclosure notification. Downstream packagers (e.g., Linux distributions) notified via Matrix and e-mail.
    Monday, 13th September — Coordinated releases of all affected software, public disclosure.

Der Artikel ist also erschienen, *nachdem* die Lücken geschlossen waren - das
ist übliches Vorgehen.

Gruß
Frieder