Es gibt neue Entwicklungen beim Binary Planting, und eine Schwachstelle im GNU-C-Loader ermöglicht das Erlangen von root-Rechten.
Donnerstag, 28. Oktober 2010
Binary Planting frei Haus und mehr
Dienstag, 26. Oktober 2010
Firesheep fängt ungeschützte Cookies
Eric Butler und Ian 'craSH' Gallagher haben auf der Konferenz ToorCon 12 die von Eric Butler entwickelte Firefox-Erweiterung Firesheep vorgestellt, die ungeschützt übertragene Session-Cookies einsammelt und ihrem Nutzer damit den Zugriff auf fremde Benutzerkonten erlaubt: 'Hey Web 2.0: Start protecting user privacy instead of pretending to'.
Firefox-Erweiterung für Mac OS X und Windows
"Firesheep fängt ungeschützte Cookies" vollständig lesen »Montag, 25. Oktober 2010
Apple verschlechtert und verbessert die Sicherheit von Mac OS X
Apple hat in der vorigen Woche zwei sicherheitsrelevante Entscheidungen veröffentlicht: Die Einführung des App Store für Mac OS X und den Verzicht auf (die eigene Version von) Java. Während der App Store die Sicherheit von Mac OS X eindeutig verschlechtern wird, erhöht sie der Verzicht auf Java.
App Store - Updates erst mit Verzögerung?
"Apple verschlechtert und verbessert die..." vollständig lesen »Donnerstag, 21. Oktober 2010
Angriff und Abwehr des CookieMonster
Cookies, deren 'Secure'-Flag nicht gesetzt ist, werden auch über ungeschützte HTTP-Verbindungen übertragen und können dabei ausgespäht werden. Das ist besonders für Session- oder Authentifizierungscookies fatal, da sich der Angreifer damit als der angegriffene Benutzer ausgeben kann.
Mail als Beispiel
"Angriff und Abwehr des CookieMonster" vollständig lesen »Montag, 18. Oktober 2010
Stuxnet - Ein Überblick über die Entwicklung
Stuxnet lieferte mir zuletzt vor 3 Wochen das Thema, als es um die Frage "Stuxnet - Der erste Schritt zum Cyberwar?" ging. Seitdem hat sich einiges getan, und wenn auch noch immer nicht geklärt ist, wer mit Stuxnet wen angegriffen hat, gibt es zumindest über die ersten Fakten hinausgehende Informationen.
Die 0-Day-Schwachstellen
"Stuxnet - Ein Überblick über die Entwicklung" vollständig lesen »Donnerstag, 14. Oktober 2010
HTTPS und Cookies sicher einsetzen
Der unsichere Einsatz von HTTPS und Cookies kann auch die beste Authentifizierungsfunktion einer Webanwendung nutzlos machen: Der Angreifer späht die Zugangsdaten entweder schon vor der Authentifizierung aus, oder verschafft sich über einen ausgespähten Session- oder Authentifizierungscookie Zugang zur Webanwendung.
Der unsichere Einsatz von HTTPS
"HTTPS und Cookies sicher einsetzen" vollständig lesen »Montag, 11. Oktober 2010
Adobe, Microsoft, das BKA und HTML 5 als Objekt einer Nutzerbewertung
Heute beginnt in Mainz die WebTech Conference, und da ich noch mit letzten Vorbereitungen für meinen Vortrag beschäftigt bin, es andererseits aber eigentlich einiges zu kommentieren gäbe, gibt es heute quasi eine "kommentierte Linksammlung", frei nach dem Motto: "Wenn Microsoft Adobe kauft, lädt das BKA bestimmte Journalisten ein und warnt mit dem W3C in einer gefälschten Rezension vor HTML 5".
Microsoft kauft Adobe, oder: Steve Ballmer verliert die Geduld?
"Adobe, Microsoft, das BKA und HTML 5 als Objekt..." vollständig lesen »Donnerstag, 7. Oktober 2010
Binary Planting - Welche Angriffe sind möglich und wie verhindert man sie?
Welche Angriffe sind beim auch DLL Preloading genannten Binary Planting möglich und welche Gegenmaßnahmen gibt es für Entwickler und Anwender? Über Binary Planting kann ein Angreifer immer Schadcode in die Anwendung einschleusen. Welche Angriffsvektoren es gibt und wie aufwändig die Ausnutzung der Schwachstelle ist, ist vom jeweiligen Programm und der Systemkonfiguration abhängig. Denn die kann als wichtige Gegenmaßnahme dafür sorgen, dass keine Bibliotheken von Netzwerklaufwerken oder dem aktuellen Arbeitsverzeichnis geladen werden können.
Auswirkungen der Schwachstelle
"Binary Planting - Welche Angriffe sind möglich..." vollständig lesen »Montag, 4. Oktober 2010
"Yes, we can wiretap"... oder besser doch nicht?
Blackberry-Fan
Barack Obama scheint mit seinen Sicherheitsfanatikern,
Pardon, -politikern, die gleichen Probleme zu haben wie wir hier in
Deutschland: Die können den Hals einfach nicht voll kriegen, wenn es
um Überwachungstechnologien geht. Der neueste Streich, dem er
anscheinend auch noch wohlwollend gegenüber steht: Ein Gesetzesentwurf
zum vereinfachten Abhören verschlüsselter Internet-Kommunikation.
Aus "Yes we can" wird "Yes we can wiretap"?
"Wir wollen schnüffeln können!!!"
""Yes, we can wiretap"... oder besser..." vollständig lesen »
(Seite 1 von 1, insgesamt 9 Einträge)
