Wie der Name schon sagt geht es um die Sicherheit von JavaScript (und
HTML5, dass ja viele neue JavaScript-APIs mit bringt). Behandelt werden
XSS-Angriffe und deren Möglichkeiten, zum Beispiel der
Implementierung eines Rootkits für Webclients, der Kompromittierung
des lokalen SOHO-Routers oder dem Aufbau eines Broser-basierten Botnets.
Nicht zu vergessen die Möglichkeit, über XSS den Server zu
kompromittieren.
Angriffe über die Grafikfunktionen von HTML5, entweder um Daten
auszuspähen oder den Browser zu identifizieren.
Die Content Security Policy als gute Möglichkeit zur Abwehr von
Angriffen.
Vorgestellt werden verschiedene Angriffe rund um das UI und wie man sie
abwehrt. Die Themen im einzelnen sind
Logikfehler, durch die sich die Webanwendung anders verhält als
vom Entwickler gedacht.
Die Möglichkeiten zur sicheren Authentifizierung der Benutzer,
denn einfach nur Benutzername und Passwort abfragen reicht heute nicht mehr
aus. Zur wirklich sicheren Authentifizierung muss schon ein zweiter Faktor
hinzu gezogen werden, zum Beispiel der Google Authenticator.
Aktuelle Entwicklungen rund um das auch als UI-Redressing bezeichnete
Clickjacking.
Noch einmal geht es um den von Trammell Hudson entwickelten
Thunderstrike-Angriff,
den er auf dem 31. Chaos Communication Congress (31C3)
vorgestellt hat.
Er wird detailliert in einer
kommentierten Version
des 31C3-Vortrags (den es auch als
Video
auf YouTube gibt) vorgestellt. Außerdem gibt es eine
FAQ.
Im
ersten Teil
haben Sie erfahren, dass und wie die EFI-Firmware des Mac manipuliert
werden kann, wenn der Angreifer sich direkten Zugriff auf den ROM-Chip
verschafft. Also das Gerät öffnet und eigene Hardware mit dem Chip
verbindet. Im
zweiten Teil
stellte sich heraus, dass der Angriff auch ohne Öffnen des Geräts
möglich ist, es muss nur ein manipuliertes Thunderbolt-Gerät
angeschlossen werden. Darüber kann dann der für die Prüfung
der Signatur des Firmware-Updates verwendete öffentliche
Schlüssel von Apple gegen einen des Angreifers ausgetauscht werden.
Wie so ein Angriff ablaufen kann und welche Folgen er hat erfahren Sie
nun.
Da die Überwachungsfanatiker mal wieder nach
Hintertüren in Verschlüsselungen
schreien, sei an den folgenden Artikel des leider viel zu früh verstorbenen
Andreas Pfitzmann
anlässlich der ersten Krypo-Debatte erinnert:
Andreas Pfitzmann:
Wie es zum Schlüsselhinterlegungs- und Aufbewahrungs-Gesetz (SchlAG) kam;
PIK, Praxis der Informationsverarbeitung und Kommunikation, 18/4 (1995)
246.
Zu finden im
Archiv
der SIRENE-Gruppe (in dem es auch noch einige weitere Texte zur ersten
Krypo-Debatte gibt) als
Pfit10_95SchlAG.ps.gz.
Es gibt gute Neuigkeiten zur
aktuellen
0-Day-Schwachstelle im Flash Player (die inzwischen die CVE-ID
CVE-2015-0311
erhalten hat): Adobe hatte schon am 22. Januar ein
Security Bulletin
zur neuen Schwachstelle
veröffentlicht
und einen Patch für die Woche ab den 26. Januar angekündigt. Das
wurde am
24. Januar aktualisiert:
Das aktuell über die Auto-Update-Funktion verteilte Update auf die
Version 16.0.0.296 beseitigt die Schwachstelle, die Download-Version soll
weiterhin in der Woche ab dem 26. Januar veröffentlicht werden.
Außerdem arbeitet Adobe mit Google und Microsoft zusammen daran, auch
die in Chrome und IE 10 und 11 integrierten Flash-Player zu aktualisieren.
Inzwischen ist die neue Version auch bereits auf der
Download-Seite
für den Flash Player verfügbar.
Adobe hat eine 0-Day-Schwachstelle im Flash Player
gepatcht,
die bereits für Angriffe ausgenutzt wird. Dabei handelt es sich
nicht um die heute morgen gemeldete
0-Day-Schwachstelle im Flash Player,
die wird noch
untersucht.
Er ist da: Der
erste
0-Day-Exploit des Jahres 2015, über den sich Code einschleusen
lässt. Wie schon
2014
macht der Flash Player den Anfang. Doch während die Angriffe im
vorigen Jahr nur gezielt waren und erst mit der Veröffentlichung des
Patches veröffentlicht wurden, ist der Exploit dieses Jahr in einen
Exploit Kit enthalten, und einen Patch gibt es auch noch nicht.
Angler Exploit Kit mit 0-Day-Exploit für Flash Player
Auch in dieser Folge geht es um den von Trammell Hudson entwickelten
Thunderstrike-Angriff,
den er auf dem 31. Chaos Communication Congress (31C3)
vorgestellt hat.
Er wird detailliert in einer
kommentierten Version
des 31C3-Vortrags (den es auch als
Video
auf YouTube gibt) vorgestellt. Außerdem gibt es eine
FAQ.
Im
ersten Teil
haben Sie erfahren, dass und wie die EFI-Firmware des Mac manipuliert
werden kann, wenn der Angreifer sich direkten Zugriff auf den ROM-Chip
verschafft. Also das Gerät öffnet und eigene Hardware mit dem Chip
verbindet. Viel interessanter wäre der Angriff jedoch, wenn das
Gerät nicht geöffnet werden müsste. Und das ist auch
tatsächlich nicht nötig, denn...