Skip to content

Microsofts Oktober-Patchday enthüllt 4 0-Day-Exploits

Am Oktober-Patchday hat Microsoft mal wieder zugelangt: Es wurden drei bereits für das Einschleusen von Code aus der Ferne (Remote Code Execution, RCE) ausgenutzte Schwachstellen behoben, außerdem ein ebenfalls bereits für Angriffe ausgenutztes Informationsleck (und das in gleich zwei Komponenten, dem IE und dem Internet Messaging API). Womit wir auf 5 Security Bulletins mit 0-Days darin kommen.

Remote Code Execution in Edge

"Microsofts Oktober-Patchday enthüllt 4 0-Day-Exploits" vollständig lesen

Drucksache: Windows Developer 11.16 - Angriffsziel Active Directory

Im windows.developer 11.16 ist ein Artikel über Angriffe auf Active Directory erschienen.

Active Directory, das ist ja nur ein Verzeichnisdienst. Also so was wie ein Telefonbuch für Windows-Rechner. Das kann ja eigentlich weder besonders gefährdet noch besonders gefährlich sein. Oder?

"Drucksache: Windows Developer 11.16 - Angriffsziel Active Directory" vollständig lesen

Drucksache: Windows Developer 11.16 - Zwei-Faktor-Authentifizierung

Im windows.developer 11.16 ist ein Artikel über die Zwei-Faktor-Authentifizierung erschienen.

Lange Zeit reichte die Kombination aus Benutzername und Passwort aus, um einen Benutzer sicher zu identifizieren. Inzwischen gelangen diese Zugangsdaten immer öfter in falsche Hände. Also muss ein zusätzlicher Faktor die Authentifizierung absichern, wenn man wirklich auf Nummer Sicher gehen will.

"Drucksache: Windows Developer 11.16 - Zwei-Faktor-Authentifizierung" vollständig lesen

USB-Sicherheit 2016: USB Type C wird sicherer, und Windows auch

Diesmal geht es um zwei positive Meldungen zur USB-Sicherheit. Erstens: Die Firmware von USB-Type-C-Geräten kann bei Bedarf signiert werden, was die Sicherheit erhöhen kann. Und im Gegenzug die Möglichkeiten der Benutzer, mit ihren Geräten tun und lassen zu können, was sie wollen, einschränken könnte. Und zweitens: Seit dem März gibt es in Windows eine USB-Schwachstelle weniger.

USB Type C wird sicher(er)

"USB-Sicherheit 2016: USB Type C wird sicherer, und Windows auch" vollständig lesen

Drucksache: PHP Magazin 6.16 - PHP Security Libraries im Überblick

Im PHP Magazin 6.2016 ist ein Überblick über PHP Security Libraries erschienen.

Auf entwickler.de gibt es eine Leseprobe des Artikels.

Es gibt für alles mögliche Libraries und Frameworks. Angefangen bei umfangreichen Paketen für komplette Webanwendungen bis zu ganz speziellen Lösungen für spezifische Probleme. Auch für den Bereich Sicherheit. Und die gucken wir uns jetzt mal an.

"Drucksache: PHP Magazin 6.16 - PHP Security Libraries im Überblick" vollständig lesen

USB-Sicherheit 2016 - Bösartige Sticks im Briefkasten und ein USB-Killer

Außer den bereits vorgestellten Angriffen gab es dieses Jahr (und Ende letzten Jahres) einige weitere interessante Angriffe auf bzw. über USB. Der Einfachheit halber ab jetzt in umgekehrter chronologischer Reihenfolge, der neueste zu erst.

Bösartige(?) USB-Sticks als Hauswurfsendung

"USB-Sicherheit 2016 - Bösartige Sticks im Briefkasten und ein USB-Killer" vollständig lesen

USB-Sicherheit 2016 - Zwei weitere Angriffe

Es geht weiter mit dem Update zu den Angriffen auf und über USB im aktuellen Jahr. Diesmal mit einem über WLAN steuerbaren USB-Device für die schon üblichen Angriffe und einem sich als Netzwerkkarte ausgebenden USB-Device, das in wenigen Sekunden Zugangsdaten ausspähen kann.

Ein bösartiges USB-Device mit WLAN-Steuerung

"USB-Sicherheit 2016 - Zwei weitere Angriffe" vollständig lesen

Microsoft: Ein 0-Day-Exploit und eine 0-Day-Schwachstelle am September Patchday

Am September-Patchday hat Microsoft eine bereits ausgenutzte und eine bereits öffentlich bekannte Schwachstelle behoben. Besondere Gefahr geht von beiden nicht aus, und da auch Adobe keine 0-Days gemeldet hat ist es diesmal ein sehr ruhiger Patchday!

Angriff über Informationsleck im IE

"Microsoft: Ein 0-Day-Exploit und eine 0-Day-Schwachstelle am September Patchday" vollständig lesen

USB-Sicherheit 2016 - Ein Update

Angriffe über USB-Geräte hatte ich ja schon des öfteren im Blog. Der aktuellste Artikel war der Überblick vom 18. Dezember 2014, den ich im Laufe des Jahres 2015 immer mal wieder angepasst habe. Jetzt wird es Zeit für ein Update. Denn Angriffe über USB waren 2016 bereits mehrfach Thema auf den Sicherheitskonferenzen.

BadUSB-Device Marke Eigenbau

"USB-Sicherheit 2016 - Ein Update" vollständig lesen

Kryptographie - Ein Überblick

Die Kryptographie ist ein ein sehr umfangreiches Themengebiet, und obwohl ich mich jetzt seit 30 Artikeln damit befasst habe sind längst nicht alle Themen vorgestellt worden. Aber zumindest die wichtigsten habe ich beschrieben, und damit soll es jetzt auch erst mal genug sein. Dieser Artikel gibt einen Überblick über alle anderen Artikel rund um die Kryptographie, und danach wende ich mich erst mal wieder anderen Themen zu.

Grundlagen und klassische Verfahren

"Kryptographie - Ein Überblick" vollständig lesen

Verfahren der Kryptographie, Teil 18: Angriffe auf Hash-Funktionen

Welche Hashfunktionen unsicher bzw. sicher sind habe ich bereits bei den jeweiligen Beschreibungen der Funktionen MD4, MD5, SHA und SHA-1 (alle unsicher), der SHA-2-Familie (ab 256 Bit Hashlänge, also SHA-256, noch einige Jahre sicher) und SHA-3 (ebenfalls noch einige Jahr sicher) erwähnt. Aber was die Angriffe genau bedeuten wurde bisher nicht erklärt. Jetzt ist es soweit.

Kollisionsangriffe und Preimage-Angriffe

"Verfahren der Kryptographie, Teil 18: Angriffe auf Hash-Funktionen" vollständig lesen

Verfahren der Kryptographie, Teil 17: SHA-3 steht als Alternative und Ersatz bereit

Die Hashfunktionen der SHA-2-Familie sind noch für einige Zeit sicher. Trotzdem gibt es bereits einen Nachfolger: 2007 startete das US-amerikanischen National Institute of Standards and Technology (NIST) einen Wettbewerb zur Suche nach einem neuen kryptographischen Hashalgorithmus als Nachfolger von SHA-2, genannt SHA-3. So ein Wettbewerb hatte sich bereits bei der Suche nach dem DES-Nachfolger AES bewährt, und auch bei der Suche nach SHA-3 war man erfolgreich.

2. November 2007: Das NIST startet eine neue Castingshow

"Verfahren der Kryptographie, Teil 17: SHA-3 steht als Alternative und Ersatz bereit" vollständig lesen

Verfahren der Kryptographie, Teil 16: SHA-2 ist noch für einige Jahre sicher

Nachdem die weit verbreiteten Hashfunktionen MD4, MD5, SHA und SHA-1 alle Schwächen zeigten, war es Zeit für eine neue sichere Hashfunktion. Das war und ist die Funktion SHA-2. Die es so gar nicht gibt, denn es handelt sich um mehrere Funktionen mit unterschiedlichen Ausgabelängen. Die Algorithmen der SHA-2-Familie wurden erstmals in FIPS PUB 180-2 (PDF) (in dem auch SHA-1 definiert ist) spezifiziert. SHA-2 ist zwar ein Nachfolger von SHA-1, aber zumindest bisher noch sicher.

SHA-2 - Eine wachsende Familie

"Verfahren der Kryptographie, Teil 16: SHA-2 ist noch für einige Jahre sicher" vollständig lesen