Adobe hat außer der Reihe ein als kritisch eingestuftes Update für den Flash Player veröffentlicht - wohl weil eine nur als "wichtig" eingestufte XSS-Schwachstelle für gezielte Angriffe ausgenutzt wird. Und wie schon üblich gab es das Update für Google Chrome mit seinem integrierten Flash Player etwas früher.
Die Banken schaffen die iTAN ab, weil es (zu viele) Kunden gibt, die das Opfer von Man-in-the-Browser-Angriffen werden oder auf Phisher hereinfallen. Möchte jemand wetten, dass genau diese Kunden sich nicht stattdessen genauso einfach einen Smartphone-Trojaner zum Abfangen der smsTAN/mTAN unterschieben lassen? Nicht? Auch niemand von den Banken? Aha. Und warum wird dann die smsTAN/mTAN so energisch beworben?
Der aktuelle Angriff auf bzw. die Reaktion darauf durch DigiNotar macht ein grundlegendes Problem der IT-Sicherheit, nicht nur im Umgang mit SSL-Zertifikaten, sichtbar: Vertrauen, das missbraucht werden oder ungerechtfertigt sein kann. Oder beides. Aber konzentrieren wir uns erst mal auf das Problem der SSL-Zertifikate, über z.B. mögliche Hintertüren in Netzwerkhardware und Betriebssystemen werde ich ein anderes Mal was schreiben.