Skip to content

Die 0-Day-Exploits und die Angriffe auf Apple, Microsoft und Co.

Wie angekündigt geht es heute um die aktuellen 0-Day-Exploits, die Angriffe auf Unternehmen wie Facebook, Apple und Microsoft und was sonst noch so alles damit zusammen hängt.

Das folgende basiert lose auf der "Timeline: Hacks Related to Apple" von Sean Sullivan von F-Secure, die ich teilweise korrigiert und um etliche zusätzliche Informationen erweitert habe.

10. Januar: Java-Exploit "in the wild" und vielen Exploit-Kits

"Die 0-Day-Exploits und die Angriffe auf Apple, Microsoft und Co." vollständig lesen

Ein Link-Tip, sonst nichts

Aus Zeitgründen fällt der "Standpunkt" in dieser Woche aus. Das geplante Thema: Meine Version des Puzzles aus all den 0-Day-Exploits, den Angriffen auf Unternehmen einschließlich Apple und Microsoft und was da sonst noch so los war. Evtl. werde ich den Text am Donnerstag veröffentlichen.

Darum gibt es heute auch nur einen Linktip zum Thema: Sean Sullivan hat am 20. Dezember im Blog von F-Secure eine "Timeline: Hacks Related to Apple" veröffentlicht. Die deckt aber nur einen Teil der Entwicklung ab, insbesondere ist der am Freitag bekannt gewordene Angriff auf Microsoft noch nicht enthalten.

Carsten Eilers

Websecurity - Logikfehler in der Authentifizierung und auf der Flucht

Auch in dieser Folge geht es noch um Beispiele für Angriffe über Logikfehler in Webanwendungen, wie sie im Jahr 2012 zum Beispiel von Sumit Siddharth und Richard Dean, David Byrne und Charles Henderson (Paper als PDF) oder Marcus Pinto auf Sicherheitskonferenzen vorgestellt wurden.

Ein weiterer Fehler in der Authentifizierung

"Websecurity - Logikfehler in der Authentifizierung und auf der Flucht" vollständig lesen

Die 0-Day-Schwachstellen der Woche, diesmal im Adobe Reader

Es gibt schon wieder neue 0-Day-Schwachstellen, diesmal zwei Stück im Adobe Reader. So langsam überlege ich, ob es sich lohnt, dafür eine neue Kategorie einzurichten. Oder sollte ich den "Standpunkt" einfach umbenennen? Auch eine Übersichtsseite dürfte sich bald lohnen.

Der aktuelle Stand

"Die 0-Day-Schwachstellen der Woche, diesmal im Adobe Reader" vollständig lesen

Websecurity - Logikfehler in der Authentifizierung

Auch in dieser Folge geht es weiter um Angriffe über Logikfehler in Webanwendungen. Im Jahr 2012 wurden die zum Beispiel von Sumit Siddharth und Richard Dean, David Byrne und Charles Henderson (Paper als PDF) oder Marcus Pinto auf Sicherheitskonferenzen vorgestellt wurden.

Logikfehler in der Authentifizierung

"Websecurity - Logikfehler in der Authentifizierung" vollständig lesen

Drucksache Entwickler Magazin 2.2013: Mac Security - Ein Satz mit X?

Im Entwickler Magazin 2.2013 ist ein Artikel über die Sicherheit von Mac OS X erschienen. Begleiten Sie mich auf einer Zeitreise durch die Sicherheitswelt aus Apples Sicht. Los geht es 2004, die Reise endet Dezember 2013 (gedruckte Magazin brauchen halt etwas Vorlauf, die aktuellen Probleme rund um Java sind daher nicht enthalten).

Der Artikel wurde auch im Rahmen der Mac Security Week auf der Website des WebMagazin veröffentlicht:

Links und Literaturverweise gibt es diesmal nicht. Da alle Quellen im Internet zu finden und in der Online-Version direkt verlinkt sind wurde im Magazin auf eine Nummerierung verzichtet. Und auch die Timeline enthält fast alle Links.

Carsten Eilers

Drucksache: Windows.Developer 3.2013 - Authentifizierung und Autorisierung in SharePoint 2013

Im windows.developer Magazin 3.2013 ist ein Artikel über die Authentifizierung und Autorisierung in SharePoint 2013 erschienen. Beschrieben werden die Claims-basierte Authentifizierung und die Autorisierung externer Apps mit Hilfe von OAuth.

Und hier noch die Links und Literaturverweise aus dem Artikel:

"Drucksache: Windows.Developer 3.2013 - Authentifizierung und Autorisierung in SharePoint 2013" vollständig lesen

Websecurity - Angriffe über Logikfehler, Teil 2

Auch in dieser Folge geht es um Angriffe über Logikfehler in Webanwendungen, wie sie zum Beispiel von Sumit Siddharth und Richard Dean, David Byrne und Charles Henderson (Paper als PDF) oder Marcus Pinto 2012 auf Sicherheitskonferenzen vorgestellt wurden.

Beispiel 2: Eine einfache Messaging-Anwendung

"Websecurity - Angriffe über Logikfehler, Teil 2" vollständig lesen

Ein unerwartetes Java-Update

Oracle hat mehr oder weniger "heimlich, still und leise" ein neues Update für Java 7 veröffentlicht, genauer: Die für den 19. Februar geplante Veröffentlichung des nächsten regulären Updates vorgezogen - da es auf eine der Schwachstellen bereits Angriffe gibt. Und das Update hat es in sich: Von 50 behobenen Schwachstellen können 49 ohne Authentifizierung aus der Ferne ausgenutzt werden, 26 haben die höchste Gefahrenstufe 10.0 - WENN Sie Java noch auf dem Rechner haben, sollten Sie es schnell updaten. Oder vielleicht besser löschen?

Java 7 Update 13 veröffentlicht

"Ein unerwartetes Java-Update" vollständig lesen