Skip to content

Java im Webbrowser - Oracle reitet ein totes Pferd

Oracle hat mit Java 7 Update 21 erneut eine Vielzahl von Schwachstellen behoben: 42 Stück, von denen nur zwei Server-Installationen von Java betreffen. Dafür können 39 der Schwachstellen ohne Authentifizierung aus dem Internet ausgenutzt werden. Und 19 der Schwachstellen haben den höchstmöglichen CVSS Base Score zur Bewertung von Schwachstellen von 10.0 - schlimmer geht nicht. Wenigstens sind diesmal keine 0-Day-Schwachstellen dabei, die bereits für Angriffe ausgenutzt wurden.

Gefährdet: Browser Plug In und Java Web Start

"Java im Webbrowser - Oracle reitet ein totes Pferd" vollständig lesen

Code Signing - Auch Schadsoftware kann signiert sein

Oracles Antwort auf Javas ständige Sicherheitsprobleme: Der Einsatz von Code Signing. Vorerst gibt es nur mehr oder weniger ausführliche Warnungen vor nicht oder falsch signierten Applets, irgendwann sollen dann nur noch signierte Applets ausgeführt werden. Die damit erreichte Sicherheit ist aber trügerisch. Wieso, erfahren Sie hier.

Code Signing im Überblick

"Code Signing - Auch Schadsoftware kann signiert sein" vollständig lesen

Botnet greift Wordpress- und Joomla-Installationen an

Zur Zeit greift ein Botnet Wordpress- und Joomla-Installationen an und versucht, über einen Brute-Force-Angriff das Administrator-Passwort zu ermitteln. Was danach passiert, ist nicht ganz klar: Entweder wird auf den erfolgreich angegriffenen Servern ein Exploit-Kit installiert, oder die Server sollen zu einem machtvollen Botnet zusammengefasst werden.

Die Angriffe

"Botnet greift Wordpress- und Joomla-Installationen an" vollständig lesen

Websecurity: Cookie Tossing

Github hat alle Github Pages auf eigene github.io-Domains verlagert. Auslöser dafür war unter anderem die Gefahr von "Cookie Tossing", einem Angriff, der nicht nur Github gefährlich werden kann. Was es damit auf sich hat, erfahren Sie hier.

Als Beispiel-Webanwendung dient ein Portal, dass passenderweise auf portal.example läuft und das es seinen Benutzern unter anderem erlaubt, unter [benutzername].portal.example eigene Websites zu speichern. Die Angriffe wären aber genauso über XSS-Schwachstellen auf portal.example möglich.

Schritt 1: Wir setzen einen Session-Cookie

"Websecurity: Cookie Tossing" vollständig lesen

Kommentare zu PostgreSQL, Ad-Blockern, AT&T Passwortregeln und mehr

Die Themen heute: PostgreSQL ergreift vor der Veröffentlichung eines Sicherheitsupdates eine zweifelhafte Schutzmaßnahme, Ad-Blocker können vor Drive-by-Infektionen schützen, und AT&T verwendet unsichere Passwortregeln. Außerdem noch zwei kurze Lesetipps:

Der Schädling "Flashback" sorgte vor gut einem Jahr dafür, dass die Gefahren von Schadsoftware auch auf dem Mac bekannt wurden: Er baute ein für Mac-Verhältnisse riesiges Botnet auf und war der erste Mac-Schädling, der eine Drive-by-Infektion nutzte, und das sogar vollständig ohne Benutzerinteraktion. Brian Krebs konnte nun den mutmaßlichen Entwickler von Flashback aufdecken, einen 30 Jahre alten Einwohner von Saransk, der Hauptstadt der russischen Region Mordwinien.

Und es gibt etwas Neues zu den Angriffen über Java: Shinsuke Honjo von McAfee berichtet über eine JAR-Datei, die gleich mehrere Exploits enthält. Also sozusagen eine JAR-Datei, sie alle zu knechten. Könnte mal jemand einen Hobbit den Java-Quellcode geben? Nur die JAR-Datei zu entsorgen ist in diesem Fall wohl zu wenig.

PostgreSQL mit zweifelhafter Schutzmaßnahme

"Kommentare zu PostgreSQL, Ad-Blockern, AT&T Passwortregeln und mehr" vollständig lesen

Drucksache: Windows.Developer Magazin 5.2013 - Web-API-Entwickler sind Webentwickler

Im Windows.Developer 5.2013 ist ein Artikel über die Sicherheit von Web-APIs erschienen. Vorgestellt werden die sichere Authentifizierung und Autorisierung, außerdem gibt es ein paar Hinweise darauf, was sonst noch zu beachten ist.

Und hier noch die Links und Literaturverweise aus dem Artikel:

"Drucksache: Windows.Developer Magazin 5.2013 - Web-API-Entwickler sind Webentwickler" vollständig lesen

Drucksache: Entwickler Magazin 3.2013 - Unsicherer Serial Bus

Im Entwickler Magazin 3.2013 ist ein Artikel über Angriffe über den USB-Port erschienen. Vorgestellt werden unter anderem Angriffe über getarnte USB Human Device Interfaces wie USB Rubber Ducky und dem Social Engineering Toolkit.

Und hier noch die Links und Literaturverweise aus dem Artikel:

"Drucksache: Entwickler Magazin 3.2013 - Unsicherer Serial Bus" vollständig lesen

DDoS durch DNS Amplification Attacks

Haben Sie in der dritten Märzwoche etwas vom größten DDoS-Angriff aller Zeiten bemerkt? Die beinahe das Internet zerstörte? Nicht? Nun, dann liegt das wohl vor allem daran, dass die Berichte über das Ende des Internets, gelinde gesagt, etwas übertrieben sind. Es war der bisher größte Angriff auf das Opfer des Angriffs, Spamhaus. Mehr aber auch nicht. Es gab nur lokale Auswirkungen, und zwar in Großbritannien, den Niederlanden und Deutschland. Und selbst da haben die meisten Internetnutzer nichts davon bemerkt, sofern sie nicht gerade einen der angegriffenen Server besuchten.

Trotzdem ist der Angriff recht interessant, zeigt er doch, wie einfach DDoS-Angriffe heutzutage sind. Aber bevor ich zur Beschreibung des Angriffs komme gibt es erst mal einen kurzen Überblick über das Domain Name System.

Das Domain Name System

"DDoS durch DNS Amplification Attacks" vollständig lesen