Skip to content

0-Day-Schwachstelle im Internet Explorer, die dritte

Es gibt schon wieder eine 0-Day-Schwachstelle im Internet Explorer. Insgesamt die 15. in diesem Jahr, und die dritte im Internet Explorer (und dann gab es da ja auch noch die Ende Dezember 2012 im IE gemeldete, die es fast in dieses Jahr geschafft hätte). Diesmal hat mal wieder Microsoft als erster vor der Schwachstelle gewarnt:

Microsoft veröffentlicht Advisory und Workaround

"0-Day-Schwachstelle im Internet Explorer, die dritte" vollständig lesen

Drucksache: PHP Magazin 6.2013 - Passwörter speichern, aber richtig!

Im PHP Magazin 6.2013 ist ein Artikel über die sichere Speicherung von Passwörtern erschienen. Vorgestellt werden die verschiedenen Möglichkeiten, Passwörter zu speichern, sowie Angriffe darauf. Das Fazit des Artikels: Für PHP ist das mit PHP 5.5 eingeführte Passwort-Hashing-API die sicherste Lösung.

Und hier noch die Links und Literaturverweise aus dem Artikel:

"Drucksache: PHP Magazin 6.2013 - Passwörter speichern, aber richtig!" vollständig lesen

Drucksache: windows.developer Magazin 10.2013 - Embedded (In)security

Im windows.developer 10.2013 ist ein Artikel über die Sicherheit von Embedded Devices erschienen. Vorgestellt werden theoretische und praktische Angriffe auf verschiedene Embedded Devices wie zum Beispiel

  • die Steuerrechner von Druckern und Multifunktionsgeräten,
  • allgemein die Webserver in Embedded Devices sowie
  • Insulinpumpen und andere Medizintechnik im und am Menschen.

Und hier noch die Links und Literaturverweise aus dem Artikel:

"Drucksache: windows.developer Magazin 10.2013 - Embedded (In)security" vollständig lesen

Schutzmaßnahmen: Weitere Angriffe trotz ASLR

Eine der ersten beiden Schutzmaßnahmen gegen Angriffe auf Pufferüberlauf-Schwachstellen ist die Data Execution Prevention (DEP). Da sie sich umgehen lässt, reicht sie als alleiniger Schutz nicht aus. Zusätzlichen Schutz bietet die Adress Space Layout Randomization (ASLR), aber auch diese Schutzmaßnahme lässt sich natürlich umgehen. Bereits beschrieben wurden Angriffe über Heapspraying mit Java und der Missbrauch der DLLs des Flash Players.

Weitere Angriffe trotz ASLR

"Schutzmaßnahmen: Weitere Angriffe trotz ASLR" vollständig lesen

NSA: Nicht die Krypto-Verfahren, sondern ihre Implementierungen sind unsicher

Guardian, New York Times und ProPublica haben berichtet. dass die NSA viele Krypto-Verfahren, darunter SSL, entschlüsseln kann. Das bedeutet aber nicht, dass diese Verfahren gebrochen sind.

Die Kryptographie-Verfahren sind sicher

"NSA: Nicht die Krypto-Verfahren, sondern ihre Implementierungen sind unsicher" vollständig lesen

Schutzmaßnahmen: ASLR kann unterlaufen werden

Eine der ersten beiden Schutzmaßnahmen gegen Angriffe auf Pufferüberlauf-Schwachstellen ist die Data Execution Prevention (DEP). Da sie sich umgehen lässt, reicht sie als alleiniger Schutz nicht aus. Zusätzlichen Schutz bietet die Adress Space Layout Randomization (ASLR), aber auch diese Schutzmaßnahme lässt sich natürlich umgehen.

Angriffe trotz ASLR

"Schutzmaßnahmen: ASLR kann unterlaufen werden" vollständig lesen