... es ist ja schon wieder Donnerstag!?! Irgendwie habe ich es jetzt
total verpasst, den Grundlagentext für heute fertig zu machen. Das
werde ich dann morgen im Laufe des Tages erledigen und den Text dann Online
stellen. Je nachdem, was morgen sonst noch so anfällt, evtl. auch
erst am Samstag.
Ich bitte um Entschuldigung - meine "innere Uhr" scheint einen Tag nach zu
gehen.
Apple hat ein dringendes Update für iOS veröffentlicht, die damit
behobenen Schwachstelle in der Prüfung von SSL-Zertifikaten betrifft
auch Mac OS X. Der zu Grunde liegende Fehler ist... sagen wir mal
"interessant", und das aus mehreren Gründen.
Die
dritte
0-Day-Schwachstelle des Jahres befindet sich im Flash Player. Und weil das
so harmlos klingt: Es ist nicht nur die dritte 0-Day-Schachstelle des
Jahres, sondern auch des Monats - die erste wurde von Adobe am 4. Februar
behoben,
am 13. Februar war dann Microsofts Internet Explorer
fällig,
und gestern musste Adobe wieder ran. Und jetzt sind erst mal Sie dran:
Installieren Sie das Update so schnell wie möglich. Wer weiß
schon, wie lange es dauert, bis der Exploit in den einschlägigen
Exploit-Kits landet und ihm Rahmen von Drive-by-Infektionen verwendet wird?
Danach können Sie dann in Ruhe lesen, was bisher über die
Schwachstelle und Angriffe bekannt ist:
Weiter geht es mit den Aktualisierungen zum Thema
Clickjacking.
In dieser Folge werden Cross Origin Resource Jacking (CORJacking) und ein
Clickjacking-PlugIn für BeEF vorgestellt und die Probleme der
X-Frame-Options-Header SAMEORIGIN-Option an zwei Beispielen gezeigt.
Die
zweite
0-Day-Schwachstelle des Jahres 2014 befindet sich im Internet Explorer und
wird im Rahmen von Wasserloch-Angriffen über die Website der "U.S.
Veterans of Foreign Wars" ausgenutzt.
Im
Entwickler Magazin 2.2014
ist der zweite Artikel einer kleinen Serie über die Sicherheit
kryptographischer Verfahren angesichts der NSA-Enthüllungen
erschienen.
Seit der Veröffentlichung der von Edward Snowden geleakten NSA-Daten
ist die Verunsicherung groß: Wo hat die NSA überall die Finger
im Spiel? Was ist noch sicher? Welchen Protokollen kann man noch
vertrauen? Ich werde versuchen, diese Fragen in einer kleinen Artikelserie
zu beantworten. In dieser Folge geht es um asymmetrischer
Verschlüsselung, bei der zum Ver- und Entschlüsseln verschiedene
Schlüssel verwendet werden, und die aus symmetrischen und
asymmetrischen Systemen kombinierten hybriden Systeme.
Und hier noch die Links und Literaturverweise aus dem Artikel:
Im
Entwickler Magazin 2.2014
ist der erste Teil eines zweiteiligen Artikels über die OWASP Top 10,
die zehn gefährlichsten Schwachstellen in Webanwendungen, erschienen.
Die Reihenfolge der Schwachstellen ergibt sich aus vier Faktoren:
Die Wahrscheinlichkeit dafür, dass eine Webanwendung die
Schwachstelle enthält ("Prevalence").
Die Wahrscheinlichkeit dafür, dass ein Angreifer die
Schwachstelle entdeckt ("Detectability").
Die Wahrscheinlichkeit dafür, dass ein Angreifer die
Schwachstelle erfolgreich ausnutzt ("Exploitability").
Die typischen Folgen eines Angriffs ("Impact").
Los geht es mit den Plätzen 1 bis 5:
A1 - Injection
A2 - Broken Authentication and Session Management
A3 - Cross-Site Scripting (XSS)
A4 - Insecure Direct Object References
A5 - Security Misconfiguration
Und hier noch die Links und Literaturverweise aus dem Artikel:
Das Internet Storm Center
warnt
vor einem aktuell laufenden Massen-Angriff auf Linksys E1000 und E1200
Router. Das Bundesamt für Sicherheit in der Informationstechnik (BSI)
empfiehlt dringend
die Installation der von AVM veröffentlichten Updates für die
Fritz!Box. Und manche Asus-Router enthalten Schwachstellen, über die aus
dem Internet ohne Zugangsdaten auf die Geräte zugegriffen werden kann.
Heute gibt es Kommentare zur 0-Day-Schwachstelle im Flash Player,
einer neuen Taktik für Drive-by-Infektionen und
Werbung für bösartige Installationsprogramme. Und gleich zu Anfang einen
Hinweis zu Schadsoftware anlässlich der Olympischen Winterspiele.
Allerdings nicht den aktuellen, sondern denen vor 20 Jahren - im Blog von
F-Secure gibt es einen Artikel von Mikko Hypponen dazu:
Malware and Winter Olympics.
1994 gab es einen Virus, heutzutage wird mit dem Lockvogel "Olympische
Spiele" alles mögliche verbreitet.
Eigentlich wäre auch mal ein Kommentar zu den ganzen Angriffen auf und
über Router und den Schwachstellen darin fällig, das häuft
sich in letzter Zeit ja. Aber dazu werde ich erst ein oder zwei
Grundlagenartikel schreiben, das Thema "Netzwerksicherheit" ist ja nach dem
Clickjacking sowieso mit Aktualisierungen an der Reihe.
Kurz etwas zur 0-Day-Schwachstelle im Flash Player
JavaScript-Code kann so wie jedes andere Computerprogramm auch
Schwachstellen enthalten, und so wie in jeder anderer Programmiersprache
können auch in JavaScript Schadprogramme geschrieben werden. Beide
Möglichkeiten werden natürlich von Angreifern ausgenutzt - warum
sollten sie auch darauf verzichten?
Und den Angreifern bieten sich viele Mäglichkeiten, angefangen bei den
klassischen XSS-Angriffen, denen in Zeiten von Web 2.0 und HTML5 viel mehr
Möglichkeiten offen stehen, über Angriffe auf die immer stärker in den
Client ausgelagerte Anwendungslogik bis zu Browser-basierten Botnets, die
sich kaum entdecken lassen und nach dem Beenden des JavaScript-Schadcodes
keinerlei Spuren auf dem Rechner hinterlassen.
Und hier noch die Links und Literaturverweise aus dem Artikel: