Microsoft hat heute mit den Updates zum Security Bulletin MS14-012 die Mitte Februar bekannt gewordene 0-Day-Schwachstelle im IE mit der CVE-ID CVE-2014-0322 behoben. Und ganz nebenbei eine weitere 0-Day-Schwachstelle im IE enthüllt und gleichzeitig gepatcht.
Heute beginnt die CeBIT, trotzdem gibt es natürlich einen "Standpunkt". Diesmal zu allerlei Neuigkeiten zu Routern. Leider ist nichts davon besonders erfreulich.
Das folgende "Bild" zeigt die drei Handshakes des Triple Handshake Angriffs im Zusammenhang (nach den ersten drei Bildern in "Triple Handshakes Considered Harmful: Breaking and Fixing Authentication over TLS").
Es wurde ein neuer Angriff auf das TLS-Protokoll entdeckt, der den Einsatz von Client-Zertifikaten betrifft: Verbindet sich ein TLS-Client mit einem bösartigen Server und präsentiert dem sein Zertifikat, kann der Server sich gegenüber einen anderen Server, der dieses Zertifikat akzeptiert, als der betreffende Benutzer ausgeben.
Heute gibt es mal wieder eine bunte Mischung an Kommentaren. Los geht es mit einem Hinweis auf eine Diskussion im Blog von Bruce Schneier: Ist die "GOTO FAIL"-Lücke in iOS und Mac OS X Mavericks ein Fehler oder eine absichtliche Hintertür?
Clickjacking basiert darauf, dass das anzuklickende Ziel in einem unsichtbaren iframe verborgen ist. Ein Schutz vor Clickjacking könnte also darin bestehen, die Sichtbarkeit des anzuklickenden Buttons etc. zu prüfen und Klicks auf unsichtbare Objekte nicht zu akzeptieren. Leider lässt sich das menschliche Auge austricksen, so dass Clickjacking auch dann möglich ist, wenn das Ziel sichtbar ist. Das ganze funktioniert dann wie bei Zaubertricks: Der Benutzer wird abgelenkt, so dass er gar nicht merkt, was er da gerade anklickt.