Microsoft hat heute mit den Updates zum Security Bulletin
MS14-012
die Mitte Februar bekannt gewordene
0-Day-Schwachstelle im IE
mit der CVE-ID
CVE-2014-0322
behoben. Und ganz nebenbei eine weitere 0-Day-Schwachstelle im IE enthüllt
und gleichzeitig gepatcht.
Neues zur "alten" 0-Day-Schwachstelle
"IE: Microsoft patcht bekannte und neue 0-Day-Schwachstelle" vollständig lesen
Heute beginnt die CeBIT, trotzdem gibt es natürlich einen "Standpunkt".
Diesmal zu allerlei Neuigkeiten zu Routern. Leider ist nichts davon
besonders erfreulich.
Hunderttausende Router gekapert
"Jede Menge Neues zu Routern - und nichts Erfreuliches" vollständig lesen
Es wurde ein neuer Angriff auf das TLS-Protokoll entdeckt, der den Einsatz
von Client-Zertifikaten betrifft: Verbindet sich ein TLS-Client mit einem
bösartigen Server und präsentiert dem sein Zertifikat, kann der
Server sich gegenüber einen anderen Server, der dieses Zertifikat
akzeptiert, als der betreffende Benutzer ausgeben.
Drei Handshakes sind gefährlich
"Neuer Angriff auf TLS beim Einsatz von Client-Zertifikaten" vollständig lesen
Heute gibt es mal wieder eine bunte Mischung an Kommentaren. Los geht es
mit einem Hinweis auf eine
Diskussion
im Blog von Bruce Schneier: Ist die
"GOTO FAIL"-Lücke
in iOS und Mac OS X Mavericks ein Fehler oder eine absichtliche Hintertür?
Neues zur iOS-Sicherheit
"Neues zur iOS-Sicherheit, bösartigen E-Mails und Überwachungsmöglichkeiten" vollständig lesen
Clickjacking
basiert darauf, dass das anzuklickende Ziel in einem unsichtbaren iframe
verborgen ist. Ein Schutz vor Clickjacking könnte also darin
bestehen, die Sichtbarkeit des anzuklickenden Buttons etc. zu prüfen
und Klicks auf unsichtbare Objekte nicht zu akzeptieren. Leider lässt
sich das menschliche Auge austricksen, so dass Clickjacking auch dann
möglich ist, wenn das Ziel sichtbar ist. Das ganze funktioniert dann
wie bei Zaubertricks: Der Benutzer wird abgelenkt, so dass er gar nicht
merkt, was er da gerade anklickt.
Die Grenzen der Wahrnehmungsfähigkeit
"Clickjacking: "Zaubertricks" ermöglichen Likejacking und mehr" vollständig lesen