Skip to content

Dritter 0-Day-Exploit für den Internet Explorer in 2014 entdeckt

Microsoft warnt vor einem 0-Day-Exploit für den Internet Explorer. Es ist der dritte für den IE und der sechste insgesamt im Jahr 2014. Das besondere an diesem Exploit: Er betrifft alle IE-Versionen von 6 bis 11 und damit auch das nicht mehr unterstützte Windows XP. Zumindest für einen kleinen Teil der bedrohten Systeme wird es also kein Update geben.

Update 2.5.2014:
Microsoft hat Updates veröffentlicht - auch für Windows XP!
Ende des Updates vom 2.5.2014

Microsofts Advisory

"Dritter 0-Day-Exploit für den Internet Explorer in 2014 entdeckt" vollständig lesen

Drucksache: Mobile Technology 2.2014 - Zwei-Faktor-Authentifizierung mit dem Google Authenticator

Im Magazin Mobile Technology 2.2014 ist ein Artikel über die Zwei-Faktor-Authentifizierung mit dem Google Authenticator erschienen.

Die Kombination aus Benutzername und Passwort reichte lange aus, um einen Benutzer sicher zu identifizieren. Inzwischen gelangen diese Zugangsdaten immer öfter in falsche Hände. Also muss ein zusätzlicher Faktor die Authentifizierung absichern, wenn man wirklich auf Nummer Sicher gehen will. Der Google Authenticator stellt so einen zweiten Faktor dar.

"Drucksache: Mobile Technology 2.2014 - Zwei-Faktor-Authentifizierung mit dem Google Authenticator" vollständig lesen

Heartbleed: Problematische Zertifikats-Rückrufe

Über die Heartbleed-Schwachstelle in OpenSSL können die privaten Schlüssel der Server-Zertifikate ausgespäht werden. Ob das wirklich auf einem bestimmten Server passiert ist, kann niemand mit Sicherheit feststellen. Also müssen die Zertifikate der von der Schachstelle betroffenen Server erneuert werden. Und zwar ohne Ausnahme, denn mit dem privaten Schlüssel kann sich der Angreifer als der betreffende Server ausgeben und die Kommunikation des Servers entschlüsseln. Das ist so gefährlich, dass schon die theoretische Möglichkeit Grund genug ist, die Schlüssel zu erneuern. Und es gibt sowohl praktische Beweise dafür, dass die privaten Schlüssel ausgespäht werden können, als auch Anzeichen dafür, dass ein Botnet schon 2013 entsprechende Angriffe durchgeführt hat. Um eine Erneuerung betroffener Zertifikate kommt also niemand herum. Der damit verbundene Rückruf der bisher genutzten, eigentlich ja weiter gültigen Zertifikate, ist aber problematisch.

Rückrufe sind Glückssache, vor allem bei einem Angriff

"Heartbleed: Problematische Zertifikats-Rückrufe" vollständig lesen

Heartbleed: Mailserver im Visier

Das BSI meldet, dass das Internet jetzt nicht mehr nur nach durch die Heartbleed-Schwachstelle angreifbaren Webservern durchsucht wird, sondern auch nach Mailservern. Denken Sie also daran: Sie müssen OpenSSL auf allen Servern aktualisieren, nicht nur auf dem Webserver. Und überall müssen die Zertifikate erneuert werden. Bekanntlich kann man Angriffe nicht erkennen, also muss man mit dem Schlimmsten rechnen. In diesem Fall also damit, dass der private Schlüssel ausgespäht wurde und das Zertifikat dadurch kompromittiert ist.

Weitere Neuigkeiten im Überblick

"Heartbleed: Mailserver im Visier" vollständig lesen

Kommentar: Der Heartbleed-Bug und seine Folgen

Warum ist die Heartbleed-Schwachstelle in OpenSSL so schlimm und warum sollte man SSL-Zertifikate und Passwörter betroffener Server austauschen?

Alles im folgenden geschriebene gilt sinngemäß auch die Client-Installationen von OpenSSL, nur das dort eher selten Zertifikate verwendet werden, so dass es weniger private Schlüssel zum Ausspähen gibt. Passwörter werden aber natürlich auch auf dem Client gespeichert.

Das ganze Ausmaß der Katastrophe...

"Kommentar: Der Heartbleed-Bug und seine Folgen" vollständig lesen