Skip to content

Dritter 0-Day-Exploit für den Internet Explorer in 2014 entdeckt

Microsoft warnt vor einem 0-Day-Exploit für den Internet Explorer. Es ist der dritte für den IE und der sechste insgesamt im Jahr 2014. Das besondere an diesem Exploit: Er betrifft alle IE-Versionen von 6 bis 11 und damit auch das nicht mehr unterstützte Windows XP. Zumindest für einen kleinen Teil der bedrohten Systeme wird es also kein Update geben.

Update 2.5.2014:
Microsoft hat Updates veröffentlicht - auch für Windows XP!
Ende des Updates vom 2.5.2014

Microsofts Advisory

"Dritter 0-Day-Exploit für den Internet Explorer in 2014 entdeckt" vollständig lesen

Drucksache: Mobile Technology 2.2014 - Zwei-Faktor-Authentifizierung mit dem Google Authenticator

Im Magazin Mobile Technology 2.2014 ist ein Artikel über die Zwei-Faktor-Authentifizierung mit dem Google Authenticator erschienen.

Die Kombination aus Benutzername und Passwort reichte lange aus, um einen Benutzer sicher zu identifizieren. Inzwischen gelangen diese Zugangsdaten immer öfter in falsche Hände. Also muss ein zusätzlicher Faktor die Authentifizierung absichern, wenn man wirklich auf Nummer Sicher gehen will. Der Google Authenticator stellt so einen zweiten Faktor dar.

"Drucksache: Mobile Technology 2.2014 - Zwei-Faktor-Authentifizierung mit dem Google Authenticator" vollständig lesen

Heartbleed: Problematische Zertifikats-Rückrufe

Über die Heartbleed-Schwachstelle in OpenSSL können die privaten Schlüssel der Server-Zertifikate ausgespäht werden. Ob das wirklich auf einem bestimmten Server passiert ist, kann niemand mit Sicherheit feststellen. Also müssen die Zertifikate der von der Schachstelle betroffenen Server erneuert werden. Und zwar ohne Ausnahme, denn mit dem privaten Schlüssel kann sich der Angreifer als der betreffende Server ausgeben und die Kommunikation des Servers entschlüsseln. Das ist so gefährlich, dass schon die theoretische Möglichkeit Grund genug ist, die Schlüssel zu erneuern. Und es gibt sowohl praktische Beweise dafür, dass die privaten Schlüssel ausgespäht werden können, als auch Anzeichen dafür, dass ein Botnet schon 2013 entsprechende Angriffe durchgeführt hat. Um eine Erneuerung betroffener Zertifikate kommt also niemand herum. Der damit verbundene Rückruf der bisher genutzten, eigentlich ja weiter gültigen Zertifikate, ist aber problematisch.

Rückrufe sind Glückssache, vor allem bei einem Angriff

"Heartbleed: Problematische Zertifikats-Rückrufe" vollständig lesen

Heartbleed: Mailserver im Visier

Das BSI meldet, dass das Internet jetzt nicht mehr nur nach durch die Heartbleed-Schwachstelle angreifbaren Webservern durchsucht wird, sondern auch nach Mailservern. Denken Sie also daran: Sie müssen OpenSSL auf allen Servern aktualisieren, nicht nur auf dem Webserver. Und überall müssen die Zertifikate erneuert werden. Bekanntlich kann man Angriffe nicht erkennen, also muss man mit dem Schlimmsten rechnen. In diesem Fall also damit, dass der private Schlüssel ausgespäht wurde und das Zertifikat dadurch kompromittiert ist.

Weitere Neuigkeiten im Überblick

"Heartbleed: Mailserver im Visier" vollständig lesen

Kommentar: Der Heartbleed-Bug und seine Folgen

Warum ist die Heartbleed-Schwachstelle in OpenSSL so schlimm und warum sollte man SSL-Zertifikate und Passwörter betroffener Server austauschen?

Alles im folgenden geschriebene gilt sinngemäß auch die Client-Installationen von OpenSSL, nur das dort eher selten Zertifikate verwendet werden, so dass es weniger private Schlüssel zum Ausspähen gibt. Passwörter werden aber natürlich auch auf dem Client gespeichert.

Das ganze Ausmaß der Katastrophe...

"Kommentar: Der Heartbleed-Bug und seine Folgen" vollständig lesen

OpenSSL - Der Heartbleed Bug und seine Folgen

In OpenSSL wurde eine kritische Schwachstelle behoben: Der Heartbleed Bug. Und diesmal ist "kritisch" sehr ernst gemeint. Oder um Bruce Schneier zu zitieren:

""Catastrophic" is the right word. On the scale of 1 to 10, this is an 11."

Über die Schwachstelle können vertrauliche Daten, insbesondere die privaten Schlüssel der Server, aber auch Sitzungsschlüssel, übertragene Zugangsdaten und vieles mehr ausgespäht werden.

Betroffen sind alle Dienste, die TLS verwenden und eine angreifbare OpenSSL-Version einsetzen. Vor allem sind das natürlich Webserver, aber auch Mailserver, VPN, Updatefunktionen, ... sind von der Schwachstelle betroffen und damit angreifbar.

Was ist der Heartbleed Bug?

"OpenSSL - Der Heartbleed Bug und seine Folgen" vollständig lesen

Millionenfacher Identitätsdiebstahl führt zu blinden Aktionismus

Das BSI hat am 4. April bekannt gegeben, dass man von der Staatsanwaltschaft Verden "einen Datensatz mit mehreren Millionen E-Mail-Adressen" zur Verfügung gestellt bekommen hat, um die Betroffenen zu warnen. Mehr ist bisher nicht bekannt. Insbesondere nicht, woher diese Adressen stammen und welche Informationen außer den E-Mail-Adressen und Passwörtern vorhanden sind. Das BSI verweist lediglich auf die grundlegenden Sicherheitsregeln, die eigentlich selbstverständlich sein sollten.

Aber das reicht aus, um überall mit Regeln für die Bildung sicherer Passwörter bombardiert zu werden. Und natürlich gibt es auch wieder die Forderung, die Internetanbieter müssten mehr für den Schutz der Passwörter und persönlichen Daten ihrer Kunden tun. Was alles mit dem aktuellen Fall nichts zu tun hat, wenn diese Daten wieder wie beim letzten Mal von einem Botnet gesammelt wurden.

"Wählen Sie ein sicheres Passwort"

"Millionenfacher Identitätsdiebstahl führt zu blinden Aktionismus" vollständig lesen

Drucksache: windows.developer Magazin 5.2014 - PowerShell sicher einsetzen

Im windows.developer 5.2014 ist ein Artikel über die Sicherheit der PowerShell erschienen: Wie wird die PowerShell vor Missbrauch geschützt, welche Angriffe auf/über die PowerShell gibt es, und auf was muss man bei ihrem Einsatz achten?

"Drucksache: windows.developer Magazin 5.2014 - PowerShell sicher einsetzen" vollständig lesen