Adobe hat eine Schwachstelle im Flash Player
behoben,
die bereits für Angriffe ausgenutzt wird. Es gibt/gab also mal wieder einen
0-Day-Exploit für den Flash Player. Den zweiten in diesem Jahr im Flash
Player, den
siebten
insgesamt.
Adobe patcht eine kritische Schwachstelle
"Adobe patcht 0-Day-Schwachstelle im Flash Player" vollständig lesen
Microsoft warnt vor einem 0-Day-Exploit für den Internet Explorer. Es ist
der dritte für den IE und der
sechste
insgesamt im Jahr 2014. Das besondere an diesem Exploit: Er betrifft alle
IE-Versionen von 6 bis 11 und damit
auch
das nicht mehr unterstützte Windows XP. Zumindest für einen
kleinen Teil der bedrohten Systeme wird es also kein Update geben.
Update 2.5.2014:
Microsoft hat Updates
veröffentlicht
- auch für Windows XP!
Ende des Updates vom 2.5.2014
Microsofts Advisory
"Dritter 0-Day-Exploit für den Internet Explorer in 2014 entdeckt" vollständig lesen
Im Magazin
Mobile Technology 2.2014
ist ein Artikel über die Zwei-Faktor-Authentifizierung mit dem Google
Authenticator erschienen.
Die Kombination aus Benutzername und Passwort
reichte lange aus, um einen Benutzer sicher zu identifizieren. Inzwischen
gelangen diese Zugangsdaten immer öfter in falsche Hände. Also
muss ein zusätzlicher Faktor die Authentifizierung absichern, wenn man
wirklich auf Nummer Sicher gehen will. Der Google Authenticator stellt so
einen zweiten Faktor dar.
"Drucksache: Mobile Technology 2.2014 - Zwei-Faktor-Authentifizierung mit dem Google Authenticator" vollständig lesen
Über die
Heartbleed-Schwachstelle
in OpenSSL können die privaten Schlüssel der Server-Zertifikate
ausgespäht werden. Ob das wirklich auf einem bestimmten Server
passiert ist, kann niemand mit Sicherheit feststellen. Also müssen
die Zertifikate der von der Schachstelle betroffenen Server erneuert
werden. Und zwar ohne Ausnahme, denn mit dem privaten Schlüssel kann
sich der Angreifer als der betreffende Server ausgeben und die
Kommunikation des Servers entschlüsseln. Das ist so gefährlich,
dass schon die theoretische Möglichkeit Grund genug ist, die
Schlüssel zu erneuern. Und es gibt sowohl
praktische Beweise
dafür, dass die privaten Schlüssel ausgespäht werden
können, als auch
Anzeichen
dafür, dass ein Botnet schon 2013 entsprechende Angriffe
durchgeführt hat. Um eine Erneuerung betroffener Zertifikate kommt
also niemand herum. Der damit verbundene Rückruf der bisher
genutzten, eigentlich ja weiter gültigen Zertifikate, ist aber
problematisch.
Rückrufe sind Glückssache, vor allem bei einem Angriff
"Heartbleed: Problematische Zertifikats-Rückrufe" vollständig lesen
Das BSI
meldet,
dass das Internet jetzt nicht mehr nur nach durch die
Heartbleed-Schwachstelle angreifbaren Webservern durchsucht wird, sondern
auch nach Mailservern. Denken Sie also daran: Sie müssen OpenSSL auf
allen Servern aktualisieren, nicht nur auf dem Webserver. Und überall
müssen die Zertifikate erneuert werden. Bekanntlich kann man Angriffe
nicht erkennen, also muss man mit dem Schlimmsten rechnen. In diesem Fall
also damit, dass der private Schlüssel ausgespäht wurde und das
Zertifikat dadurch kompromittiert ist.
Weitere Neuigkeiten im Überblick
"Heartbleed: Mailserver im Visier" vollständig lesen
Im
Entwickler Magazin 3.2014
ist der dritte (und letzte) Artikel einer kleinen Serie über die
Sicherheit kryptographischer Verfahren angesichts der NSA-Enthüllungen
erschienen.
"Drucksache: Entwickler Magazin 3.2014 - Kryptografie im NSA-Zeitalter, Teil 3" vollständig lesen
Es gibt ein paar Neuigkeiten zum
Heartbleed Bug
in OpenSSL. Und leider mit einer Ausnahme nichts Gutes. Die Ausnahme ist
ein
xkcd-Cartoon,
der den Heartbleed-Fehler sehr schön erklärt. Und damit kommen wir zu den
schlechten Nachrichten.
Bestätigt: Private Schlüssel können wirklich ausgespäht werden
"Neues zum Heartbleed Bug in OpenSSL" vollständig lesen
Der
Heartbleed Bug
in OpenSSL wurde von der NSA angeblich schon seit 2 Jahren ausgenutzt. Was
die natürlich dementiert. Was ist davon zu halten?
Blomberg meldet, die NSA dementiert
"Nutzt die NSA den Heartbleed Bug seit 2 Jahren?" vollständig lesen
Warum ist die
Heartbleed-Schwachstelle
in OpenSSL so schlimm und warum sollte man SSL-Zertifikate und
Passwörter betroffener Server austauschen?
Alles im folgenden geschriebene gilt sinngemäß auch die
Client-Installationen von OpenSSL, nur das dort eher selten Zertifikate
verwendet werden, so dass es weniger private Schlüssel zum
Ausspähen gibt. Passwörter werden aber natürlich auch auf
dem Client gespeichert.
Das ganze Ausmaß der Katastrophe...
"Kommentar: Der Heartbleed-Bug und seine Folgen" vollständig lesen