Im
windows.developer 6.2014
ist ein Artikel zur Sicherheit von SQL allgemein und des SQL Servers 2014
im Besonderen erschienen: "In Redmond nichts Neues - Ein bisschen was
zur Sicherheit (nicht nur) des SQL Servers 2014".
"Drucksache: windows.developer Magazin 6.2014 - Ein bisschen was zur Sicherheit (nicht nur) des SQL Servers 2014" vollständig lesen
Eine neue Schwachstelle weckt Befürchtungen auf ein neues Desaster im Web:
Die "Covert Redirect"-Schwachstelle in OAuth 2.0 und OpenID. Aber das ist
bei weitem nicht zu befürchten.
Der
"Covert Redirect" allgemein
wurde bereits im ersten Teil beschrieben, hier geht es um seinen Einsatz
in Verbindung mit OAuth 2.0 und OpenID.
Die Schwachstelle wurde von Wang Jing
entdeckt,
ist aber im Grunde schon Bestandteil der "OAuth 2.0 Threat Model and
Security Considerations" in
RFC 6819.
"Covert Redirect" in Verbindung mit OAuth 2.0 und OpenID
"Websecurity: Die "Covert Redirect"-Schwachstelle und OAuth 2.0 und OpenID" vollständig lesen
Eine neue Schwachstelle weckt Befürchtungen auf ein neues Desaster im
Web: Die "Covert Redirect"-Schwachstelle in Verbindung mit OAuth 2.0 und
OpenID. Aber das ist bei weitem nicht zu befürchten.
In diesem Text werden "Covert Redirects" allgemein beschrieben, im
zweiten Teil
geht es um "Covert Redirect" in Verbindung mit OAuth 2.0 und OpenID.
Was ist ein "Covert Redirect"?
"Websecurity: "Covert Redirect"-Schwachstellen allgemein" vollständig lesen
Microsoft hat die
aktuelle 0-Day-Schwachstelle
im Internet Explorer
auch für Windows XP
gepatcht. Und das, obwohl Windows XP seit dem 8. April offiziell nicht
mehr unterstützt wird. Ist das Support-Ende also gar nicht ernst zu
nehmen? Unterstützt Microsoft Windows XP entgegen der eigenen Aussage
doch weiter?
Das Support-Ende ist relativ
"Der IE-Patch für Windows XP - Das Ende vom Support-Ende?" vollständig lesen
Microsoft hat am 1. Mai nur wenige Stunden nach einer
Ankündigung
einen Patch für die aktuelle
0-Day-Schwachstelle
im Internet Explorer
veröffentlicht.
Die Updates zum Security Bulletin
MS14-021
weisen eine Besonderheit auf: Ausnahmsweise gibt es auch Updates für
Windows XP, obwohl dessen Support eigentlich am 8. April eingestellt
wurde. Trotzdem sollten alle XP-Benutzer so schnell wie möglich das System
wechseln. Reguläre Updates gibt es garantiert nicht mehr, und Sie sollten
sich besser nicht darauf verlassen, dass Microsoft auch beim nächsten
0-Day-Exploit eine Ausnahme macht.
Insbesondere für Windows XP ist dieses Update auch dringend nötig: FireEye
berichtet,
dass die Hintermänner der bisher behobachteten Angriffe nun auch Windows
XP ins Visier nehmen.
Weitere Informationen zur Schwachstelle und den Angriffen gibt es in der
eigentlichen Beschreibung der
0-Day-Schwachstelle,
die ich an die neuen Entwicklungen angepasst habe.
Carsten Eilers