Im
PHP Magazin 1.2017
ist ein Überblick über Angriffe auf SSL/TLS erschienen.
Dass SSL nicht mehr ausreichend sicher ist und durch TLS in einer
möglichst hohen Version ersetzt werden sollte ist seit längerem
bekannt. Aber selbst dann sind Angriffe auf HTTPS möglich, und das
ganz ohne TLS-Schwachstelle. Und zwar über das Web Proxy
Auto-Discovery Protokoll (WPAD, auch "autoproxy" genannt) und die davon
verwendeten Proxy Auto-Config (PAC) Dateien.
"Drucksache: PHP Magazin 1.17 - Mit Proxy und Proxykonfiguration gegen HTTPS" vollständig lesen
Am
November-Patchday
hat Microsoft wieder mehrere 0-Day-Schwachstellen behoben. Darunter auch
eine, die bereits ausgenutzt wird, um Code einzuschleusen.
Damit steht es beim "Wettstreit" um die meisten 0-Day-Exploits zwischen
Adobe und dem Rest der Welt wieder unentschieden:
Dieses Jahr
wurden 10 0-Day-Exploits entdeckt, 5 davon gehen auf das Konto des Flash
Players. Adobe hat zwar auch ein Security Bulletin für den
Flash Player
veröffentlicht, aber keine 0-Days zu melden. Die aktuelle
0-Day-Schwachstelle wurde ja bereits
Ende Oktober
außer der Reihe behoben.
Remote Code Execution in der Font-Library
"November-Patchday: Wieder mal ein 0-Day-Exploit für Windows unterwegs" vollständig lesen