Wegen Ostern schon am Donnerstag: Webseiten-Gruselkabinett, CSRF, Key-Klau durch Heartbleed, drei Security-Tools in neuen Version, eine Adobe-Reader-L�cke f�r Android und Entwickler-Tipps f�r sichere Apps.
Wegen Ostern gibt's lost+found ausnahmsweise schon am Donnerstag. Wir w�nschen erholsame Feiertage ? m�glichst ohne st�rende Security-Nachrichten. Sollte trotzdem was passieren, wird heise Security nat�rlich auch w�hrend der Feiertage berichten und warnen.
Barracuda Labs hat mit Threatglass [1] ein Internet-Archiv f�r verseuchte Webseiten gestartet.
Liegt eine falsch konfigurierte Datei namens crossdomain.xml auf dem Server, kann das fatale Folgen haben. Sie erlaubt dem Flash Player n�mlich, die Same-Origin-Policy zu missachten und via Skript auf Inhalte anderer Seiten zuzugreifen. Das macht den Server unter Umst�nden anf�llig f�r Cross-Site-Request-Forgery (CSRF) und andere Probleme. Mit einem Pr�f-Tool [2] kann man jetzt einfach herausfinden, bei welchen Servern die Datei zu lasch konfiguriert wurde.
Apropos CSRF: Offenbar ist auch NoScript kein zuverl�ssiger Schutz [3] vor derartigen Angriffen.
Ohne viel Aufhebens hat Adobe eine Sicherheitsl�cke in seinem Reader f�r Android beseitigt [4], die es Angreifern erlaubt, beliebigen Java-Code in PDF-Dokumenten zu verstecken. Dieser wird dann beim �ffnen der Datei ausgef�hrt.
Der Gewinner des Cloudflare-Wettbewerbs zum Stehlen der geheimen Server-Schl�ssel beschreibt [5], dass er via Heartbleed im Speicher nach 128-Byte-gro�en Primfaktoren gesucht hat. Den Code dazu gibt's auf Github [6]. Mittlerweile gibt es auch schon ein Tool, das vollautomatisiert via Heartbleed Private Keys extrahieren [7] kann.
Bei einer statischen Analyse des OpenSSL-Codes [8] fanden sich zwar keine Heartbleed-Geschwister, sehr wohl aber kleinere Ungereimtheiten.
Das FBI hat angeblich drei Hacker festgenommen [9], die in die Server von diversen Software-Firmen eingebrochen sein sollen. Ihr Ziel: Xbox-Spiele wie Call of Duty, die zum Tatzeitpunkt noch nicht ver�ffentlicht waren. Bei der US Army sollen sie au�erdem eine Simulations-Software f�r Apache-Kampfhubschrauber kopiert haben.
Aircrack-ng 1.2 Beta 3 [10], Burp Proxy in Version 1.6 [11], ModSecurity 2.8 [12], alle drei mit einigen neuen Funktionen und/oder Bugfixes ? auf den ersten Blick nichts wirklich spannendes.
Wie man die gr��ten Security-Fettn�pfchen beim Entwickeln von Android-App umgeht, hat die CERT Secure Coding Initiative hier zusammengestellt [13].
(rei [14])
Keine Kommentare:
Kommentar veröffentlichen