"Passwort" Folge 47: News von React2Shell ĂĽber PKI-Neuerungen zu einem Tor-Umbau
Ohne Sicherheitslücken und Probleme geht es kaum im Security-Podcast. Aber zum Jahresausklang haben die Hosts auch einige schöne Entwicklungen im Gepäck.
Die Erkältungssaison setzt den Hosts weiter zu, kann sie aber nicht vom Podcasten abhalten – schon deshalb nicht, weil es eine ganze Reihe von Neuigkeiten zur (Web)PKI gibt. Los geht’s allerdings mit einem Kuriosum: Christopher erzählt etwas belustigt von einer Toilettenschüsselkamera mit KI, unter anderem zur Darmkrebs-Früherkennung, die aber leider ohne die versprochene Ende-zu-Ende-Verschlüsselung daherkommt.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmung wird hier ein externer Podcast (Podigee GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Podigee GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Ausführlicher widmen sich die Hosts dann dem Thema React2Shell, eine Sicherheitslücke in der weitverbreiteten JavaScript-Bibliothek React. Sylvester erzählt, wie die Lücke funktioniert und warum sie besonders schwerwiegend ist. Außerdem diskutieren die beiden Podcaster das Vorgehen rund um die Veröffentlichung der Lücke, mit dem wohl etwas Zeit gewonnen werden sollte. Das war nur bedingt von Erfolg gekrönt, eine ganze Reihe Threat-Actors stürzte sich schnell auf die Schwachstelle, die zum Zeitpunkt der Aufzeichnung noch viele Systeme betraf. Nach Aufzeichnung des Podcasts wurden zudem noch weitere, ähnliche Lücken in React bekannt. Der beste Schutz für Betroffene war und ist: updaten, updaten, updaten!
Danach wenden sich die Hosts ihrem Lieblingsthema zu, der Public-Key-Infrastruktur. Ein halbes Dutzend Nachrichten aus diesem Gebiet besprechen die beiden, von Ankündigungen Let’s Encrypts über ein neues Validierungsverfahren für Zertifikate bis zur kroatischen Zertifizierungsstelle FINA (bekannt aus Folge 44), bei der sich immer neue Patzer zeigen.
Zum Schluss schauen sich die beiden noch „Counter Galois Onion“ (CGO) an. Wie die „Zwiebel“ im Namen andeutet, ist das eine neue Technik für das Tor-Netzwerk (dessen Name früher für „The Onion Router“ stand). Das Anonymitätsnetzwerk schraubt mit CGO am Kern seines Systems, um eine Reihe von Verbesserungen zu implementieren. Vor allem soll CGO Tagging-Attacken verhindern, mit denen Tor-Nutzer deanonymisiert werden können. Die Hosts erklären, wie Tagging-Attacken grundsätzlich funktionieren, welche Verbesserungen CGO bietet und wie weit die Tor-Entwickler mit der neuen Verschlüsselung schon sind.
Mit dieser Folge, die seit Mittwochmorgen auf allen Podcast-Plattformen zum Anhören bereitsteht, verabschiedet sich „Passwort – der heise security Podcast“ in eine dreiwöchige Weihnachtspause. Wer will, kann die Aufzeichnung der nächsten Folge live auf dem 39C3 miterleben.
(syt)
