lost+found: Was von der Woche übrig blieb
Heute unter anderem mit: Explodierenden 3D-Druckern, XSS über eBooks und DNS, dem Dropbox-Transparenzbericht und einer zehn Jahre alten Lücke in FreeBSD.
- Fabian A. Scherschel
Das National Institute of Standards and Technology (NIST) arbeitet an strikteren Empfehlungen (PDF) für die Absicherung von 3D-Druckern. Diese würden vermehrt in kritischen Umgebungen, wie etwa der Rüstungsindustrie, eingesetzt und gezielte Angriffe auf die Systeme seien denkbar. Die US-Arbeitsschutzbehörde OSHA warnt vor einem Fall in Massachusetts, wo Metallpulver, dass in einem 3D-Drucker zum Einsatz kam zu dessen Explosion geführt hat.
(Bild: Benjamin Daniel Mussler)
Amazon hat eine Cross-Site-Scripting-Lücke (XSS) in seinem Kindle-Webdienst geschlossen, mit dem Angreifer Amazon-Konten hätten kapern können. Um die Lücke auszunutzen musste man einen Nutzer dazu kriegen, ein eBook mit Schadcode in seine Kindle-Bibliothek im Web zu laden. Beim Aufrufen der Bücherliste wurde der Code dann ausgeführt.
Auch über DNS-Einträge kann man prima Code in fremde Dienste einschleusen, wie diese Demonstration zeigt. Der Whois-Dienst who.is hat bis vor kurzem die TXT Resource Records der angefragten Domains ungefiltert ausgewertet. War in diesen frei befüllbaren Einträgen Code enthalten, wurde er vom Browser im Kontext der Who.is-Site ausgeführt. Do the harlem shake!
Microsoft hat mit seinem Sammelupdate für IE vom Patchday auch eine Lücke geschlossen, die es Angreifern ermöglicht hatte herauszufinden, ob auf einem Zielrechner Schutzmaßnahmen wie EMET aktiv sind. Das war in der Vergangenheit ausgenutzt worden, um dann Schadcode nicht auszuführen und so keinen Alarm auszulösen.
Dropbox hat einen Transparenzbericht für das letzte Jahr veröffentlicht. Die Firma hat im fraglichen Zeitraum "0 - 249 Anfragen von Sicherheitsbehörden" erhalten. Man gibt sich kämpferisch und sagt die Firma würde Anfragen zurückweisen, wenn sich die Behörden nicht an das korrekte Prozedere halten oder zu viele Informationen verlangen.
Die FreeBSD-Entwickler haben eine Lücke im TCP-Stack des Betriebssystems geschlossen, über den Angreifer die Verbindung unterbrechen oder lahmlegen konnten. Der entsprechende Angriff (CVE-2004-0230) ist seit zehn Jahren bekannt und betrifft auch die TCP-Architektur anderer Betriebssysteme. (fab)
