lost+found: Tools für Schlüsselknacker

Der Forbes-Reporter Andy Greenberg hat aus Versehen dafür gesorgt, dass sich jeder, der Zugriff auf einen 3D-Drucker hat, Nachschlüssel für Polizeihandschellen des Herstellers Bonowi anfertigen kann. Findigen Tüftlern gelang es, anhand eines Fotos, das Greenberg mit seinem iPhone aufgenommen und in einen Artikel eingebaut hatte, ein 3D-Modell des Schlüssels nachzubauen.

Die diese Woche vorgestellte Version 11 des Adobe Readers enhält auch eine Reihe neuer oder verbesserter Sicherheitsfunktionen. So kann die Sandbox jetzt auch Lesezugriffe reglementieren und der Reader kann ASLR erzwingen.

Littleblackbox enthält eine Datenbank geheimer SSL- und SSH-Schlüssel für Embedded Devices. Man kann ihm anscheinend sogar mitgeschnittenen Netzwerkverkehr in Form einer PCap-Datei vorsetzen und Littleblackbox extrahiert selbstständig öffentliche Schlüssel und spuckt den dazu passenden geheimen Key aus (ungetestet – kann das jemand bestätigen?).

Zero-Day Exploits werden oft schon über ein Jahr vor ihrem Bekanntwerden ausgenutzt, das haben Leyla Bilge und Tudor Dumitras von Symantec in einer Studie dargelegt. Sie erhielten für die Studie relevante Daten unter anderem aus dem firmeneigenen Worldwide Intelligence Network Environment mit der genussvollen Abkürzung WINE.

Der bekannte iPhone-Jailbreaker Comex hat seinen Ausflug in die Dienste von Apple anscheinend nach einem Jahr wieder beendet. Angeblich hat er es versäumt, eine E-Mail zu einer Vertragsverlängerung rechtzeitig zu beantworten.

Apple hat offenbar beim letzten Java-Update das eigene Java-Plugin aus allen Mac-OS-Browsern entfernt. Wer trotzdem Java-Applets ausführen will, muss das von Oracle bereitgestellte Plug-in installieren.

Microsoft hat drei kritische Lücken in libavcodec der Open-Source-Video-Software FFmpeg dokumentiert. Betroffen sind allerdings nur ältere Versionen bis FFmpeg 0.10. Die aktuelle Version 1.0 und 0.11 sind offenbar nicht anfällig. (rei)