lost+found: Was von der Woche übrig blieb
Heute mit: einer fingierten Phishing-Falle, SQL-Injections wie im Lehrbuch, Security-Nachhilfe für App-Entwickler, Cisco-Bugs, einer Fortinet-Faceplam, einem Pentester-Firefox und Neuigkeiten zu den QNAP-Lücken.
- Ronald Eikenberg
Das US-Medienunternehmen Atlantic Media hat seine Mitarbeiter mit einem Phishing-Test eiskalt erwischt: 58 Prozent der Mailempfänger klickten in der fingierten Phishing-Mail auf den Link, um ihren Google-Apps-Account zu verifizieren. Traurige Realität.
Apropos: Wie man eine SQL-Injection-Lücke wie aus dem Lehrbuch konstruiert, zeigen diverse GitHub-Projekte.
FX hat wieder zugeschlagen und (zusammen mit Greg von phenolit) Cisco auf eine ganze Reihe von Sicherheitsproblemen ihrer Cloud-Produkte (PDF) – insbesondere dem Cisco Nexus 1000V hingewiesen. Fixes gibt es offenbar noch keine.
Die iMAS-Bibliotheken sollen Entwickler von iOS-Apps vor den größten Security-Fettnäpfchen bewahren. Sie bieten etwa Funktion zur Datenverschlüsselung oder für einen Passwortschutz.
Wer Sicherheitslücken in Chrome bei Google berichten will, sollte das man das nicht wie Fortinets Sicherheitsteam tun: also mit dem kompletten Browser-Profil inklusive gespeicherter Passwörter.
Eine Sicherheitslücke zu schließen, dauert manchmal. Dauert manchmal auch ein bisschen länger. Schneider Electric hat nach eineinhalb Jahren Sicherheitslücken in seinem Quantum Ethernet Module für speicherprogrammierbare Steuerungsanlagen geschlossen.
QBurst PenQ ergänzt Security-Linuxe wie Kali um eine vorkonfigurierte Firefox-Ausgabe, die alle viele wichtigen Pentester-Erweiterungen mitbringt.
Für OpenVAS gibt es jetzt zwei Module um die Sicherheitslücken in Qnaps NAS- und NVR-Systemen zu checken: Eines für CVE-2013-0143 und eines für CVE-2013-0142+CVE-2013-014. (rei)
