lost+found: Was von der Woche übrig blieb
Heute mit: Einer kritischen Blackberry-Lücke, Details zum RTF-Exploit, neuen Versionen von Cuckoo und OWASP ZAP, einem Google-Hack und natürlich etwas Herzblut.
BlackBerry-10-Nutzer? Dann ist das Update auf BB OS 10.2.0.1055 Pflicht. Es schließt eine kritische Lücke, im qconnDoor-Dienst, durch die Angreifer Code Einschleusen können – entweder über WLAN oder USB.
Ein Sicherheitsforscher von HP hat beschrieben, wie der RTF-Exploit funktioniert, der die von Microsoft zum April-Patchday beseitigte Lücke ausnutzt.
Die Malware-Analyse-Sandbox Cuckoo bringt in Version 1.1 viele neue Funktionen mit wie etwa eine eine REST-API, über die man Traffic-Mitschnitte abrufen kann und eine Suchfunktion für URLs.
Warum die Zeit der Hackergruppen vorbei ist, diskutiert das bei Phrack veröffentlichte Paper The Fall of Hacker Groups.
Den mächtigen Web-Analyse-Proxy OWASP ZAP gibt es seit dem Versionssprung auf 2.3.0.x auch in einer einsteigerfreundlichen Lite-Version, die nur eine Auswahl der sonst verfügbaren Add-ons mitbringt. Außerdem haben die Entwickler zahlreiche neue Funktionen eingebaut.
(Bild: @raesene via Twitter )
Auch Google hat Leichen in seinem Keller – beziehungsweise steinalte Dienst auf seinem Server. Der Sicherheitsfirma detectify ist es gelungen, Shell-Befehle in einen Webserver des Suchmaschinenriesen einzuschleusen. Die Google Toolbar Button Gallery (©2008) hatte beim Auswerten hochgeladener XML-Files gepatzt und Bestandteile davon ausgeführt (XML External Entity Procession, XXE). Google hat jetzt eine Lücke weniger, der Entdecker der Lücke hingegen 10.000 US-Dollar mehr.
Das müssen wir neidlos anerkennen: xkcd erklärt Heartbleed viel schöner, als wir das in unserem Artikel So funktioniert der Heartbleed-Exploit hinbekommen haben.
Ob sich in der Praxis wirklich via Heartbleed geheime Schlüssel eines Servers klauen lassen, ist bislang nicht so richtig geklärt. Bislang klappte das nur in recht speziellen Szenarien etwa direkt nach einem Neustart des Server-Prozesses. Jetzt will Cloudflare Klarheit schaffen und hat einen verwundbaren Server eingerichtet mit der Aufforderung, doch dessen Private Key zu extrahieren. Wir sind uns sicher, dass die NSA darauf bestimmt anspringen wird.
Der Aufstand der Maschinen hat längst begonnen: Bei einem Triathlon in Geraldton, Western Australia wurde ein Teilnehmer von einem herabfallenden Quadrokopter verletzt. Der Besitzer der Drohne gab an, dass sie fremdgesteuert wurde. (ju)
