lost+found: Was von der Woche übrig blieb
Wegen Ostern schon am Donnerstag: Webseiten-Gruselkabinett, CSRF, Key-Klau durch Heartbleed, drei Security-Tools in neuen Version, eine Adobe-Reader-Lücke für Android und Entwickler-Tipps für sichere Apps.
- Ronald Eikenberg
Wegen Ostern gibt's lost+found ausnahmsweise schon am Donnerstag. Wir wünschen erholsame Feiertage – möglichst ohne störende Security-Nachrichten. Sollte trotzdem was passieren, wird heise Security natürlich auch während der Feiertage berichten und warnen.
Barracuda Labs hat mit Threatglass ein Internet-Archiv für verseuchte Webseiten gestartet.
Liegt eine falsch konfigurierte Datei namens crossdomain.xml auf dem Server, kann das fatale Folgen haben. Sie erlaubt dem Flash Player nämlich, die Same-Origin-Policy zu missachten und via Skript auf Inhalte anderer Seiten zuzugreifen. Das macht den Server unter Umständen anfällig für Cross-Site-Request-Forgery (CSRF) und andere Probleme. Mit einem Prüf-Tool kann man jetzt einfach herausfinden, bei welchen Servern die Datei zu lasch konfiguriert wurde.
Apropos CSRF: Offenbar ist auch NoScript kein zuverlässiger Schutz vor derartigen Angriffen.
Ohne viel Aufhebens hat Adobe eine Sicherheitslücke in seinem Reader für Android beseitigt, die es Angreifern erlaubt, beliebigen Java-Code in PDF-Dokumenten zu verstecken. Dieser wird dann beim Öffnen der Datei ausgeführt.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Google Ireland Limited) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Der Gewinner des Cloudflare-Wettbewerbs zum Stehlen der geheimen Server-Schlüssel beschreibt, dass er via Heartbleed im Speicher nach 128-Byte-großen Primfaktoren gesucht hat. Den Code dazu gibt's auf Github. Mittlerweile gibt es auch schon ein Tool, das vollautomatisiert via Heartbleed Private Keys extrahieren kann.
Bei einer statischen Analyse des OpenSSL-Codes fanden sich zwar keine Heartbleed-Geschwister, sehr wohl aber kleinere Ungereimtheiten.
Das FBI hat angeblich drei Hacker festgenommen, die in die Server von diversen Software-Firmen eingebrochen sein sollen. Ihr Ziel: Xbox-Spiele wie Call of Duty, die zum Tatzeitpunkt noch nicht veröffentlicht waren. Bei der US Army sollen sie außerdem eine Simulations-Software für Apache-Kampfhubschrauber kopiert haben.
Aircrack-ng 1.2 Beta 3, Burp Proxy in Version 1.6, ModSecurity 2.8, alle drei mit einigen neuen Funktionen und/oder Bugfixes – auf den ersten Blick nichts wirklich spannendes.
Wie man die größten Security-Fettnäpfchen beim Entwickeln von Android-App umgeht, hat die CERT Secure Coding Initiative hier zusammengestellt.
(rei)
