"Passwort" Folge 11: News von Windows-RCE bis zu ungeheimen Geheimnissen

Gleich ein halbes Dutzend aktueller Security-Themen haben sich Sylvester und Christopher für die elfte Folge des heise-security-Podcasts herausgesucht. Von X-Kontoverlusten bis zu Ex-Zertifikaten ist die thematische Bandbreite entsprechend wieder hoch.

Eine kritische, möglicherweise für Malware nutzbare Windows-Lücke macht den Auftakt – CVE-2024-38063 läuft noch immer ziemlich "unter dem Radar", auch über eine Woche nach Veröffentlichung. Die bange Frage indes, ob die Ereignisse sich zwischen Aufnahme und Veröffentlichung der Folge möglicherweise zuspitzen, können wir derzeit noch mit "nein" beantworten.

Einem bekannten Tech-Youtuber kam der X-Account abhanden – Sylvester und Christopher analysieren, wie es dazu kam und ob sie dem Phishing-Angriff auch auf den Leim gegangen wären.

Google hat Ärger mit Malvertising. Bei dieser Form böswilliger Werbeanzeigen verteilen Kriminelle Schadsoftware ausgerechnet im Gewand des Google Authenticator, eines kleinen Sicherheitswerkzeugs für die Zwei-Faktor-Authentifizierung. Ein Cyberkrimineller hat sich derweil eines weiteren Security-Tools bedient, um Millionen E-Mail-Adressen zusammenzukratzen: Er nutzte einen Cloud-Dienst zur Überwachung von Darknet-Foren, um kurzerhand deren Inhalte zu kopieren. Und die beliebte Programmiersprache Python ist um ein Haar an einer verheerenden Supply-Chain-Attacke vorbeigeschrammt.

Und als Schmankerl obendrauf erzählen Sylvester und Christopher mal wieder etwas aus der Welt der Zertifikate und CAs. Dieses Mal erwischte es eine Zertifizierungsstelle, die über achtzigtausend Unterstriche stolperte und sich gar mit einer gerichtlichen Verfügung konfrontiert sah.

Die neue Folge von "Passwort - der heise security Podcast" steht seit dem heutigen Mittwoch auf allen Plattformen zum Download bereit.

(cku)