"Passwort" Folge 4: Spiderbug und andere News
In dieser Folge des Podcasts von heise security diskutieren die Hosts diverse News-Meldungen; von komplizierten Firmenstrukturen bis zu Bugs mit Schockwirkung.
In der vierten Folge von Passwort werfen Christopher und Sylvester einen Blick auf eine Reihe von aktuellen Meldungen, etwa die Nachricht, dass der Mail- und VPN-Anbieter Proton sich unter die Fittiche einer neu gegründeten Stiftung begibt. Proton ist nicht die erste Firma, die ein kommerzielles Unternehmen unter das Dach einer gemeinnützigen Stiftung stellt, beispielsweise Mozilla und der Messenger Signal sind ebenfalls so organisiert. Die Hosts diskutieren, welchen Zweck die Unternehmen damit verfolgen und, dass solche Konstrukte durchaus auch scheitern können, wie man an OpenAI sieht.
Weiter geht es in dieser Episode mit einer vielsagenden URL-Parsing-Lücke in wget und einer Anti-Phishing-Lösung, die durch das Projekt Certificate Transparency (CT) funktioniert. Nicht das erste Projekt, das auf dieser globalen Liste praktisch aller Domains aufbaut. Die ist durchaus eine feine Sache, finden Christopher und Sylvester, sofern alle Beteiligten wissen, dass Domains dadurch öffentlich durchsuchbar sind und ihre Registrierung sogar live mitverfolgt werden kann.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Podcast (Podigee GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Podigee GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Außerdem geht es in Folge 4 um einen Bug in Apples visionOS. Der ist eigentlich nichts Besonderes und stellte technisch auch keine große Gefahr dar. Ziemlich gruselig ist er trotzdem und absolut nichts für Spinnenphobiker (Triggerwarnung): Die vielleicht erste Lücke, über die Angreifer viele Nutzer hätten traumatisieren können. Spatial Computing, wie Apple seine Augmented-reality-Lösung nennt, ermöglich eben nicht nur neue Features, sondern auch neue Arten von Sicherheitsproblemen.
Zum Schluss verzweifeln Christopher und Sylvester noch ein bisschen an der Updatedisziplin vieler Exchange- und MSSQL-Betreiber – oder besser gesagt, an der Abwesenheit dieser Disziplin. Denn egal wie lästig und mitunter auch fehlerhaft Updates sein können: Ohne Updates steht man noch deutlich schlechter da.
Die vierte Folge von "Passwort – der heise security Podcast" steht seit dem heutigen Mittwoch zum Download auf allen Podcast-Plattformen bereit.
(syt)
