lost+found: Was von der Woche ĂĽbrig blieb
Wegen Ostern schon am Donnerstag: Webseiten-Gruselkabinett, CSRF, Key-Klau durch Heartbleed, drei Security-Tools in neuen Version, eine Adobe-Reader-LĂĽcke fĂĽr Android und Entwickler-Tipps fĂĽr sichere Apps.
Wegen Ostern gibt's lost+found ausnahmsweise schon am Donnerstag. Wir wünschen erholsame Feiertage – möglichst ohne störende Security-Nachrichten. Sollte trotzdem was passieren, wird heise Security natürlich auch während der Feiertage berichten und warnen.
Barracuda Labs hat mit Threatglass ein Internet-Archiv fĂĽr verseuchte Webseiten gestartet.
Liegt eine falsch konfigurierte Datei namens crossdomain.xml auf dem Server, kann das fatale Folgen haben. Sie erlaubt dem Flash Player nämlich, die Same-Origin-Policy zu missachten und via Skript auf Inhalte anderer Seiten zuzugreifen. Das macht den Server unter Umständen anfällig für Cross-Site-Request-Forgery (CSRF) und andere Probleme. Mit einem Prüf-Tool kann man jetzt einfach herausfinden, bei welchen Servern die Datei zu lasch konfiguriert wurde.
Apropos CSRF: Offenbar ist auch NoScript kein zuverlässiger Schutz vor derartigen Angriffen.
Ohne viel Aufhebens hat Adobe eine SicherheitslĂĽcke in seinem Reader fĂĽr Android beseitigt, die es Angreifern erlaubt, beliebigen Java-Code in PDF-Dokumenten zu verstecken. Dieser wird dann beim Ă–ffnen der Datei ausgefĂĽhrt.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Google Ireland Limited) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Der Gewinner des Cloudflare-Wettbewerbs zum Stehlen der geheimen Server-SchlĂĽssel beschreibt, dass er via Heartbleed im Speicher nach 128-Byte-groĂźen Primfaktoren gesucht hat. Den Code dazu gibt's auf Github. Mittlerweile gibt es auch schon ein Tool, das vollautomatisiert via Heartbleed Private Keys extrahieren kann.
Bei einer statischen Analyse des OpenSSL-Codes fanden sich zwar keine Heartbleed-Geschwister, sehr wohl aber kleinere Ungereimtheiten.
Das FBI hat angeblich drei Hacker festgenommen, die in die Server von diversen Software-Firmen eingebrochen sein sollen. Ihr Ziel: Xbox-Spiele wie Call of Duty, die zum Tatzeitpunkt noch nicht veröffentlicht waren. Bei der US Army sollen sie außerdem eine Simulations-Software für Apache-Kampfhubschrauber kopiert haben.
Aircrack-ng 1.2 Beta 3, Burp Proxy in Version 1.6, ModSecurity 2.8, alle drei mit einigen neuen Funktionen und/oder Bugfixes – auf den ersten Blick nichts wirklich spannendes.
Wie man die größten Security-Fettnäpfchen beim Entwickeln von Android-App umgeht, hat die CERT Secure Coding Initiative hier zusammengestellt.
(rei)
