lost+found: Was von der Woche übrig blieb

Persistentes XSS im D-Link DSL-2760U-E1: Die Anzeige der aktiven Hosts ('dhcpinfo.html') filtert offenbar die Hostnamen nicht auf HTML/Script-Code.

In den USA werden kleine Geschäfte mit professionell gedruckten Briefen erpresst – sogar mit QR-Code. Die Gauner drohen, die Reputation der Unternehmen zu zerstören, wenn sie ihnen keine Bitcoins als Schutzgeld überweisen. Ein Pizzeria-Besitzer reagiert auf Facebook mit den Worten: "What the heck is a BitCoin?”

Vincent Liu hat den Ablauf einer typischen Woche im Leben eines Pen-Testers mit MS Paint visualisiert – mit beeindruckendem Ergebnis.

Der SMS-Wurm Selfmite macht Android-Handys unsicher. Er kann sich allerdings nur auf Geräten verbreiten, deren Nutzer die Installation von Apps aus Drittquellen aktiviert haben.

Das beliebte Bild-Verkleinerungs-Plug-in TimThumb für WordPress hat eine Lücke, die es Angreifern erlaubt, Schadcode auszuführen. Bis es einen Patch gibt, sollten Administratoren das Plug-in deaktivieren oder die Lücke mit folgendem Code unschädlich machen: define (‘WEBSHOT_ENABLED’, false);

F-Secure hat neuen Schadcode ausgemacht, der gezielt SCADA-Systeme angreift. Der Trojaner namens Havex wurde laut F-Secure in Software-Installern gefunden, die auf den Webseiten von Herstellern von SCADA-Equipment angeboten wurde. Es handelt sich wohl um großangelegte Industriespionage.

Von der an staatliche Behörden verkauften Spionage-Software von Hacking Team gibt's natürlich auch eine Version für Mac OS X. Nach knapp 200 Seiten der Präsentation zur Analyse stellt sich aber heraus, dass die untersuchten Versionen alle von 2012 oder früher sind.

Die ehemals renommierte deutsche Sicherheitsfirma n.runs ist offenbar pleite. Die Tochtergesellschaften führen ihren Geschäftsbetrieb unter der Aufsicht des Insolvenzverwalters fort.

Die SSL-Labs haben eine praktische Übersicht der unterstützten SSL/TLS-Optionen der Browser erstellt. (ju)