lost+found: Was von der Woche übrig blieb

Die Betreiber des sozialen Netzwerks Xing haben eine Sicherheitslücke geschlossen, die es einem Angreifer erlaubte, durch Clickjacking Nutzeraccounts zu übernehmen. Dadurch waren bis zum Beheben der Lücke alle Nutzerdaten in Gefahr, inklusive der Zahlungsdaten bei Premium-Accounts.

Recorded Future berichtet, dass al-Qaida anscheinend nach den Veröffentlichungen von Edward Snowden auf neue, bislang unbekannte Verschlüsselungsverfahren umgestiegen ist. Angesichts dessen, wie schwer es ist, Verschlüsselung richtig zu machen, darf man bezweifeln, ob sie es der NSA damit wirklich schwerer machen.

Mit dem Tastic RFID Thief kann man Informationen von RFID-Chips in der Nähe auslesen, zum Beispiel von Zugangskarten für Gebäude. Das offene Design basiert auf einem Arduino und einem RFID-Lesegerät von HID.

Der Einsatz von SHA-1 für digitale Signaturen und insbesondere in Zertifikaten gilt als problematisch; Microsoft will sie ab 2016 ächten. Jetzt kündigt Google an, dass man spätestens 2015 auf Zertifikate mit SHA-256-Signaturen umsteigen will. Probleme gibt das unter Umständen auf Systemen mit Windows XP ohne SP3 und älteren Smartphones. Wer aber Twitter noch lesen kann, ist auf der sicheren Seite. Denn die haben seit Heartbleed bereits ein SHA-256-Zertifikat.

Spammer machen sich aktuell den Medienwirbel um den Heartbleed-Bug zunutze, um Amazon-Kunden abzuzocken. Entsprechende E-Mails die zur Verifizierung des eigenen Kundenkontos aufrufen, sind nicht echt.

Und wo wir gerade von Heartbleed sprechen: OpenSSL hat anscheinend weitere Sicherheitslücken; das OpenBSD-Team hat einen NULL-Pointer-Zugriff in der Alert-Behandlung aufgedeckt, der zumindest einen Programmabsturz erzeugt.

Ein Sicherheitsforscher hat eine Sicherheitslücke im X-Server entdeckt, die von den Entwicklern für über 20 Jahre nicht bemerkt wurde. Der Bug im Greisen-Alter stammt wohl von 1991 und befindet sich im X-Font-Service-Protokoll, welches allerdings von modernen Unix-Systemen in der Regel nicht benutzt wird. Bei der Lücke handelt es sich nicht um den einzigen Uralt-Bug, den die Entwickler des X-Servers in letzter Zeit gefunden haben.

Beim letzten Patchday hat Microsoft zwei vorbeugende Maßnahmen umgesetzt, die unerwünschte Zugriffe auf Windows-Systeme in Firmennetzen abblocken sollen. Zum einen sollen sogenannte Pass-the-Hash-Angriffe erschwert werden, indem man den Zugriff übers Netz etwa via psexec für lokale Accounts verbietet (Microsoft Security Advisory 2871997). Zum anderen sollen Passwörter, die via Group Policy Objects verteilt werden, nicht mehr über die Datei Groups.xml leicht zu kapern sein (MS14-025). Beide Schutzmaßnahmen lassen jedoch offenbar noch Lücken. Demnach betrifft der Pass-the-Hash-Schutz nicht die Default-Admin-Accounts mit SID 500 und bereits existierende Passwörter in Groups.xml bleiben erhalten. (fab)