"Christmas - the time to fix the computers of your loved ones" « Lord Wyrm

Aktuelle Sicherheitslücken

Hansmaulwurf 20.04.2014 - 11:17 171689 674 Thread rating
Posts

wergor

connoisseur de mimi
Avatar
Registered: Jul 2005
Location: graz
Posts: 4019

wergor

connoisseur de mimi
Avatar
Registered: Jul 2005
Location: graz
Posts: 4019
checkts mal eure repos

Rektal

Here to stay
Registered: Dec 2002
Location: Inside
Posts: 4420
2FA aktivieren, schreiben sie auch.

Ist da erste was ich nach jedem neuen Account wo mache, sofern vorhanden.

mr.nice.

endlich fertig
Avatar
Registered: Jun 2004
Location: Wien
Posts: 6286
Was auch ziemlich ungut ist, sind die kursierenden Dell SupportAssist Sicherheitslücken, die Kombination aus hohem Verbreitungsgrad, da auf jedem Dell PC vorinstalliert und scheinbarer Vertrauenswürdigeit, da Herstellersoftware, macht die Anwendung zu einem attraktiven Ziel für Angreifer.

mr.nice.

endlich fertig
Avatar
Registered: Jun 2004
Location: Wien
Posts: 6286

Hier die Meldung von Facebook dazu:
https://www.facebook.com/security/a...s/cve-2019-3568

Ich würde davon ausgehen, dass dies nicht der einzige Exploit dieser Art ist.

Smut

takeover & ether
Avatar
Registered: Feb 2003
Location: VIE
Posts: 16603
eine wildere. wird zeit das Ms alles in ssh tunnelt. ihre protokolle und implementierungen sind ein schlechter scherz.
lücke ist so kritisch, dass sie sogar den server 2003 noch patchen.

Viper780

Moderator
Er ist tot, Jim!
Avatar
Registered: Mar 2001
Location: Wien
Posts: 48756
Ssh bringt doch nix, außer mehr Komplexität.
Die sollen legacy Code entfernen und ein schlankeres Protokoll bauen

Smut

takeover & ether
Avatar
Registered: Feb 2003
Location: VIE
Posts: 16603
ssh bringt sehr, sehr viel.
tunneln bereits viel auf windows über SSH. endlich funktionierende authentication im protokoll. welches MS protokoll von MS kann das? kerberos? ;)

mat

Administrator
Legends never die
Avatar
Registered: Aug 2003
Location: nö
Posts: 25373
Holy shit!

semteX

Risen from the banned
Avatar
Registered: Oct 2002
Location: Pre
Posts: 14308
nais

Viper780

Moderator
Er ist tot, Jim!
Avatar
Registered: Mar 2001
Location: Wien
Posts: 48756
Ein sehr gekonnter Hack und auch die Aufdeckung ist interessant.

Irgendwie freut es mich das es gerade auf iOS dazu gekommen ist. Da wurde ja immer gesagt das ist per se Sicher und man zahlt das halt gleich beim kaufen.

Smut

takeover & ether
Avatar
Registered: Feb 2003
Location: VIE
Posts: 16603
Bei anderen Betriebssystemen muss man nicht derartigen Aufwand betreiben.
Geht bei Sicherheit darum eine möglichst hohe Hürde zu bauen. 100% ist nicht möglich.
Spannend wären jetzt Infos wieviele devices es wirklich waren und welche Daten abgezogen wurden - wird man vmtl. Aber nicht erfahren.

Viper780

Moderator
Er ist tot, Jim!
Avatar
Registered: Mar 2001
Location: Wien
Posts: 48756
Mit dem Aufwand kann ich dir nicht zustimmen.
Klar geht's überall, aber durch das sehr Homogene Apple Ökosystem ist es leichter eine "Exploitchain" zusammenzustellen und zu warten.

Aber um das geht es mir garnicht. Sondern dass egal was du ootb kaufst es als Ziel lohnt und angreifbar ist.
Ich hab in unzähligen Firmen gehört dass sie nur iOS devices verwenden weil weit sicherer, die aber nicht abgeschottet sind und quasi Vollzugriff auf das gesamte LDAP und Exchange haben. Weil es kann eh nix sein.

Smut

takeover & ether
Avatar
Registered: Feb 2003
Location: VIE
Posts: 16603
steht aber auch im artikel, dass die lücken für ios vergleichsweise teuer sind, da sehr selten.
ua. auch ein grund (neben standardisierung) weshalb firmen darauf setzen.

mr.nice.

endlich fertig
Avatar
Registered: Jun 2004
Location: Wien
Posts: 6286
Manche Lücken werden auch erst irgendwann bekannt, wenn überhaupt, weil sie gut gehütet werden und gar nicht zum Verkauf stehen.

Es würde mich nicht überraschen wenn, z.B. erst in etlichen Jahren ein "eternal white" exploit für Apples neues Dateisystem bekannt würde.

Was die aktuelle Lücke betrifft wundert mich die unverschlüsselte Datenübertragung, anscheinend wollten die erwischt werden.
Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz