[Sammelthread] Artikel rund um sicherheitsrelevante Themen und Aspekte

[Helios]

Da steht aber auch noch folgendes:


Labels: -Restrict-View-Commit
Status: Fixed

This issue was fixed on the 28th, there was some delay unrestricting this bug due to the holidays.

There was some discussion about with Kaspersky on how to exploit this vulnerability as I wasn't aware they were checking the commonName sent with SNI. However, we were able to come up with alternative attacks that still worked and Kaspersky resolved it quickly.

 

[Mornsgrans]

Jetzt mal wieder etwas in deutscher Sprache:

CVE-Jahresrückblick: Android und Adobe mit den meisten Sicherheitslücken

Was öffentliche Sicherheitslücken mit CVE-Nummern angeht, war Android ungeschlagener Spitzenreiter der verwundbaren Software im Jahr 2016. Adobe und Microsoft liefern sich hingegen ein Kopf-an-Kopf-Rennen bei den Herstellern.
...

Quelle: Heise

Interessant ist der im Artikel zu cvedetails.com:

Auszug der am häufigsten dokumentierten Sicherheitslücken (nur Betriebssysteme):

1	Android	523
2	Debian	319
3	Ubuntu	278
...
5	Leap (ich vermute, dass OpenSuSE Leap 42.1 gemeint ist)	259
6	OpenSuSE	228
...
10	Linux Kernel	216
11	Os X	215
...
13	Windows 10	172
...
15	IOS	161
16	Windows Server 2012	156
17	Windows 8.1	154
...
20	Windows 7	134

Vorjahreswerte: 2015

Jetzt darf sich jeder seinen Reim daraus machen...

Dass Android an der Spitze liegt, ist wohl weniger verwunderlich. Dass aber Linux noch vor Windows liegt, hat mich doch überrascht. Den Mythos vom sicheren Betriebssystem ist Linux nicht zuletzt auf Gurnd der letzten Zahlen los.

 

[deckel]

Nunja da stellen sich mir doch direkt ein paar Fragen:

-Ist das auf alle in den Repositories einer Distro verfügbare Software bezogen? Das liese den Abstand zu Win nämlich in einem anderen Licht erscheinen.
-Wie viele der gemeldeten Androidlücken sind herstellerspezifisch?
usw.

Zumindest auf der Seite von der die Statistik stammt habe ich spontan kein erläuterndes Material gefunden.
Werde mich mal durch die heise-comment-section wühlen

- - - Beitrag zusammengeführt - - -

edit:
Ah, bei Linux Distros scheint es auf den gesamten Softwarebestand bezogen zu sein (wer keine Absätze überliest ist klar im Vorteil ).
Ein weiterer sehr interessanter Link findet sich hier, ein heise-Forist hat einen sehr interessanten Vortrag des CVE Erfinders verlinkt, der nicht viel von diesen Statistiken hält.

 

[Mornsgrans]

Ja, ich kann gut glauben, dass er Statistiken nicht vertraut - ich auch nicht. Nackte Zahlen sind schön und gut, nur taugen sie nicht viel, solange es keine Hintergrundinformationen gibt. Die Folge ist, dass es zig Interpretationsmöglichkeiten und Spekulationen gibt, die meist nicht zielführend sind.

Das Hauptproblem liegt wohl darin, dass diese Zahlen nichts darüber aussagt, mit welcher Intensität nach Sicherheitslücken gesucht wurde.

Die Intensität der Suche nach Sicherheitslücken muss sich offenbar allgemein erhöht haben, da die Anzahl der gemeldeten Sicherheitslücken gegenüber dem Vorjahr verdoppelt hat.

Auf alle Distro-Pakete kann es sich nicht beziehen, da einige in den Distributionen enthaltene Pakete (PHP, MySQL etc.) separat aufgeführt sind und die Liste auch nur bis "Platz" 50 reicht.

 

[cyberjonny]

Danke fürs Nachforschen, deckel, das rückt die ganze Geschichte doch wieder in ein anderes Licht.
Dafür steht Linux in der "Statistik" dann imho doch gar nicht übel da. Ich will gar nicht wissen, auf welchem Platz Windows wäre, wenn man die Lücken der dafür verfügbaren Software miteinrechnen würde...

Außerdem sagt die Statistik nichts über die Menge vorhandener Lücken, sondern nur über die Menge gefundener Lücken etwas aus. Vielleicht waren die Linuxer auch einfach fleißiger bei der Suche... oder ehrlicher bei der Benennung...

 

[deckel]

Stimmt Mornsgrans, das ist aber ein allgemeines Problem dieser Statistik, da auch nicht auf die Schnelle deutlich wird, welche Lücken wo angerechnet werden, ob welche doppelt gezählt wurden usw.

@cyberjonny
Der verlinkte Vortrag ist recht informativ bezüglich Problemen mit solchen Statistiken.
Die zwei Vortragenden holen ziemlich weit aus in ihren Erläuterungen bezüglich solcher Datenbanken, versuchen aber die Leute bei der Stange zu halten.

 

[der_ingo]

Da steht aber auch noch folgendes:
Labels: -Restrict-View-Commit
Status: Fixed

Naja und?
Sie haben einen peinlichen Fehler, der vermutlich schon lange in den Produkten schlummert, innerhalb von 90 Tagen gefixt, nachdem sie von Externen drauf aufmerksam gemacht wurden.
Das würde ich an so einer Stelle schlicht erwarten. Dass sie eine alternative Methode zur Ausnutzung ebenfalls schnell klären konnten, würde ich da jetzt nicht extra positiv erwähnen.

Das ganze Drumherum lässt halt mal wieder daran zweifeln, dass da Leute arbeiten, denen Sicherheit und Qualität des eigenen Codes etwas wert ist. Es wird ja von Tavis extra betont, dass man genau in dem Bereich der Zertifikatsprüfung bei Kaspersky schon mehrere ernste Probleme gefunden hat und nur mit einem "quick review" schon wieder so eine Macke entdecken konnte. Das klingt für mich absolut nicht vertrauenswürdig.

 

[Helios]

Vorsicht bei Onlineshops, basierend auf Magento.

ComputerBase.de: Skimming - Mindestens 1.000 deutsche Online-Shops infiziert
heise - Liste der Onlineshops (.de/.at/.ch) {Liste nicht vollständig}

Tool zur Überprüfung von bekannten Schwachstellen in Magento-Shops


LG Uwe

 

[Helios]

WhatsApp - Verschlüsselung kann umgangen werden

Laut einem Bericht der britischen Tageszeitung The Guardian weist der WhatsApp-Messenger eine strukturelle Schwachstelle auf, die das Mitlesen von Nachrichten ermöglicht und somit die beworbene Verschlüsselung wirkungslos machen kann.

Der Messengerdienst benutzt zwar das von Open Whisper Systems entwickelte und weithin gelobte Signal-Protokoll zur Verschlüsselung der gesendeten Nachrichten. Allerdings wurde das Protokoll so implementiert, dass in bestimmten Fällen für den Sender oder Empfänger unbemerkt durch WhatsApp die Generierung von neuen Schlüsseln für eine Unterhaltung vorgenommen werden kann. Dieser Umstand soll dem Unternehmen die Möglichkeit geben, die Nachrichten von Nutzern mitzulesen.

Kompletter Artikel - ComputerBase.de: WhatsApp - Verschlüsselung kann umgangen werden

Quelle: theguardian - WhatsApp backdoor allows snooping on encrypted messages


Und wieder ein gewichtiger Grund mehr, auf Telegram und/oder Threema zurück zu greifen!!!

 

[Mornsgrans]

Ex-Firefox-Entwickler wettert gegen Antiviren-Software

Ein interessanter Artikel steht derzeit bei Heise.

Eine aus Frust motivierte Tirade ermöglicht aktuell den Blick hinter die Kulissen der Arbeit mit den Herstellern von Antiviren-Software. Das einfach abzutun, greift zu kurz: Die Kritikpunkte verdienen zumindest Beachtung, meint heise Security.

Dass ein ehemaliger Firefox-Entwickler Anwendern von Antiviren-Software abrät und nur Microsoft als Ausnahme gelten lässt, könne man als gefährlichen Unsinn abtun.
...

Mit Verweis auf diesen Artikel bei heise Security, in dem der frühere Entwickler ausführt, warum Antiviren-Software beim Browsen mehr schadet als nützt. Nicht zuletzt können auch Sicherheitslücken in der Antiviren-Suite fatale Auswirkungen haben.

Viel Spaß beim lesen.

 

[Mornsgrans]

Weiter im Thema bei Heise:
Sicherheitsforscher an AV-Hersteller: "Finger weg von HTTPS"

In einer systematischen Studie haben Forscher Umfang und Auswirkung der Überwachung von gesicherten HTTPS-Verbindungen untersucht. Antiviren-Software und Firmen-Proxies terminieren häufig die TLS-Verschlüsselung, um den Inhalt unter anderem auf Schad-Software untersuchen zu können. Die Ergebnisse der Studie sind erschreckend: Zum einen liegt der Anteil der überwachten Verbindungen deutlich höher als bisher angenommen, zum anderen führt das zu teilweise dramatischen Sicherheitsproblemen.
...

Damit bestätigen die Forscher die Aussage des ehemaligen Mozilla-Entwicklers.

 

[Helios]

New Attack Uses Microsoft's Application Verifier to Hijack Antivirus Software

A new technique named DoubleAgent, discovered by security researchers from Cybellum, allows an attacker to hijack security products and make them take malicious actions.

The DoubleAgent attack was uncovered after Cybellum researchers found a way to exploit Microsoft's Application Verifier mechanism to load malicious code inside other applications.

...

Several antivirus makers affected

Cybellum researchers say that most of today's security products are susceptible to DoubleAgent attacks. The list of affected products includes:

• Avast (CVE-2017-5567)
• AVG (CVE-2017-5566)
• Avira (CVE-2017-6417)
• Bitdefender (CVE-2017-6186)
• Trend Micro (CVE-2017-5565)
• Comodo
• ESET
• F-Secure
• Kaspersky
• Malwarebytes
• McAfee
• Panda
• Quick Heal
• Norton

"We have reported [DoubleAgent to] all the vendors more than 90 days ago, and worked with [a] few of them since," Michael Engstler, Cybellum CTO, told Bleeping Computer in an email.
At the time of writing, "the only vendors that released a patch are Malwarebytes (version number: 3.0.6 Component Update 3), AVG (version number: 16.151.8007) and Trend-Micro (should release it soon)," Engstler added.

Kompletter Artikel: Bleeping Computer - New Attack Uses Microsoft's Application Verifier to Hijack Antivirus Software

 

[Helios]

Windows Defender: Schwerwiegende Sicherheitslücke geschlossen

Microsoft hat mit einem schweren Sicherheitsproblem in der eigenen Antiviren-Software zu kämpfen, welche alle Windows-Versionen sowie die Microsoft Security Essentials betrifft. Angreifer können sich über die Lücke in verschiedenster Form Kontrolle über das System verschaffen. Ein Notfall-Patch ist bereits erhältlich.

Um ein System zu infiltrieren reicht bereits eine E-Mail aus, damit der Schadcode über die Malware Protection Engine bearbeitet wird. Dabei muss der Nutzer die Nachricht nicht einmal öffnen oder den Anhang herunterladen – es reicht das Abrufen im E-Mail-Client. Denkbar ist aber auch ein Angriff über eine präparierte Webseite. Betroffen sind auch Windows-Server, welche einfach über das Hochladen einer Datei verwundet werden können. Die Lücke bietet somit mannigfaltige Möglichkeiten für einen Angriff.

---

Gefunden wurde die Sicherheitslücke von den Google-Sicherheitsforschern Tavis Ormandy und Natalie Silvanovich, welche sie am vergangenen Freitag an Microsoft weiter geleitet hatten und die Schwachstelle zudem dokumentiert haben.

Ormandy bezeichnete in einem Twitter-Beitrag die Lücke als die schlimmste in der jüngsten Vergangenheit.

Kompletter Artikel - Computerbase.de - Windows Defender: Schwerwiegende Sicherheitslücke geschlossen


Microsoft Security Advisory 4022344 - Security Update for Microsoft Malware Protection Engine

 

[Helios]

Beware! Hackers Can Steal Your Windows Password Remotely Using Chrome

A security researcher has discovered a serious vulnerability in the default configuration of the latest version of Google's Chrome running on any version of Microsoft's Windows operating system, including Windows 10, that could allow remote hackers to steal user's login credentials.

Researcher Bosko Stankovic of DefenseCode has found that just by visiting a website containing a malicious SCF file could allow victims to unknowingly share their computer's login credentials with hackers via Chrome and the SMB protocol.

This technique is not new and was exploited by the Stuxnet — a powerful malware that specially designed to destroy Iran's nuclear program — that used the Windows shortcut LNK files to compromise systems.

"Currently, the attacker just needs to entice the victim (using fully updated Google Chrome and Windows) to visit his website to be able to proceed and reuse victim’s authentication credentials," Stankovic wrote in a blog post, describing the flaw.

The Hacker News - Beware! Hackers Can Steal Your Windows Password Remotely Using Chrome

 

[der_ingo]

SMB auf dem Router ausgehend zu blocken schützt vor einer solchen Attacke zuverlässig. Im Normalfall sollte das bei den üblichen Consumer-Geräten standardmäßig der Fall sein.

 

[Helios]

Researchers Crack 1024-bit RSA Encryption in GnuPG Crypto Library

Security boffins have discovered a critical vulnerability in a GnuPG cryptographic library that allowed the researchers to completely break RSA-1024 and successfully extract the secret RSA key to decrypt data.

---

It's the same software used by the former NSA contractor and whistleblower Edward Snowden to keep his communication secure from law enforcement.

The vulnerability, labeled CVE-2017-7526, resides in the Libgcrypt cryptographic library used by GnuPG, which is prone to local FLUSH+RELOAD side-channel attack.

---

Libgcrypt has released a fix for the issue in Libgcrypt version 1.7.8. Debian and Ubuntu have already updated their library with the latest version of Libgcrypt.

Full story: The Hacker News - Researchers Crack 1024-bit RSA Encryption in GnuPG Crypto Library

 

[Helios]

Lenovo Gets a Slap on the Wrist for Superfish Adware Scandal

Lenovo has settled charges with the FTC and 32 state attorneys for shipping laptops preinstalled with the Superfish adware back in 2014 and 2015.

According to a decision published on the FTC’s website, the Chinese hardware vendor has dodged crippling financial penalties. Instead, the FTC has “prohibited” Lenovo from “misrepresenting any features” in case it will ever decide to install adware on users’ laptops. Further, the company must get affirmative consent from users before pre-installing any adware on their devices, something you’d expect companies would do in the first place.

In addition, also part of the settlement, Lenovo will be required to set up a software security program for any software preloaded on its laptops. The company is required to run the program for the next 20 years, and the FTC will subject Lenovo to third-party audits on the program’s implementation.

Der komplette Artikel kann auf Bleeping Computer nachgelesen werden.

 

[Helios]

Kritische Schwachstellen im WPA2-Protokoll - Key Reinstallation Attacks (KRACK)

Eine Gruppe von Forschern der KU Leuven hat schwerwiegende Mängel im WPA2-Protokoll festgestellt, welcher den Schutz für alle modernen Wi-Fi-Netzwerke darstellt. Ein Angreifer, der sich im Bereich des Opfers befindet, kann diese Unzulänglichkeiten mithilfe von Schlüsselwiederherstellungsattacken verwenden. Angreifer können diese neue Angriffsmethode verwenden, um Informationen zu lesen, die zuvor als verschlüsselt angesehen wurden.

https://www.krackattacks.com/
KU Leuven - Key Reinstallation Attacks: Forcing Nonce Reuse in WPA2

CERT - Vulnerability Note VU#228519 Wi-Fi Protected Access II (WPA2) handshake traffic can be manipulated to induce nonce and session key reuse

LineageOS - hostapd: Avoid key reinstallation in FT handshake (merged)

Android 6.0 and Linux are the most at risk, the report said.

"We're aware of the issue, and we will be patching any affected devices in the coming weeks," a Google spokesperson told CNN Tech.

Meanwhile, Microsoft said customers who have the latest Windows Update, launched last week, and applied the security updates, are automatically protected. Apple confirmed the flaw has been patched on all its products and a fix will be available for everyone in the next few weeks

CNN Tech - Wi-Fi network flaw could let hackers spy on you

 

[mcb]

Infineon versorgt die Welt seit 2012 mit fehlerhaften TPMs

Quelle:
http://winfuture.de/news,100126.html
LenovoGeräte:
https://support.lenovo.com/ca/en/product_security/len-15552

inch: Toller Tag heute ...

 

[gatasa]

Thinkpads X-Reihe ab X260, L-Reihe ab L460, T-Reihe ab T460/T560 bis auf Modelle mit Typenbezeichnung 20Jx "affected"
W-Reihe und alle unterhalb der x60er Baureihen "not affected"