November-Patchday von Microsoft und Adobe (11.11.2015 | Update 12.11.2015) |
Adobe patcht 17 kritische Schwachstellen im Flash-Player. Eine zeitnahe Installation der aktuellen Version ist angeraten, weil das Ausnutzen dieser Lecks im schlimmsten Fall zur kompletten Übernahme des Computers führen könnte. Microsoft schliesst zum November-Patchday 49 Schwachstellen, wovon 26 als kritisch eingestuft sind. Auch hier ist eine zügige Installation der Updates angesagt, um eine Rechner-Übernahme mittels Remote-Code-Execution im Falle eines Angriffs zu vereiteln. Update 12.11.2015: Weiterlesen... |
Kommentare (36) |
(UN)Sicherheiten der veschiedenen TAN-Verfahren zum Online-Banking (23.10.2015) |
Online-Banking erfordert zurecht die Bestätigung einer Transaktion durch eine TAN (Transaktionsnummer), die unabhängig von der PIN (Persönliche Identifikationsnummer) zum Einsatz kommt. Somit soll sichergestellt werden, dass alles mit rechten Dingen zugeht. Leider sind nicht alle TAN-Verfahren sicher genug und es könnte auf dem Bank-Kontoauszug u.U. so aussehen wir in der linken Grafik dargestellt, indem beispielsweise eine Überweisung bzgl. des Betrages und des Empfängers manipuliert wurde (und plötzlich fehlen EUR 10.000,--...). Nach den jüngsten Betrugsfällen um die mTAN, wurde nun auch die App-TAN demontiert. Wir beschreiben deshalb nachstehend die unterschiedlichen Verfahren mit ihren Vor- und Nachteilen sowie Sicherheitsrisiken: Weiterlesen... |
Kommentare (8) |
Kommentare (1) |
Neue Lücke im Android Mediaserver (18.08.2015) |
Im Android-Mediaserver klafft nicht nur die bereits bekannte Sicherheitslücke zur Stagefright-Schwachstelle, sondern ist auf weitere Weise angreifbar. Das Sicherheitsleck mit der Kennung CVE-2015-3842 steckt in der AudioEffect-Komponente und ermöglicht wie beim Stagefright-Problem das Ausführen von Angreifer-Code mit den Rechten des Mediaservers, was zur Übernahme der Kontrolle über die Kamera und das Mikrofon führen kann. Betroffen sind die Android-Versionen 2.3 bis 5.1.1, sprich rund 99,7 % aller im Umlauf befindlichen Geräte. Bisher soll es zu keinen Übergriffen gekommen sein aber die Lücke ist erst gestern bekannt geworden. Die ersten Angriffe werden wohl kaum lange auf sich warten lassen. Weiterlesen... |