Auf diesem Blog können Mitarbeiter:innen von CERT.at Beiträge veröffentlichen. Da dies möglichst unbürokratisch abläuft, werden die darin vertretenen Meinungen nicht immer auch von CERT.at vertreten.
Der CERT.at Blog kann alternativ auch als Feed bezogen werden.
Jan 11
Updates für Ruby on Rails
Die Entwickler von Ruby on Rails haben am 9. Jänner Updates auf die Versionen 3.2.11, 3.1.10, 3.0.19 und 2.3.15 veröffentlicht - mit diesen Updates wurde unter anderem der kritische Fehler (CVE-2013-0156) behoben, welcher es Angreifern ermöglichte durch simple POST-Requests unerwünschten ...
Dec 21
iTAN vs. mTAN
Ich wurde in den letzten Wochen darauf angesprochen, ob man nicht ob der Eurograbber (ZeuS in the mobile) Angriffe auf electronic Banking wieder auf die iTANs zurück steigen sollte.Dazu ein paar Klarstellungen:Keine Sicherheitsmaßnahme ist zu 100% sicher, insbesondere weil immer ...
Nov 20
Belkin WLAN-Router: Unsichere Default WPA2-Passphrases
Einige Wireless LAN-Router des Herstellers Belkin werden ab Werk mit einer zufällig generierten WPA2-Passphrase für das drahtlose Netzwerk ausgeliefert. Diese wird neben dem Namen des drahtlosen Netzwerks (ESSID) auf der Unterseite des Geräts aufgedruckt, generell ist dies auch zu befürworten, ...
Nov 13
Samsung Galaxy S3 Sicherheitslücke (unencrypted passwords)
Die Entwicklergemeinde XDA-Developers ist auf ein Sicherheitsleck im sehr beliebten und weit verbreiteten Smartphone 'Galaxy S3' von Samsung gestoßen.Die beim Galaxy S3 mitgelieferte App 'S-Memo' bietet die Möglichkeit, Passwörter zu speichern und bei Bedarf abzurufen, jetzt wurde ...
Oct 27
Online Web security challenge "natas"
overthewire.org hat eine neue online "hacker" challenge herausgebracht: http://www.overthewire.org/wargames/natas/ Hierbei müssen angehende "hacker" 17 verschiedene challenges lösen. Jedesmal wenn eine challenge erfolgreich absolviert wurde, findet man ein Passwort, mit dem man ...
Oct 12
Skype Malware im Umlauf
In der sehr beliebten VoIP- und Instant-Messaging-Software Skype wird derzeit wieder Malware namens "Dorkbot" verbreitet, welche schon vor Monaten über Facebook und Twitter verteilt wurde - mittlerweile sind aber auch Benutzer des MSN-Messenger betroffen. Der Wurm verbreitet sich, wie schon so oft, ...
Oct 10
BIND Nameserver - Updates einspielen
Wieder einmal gibt es eine Schwachstelle in der Nameserver-Software BIND, welche zum Absturz des Dienstes "named" führen kann. Noch ist nicht bekannt, ob die Schwachstelle bereits ausgenutzt wird.
Wir empfehlen aber so schnell wie möglich, die bereits zur Verfügung gestellten Updates ...
Wir empfehlen aber so schnell wie möglich, die bereits zur Verfügung gestellten Updates ...
Sep 26
IEEE Passwort Leak
Man sollte meinen, dass eine Vereinigung wie die IEEE eine Ahnung von technischen Dingen hat (genauso wie man annimmt, dass die IPA was von Sicherheit versteht). Dem ist aber anscheinend nicht so: sie haben die Passwörter ihrer Mitglieder
* im Klartext gespeichert, und
* nicht sicher ...
* im Klartext gespeichert, und
* nicht sicher ...
Sep 13
iTunes updates. Bitte einspielen
Apple hat heute ein großes Update herausgebracht. Mindestens 160 Lücken in iTunes wurden hierbei geschlossen. Teilweise remote code execution!Da iTunes ein automatisches Update-System verwendet, ist diese Meldung für CERT.at keine offizielle Warnung. Eine Erinnerung an dieser Stelle ...
Sep 13
BEASTv2 a.k.a CRIME
Vor ziemlich genau einem Jahr wurde der BEAST Attack auf SSL/TLS 1.0 publiziert; die gleichen Forscher haben für heuer etwas ähnliches angekündigt.In der Community wird aktuell noch darüber gerätselt, welches SSL-Feature denn für den Information-Leak verantwortlich ...