Jürgen Auer
Legendäres Mitglied
Normalerweise halte ich nicht allzuviel davon, jede bekannt gewordene Sicherheitslücke in Foren zu posten.
In den letzten Tagen gab es allerdings zwei Meldungen, die zusammengenommen 'nicht ganz unwichtig' sind.
(1) Passwort-Module-von-SquirrelMail-infiltriert
(2) Gefahr-durch-automatische-Softwareupdates
(1) Auf dem Webserver von SquirrelMail wurde im Juni eingebrochen. Nun (erst nun!
stellte sich heraus, daß Plugins, die von diesen Servern downloadbar sind, infiziert wurden - sie schneiden Passwörter mit und verschicken diese an einen anderen Server. Diverse Nutzer dürften sich in den letzten Wochen diese Software installiert haben. Angesichts solcher Unzulänglichkeiten schreibt Heise:
QUOTE Der stümperhafte Umgang mit diesem GAU legt jedenfalls nahe, den Einsatz von SquirrelMail noch einmal grundsätzlich zu überdenken.
(2) Auf einer Hackerkonferenz wurde ein Tool vorgestellt, das automatische Updatemechanismen von Programmen unterläuft. Ergebnis ist, daß scheinbar ein Update vorliegt, der Nutzer installiert dies aus einer scheinbar vertrauenswürdigen Quelle - und in Wirklichkeit wird ein Hackertool installiert.
Der Punkt (2) ist interessant, weil ich mich 2003, bei der Entwicklung und Bereitstellung der ersten meiner Freeware-Tools, dazu entschieden hatte, prinzipiell kein 'Nach-Hause-Telefonieren' oder gar ein automatisches Update einzubauen. Denn wenn ein Tool wie das evt-Watch mit lokalen Administratorrechten läuft, dann ist das doch sehr heikel, wenn sich dieses Tool automatisch Code herunterlädt und diesen ausführt. Sieht man sich die Beispiele aus dem Artikel an, dann ist das jedenfalls nicht so einfach abzusichern.
In den letzten Tagen gab es allerdings zwei Meldungen, die zusammengenommen 'nicht ganz unwichtig' sind.
(1) Passwort-Module-von-SquirrelMail-infiltriert
(2) Gefahr-durch-automatische-Softwareupdates
(1) Auf dem Webserver von SquirrelMail wurde im Juni eingebrochen. Nun (erst nun!
stellte sich heraus, daß Plugins, die von diesen Servern downloadbar sind, infiziert wurden - sie schneiden Passwörter mit und verschicken diese an einen anderen Server. Diverse Nutzer dürften sich in den letzten Wochen diese Software installiert haben. Angesichts solcher Unzulänglichkeiten schreibt Heise:QUOTE Der stümperhafte Umgang mit diesem GAU legt jedenfalls nahe, den Einsatz von SquirrelMail noch einmal grundsätzlich zu überdenken.
(2) Auf einer Hackerkonferenz wurde ein Tool vorgestellt, das automatische Updatemechanismen von Programmen unterläuft. Ergebnis ist, daß scheinbar ein Update vorliegt, der Nutzer installiert dies aus einer scheinbar vertrauenswürdigen Quelle - und in Wirklichkeit wird ein Hackertool installiert.
Der Punkt (2) ist interessant, weil ich mich 2003, bei der Entwicklung und Bereitstellung der ersten meiner Freeware-Tools, dazu entschieden hatte, prinzipiell kein 'Nach-Hause-Telefonieren' oder gar ein automatisches Update einzubauen. Denn wenn ein Tool wie das evt-Watch mit lokalen Administratorrechten läuft, dann ist das doch sehr heikel, wenn sich dieses Tool automatisch Code herunterlädt und diesen ausführt. Sieht man sich die Beispiele aus dem Artikel an, dann ist das jedenfalls nicht so einfach abzusichern.
