Über mehrere Lücken im WinAMP-Player können manipulierte Flash-Videos einen Integer oder Buffer Overflow im Player auslösen. Immer wieder interessant, wie Lücken in bestimmten Dateiformaten gerade immer dann auftauchen, wenn man's in einem Projekt am wenigstens gebrauchen kann...
Mittwoch, Juli 14, 2010
Freitag, Mai 21, 2010
30 Jahre Pacman
Ist das wirklich schon dreissig Jahre her? Muss wohl, am 22. Mai 1980 wurde Pacman das erste mal veröffentlicht. Und pünktlich zum Geburtstags setzt Google ein eigenes Google-Doodle für Pacman, das sogar über die Cursortasten spielbar ist.
UPDATE: Anscheinend kollidiert das Google-Doodle mit dem CoolPreview-Plugin. Das lädt wohl im Hintergrund Google zusammen mit dem (sound-unterstützen) Pacman-Doodle. Hat zu einer entsprechenden Fehlermeldung "When I open firefox I get pacman sounds in the background" im Support-Forum mit in der Zwischenzeit sechs Seiten von Folge-Posts geführt (siehe hier).
Ausserdem hat sich der Support wohl genötigt gefühlt, direkt auf der Startseite eine entsprechenden Hinweis zu setzen:
Freitag, April 09, 2010
Donnerstag, April 08, 2010
XSS-Angriffe über META-Felder
Aus dem heise-Newsticker: nettes Beispiel für Cross-Site-Scripting-Angriffe über Datenfelder, von denen man das eigentlich nicht javascript:void(0)erwarten würde. Im konkreten Fall wurde von nCircle in den Meta-Daten von SSL-Zertifikaten und den WHOIS-Domian-Informationen JavaScript-Code eingetragen.
Konkrete Angriffsmöglichkeiten bei bestimmten Web-Applikationen hat's darüber auch schon gegeben.
nCircle hat diese "Meta Information Cross Site Scripting"-Schwachstelle (MIXSS) unter dieser Seite beschrieben.
Richtig neu ist das aber nicht. Der Grundsatz 'never trust external data' gilt natürlich auch für solche Informationen. Als weitere potenzielle Quellen werden z.B. die Banner von SMTP-Servern und die Header-Informationen von HTTP-Servern genannt.
Mittwoch, März 31, 2010
PDF-Exploit on the way...
Gelesen bei heise.de: es gibt in PDF-Dokumenten eine erhebliche konzeptionelle Sicherheitslücke, über die Angreifer mit entsprechend vorbereiteten PDF-Dokumenten potenziell jedes Programm starten können, und damit natürlich auf dem Rechner des ahnungslosen Nutzers beliebiges Unheil anrichten können.
Dabei werden keine fehlerhaften Implementierungen ausgenutzt, sondern die Option "Launch Actions/Launch File" genutzt, die Teil der PDF-Spezifikation ist. Betroffen sind daher (da eine Standard-PDF-Spezifikation) nicht nur die Original-Reader von Adobe, sondern auch andere Programme wie z.B. Foxit.
Besonderer persönlicher Nebeneffekt: mein aktuelles Projekt nutzt eine Funktionalität die auf PDF aufsetzt als Highlight und Kern-Feature des ganzen Projekts.
Dienstag, März 23, 2010
Fehlt da das Attachement?
Gerade bei Googlemail gesehen:
Bei bestimmten Schlüsselwörtern geht GoogleMail wohl davon aus, dass man ein Attachement mitschicken wollte. Wenn das fehlt, kommt eine Warnmeldung.
Praktisch, bei Outlook passiert mir das immer wieder, dass ich eine Mail versende und den Anhang vergesse ... und nicht nur mir.
Montag, März 22, 2010
Wenn die Kollegen zuviel automatisieren ...
Gerade hat Google mich dazu aufgefordert, zu beweisen dass ich ein Mensch bin...
... keine Ahnung, was die Kollegen in meinem Firmennetz da grade betreiben.
Montag, März 15, 2010
Handy-Botnetz? (Noch) nur im Labor ...
Netter Artikel bei der Computerwoche: Amerikanische Forscher haben ein experimentelles Botnetz für Smartphones entwickelt. Eine von Ihnen Wetter-App für Android-Smartphones hat sich in einer Woche auf fast 10.000 Smartphones verbreitet.
Die Applikation war zwar harmlos, die Forscher haben aber auch eine nicht so harmlose Variante erstellt.
Sie erlaubt Remote-Kontrolle des Smartphones, kann private Daten aus dem Telefon ausspionieren und Spam-Mails weiterleiten.
Im Hinblick auf die technische Leistungsfähigkeit moderner Handys und bei der beobachteten Verbreitung in nur einer Woche kommt da ein Ganz nettes Botnetz zusammen. Und Handys sind normalerweise deutlich länger aktiviert und damit kontrolierbar als Computer.
Freitag, März 12, 2010
Info's zum Mariposa-Botnetz
Ganz interessant mal Zahlen zu der aktuellen Größen von Botnetzen zu kriegen: das in Spanien ausgehobene Mariposa-Netz hatte laut Security-Fokus bis zu 12.7 Millionen Rechner unter Kontrolle. Ausserdem sind persönliche Daten von 800.000 Personen von den Betreibern zusammengestellt worden, darunter Login-Daten für Banken und Email-Passwörter
Abonnieren
Posts (Atom)