Am Montag hatte ich darüber geschrieben, dass Java den Adobe Reader als kritischste Anwendung abgelöst hat. Ich hatte dort auch den Oktober Patchday erwähnt, in dem mehrere kritische Schwachstellen gefixt wurden. Die gefixten Schwachstellen und die möglichen Angriffsszenarien wurden im Minded Security Blog in drei Artikeln beschrieben. Beim DNS-Rebinding geht es darum, dem Browser des [...]
Didier Stevens hatte bereits am 11.10. in einem Beitrag erklärt, wie man durch manuelle Einstellungen an den PDF-Programmen Adobe Reader, Foxit Reader und Sumatra PDF die Sicherheitsfunktionen DEP, ASLR und das Integrity Level einstellen kann und welche Auswirkungen das auf die Software hat. Am Samstag hat er die versprochenen Flags für die PE-Files nachgeliefert. Viel [...]
“Das Problem bei der Sicherheit sitzt ja oft vor dem Rechner”, sagt Jens Fromm, Senior Researcher am Fraunhofer-Institut für Offene Kommunikationssysteme in Berlin. Und er sagt es auf einer Pressekonferenz zum neuen Personalausweis. Einer der anwesenden Journalisten ist vom Spiegel und der schreibt: “Vor ein paar Jahren hat die Große Koalition nun mal entschieden, dass [...]
Wie Heise berichtet, habe die Zahl der Angriffsversuche auf Java-Lücken in den vergangenen Monaten dramatisch zugenommen. Dies gehe aus einem Bericht des des Microsoft Malware Protection Center (MMPC) hervor. Seit Mitte des Jahres seien drei ältere Java-Lücken das Ziel von rund sechs Millionen Angriffen gewesen. Damit hat der Adobe Reader in der Kategorie “häufigste angegriffene [...]
Die Vorträge der diesjährigen OWASP-Konferenz von Mittwoch stehen nun zum Download bereit. Hier nochmal eine Übersicht über die Themen: Keynote — Sebastian Klipper Risikofaktor Mensch: Die Suche nach Kompetenz auf OSI-Layer 8 Tom Brennan Current State of OWASP Adoption Matthias Rohr Der OWASP ASVS Standard Sascha Herzog XML-Security – Brief introduction in the use of [...]
Stonesoft hat in Sachen Advanced Evasion Techniques (AET) nachgelegt (it-sa steht vor der Tür). Nachdem der Hersteller von Sicherheitssoftware am 04.10. mit einer Pressemitteilung die Diskussion um AET eingeläutet hatte, geht es nun also in die zweite Runde. Die eigentliche Botschaft: “Den besten Schutz vor dynamischen und sich ständig weiterentwickelnden AETs bieten flexible, softwarebasierte Sicherheitssysteme [...]
Wie mir gerade von einem Teilnehmer der Veranstaltung Public IT-Security (PITS) berichtet wird bleibt das BMI bei der Darstellung, dass zum Missbrauch des ePA dessen Besitz notwendig sei. Andreas Reisen, Leiter des Referats “Pass- und Ausweiswesen, Identifizierungssysteme” im Bundesministerium des Innern, habe sich auf der Veranstaltung diesbezüglich geäußert. Ich hatte am 03.10. hier im Blog [...]
Diese Woche ist es soweit: Mein zweites Buch “Information Security Risk Management – Risikomanagement mit ISO/IEC 27001, 27005 und 31010″ geht in die Produktion und kann damit pünktlich im November erscheinen. Wer möchte kann das Buch bereits jetzt vorbestellen. Das Buch enthält 34 Abbildungen, 10 Tabellen und 14 Fallbeispiele, die den Stoff anschaulich vermitteln. Über [...]
Weder bei SuisseID noch beim deutschen elektronischen Personalausweis wurden die Systeme bis zu Ende gedacht. Auf der security-zone in Zürich konnte ich mir den Vortrag von Max Moser und Thorsten Schröder selbst ansehen und mich von den Denkfehlern in den beiden Systemen überzeugen lassen. Es geht nicht in erster Linie um die Sicherheit der verwendeten [...]
Am 29. und 30.09. fand die secAware – 2nd International Workference of Security Awareness in Frankfurt am Main statt. Durch die Veranstaltung führten Birgitte Baardseth (isits) und Marcus Beyer (ISPIN). Tag 1: Das Programm begann mit der Key-Note “Der (un)aufmerksame Mensch” des Schweizer Publizisten Dr. Stephan Wehowsky, der sich dem Thema von der eher philosophischen [...]
