Skip to content

Söcher

Es ist mal wieder Zeit, einen großen Topf Häme über diversen IT-firmen auszukippen. Fangen wir am besten mal bei google an. Das Android-Loch bei dem Medien-Abspiel-Framework Stagefright hatte ich ja neulich schon gewürdigt. Das ließ sich ja auch von außen ausnutzen, wenn man eine präparierte Mediendatei irgendwie da reinbekam, zum Beispiel, indem man sie per MMS verschickte, oder irgendwo im Netz (hust, Werbenetzwerk) verteilt. Nun ist noch ein Loch im Mediendunstkreis rausgekommen. Um das auszunutzen muss man immerhin schon speziellen Code auf dem Gerät ausführen, aber irgendwas sagt mir, dass sich die beiden Löcher kombinieren lassen könnten. Google, die auf andere firmen mit ihrer 90-Tage-Frist ("Project Zero") Druck ausüben, haben übrigens ihren ersten Patch im Medienframework nicht so unheimlich gut hinbekommen, was auch nichts daran ändert, dass keiner der Fixes jemals alle betroffenen Geräte erreichen wird. Lustiges nebenbei: Der diensthabende Ober-Troll hat dann auch mal anerkannt, dass es da eine Sicherheitsunterschreitung gibt, und das Google nicht gerade souverän wirkt.

Nur nebenbei erwähnt sei dann mal ein Sicherheitsloch im Design von HTC-Händies mit Fingerabdruck-Scanner. Die haben nämlich die Fingerabdrücke unverschlüsselt(!) in einer Datei im System gespeichert, die jeder Prozess auf dem Gerät lesen durfte(!!). Wie gut, dass Open-Source-Systeme immer schnell abgesichert werden. Hat hier jemand Heartbleed gesagt?

Um mal einen Ausgleich zu bringen: Apple hat auch ein Loch, hier in seinem Rechner-OS, inklusive der aktuellsten Version 10.10.5. Damit lässt sich offenbar Root-Recht erlangen, wenn man Code auf dem Gerät ausführen kann. Laut ersten Berichten besteht der Fehler übrigens nicht in den Betaversionen des nächsten Mac-Updates, bei dem Root-Rechte aber ohnehin weniger erlauben, nachdem dort auch ein tiefergehender Systemschutz eingezogen wird. Unklar ist noch, ob Apple sich um das aktuelle System noch so weit kümmern wird, dass es da ein Update rausbringt, mit dem das neue Sicherheitsloch gestopft wird. Ich hoffe es zwar, bin mir aber nicht so sicher, dass sie das auch so sehen.

Und dann war da noch eine klitzewinzige Sicherheitsschwankung bei einem unwesentlichen Dienstleister für elektronische Postleistungen. Da ließen sich mobil genutzte Postfächer wohl kapern, wenn ein präparierter Link geöffnet worden wäre, und noch ein paar Bedingungen zutrafen. Wie gut, dass die gleiche Firma die per Gesetz als hochsicher definierten De-Mail-Dienste hoch-sicher betreibt. Immerhin sind die Rechner, auf denen De-Mail läuft, nicht unerlaubt zu Fuß zu erreichen.

Trackbacks

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben

HTML-Tags werden in ihre Entities umgewandelt.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA

BBCode-Formatierung erlaubt
Formular-Optionen

Kommentare werden erst nach redaktioneller Prüfung freigeschaltet!