Schrott des Tages, VirtualDJ führt Code aus, der in ID3-Tags von MP3-Dateien steht. Das ist schon eine ziemlich beachtliche Leistung, einen buffer overflow beim Einlesen eines Arrays aus einer Datei zu bauen, dessen Länge direkt davor steht. So schwierig ist der malloc
(oder für postinkrementiertes C: der new
, wenn man nicht gleich ein std::vector
nimmt) dann ja nicht mehr. Einmal ganz davon abgesehen, dass die Progger dieses Linker-Flag nicht zu kennen schienen, mit dem man dafür sorgt, dass Daten nicht durch die CPU ausführbar sind. Also… ja, dieses hier. Als ich vor ca. zwei Jahren das letzte Mal ein Wischuäl Studio gesehen habe, war dieses Flag jedenfalls standardmäßig an. Aber es gibt bestimmt einen total guten Grund, so eine Schutzvorrichtung nicht zu aktiveren. Grottenschlechten Code zum Beispiel, der dann Probleme bereiten würde, den man aber doch lieber nicht mehr anfassen möchte, um die Probleme mal zu beheben.
Schlagwort Security RSS
-
Nachtwächter
-
Nachtwächter
Meine liebste Guhgell-Gruhp ist übrigens Android Security Announcements, die ist in den vergangenen fast fünf Jahren nicht so fürchterlich aufregend gewesen… [Warnung! Link geht zu Guhgell!]
-
Nachtwächter
Ich wünsche euch auch weiterhin viel Spaß mit euren Wischofonen. Ist auch nicht so schlimm, wenn die Dinger mal richtig weit klaffende Sicherheitslücken haben, wie es zum Beispiel gerade bei Samsung der Fall ist. Denn solche Probleme werden so schnell wie möglich gefixt, man kann geradezu vor seinem inneren Auge sehen, wie atemlos arbeitend Security-Experten dafür sorgen, dass eure Wischofone nicht gepwnt werden: […] das Bereitstellen von Updates werde noch lange dauern, weil diese von den Mobilfunknetzbetreibern getestet werden müssten […]. Verglichen damit ist Meikrosoft Windohs ein gut gepflegtes und sicheres System…
-
Nachtwächter
Datenschleuder des Tages: Digitalkameras mit Netzwerkfunktionen. Sicherheit? Warum sollte man daran auch nur denken: Nutzen Sie einen Webbrowser um Bilder zu machen, anzusehen oder Fotos herunterzuladen.
-
Nachtwächter
Bei Mastercard hat man eine extratolle Idee für die Generation Wischofon: Total einfaches Bezahlen mit dem Wisch-und-weg-Dingens:
Mit MasterPass können Nutzer in Geschäften zum Beispiel über die Nahfeldkommunikation NFC oder über QR-Codes einkaufen
Jaou! Einkaufen über QR-Codes! Draufhalten und das Geld wird rübergebeamt! Da kommt Freude auf! Es ist ja jetzt schon so, dass die Wischofone sich mit Sicherheitsideen der Neunziger Jahre verbinden, während sich inzwischen die organisierte Internet-Kriminalität der Zehner Jahre breitgemacht hat und sogar angesehene Unternehmen Trojaner für die persönlich genutzten Computer proggen lassen. Da sind Bezahlfunktionen übers Wischofon eine echt bescheuerte Idee. Die wird auch nicht besser, wenn man jetzt extrabequemes Blechen über QR-Codes ermöglicht, ganz im Gegenteil:
-
Nachtwächter
Nicht einmal Meikrosoft selbst ist dazu imstande, die dort unter eigenem Betriebssystem laufenden Rechner vor Angriffen abzusichern. Nur, falls noch jemand an die mühelose »Sicherheit« durch irgendwelche Schlangenöl-Software glaubt, die man sich nur installieren muss. Aber der Pressesprecher, der das rausgeblaht hat, hat ja auch gleich beschwichtigt und mitgeteilt, dass unter anderem die Mac-Abteilung betroffen war. Unter anderem…
-
Nachtwächter
Damals, in den Neunzigern, war eines der Argumente für Java-Applets im Browser die Sicherheit. Na ja, und heute…
-
Nachtwächter
Heute mal etwas Gaming-Geschichte und ein Cheat für ein veraltetes Gerät. Wenn man bei den Arcarde-Geräten von Bubble Bobble (Taito, 1986) bei Erscheinen des Titelbildschirms die Kombination »Joystick links, Sprungtaste, Joystick links, Starttaste für einen Spieler, Joystick links, Feuer, Joystick links, Starttaste für einen Spieler« eingab, dann erschien in der unteren, linken Ecke der Text »Power Up«, und wenn man dann erst eine Münze einwarf und das Spiel startete, dann hatte der kleine Drache immer die Turnschuhe an (war also schnell) und konnte schnelle Blasen machen, als ob er den blauen Bonbon gegessen hätte. Die Programmierer bei Taito haben also einen Cheat in einer komplizierten Sequenz versteckt, mit dem man sich einen Vorteil verschaffen konnte. Und die Spieler haben diesen Cheat entdeckt und gern genutzt.
Auf diesem Hintergrund finde ich es sehr begrüßenswert und geradezu geekig, dass Äppel in seinen eiFohns ebenfalls einen Cheat versteckt hat, der durch eine komplizierte Sequenz freigeschaltet werden kann. Klar, dass dieser Cheat auch entdeckt und genutzt wird. So weht mir in den Zehner Jahren eine Erinnerung an die Achtziger in meine Nüstern…
-
Nachtwächter
Und wieder einmal: »Sicherheit« durch digital signierten Code ist Schlangenöl. Vor allem, wenn solche Firmen wie Bit9 damit ihren Reibach machen wollen:
Der Angriff gelang, weil Bit9 nach eigenen Angaben daran scheiterte, auf einigen Rechnern im Unternehmensnetz das eigene Schutzprogramm zu installieren
-
Nachtwächter
Hier mal wieder etwas für alle, die an das ganze Antivirus-Schlangenöl glauben: […] wurden 45 verschiedene Arten von Schadsoftware innerhalb des Firmennetzwerks installiert – davon erkannte die für das Netzwerk eingesetzte Sicherheitssoftware von Symantec lediglich ein Programm.
-
Nachtwächter
Security des Tages: Die Feierfox-Entwickler haben jetzt nach diversen ausgebeuteten Sicherheitslöchern in Plugins mitbekommen, dass das ein kleines Problem ist und wollen die Einstellung zum Standard machen, mit der ich immer unterwegs bin: Um den Plugin-Code auszuführen, muss man erstmal reinklicken. Für alle Plugins? Aber nein doch, nicht für das Flash-Plugin. Das wäre ja auch zu schade, wenn die ganze labernde, flackernde, nervende Flash-Reklame, die immer noch auf gewissen Dreckssites massenhaft verbastelt wird, gar nicht mehr von denen genossen würde, die sich dagegen nicht mit Adblock Plus zu helfen wissen.
-
Nachtwächter
Virenschleuder des Tages: Die Website der Zeitschrift PC-Welt, die mal eben Computer in Bots für die Kriminellen verwandelt hat. Mein Tipp: Mit AdBlocker, abgeschaltetem JavaScript und nur auf Klick startenden Browser-Plugins wäre das mit an Sicherheit grenzender Wahrscheinlichkeit nicht passiert. Mit einem so genannten Antivirenprogramm kann es einem sehr wohl passieren. Vertrauenswürdig ist im Internet nichts und niemand, und schon gar nicht diese fettgeplusterten Websites der Journaille, die aus mindestens zwanzig externen Quellen allerhand Zeugs nachladen.
Die Frage, warum Browser nicht gleich nach der Installation sicher konfiguriert sind, bitte an die Mozilla-Entwickler, an Guhgell, an Meikrosoft, an Opera und an Äppel stellen. Sicherheit ist schlecht fürs Geschäft mit Totaltracking und Reklame.