28.01.2010
Sicherheit
Ein Klick legt alle Daten offen
Autor: Charles Glimm
Sicherheitsspezialisten der Bostoner Firma Core Security wollen einen Exploit gefunden haben, der dem Webmaster einer präparierten Internet-Seite vollen Zugriff auf die Systemfestplatten seiner Besucher eröffnet.
Wie The Register berichtet, will Jorge Luis Alvarez Medina von Core Security Technologies die Methode auf der Black Hat Sicherheitskonferenz in Washington Anfang Februar demonstrieren.
Er behauptet, einen simplen Link auf eine Webseite so manipulieren zu können, dass der Webmaster der präparierten Seite anschließend jeden Besucher, der die Seite mit dem Internet Explorer unter Windows ansteuert, vollständig ausspionieren könne. Angeblich erhält er nämlich vollen Zugriff auf die C:-Partition des Surfers, inklusive aller Dateien, Cookies und Passwörter.
Ausgenutzt werden dabei keine Bugs oder Sicherheitslücken im klassischen Sinn, sondern eine Reihe von systemgebundenen Schwächen in verschiedenen Internet-Explorer- und Windows-Funktionen. Dabei handle es sich um Funktionen, die vor allem die Arbeit mit Web-Applikationen ermöglichen oder vereinfachen, wie zum Beispiel das Online-Filesharing.
Es sei deshalb extrem schwierig für Microsoft, diese Lücke zu beseitigen, weil man die betroffenen Funktionen nicht einfach entfernen oder deaktivieren könne, sondern sie grundlegend überarbeiten müsse, um die gewohnte Funktionalität für den Benutzer zu erhalten.
Laut Medina ist Microsoft über die Problematik informiert und dabei, sie zu untersuchen. Allerdings sei aus Redmont bisher nur verlautet, man habe keine Hinweise darauf erhalten, dass die beschriebene Schwäche aktiv ausgenutzt werde.
Test-Framework
Testautomatisierung mit C# und Atata
Atata ist ein umfassendes C#-Framework für die Web-Testautomatisierung, das auf Selenium WebDriver basiert. Es verwendet das Fluent Page Object Pattern und verfügt über ein einzigartiges Protokollierungssystem sowie Trigger-Funktionalitäten.
>>
Programmiersprache
Primärkonstruktoren in C# erleichtern den Code-Refactoring-Prozess
Zusammenfassen, was zusammen gehört: Dabei helfen die in C# 12 neu eingeführten Primärkonstruktoren, indem sie Code kürzer und klarer machen.
>>
Tools
GitLab Duo Chat mit KI-Chat-Unterstützung
Der DevSecOps-Plattform-Anbieter GitLab führt den GitLab Duo Chat ein. Dieses Tool integriert Künstliche Intelligenz in die DevSecOps-Workflows.
>>
Cyberbedrohungen überall
IT-Sicherheit unter der Lupe
Cybersecurity ist essentiell in der IT-Planung, doch Prioritätenkonflikte und die Vielfalt der Aufgaben limitieren oft die Umsetzung. Das größte Sicherheitsrisiko bleibt der Mensch.
>>