Thema
SSL
Web-VPN-Lösungen hebeln Sicherheitsmodell der Browser aus
Das US-CERT hat darauf hingewiesen, dass sogenannte "Clientless SSL VPN"-Produkte zahlreicher Anbieter die Same Origin Policy von Browsern aushebeln, durch die sich Cookies und Zugangsdaten stehlen lassen.
TLS-Renegotiation-Schwachstelle erklärt 
Anhand einfacher Grafiken zeigt Thierry Zoller, wie sich die TLS-Renegotiation-Schwachstelle ausnutzen lässt.
Passwortklau durch Schwachstelle im SSL/TLS-Protokoll
Die Anfang des Monats bekannt gewordene Schwachstelle im Design des SSL/TLS-Protokolls lässt sich offenkundig doch schon für praktische Angriffe ausnutzen - beispielsweise um Zugangsdaten für Twitter auszuspähen.
OpenSSL fixt TLS-Schwachstelle
Eine neue Version der Crypto-Bibliothek OpenSSL behebt zwar die kürzlich bekannt gewordene Schwachtelle in TLS nicht, verhindert aber mögliche Angriffe darauf.
Schwachstelle im SSL/TLS-Protokoll
Schwachstellen im SSL/TLS-Protokoll lassen sich Berichten zufolge von Angreifern ausnutzen, um in geschützte Verbindungen eigene Inhalte einzuschleusen. Ursache sind Designfehler des Protokolls im Zusammenhang mit TLS Renegotiations.
Microsoft-Patchday: Alles neu macht der Oktober
Insgesamt 34 Sicherheitslücken beheben die Redmonder mit 13 Update-Paketen -- da ist für jeden etwas dabei. Erstmalig werden auch Patches für das kommende Windows 7 geliefert.
Thawte stellt Web of Trust für kostenlose SSL-Zertifikate ein
Alle betroffenen Zertifikate werden zum Stichtag im November zurückgerufen. Web-of-Trust-Mitglieder bekommen jedoch für ein Jahr kostenlosen Ersatz von VeriSign.
Zertifikatsanfrage? Probiers später!
Moxie Marlinspike beschreibt eine verblüffend einfache Methode,OCSP-Anfragen zu manipulieren.
Gefälschtes PayPal-Zertifikat täuscht IE, Chrome und Safari
Ein SSL-Trickzertifikat für www.paypal.com und der dazugehörige private Schlüssel dürften Microsoft, Google und Apple in Zugzwang bringen, nun endlich Updates zum Beseitigen der NULL-Prefix-Schwachstelle zu veröffentlichen.
Trickzertifikat für SSL veröffentlicht [Update]
Ein Hacker hat ein SSL-Zertifikat und den dazugehörigen privaten Schlüssel veröffentlicht, mit denen ein Webserver in verwundbaren Browsern keine Fehlermeldung provoziert - egal für welche Domain er das Zertifikat ausliefert.
Internet Explorer unterstützt kostenlose Zertifikate
Microsofts Programme akzeptieren nun ohne Nachfrage Zertifikate einer Firma, die auch kostenlose Server-Zertifikate anbietet.
E-Mail-Verschlüsselung austesten
Für Diagnose-Zwecke ist es sehr nützlich, mit dem SMTP- oder IMAP-Server direkt zu sprechen. Wenn Verschlüsselung im Spiel ist, geht das zwar nicht mehr ganz so einfach – aber mit den richtigen Tools ist es kein Hexenwerk.
Thunderbird 2.0.0.23 behebt SSL-Schwachstelle
Die Version behebt eine Schwachstelle in der Verarbeitung von SSL-Zertifikaten, mit der Angreifer Zertifikate für vertrauenswürdige Seiten vortäuschen können.
Neue SSL-Attacken demonstriert
Durch präparierte Zertifikatsanträge und Fehler der Browser beim Auswerten von Zertifikaten ist es möglich, Anwendern gültige Zertifikate für beliebige Domains vorzugaukeln - etwa www.paypal.com.
Studie: Warnmeldungen bei SSL-Zertfikaten so gut wie nutzlos
Je nach Browser ignorierten 55 bis 100 Prozent der Anwender in einem Test die Warnmeldung bei Unstimmigkeiten von SSL-Zertifikaten. Ursache sei laut Bericht ein fundamentales Missverständnis des Sinns von Zertifikaten.
Google prüft durchgehende SSL-Verschlüsselung aller seiner Dienste
Den Denkanstoß gab ein Brief an Google-Chef Eric Schmidt einer aus renommierten Forschern und Sicherheitsspezialisten bestehenden Gruppe. Sie wirft Google vor, Anwender unnötigerweise dem Risiko von Spionage-Angriffen auszusetzen.
SSL-VPN-Router für kleine Netze
Barracudas SSL VPN 180 verbindet bis zu 15 Benutzer per Webbrowser mit dem Firmennetz.
Richtig verschlüsseln mit Firefox 3
Bei Firefox 3 hat das Mozilla-Team den Umgang mit Zertifikaten überarbeitet, leider nicht immer zum Besseren. Doch ein paar Handgriffe schaffen mehr Komfort und letztlich auch mehr Sicherheit.
Black Hat: Neue Angriffsmethoden auf SSL vorgestellt
Ein Sicherheitsforscher hat auf der derzeit stattfindenden Sicherheitskonferenz Black Hat einen neuen Angriff auf SSL-gesicherte Browser-Verbindungen vorgestellt, mit denen er Anwendern Log-in-Daten für Yahoo, Google und Paypal stehlen konnte.
Zertifizierungsstellen reagieren auf MD5-Hack
Nachdem eine Forschergruppe zum Beweis der Unsicherheit von MD5 ein Zertifikat fälschte, mit dem sie weitere Zertifikate mit beliebiger Identität ausstellen könnten, reagieren die Zertifizierungsstellen.
25C3: Erfolgreicher Angriff auf das SSL-Zertifikatsystem
Sicherheitsforscher konnten eine MD5-Kollision ausnutzen, um sich ein gültiges Herausgeberzertifikat zum Ausstellen beliebiger SSL-Zertifikate zu beschaffen.
Anmeldeprobleme mit Firefox und NoScript [Update]
Wegen einer neuen Sicherheitsfunktion der Firefox-Erweiterung NoScript funktioniert die Anmeldung auf diversen Seiten teilweise nicht mehr. Dazu gehört neben Sites wie eBay und Twitter auch heise online.
Eingriff in E-Mail-Verschlüsselung durch Mobilfunknetz von O2
Seit vergangener Woche berichteten O2-Kunden vereinzelt von Fehlermeldungen beim Versand von E-Mail. Wie sich heraus stellte, filterte der Mobilfunk-Provider zeitweise Befehle, die eine Verschlüsselung aktivieren.
heise online Themen