Tag Archives: Sicherheit

Firefox zeigt alle Zugangsdaten als Vorschlag an

Kürzlich erst wurde die Passwortverwaltung von Firefox überarbeitet, jetzt buggt er meiner Meinung nach richtig rum.

Alle gespeicherten Zugangsdaten als Vorschlag

Heute macht ich meinen Firefox auf, will mein Passwort auswählen, da schlagt das Vorschlagfenster am Bildschirmrand auf. Natürlich werde ich das jetzt nicht zeigen 😉 Ihr müßt also sehr vorsichtig sein, wenn Ihr Eure Passwörter eingebt, weil unabsichtlich nicht nur der aktuelle Username aufpoppt, sondern alle die ins Bild passen und die dazugehörigen Webadressen und das können eine Menge sein.

Selbstverständlich wurde der Bug bereits bei Fedora eröffnet.

„Security“ by Deutsche Bahn

Posted on by

Die Deutsche Bahn hat ja derzeit schon einen Gesprächstermin mit der Berliner Datenschutzbeauftragten, weil sie Greta’s Reisedaten preisgegeben haben, aber vor 16 Minuten brach auch die Sicherheitsfassade der DB IT zusammen. Auf Full-Disclosure wurde vom Vulnerability Laboratory eine DB Bahn Sicherheitslücke veröffentlicht.

„Security“ by Deutsche Bahn

Man kennt das als Bahnfahrer, man trifft an an einem Bahnhof ein und möchte woanders hin. Dazu braucht man einen Fahrschein, neudeutsch auch Ticket genannt. Um ein Ticket zu bekommen, stehen überall so kleine armlose Roboter rum, die Geld in Tickets wechseln. Dazu gibt man ein, wo man hin will und dann …. crasht gelegentlich die Anwendung intern, und da wird es spannend 🙂

Ein Prozess auf dem… und jetzt gut festhalten… Windows XP System, namens PasswordAgent.exe hat diverse Fehler, mal kann er was nicht abfragen, mal gibt es Laufzeitfehler, wie man das so noch von WinXP kennt ;). Jedesmal wenn das passiert, kommt eine Fehlermeldungsbox. Auf normalen PC wäre die im Vordergrund zusehen, hier allerdings versteckt sie sich hinter dem Anwendungsfenster des Verkaufsautomaten, damit der Kunde genau das nicht sehen kann.

Leider gibt es da noch einen Bug: Wenn man im Zahlenfeld auf Abbrechen klickt, während diese Meldung im Hintergrund angezeigt wird, kommt die nach vorne, vor die Verkaufsanwendung.

Jetzt haben wir ein Standardwindowsfehlerfenster und da ist ein Link drin zu den Details der Fehlermeldung. Darin wiederum ist ein Link zur M$-Hilfe. Drückt man drauf kommt, Ihr ahnt es, ein Browser ins Spiel, weil das ein Weblink ist. Ist der Browser erstmal gestartet, hat man über das Einstellungsmenü die Option ins Filesystem zu wechseln und der Rest dürfte auf der Hand liegen: Trojaner drauf, Ransomware oder einfach die DB Kunden verarschen, in dem der Automat keinen Fahrschein druckt oder oder oder…

Hier nochmal die Kurzfassung des Exploitweges:

PasswordAgent.exe := Unexpected Error (Background) – Runtime/Session/Timeout
=> Transaction Application => Cancel := Unexpected Error (Background) – Runtime/Session/Timeout (Front)
=> Click Error Report => Click Search Collection => Web Browser => Local File System => PWND!

Den Wert des Exploits schätzen die Finder auf 5.000€ – 10.000€ ein.

Angeblich kam die Bahn bereits selbst auf diese Lücke und hätte auch schon mit dem Patchen begonnen, insofern müßten potentielle Spaßvögel sehr schnell reagieren 😉

Quelle: https://www.vulnerability-lab.com/get_content.php?id=2191

Sicherheitsabend bei der LUG BS

Posted on by

„Guten Abend meine sehr verehrten Damen und Herren,
ich darf Sie heute zum IT-Sicherheitsabend der LUG Braunschweig im Haus der Talente begrüßen.“

So wird es nächsten Mittwoch, ab 18 Uhr im Haus der Talente garantiert nicht klingen, wenn wir die Besucher zu unserem IT-Sicherheitsabend 2018 begrüßen werden.

Im Programm haben wir u.a. Vorträge zu folgenden Themen:

  • „TLS – Was kann da schon schiefgehen?“
  • „Firefox absichern“
  • „Du und Dein Passwort – Wieso Passwörter lang sein müssen“
  • „Unterschiede von Windows und LINUX am Beispiel der Datenausleitung“

Ich würd mich natürlich freuen, wenn Ihr auch kommen würdet.

Datum: 26.9. 2018 ab 18 Uhr

Ort der Veranstaltung : Nachbarschaftszentrum / Haus der Talente, Elbestr. 45.  (Tram 3, Haltestelle: Saalestr.)