News

Neue Bedrohung durch „Clickjacking“?

Sicherheitsexperten haben einen Vortrag auf der OWASP-Konferenz zu kritischen Sicherheitslücken in einer Reihe von Internet-Browsern und in Websites zurückgezogen und mit ihrer Begründung für einige Aufregung in der Security-Gemeinde gesorgt. In einem Blog rechtfertigt einer der beiden Vortragenden, Robert „RSnake“ Hansen, den Schritt damit, dass die entdeckten Schwachstellen derart schlimm seien, dass sie vor der Veröffentlichung einer Absprache mit den betroffenen Herstellern bedürfen („responsible disclosure“).

Der Vortrag, an dem Hansen zusammen mit Jeremiah Grossman arbeitet, trägt den klingenden Namen „Clickjacking“. Nach Hansens und Grossmans Schilderungen ermöglicht eine Kombination der entdeckten Schwachstellen einem Angreifer, den Anwender anstelle legitimer Links „auf etwas kaum oder nur sehr kurz Sichtbares“ klicken zu lassen. Eine solche Schwachstelle wäre ein gefundenes Fressen für Phisher und Sprungbrett für eine Reihe weiterer Angriffe. Eines der Probleme beträfe auch „Websites im Allgemeinen“, wie Grossman schreibt. Weil man aber nicht warten wolle, bis jeder Webmaster ein Update eingespielt habe, strebe man zum Schutz der Anwender eine Lösung in den Browsern an. Das Problem „Clickjacking“ sei eigentlich hinreichend bekannt, aber unterbewertet.

Zunächst hatte es in einer offiziellen Ankündigung der Konferenzveranstalter geheißen, der Vortrag sei „unterdrückt“ worden. Auch die Formulierung in Grossmans Blog, die Verschiebung sei auf Herstellerwunsch erfolgt („postponed by vendor request“) weckte eher unangenehme Erinnerungen an Ereignisse wie den Fall Cisco vs. Michael Lynn. 2005 war der Hardware-Riese rechtlich gegen einen BlackHat-Vortrag vorgegangen, der sein hauseigenes Router-Betriebssystem IOS betraf. Doch Hansen widerspricht ausdrücklich dieser Darstellung. Die Zurückziehung sei die eigene Entscheidung gewesen.

Hansen und Grossmann stehen nach eigenen Angaben bereits mit Branchengrößen wie Microsoft – auch der IE8 soll betroffen sein – und Adobe zur Lösung des Problems in Verbindung. Adobe selbst hat in einem Konzernblog eingeräumt, dass eines seiner Produkte betroffen ist und man an einer Lösung arbeite. Die beiden Vortragenden sind in der Szene keine Unbekannten: So entdeckten sie unter anderem im vergangenen Jahr eine Schwachstelle in Firefox, die Angreifern das Auslesen der Web-History des Anwenders erlaubte. Hansen schrieb außerdem zu Jahresbeginn einen Wettbewerb um den kürzesten XSS-Wurm aus.

Neue Bedrohung durch „Clickjacking“?

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach