Es näselt leicht im Passwort-Podcast: Co-Host Christopher hat die herbstliche Erkältungswelle erwischt. Doch das hindert die Sicherheits-Spezis nicht daran, sich durch verschiedene Themen rund um ihr Steckenpferd zu wühlen. Und derer gibt es – wie üblich – reichlich, begonnen bei einem verräterischen Exploitverkäufer.

Mit einem auf den ersten Blick eher untypischen Thema geht es weiter, nämlich dem folgenschweren Ausfall bei Amazons Clouddienst AWS sowie dem erst vor wenigen Tagen ausgefallenen Cloud-Loadbalancer beim Konkurrenten Microsoft. Doch wie Sylvester erläutert, gehört die Verfügbarkeit als gleichberechtigter Bestandteil ebenso zur "CIA-Triade" wie die Vertraulichkeit und Integrität von Informationen. Doch nicht nur dieser Formalismus macht die Ausfälle zum Podcast-Thema, sondern auch, dass sie lehrbuchartig für das Schmetterlingsprinzip stehen: Ein kleiner Ablauffehler in einem automatischen Vorgang führte zu tagelangen weltweiten Verfügbarkeitsproblemen.

Mit Ihrer Zustimmung wird hier ein externer Podcast (Podigee GmbH) geladen. Podcasts immer laden

Mit einer aktuellen kritischen Sicherheitslücke beim weltgrößten Softwareentwickler Microsoft gehts weiter: Im WSUS-Server klafft ein Leck, das Fremden die Ausführung beliebigen Codes und womöglich die Verteilung schädlicher Updates gestattet. Exploits kursieren bereits – und die Ursache ist mal wieder schlechte Programmierpraxis. Christopher konstatiert, dass etwas RTFM den Windows-Entwicklern dieses Ungemach erspart hätte.

Mit einem gemeinen Trick macht sich ein Schädling teilweise unsichtbar, dem Sylvester nachgespürt hat. Die Malware "Glassworm" ist Teil einer neuen Supply-Chain-Attacke auf das Javascript-Ökosystem und bedient sich der weitgehend unbekannten "Unicode Variation Selectors", um seine Schadroutine zu verschleiern. Vim-Nutzer müssen stark sein: Ihr gottgleich verehrter Editor fällt auf den Trick herein, andere warnen hingegen unterschiedlich deutlich. Glassworm hat noch weitere schlaue Tricks auf Lager, ist jedoch nicht zu Ende gedacht, stellt Sylvester fest.

Und dann war da noch die WebPKI. Christopher hat in den vergangenen Wochen das Versagen einer kroatischen CA beobachtet (dabei an der einen oder anderen Stelle selbst etwas Öl ins Zertifikatsfeuer gegossen) und zieht ein Zwischenfazit. Wie es dazu kam, dass CDN-Riese Cloudflare einen "unakzeptablen Sicherheits-Lapsus" konstatierte, erzählt er seinem Co-Host und dem Publikum am Ende der Folge.

Die neueste Folge von "Passwort – der heise security Podcast" steht seit Mittwochmorgen auf allen Podcast-Plattformen zum Anhören bereit.

Jetzt heise Security Pro entdecken

Jetzt heise Security Pro entdecken

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Dieser Link ist leider nicht mehr gültig. Links zu verschenkten Artikeln werden ungültig, wenn diese älter als 7 Tage sind oder zu oft aufgerufen wurden. Sie benötigen ein heise+ Paket, um diesen Artikel zu lesen. Jetzt eine Woche unverbindlich testen – ohne Verpflichtung! Wochenpass bestellen

Sie haben heise+ bereits abonniert? Hier anmelden.

Oder benötigen Sie mehr Informationen zum heise+ Abo

Original Link
Original Autor: Heise