Security des tages

Ähm… benutzt hier jemand kompjuter von ASUS?

Über einen kompromittierten Asus-Update-Server haben Angreifer zwischen Juni und November 2018 eine Schadsoftware verteilt, die mit einem Zertifikat von Asus signiert war. Das betroffene Live-Update-Tool wird standardmäßig auf Asus-Laptops und anderen Geräten des Herstellers installiert

Oh, da ist bei ASUS wohl der private schlüssel kopiert worden.

„Secure boot“ des tages

In der tat ist es ein sehr sicheres hochfahren des rechners, wenn der rechner nicht mehr hochfährt. Denn ein rechner, der nicht läuft, ist nun einmal ziemlich sicher.

Ich wünsche allen betroffenen auch weiterhin viel spaß mit der sabotahsche… ähm… den sicherheits-aktualisierungen für windohs von meikrosoft.

Router des tages

Alle asus RT-AC68U (nein, das sind keine pfennig-billigkisten) sind anfällig für einen XSS-angriff in der web-benutzerschnittstelle. Ein übergebener parameter wird ungefilter auf die seiten übernommen und ermöglicht so das einschleusen beliebigen kohds. Und als ob das nicht schlimm genug wäre, kann man den dingern auch beliebigen kohd zum ausführen unterjubeln; ein fehler, den asus jetzt schon fast einen monat lang kennt und nicht behandelt.