Benutzt hier jemand was von äppel?

Es ist möglich, an einen PC, ein wischofon oder ein wischopädd von äppel eine textnachricht zu senden, die das system mindestens zum absturz bringt — und manchmal kommt es noch dicker:

Auf Twitter und in anderen sozialen Netzwerken wird derzeit ein Link verbreitet, mit dem sich aktuelle Hardware von Apple via iMessage crashen lässt – eine sogenannte Textbombe. Wird er in der Nachrichten-App (Messages) auf dem Mac empfangen, dem häufigsten Verbreitungsweg, stürzt diese sofort ab – auf iPhone, iPad und iPod touch soll es sogar zu Neustarts des Homescreens oder gar Crash-Schleifen kommen

Klick und kräsch! Das ist aber auch immer schwierig mit dieser anzeige von texten… das kennen wir ja alle, dass wir eine einfache textdatei in einem editor öffnen und das komplette betrübssystem beim rendern dieses textes abstürzt. Meine fresse!

Ach du scheiße, das wird ja noch schlimmer! Es sind ja sehr „benutzerfreundliche“ systeme, die äppel da immer auf die menschheit loslässt, da muss man…

Problematisch ist, dass die Nachrichten-App sowohl auf dem Mac als auch auf iPhone, iPad und iPod touch Links automatisch mit einer Vorschau versieht – entsprechend hilft es nicht, den Link einfach nicht zu klicken

…nicht einmal mehr klicken. Es ist doch schön, wenn einem so viel lästige arbeit vom kompjuter abgenommen wird! (Welcher vollidjot ist auf diese hirnversengte scheißidee gekommen?! Da kann man den leuten ja noch so oft diese elementare kompjutersicherheits-grundlagenschulung geben, dass sie nicht auf alles klicken sollen, worauf man klicken kann, und dann kommt so ein scheiß-betrübssystem daher und macht es stattdessen vollautomatisch für seinen anwender. Vermutlich nichtdeaktivierbar. Ich verstehe zwar nicht, welches problem damit gelöst wurde, aber ich bin wohl auch zu dumm dazu. Ganz große extraklasse! Zu schade, dass für die verursachten schäden durch solche scheißideen aus den gruselgrüften verstrahlter hirne nicht gehaftet werden muss.)

Advertisements

Der vorteil von kryptowährungen

Man muss gar nicht erst nahe an einen menschen herankommen und ihn mit einem kleinen trick ablenken, um ihm die patte aus der tasche zu ziehen, das geht auch aus sicherer entfernung, technisch und anonym

Anwender sollten ihre Clients schleunigst aktualisieren, da sich die Sicherheitslücke aus der Ferne, mit geringem Aufwand und vom Nutzer unbemerkt ausnutzen lässt.

Was da für ein fehlerchen drin ist? Och, nix ungewöhnliches oder schlimmes, nur der normale wahnsinn:

Die Sicherheitslücke besteht darin, dass aufgrund eines Fehlers in Electrum seit Version 2.6 auch dann der integrierte JSON-RPC-Server gestartet wird, wenn ein Anwender Electrum auf dem Desktop mit GUI nutzt – und zwar ungeschützt ohne Notwendigkeit zur Authentifizierung

m(

Meikrosoft des tages

Security
Es wird schlimmer: Meikrosofts spectre-fix brickt einige AMD-PCs

Einige betroffene sagen, dass selbst eine neuinstallazjon nicht mehr hilft… der kompjuter ist im arsch. Bei anderen half die neuinstallazjon, und dann hat sich windohs gleich mal den pätsch gesaugt, und der kompjuter ist im arsch. Tja… auch weiterhin viel spaß beim vertrauen darauf, dass meikrosoft seinen sicherheitsaktualisierungskram im griff hat!

Ein gruß auch nach münchen! :mrgreen:

Security des tages

Hat hier jemand so ein NAS von western digital mit dem abschreckenden namen „my cloud“ bei sich herumstehen? Zieht mal lieber den stecker! Da ist werksseitig ein klitzekleines hintertürchen eingebaut worden:

Die Firmware zahlreicher Modelle ermöglicht offenbar das Login mit hardgecodeten Default-Zugangsdaten aus der Ferne […] Zugriff mit Root-Rechten übers Internet […] erbat sich Western Digital bereits im Juni 2017 90 Tage Zeit, um die Sicherheitslücken zu schließen, was jedoch bis heute nicht passiert ist. Die Backdoor steht somit noch immer offen

m(

Natürlich, warum sollte man denn ein kleines hintertürchen schließen, wenn man es doch selbst eingebaut hat? (Andere erklärungen für so ein verhalten wollen mir beim besten willen nicht einfallen.) Auch weiterhin viel spaß mit irgendwelchen plastikkästen, die man euch verkauft, damit ihr sie schön, voll einfach und echt jetzt mal benutzerfreundlich mit einem ethernet-kabel ins internetz hängen könnt, ohne jemals auch nur elementare sicherheitsaktualisierungen dafür zu kriegen! Wenn euch das scheunentor nicht passt, könnt ihr ja einfach den näxsten plastikkasten kaufen.

Fest verdrahtete standard-anmeldungen für root? Das ist die neue offenheit! Den verbrechern dieser welt zum genuss und allen geheimdiensten zum wohlgefallen. Halleluja!

Aber hej, wo „cloud“ draufsteht, da regnen halt platschepampe die daten ab. Und die einladung zur freien kohdausführung für jedes siebenjährige häckkind bei seinen ersten unbeholfenen schritten ins neuland wird gleich mitgeliefert. Schon der produktname hätte bei mir eine akute kauf- und nutzungshemmung ausgelöst, so ganz irrazjonal und überhaupt nicht weiter begründbar. Ich würde ja auch keine nahrungsmittel kaufen, wo ganz groß zyankali auf der packung draufsteht… na ja, dumm kauft eben gut. Und frisst alles, was ihm werbeheins vorsetzen.

Schneller nachtrag: aus dem heiseforum, also ohne gewähr

Baugleich: D-Link DNS-320L ShareCenter

In dem Artikel wird mit keinem Wort erwähnt, das das D-Link DNS-320L ShareCenter baugleich mit dem WD Zeugs ist. Beide haben die selben hardcoded Login Daten.
Was für ein Zufall…

Es sind also vermutlich noch ein paar… ähm… fernwartbare NAS mehr im umlauf, und nicht alle tragen so alberne namen. Augen auf beim hardwäjhrkauf.

Kwalitätsjornalismus des tages

Der focus vom burda-verlach so [archivversjon]:

Raumsonde „Osiris-Rex“:
Faszinierende Aufnahme der Nasa zeigt erstmals Mond und Erde auf einem Bild

Mehr als 384.000 Kilometer trennen den Mond von der Erde. Obwohl die Entfernung so groß ist, hat ein Raumschiff der Nasa es jetzt aber erstmals geschafft, beide Himmelskörper auf ein Foto zu bekommen

Ja, nee, ist klar! 😆

Mit verlaub, herr kwalitätsjornalist im brote des burda-verlachs beim ersinnen von derart klickigen clickbait-überschriften: den mond und die erde auf einem bild habe ich aber schon einmal gesehen. Nein, nicht erst neulich, sondern am ende der sechziger jahre des letzten jahrhunderts. Und das foto vom 24. dezember 1968 hat auf mich auch viel beeindruckender gewirkt und wirkt auch heute auf mich viel beeindruckender.

Aber hej, kwalitätsjornalist, wenn du an der reklamevermarktungsfront irgendwelcher scheißverleger arbeitest und dort frei von jeglichem sprachgefühl die schlagzeile zu einer raumfahrtmeldung in die tasten kloppst, kannst du ja nicht auch noch etwas über die geschichte der raumfahrt wissen…

Kompjuternutzung wird immer einfacher!!!1!!1!

Android macht das Ausfüllen von Formularen, etwa Konto- und Kreditkartenformularen, mit der Einführung des Autofill-Frameworks einfacher. Dieses Framework verwaltet die Kommunikation zwischen der App und einem Dienst zum automatischen Ausfüllen […] Forscher haben zwei verschiedene Scripts ausgemacht (…), die darauf ausgerichtet sind, identifizierbare Informationen aus browserbasierten Passwortmanagern auszulesen. Die Scripts verrichten ihr Werk, indem sie unsichtbare Anmeldeformulare im Hintergrund der Website einfügen und alles, was die Browser automatisch eintragen, aufschaufeln

Falls jemand noch einen grund braucht, um nicht jeder dahergelaufenen webseit javascript zu erlauben. Zurzeit wird das „nur“ für träcking benutzt, aber demnächst wird es wohl auch von verbrechern geschaltete reklame geben, die login-daten für paypal, amazon, ihh-bäh und so weiter ausspäht — nebst kontoinformazjonen und den zugang zu fratzenbuch, zwitscherchen, spämmedin für betrugs- und spämmzwecke.

Einmal der normale irrsinn, bitte… facepalm des tages

Die frickelbude ATOS — „global leader in digital transformation“ oder auf deutsch: ein führendes unternehmen für „cloud“, cyber und big fätt däjhta — hat bei einem dieser beliebten BRD-leuchtturmprojekte für lichtallergiker einige ihrer besonders bewährten spezjalexperten drangesetzt, und diesmal einen mit nur selten erlebten kryptografie-sonderkompetenzen für das verkacken in regierungsmaßstäben.

Einem IT-Dienstleister war nämlich aufgefallen, dass der beA-Client nicht den Public Key, sondern den Private Key des von T-Systems signierten Zertifikates verteilte

Hej, aber immerhin hatte man bei den schlüsseln eine schangse von fuffzich prozent, dass man auch den richtigen verteilt. Dann gehts halt auch mal schief… :mrgreen:

m(

TLS des tages

ROBOT-Angriff:
19 Jahre alter Angriff auf TLS funktioniert immer noch

[…] Wie wir herausgefunden haben, gilt das besonders für populäre Webseiten, darunter Facebook, Paypal […] Als Beleg für einen erfolgreichen Angriff gelang es, eine Signatur mit dem privaten Schlüssel von Facebooks Zertifikat zu erstellen

Weia!

Auch weiterhin viel spaß beim festen glauben an die sicherheit, die euch vom angezeigten schlösschen im brauserfenster versprochen wird! Kommt leute, der onkel jornalist hat euch doch immer wieder gesagt, dass webseits mit diesem schlösschen sicher sind. Der ist ganz großer experte und sogar jornalist, also glaubt ihm einfach!

Und vor allem: immer schön weiter irgendwelche kompjuter kaufen…

Besonders hart trifft das Problem Nutzer von ACE-Loadbalancern der Firma Cisco. Diese Geräte erhalten schon seit einigen Jahren keinen Support mehr. Im Einsatz sind sie trotzdem noch […] Vermutlich verwendet Cisco auch selbst die verwundbaren Devices für seine eigene Domain cisco.com – die Sicherheitslücke ist dort vorhanden

…bei denen andere darüber entscheiden, was für softwäjhr darauf läuft. Das prinzip kennt ihr ja schon von euren wischofonen und smartglotzen. Das ist ganz grundsätzlich eine güldene 1A extragute idee. Dann ist das mit den sicherheitsaktualisierungen auch gleich viel einfacher: einfach ein neues gerät kaufen. Kommt schon, das bisschen geld tut doch bei weitem nicht so weh wie daunlohd und installazjon fehlerbereinigter softwäjhr!

TLS und „cloud“ des tages

Bitte vor dem klick alle tischkanten aus gebissnähe entfernen!

In einem Cloud-ERP-Produkt hat Microsoft für verschlüsselte HTTPS-Verbindungen auf allen Instanzen dasselbe Zertifikat genutzt

Erstes durchatmen und irgendwas gegen die hand tun, die im gesicht klebt, damit man weiterlesen kann:

Bei der Cloud-Version von Dynamics 365 for Operations erhält jeder Kunde eine Instanz der Software auf einem eigenen Server. Davon gibt es eine Sandbox-Version, die als Testumgebung gedacht ist. Das Webinterface dieser Systeme wurde mit einem HTTPS-Zertifikat ausgeliefert, das für *.sandbox.operations.dynamics.com ausgestellt war – von Microsofts eigener Zertifizierungsstelle […] Kunden können sich selbst über das Microsoft-eigene Remote Desktop Protocol (RDP) auf dem Sandbox-Server einloggen. Da sie damit direkten Zugriff auf den Server haben, ist es nicht schwer, den zum Zertifikat zugehörigen privaten Schlüssel zu extrahieren und herunterzuladen

Weia! Und wenn man bei golem noch ein bisschen weiter liest, wird es eher noch schlimmer, denn meikrosoft hat zunächst eine extra meikrosofte form der problembehandlung probiert. Aber ich will mal nix vorwegnehmen…

Schlangenöl des tages

Die Malware Protection Engine von Microsoft weist eine Schwachstelle auf, über die Angreifer Schadcode auf Computer schieben könnten

Immerhin, der üble fehler wird gleich mit den näxsten signaturaktualisierungen gefixt (kommt, das könnt ihr doch händisch anstoßen, also macht mal!) und wurde von meikrosoft gefunden, bevor bekannt wurde, dass ihn jemand kriminell ausgebeuet hat.

Auch weiterhin viel spaß und viel gefühlte sicherheit (nebst gestiegener angriffsmöglichkeit für kriminelle) beim festen glauben an das ganze antivirus-schlangenöl.

Wenn das der führer wüsste!

Die bundeswehr ist schon eine lustige truppe. Die haben nicht nur helme, den den kopf nicht schützen; gewehre, die danebenschießen; marinehubschrauber, die nicht über der see eingesetzt werden können und eine verteidigungsministerin, die bei alledem ihre frisur mit zement in form zu bringen scheint, damit wenigstens sie ein standhaftes bild abgibt — die haben jetzt auch eine komplett kaputte u-boot-flotte.

Wie viele sozjalwohnungen könnte man eigentlich im lande der wuchermieten und des wohnungsmangels für die anschaffungs- und betriebskosten eines einzigen scheiß-u-bootes bauen? Und wozu braucht man in einer angeblichen landesverteidigungsarmee wie der bundeswehr solche u-boote?

Security des tages

Äpple ist mal wieder so richtig sicher:

Schwere Sicherheitslücke:
root ohne Passwort mit macOS High Sierra

Das ist doch bestimmt ein ganz schwieriger häck, oder? Das kann doch bestimmt nicht jedes dahergelaufene kind, oder?

Um die Lücke auszunutzen, muss man sich in die Systemeinstellungen begeben und einen Dialog auswählen, der Administratorrechte verlangt – etwa jenen, mit dem sich neue Accounts kreieren lassen. Nach dem Klick auf das Schlosssymbol zum Entsperren wird als Username „root“ eingegeben und das Passwortfeld leer gelassen. Nach einmaligem Selektieren des leeren Feldes lässt sich auf „Schutz aufheben“ klicken (gegebenenfalls mehrmals) – und man ist drin

Weia! 😦

Wördpress des tages

Dieses wördpress meint schon seit ein paar tagen, dass ich mir eine aktualisierung installieren soll, weil…

Bildschirmfoto aus dem adminbereich von wördpress (hier aus dem spämmblog). Es gibt laut menü eine aktualisierung, die ich installieren soll. Ich benutze die aktuelle versjon von wördpress, alle meine erweiterungen sind auf dem aktuellen stand und alle meine deseins sind auf dem aktuellen stand.

…bei mir alles auf dem aktuellen stand ist. 😀

Ach, apropos spämmblog! Das spielkind, das da gerade wie ein tollwütiger berserker wörterbuchmäßig passwörter für einen login ausprobiert, kann sich von mir sagen lassen, dass es nicht ganz so einfach ist. Mein tipp: mach dir einfach selbst ein blog auf, dann brauchste nicht meins zu pwnen! 😉

Schlagzeile des tages

Verwirrter Sprachassistent:
Siri wählt bei Prozentaufgaben den Notruf

Auch weiterhin wünsche ich allen menschen, die wegen ihrer intelligenzmäßigen behinderung der assistenz durch ihr telefon zu bedürfen glauben, viel spaß, orwellness und fehlergenuss!

Hej, und wenn ihr demnächst mal wieder im aldi irgendeine prolltittenaustellung mit dem eifohn spielend rumprotzen seht, könnt ihr ja mal siri mit einer kleinen rechenaufgabe kommen… 😈

„Cloud“ und smartdingens des tages

Amazon Cloud Cam enthält Lücke für smarten Einbruchdiebstahl

Amazon Key öffnet Paketboten und anderen Dienstleistern die Tür zum privaten Smarthome per Cloud-Funktion. Leider lässt sich die zugehörige Überwachungskamera mit einem Trick überlisten […] Dazu benötigt man lediglich einen Computer mit WLAN-Schnittstelle in Reichweite des Funknetzes der Amazon-Kamera

Ich wünsche euch allen auch weiterhin viel spaß in eurem privaten „smarthome“ mit „cloud“-anschluss. Was kann dabei schon passieren? :mrgreen:

Smarte dinger, idjotische nutzer! Nicht daten sind das öl der zukunft, dummheit ists.