Javascript des tages

Durch ein Informationsleck können Webseiten offenbar viele Details über das Heimnetz eines Fritzbox-Nutzers erfahren […] Das Auslesen der Daten erfolgt über JavaScript, das der Angreifer auf einer beliebigen Website platzieren kann

Seht ihr, und deshalb erlaubt man nicht jeder dahergelaufenen webseit das ausführen von javascript-kohd im brauser. NoScript kann nahezu alle angriffe auf den webbrauser verhindern, wenn man sich von niemanden (und schon gar nicht von scheißjornalisten von bildzeitung über handelsblatt bis süddeutsche zeitung mit ihren abstrusen tricksereien und intelligenzbeleidigenden lügen) dazu breitschlagen lässt, technisch unnötige ausnahmen zu konfigurieren.

Klar, heise setzt den schwerpunkt bei der fritzbox, die man so auslesen kann. Und natürlich muss der fehler gefixt werden. Aber das problem wäre ohne javascript kein problem.

Ach ja: fällt euch übrigens auf, dass scheißjornalisten niemals auf die sicherheitsprobleme mit javascript hinweisen? Wenn vergleichbare probleme mit „fläsch“ aufgetreten wären, wäre klar, was geschrieben würde. Jornalismus ist nicht aufklärung und informazjon, jornalismus ist verdummung, hirnfick, desinformazjon und manipulazjon, finanziert von reklameunternehmen.

Advertisements

Security des tages

Benutzt hier jemand eine fritzbox?

Ein Angreifer kann solche Lücken fast immer ausnutzen, um über das Netz beliebige Befehle auf den anfälligen Geräten auszuführen. Da der betroffene Dienst als root läuft, hat er dann sehr weitreichende Möglichkeiten, das System zu manipulieren

Also spielt mal die neueste versjon des betrübssystemes ein! Ist ja nur klick-klick.

Kryptokalypse des jahres

Ja, ich weiß, dass das jahr noch ein paar wochen hat, aber… benutzt vielleich jemand von euch eine fritzbox, bei der AVM versehentlich einen privaten schlüssel für die signierung der verschlüsselten autentifizierung gegenüber dem proweider „verloren“ hat.

Ein Angreifer kann sich mit dem geheimen AVM-Schlüssel also ein gültiges Zertifikat erstellen, in dem die MAC-Adresse eines beliebigen anderen Kunden steht. Auch die MAC-Adresse des FritzBox-Modems kann er entsprechend ändern. Für den Provider sieht es dann so aus, als würde sich die FritzBox des legitimen Kunden mit dem Kabelnetz verbinden

Wenn so etwas in der vergangenheit bereits geschehen ist — das problem ist schon rd. zwei jahre alt — würde die technische beweisführung als gerichtsfest durchgehen. Einmal ganz von dem schaden abgesehen, den man durch missbrauch des anschlusses anderer menschen sowieso anrichten kann.

Bei AVM ist jetzt jedenfalls das ganz große scheißeschaufeln angesagt, und wer eine fritzbox verwendet (oder als sicherheit rumstehen hat), sollte schon einmal nachschauen, wie er verhindern kann, damit nicht mehr ins netz zu kommen.

Fritz!Box-alarm!

Ein Angreifer erhält durch diese Lücke die vollständige Kontrolle über den Router und kann beliebige Befehle mit Root-Rechten ausführen – und zwar schon dann, wenn das Opfer hinter der Fritz!Box eine Web-Seite mit seinem Schadcode aufruft

Nochmal in ruhe: das anschauen einer webseite — so etwas wie diese seite hier, die gerade im brauser dargestellt wird — reicht aus, um eine fritzbox zu übernehmen. Natürlich kann der schadkohd auch in einem werbebanner transportiert werden. Das abschalten der fernadministrazjon ist kein ausreichender schutz. Also, wer nicht gepwnt werden will, aktualisiert spätestens jetzt.

Und wer eine fritzbox rumstehen hat, die ihm von seinem zugangsproweider reingedrückt wurde und für die es immer noch keine sicherheitsaktualisierung gibt (kabel deutschland, kabel bw und etliche mehr) — am besten einen förmlichen brief hinschreiben und unmissverständlich klar machen, dass man seinen proweider in voller höhe für eventuelle schäden haftbar machen wird. Spätestens mit solchen ansagen wirds dann wohl endlich so schnell gehen, wie es nötig ist.