Äppel des tages

Wenn äppel sein eitjuhns auf windohs installiert, werden pfade mit leerzeichen in der windohs-registrierungsdatenbank nicht mit anführungszeichen umgeben. Wenn es einem angreifer gelingt, auf irgendeinem wege ein programm namens C:\program.exe abzulegen, wird dieses beim anklicken eines für eitjuhns registrierten dateityps anstelle von eitjuhns ausgeführt.

Und ich dachte immer, mäck-OS sei unixoid. Da sollten die bei äppel doch mal gelernt haben, anführungszeichen zu setzen… oder schreiben die für ihr betrübssystem gar keine skripten mehr? :mrgreen:

Router des tages

Alle asus RT-AC68U (nein, das sind keine pfennig-billigkisten) sind anfällig für einen XSS-angriff in der web-benutzerschnittstelle. Ein übergebener parameter wird ungefilter auf die seiten übernommen und ermöglicht so das einschleusen beliebigen kohds. Und als ob das nicht schlimm genug wäre, kann man den dingern auch beliebigen kohd zum ausführen unterjubeln; ein fehler, den asus jetzt schon fast einen monat lang kennt und nicht behandelt.