Hanno Böck

Rechner aus der PB60-Serie hätten sehr leicht unbrauchbar gemacht werden können.
Eine Recherche von Hanno Böck

Ein Skript, mit dem man die Systemvoraussetzungen für die proprietäre Forensoftware testen kann, hatte mehrere Sicherheitslücken.
Ein Bericht von Hanno Böck

Mit Tricks lassen sich PDF-Dokumente erzeugen, die man nach dem Signieren verändern kann, ohne dass die digitale Signatur ungültig wird.

Geheimdienste sollen laut einem Gesetzentwurf Datenverkehr umleiten können, doch das nützt ihnen nur etwas im Zusammenspiel mit weiteren Sicherheitslücken.
Eine Analyse von Hanno Böck

Eine kritische Sicherheitslücke in einer SAP-Serverkomponente betrifft zahlreiche Produkte, ein Patch steht bereit.

Das Bundesamt für Sicherheit in der Informationstechnik will Sicherheitsaudits zur gescheiterten zentralisierten Corona-App nicht herausrücken.

Viele Webseiten müssen ihre Zertifikate tauschen, da sie von Zwischenzertifikaten ausgestellt wurden, die ein Sicherheitsrisiko darstellen.
Von Hanno Böck

Ein Service zum Finden von Favicons sorgt dafür, dass der Browser von Duckduckgo ein Datenschutzproblem hat.

Ein Leser hat uns auf eine Sicherheitslücke auf der Webseite einer Onlinebank hingewiesen. Die Lücke war echt und betrifft auch andere Seiten - die Bank jedoch scheint es nie gegeben zu haben.
Ein Bericht von Hanno Böck

Zum ersten Mal wurden Schlüssel von Infizierten an die Corona-Warn-App weitergegeben.

Der Videokonferenz-Anbieter will anders als zunächst angekündigt allen Nutzern eine durchgängige Verschlüsselung anbieten.

Der größte Telefonanbieter in Österreich war über mehrere Monate Opfer eines Hackerangriffs. Aufgedeckt wurde das durch einen anonymen Whistleblower.

Eine gravierende Sicherheitslücke in GnuTLS führt dazu, dass TLS-1.2-Verbindungen nachträglich entschlüsselt werden können.

Ein typischer Fehler bei der Verwendung der C-Funktion mmap lässt sich erstaunlich einfach finden.
Ein Erfahrungsbericht von Hanno Böck

Viele ältere TLS-Clients kommen mit einem abgelaufenen Rootzertifikat namens Addtrust nicht klar.
Von Hanno Böck

Die Lücke im Qmail-Mailserver war seit 2005 bekannt, galt aber als praktisch kaum ausnutzbar.

Eine neue Form von Denial-of-Service-Angriff nutzt die DNS-Architektur, um mit wenig Aufwand viel Serverlast und Traffic zu erzeugen.
Von Hanno Böck

In der Schul-Cloud des Hasso-Plattner-Instituts war es möglich, unberechtigt Accounts anzulegen und damit Nutzerdaten einzusehen.

Der Medizinkonzern teilt mit, dass die Patientenversorgung nicht gefährdet ist.

Ein Bug in iOS erlaubt es Apps, beliebige Berechtigungen zu erhalten.

Wenn Sicherheitslücken bekannt werden, heißt es updaten. Oft dauert es aber zu lange, bis eine Aktualisierung überhaupt bereitsteht.
Ein IMHO von Hanno Böck

Google und Apple stellen kleinere Änderungen an ihrer Bluetooth-API für Corona-Tracing-Apps vor, zu möglichen zentralisierten Ansätzen wird nichts gesagt.

Der Hersteller von CAD-Software hat damit geworben, dass RWE die Software für seine Braunkohlebagger nutze. Ein belgischer Künstler und Klimaaktivist hat die Firma darauf angesprochen - und der Hinweis auf das "Erfolgsprojekt" ist verschwunden.
Eine Analyse von Hanno Böck

Deutschland hat bei der zentralisierten Corona-App dabei womöglich auf den falschen Ansatz gesetzt. Ohne Unterstützung von Google und Apple wird sie nur schlecht funktionieren - und genau daran fehlt es.
Eine Analyse von Hanno Böck

Ein Bug in OpenSSL kann Server und Clients zum Absturz bringen.

Im europäischen Konsortium PEPP-PT, das die Technologie für eine Corona-Tracking-App entwickeln will, gibt es einen Konflikt: Informationen über einen dezentralen Ansatz wurden ohne Absprache von der Webseite entfernt. Projektleiter Chris Boos sieht darin aber keinen Richtungsstreit.
Von Hanno Böck und Christiane Schulzki-Haddouti

Eine Erweiterung von WebRTC soll verschlüsselte Videostreams weiterleiten können.

Die Installation der Videokonferenzsoftware Jitsi Meet mittels Docker nutzte ein Standardpasswort für eigentlich interne XMPP-Accounts.

Alte, fehlerhaft konfigurierte Windowsversionen verbinden sich häufig zur Domain corp.com und geben Daten preis.

Ein Update für den Firefox-Browser schließt zwei kritische Sicherheitslücken.

Bei der Entwicklung einer App, mit der Patienten ihre Covid-19-Testergebnisse abrufen können, wurde wenig Wert auf Sicherheit gelegt.

Wegen der Corona-Pandemie findet unser Workshop zur IT-Sicherheit für Webentwickler nicht als Präsenzseminar, sondern im Netz statt: in einem Live-Onlineseminar Ende April mit Golem.de-Redakteur und IT-Sicherheitsexperte Hanno Böck.

Die Investitionsbank stellt Hilfen für Unternehmen bereit, die durch die Coronavirus-Pandemie in eine schwierige finanzielle Lage kommen - und hat dabei eine größere Datenschutzpanne verursacht.

Eine Windows-Sicherheitslücke wird bereits angegriffen. Microsoft beschreibt verschiedene Workarounds.

Wegen der Coronavirus-Pandemie sind Videokonferenzen angesagt. Eine eigene Instanz der freien Videokonferenz-Software Jitsi Meet ist innerhalb von wenigen Minuten lauffähig, Golem.de stellt eine bereit.
Eine Anleitung von Hanno Böck

Microsoft hat einen Patch für eine gefährliche Lücke im SMBv3-Protokoll veröffentlicht. Dieser sollte schnell eingespielt werden.

Chrome blockiert in der aktuellen Version unverschlüsselte Inhalte auf HTTPS-Webseiten.

Eigentlich wollte Let's Encrypt letzte Nacht drei Millionen Zertifikate zurückziehen. Viele sind aber nach wie vor gültig. Let's Encrypt hat sich offenbar entschieden, noch in Benutzung befindliche Zertifikate vorerst auszunehmen.

Ein Fehler bei Let's Encrypt hat dazu geführt, dass der Check von CAA-DNS-Records nicht korrekt durchgeführt wurde. Die Zertifizierungsstelle zieht jetzt kurzfristig betroffene Zertifikate zurück, was für einige Probleme sorgen dürfte.

Troy Hunt wollte seinen Passwort-Leak-Checker Have I been Pwned? verkaufen. Doch nach einem für Hunt frustrierenden Prozess entschied er sich letztendlich, das Projekt nun doch unabhängig selbst weiterzubetreiben.

Welches sind die häufigsten Sicherheitslücken im Web, wie können sie ausgenutzt werden - und wie können Webentwickler ihnen begegnen? Diese Fragen beantwortet der Golem.de-Redakteur und IT-Sicherheitsexperte Hanno Böck in einem Workshop Ende März.

Viele Bürger wollen sich zur Zeit bei Behörden über die aktuellen Coronavirus-Erkrankungen informieren. Doch wer sich beim Gesundheitsministerium, beim Robert-Koch-Institut oder bei anderen Verantwortlichen erkundigen will, stellt fest: Deren Webseiten laden nur langsam und teilweise gar nicht.

Eine Sicherheitsfirma hat im Februar 2019 ein Sicherheitsproblem im Zusammenspiel von Google Pay und Paypal gefunden und an Paypal gemeldet. Jetzt wird das Problem offenbar von Kriminellen ausgenutzt.

Es gibt gute Gründe, die Elektromobilität nicht nur unkritisch zu bejubeln. Einige Umweltverbände und Klimaaktivisten machen im Fall der Tesla-Fabrik in Grünheide dabei aber keine besonders gute Figur.
Ein IMHO von Hanno Böck

Amazon-Chef Jeff Bezos kündigt an, 10 Milliarden US-Dollar an Projekte zu spenden, die den Klimaschutz voranbringen. Kritiker merken an, dass Amazon seine Geschäfte mit der fossilen Industrie immer weiter ausbaut und sogar Klimawandelleugner mitfinanziert.

Ein Wordpress-Plugin hat eine Funktion, mit der man die komplette Datenbank neu aufsetzen kann. Das Problem dabei: Diese Funktion lässt sich auch ohne Authentifizierung erreichen - und ermöglicht in manchen Fällen ein Übernehmen des Wordpress-Systems.

Wer in Gimp in einem Bild mit Transparenz Bildbereiche löscht, der macht sie nur durchsichtig. Dieses wenig intuitive Verhalten kann dazu führen, dass Nutzer ungewollt Geheimnisse preisgeben.

Für einen kurzen Zeitraum im November hat ein Bug bei Google Fotos dafür gesorgt, dass beim Export der persönlichen Daten Videos vertauscht wurden. Einige Nutzer erhielten Zugriff auf die Privatvideos von anderen.

Microsoft verkündet einen ambitionierten Plan, um das Unternehmen klimaneutral zu machen. Vieles darin klingt gut, aber es gibt einen großen Haken: Microsofts gute Geschäfte mit der Ölindustrie sollen weitergehen.
Eine Analyse von Hanno Böck

Eine Lücke in der Zertifikatsvalidierung von Windows ermöglicht es, die Codesignaturprüfung auszutricksen und TLS-Verbindungen anzugreifen. Zudem gibt es eine Sicherheitslücke im Remote Desktop Gateway.