Stefan Esser

Die Firmware der Secure Enclave des iPhone 5s kann jetzt untersucht werden. (Bild: Lam Yik Fei/Getty Images) (Lam Yik Fei/Getty Images)

Apple iPhone 5s: Hacker veröffentlicht Secure-Enclave-Key für alte iPhones

Einem Hacker ist es offenbar gelungen, den Key für die Verschlüsselung der Firmware von Apples Secure-Enclave-Prozessor zu extrahieren - bei einem iPhone 5s. Damit können detaillierte Untersuchungen der Firmware vorgenommen werden, konkrete Angriffsszenarien gibt es bislang nicht.

/ 19 Kommentare

Das Fabelwesen Pegasus auf einer Vase (Bild: Bibi Saint-Pol) (Bibi Saint-Pol)

Pegasus-Spionagesoftware: Apple patcht auch OS X und Safari

Der Pegasus-Exploit wurde offenbar auch für OS X entwickelt. Apple hat die Lücke mit einem aktuellen Patch geschlossen. Die Bedrohung für normale Nutzer dürfte sich aber in Grenzen halten.

/ Kommentare

Seminar: Microsoft 365 Copilot Administration: virtueller Ein-Tages-Workshop

zum Kurs

E-Learning: Linux-Befehlszeile für Anfänger:innen - Der Einstieg in die Welt der Linux-Befehlszeile (E-Learning)

zum Kurs

Seminar: Die NIS-2-Richtlinie für Manager und Geschäftsleitung

zum Kurs

Microsoft 365 Spezialist (m/w/d) Simon Hegele Gesellschaft für Logistik und Service mbH, Karlsdorf-Neuthard,Homeoffice (öffnet im neuen Fenster)

Expert Cyber Resilience (w/m/d) Hensoldt, Fürstenfeldbruck (öffnet im neuen Fenster)

Administrator Daten- / Storage- und Backup-Management (w/m/d) HUK-COBURG Versicherungsgruppe, Coburg (öffnet im neuen Fenster)

Lead Engineer for EW Systems integrated into Aircrafts (w/m/d) Hensoldt, Ulm (öffnet im neuen Fenster)

IT-Architekt (m/w/d) Servicegesellschaft Sachsen-Anhalt Süd mbH, Merseburg (öffnet im neuen Fenster)

Fachadministrator (m/w/d) für First-Level-Support Personaleinsatzplanungssysteme - E 6 TV-L Berliner Feuerwehr, Berlin (öffnet im neuen Fenster)

Mitarbeiter (m/w/d) First- / Second-Level Support Stadtwerke Marburg GmbH, Marburg (öffnet im neuen Fenster)

Service - Techniker Rechenzentrum (w/m/d) im Großraum Frankfurt am Main Rosenberger OSI, Frankfurt (öffnet im neuen Fenster)

Apples Rootless lässt sich leicht austricksen. (Bild: John Moore/Golem.de) (John Moore/Golem.de)

Security: Apples Rootless-Konzept hat erhebliche Mängel

Apples Sicherheitsmechanismus Rootless soll verhindern, dass mit Rootrechten Systemdateien verändert werden können. Doch er lässt sich leicht austricksen und Apple scheint es nicht eilig zu haben, die Lücken zu schließen.

/ 13 Kommentare

OS X 10.10.5 ist da. (Bild: Andreas Donath) (Andreas Donath)

Apple: OS X 10.10.5 sorgt für mehr Stabilität und verhindert Root-Exploit

Apple hat mit OS X 10.10.5 kurz vor der Veröffentlichung von OS X 10.11 alias El Capitan ein Update für sein Betriebssystem vorgestellt, das vor allem Stabilitätsverbesserungen und Sicherheitsupdates enthält.

/ 17 Kommentare

Über eine Schwachstelle lässt sich unter OS X 10.10.4 ein Rechner mit Root-Rechten übernehmen. (Bild: Twitter/Stefan Esser/ Screenshot: Golem.de) (Twitter/Stefan Esser/ Screenshot: Golem.de)

Security: Schwachstelle erlaubt lokale Rechteausweitung in OS X 10.10

Ein Fehler in Apples OS X 10.10.4 erlaubt es, sich administrative Privilegien zu verschaffen. Die Schwachstelle kann nur lokal ausgenutzt werden und wurde in der Beta von OS X 10.11 bereits behoben.

/ 5 Kommentare

Foto des Jailbreaks auf dem iPhone 5C mit iOS 7.1.1. (Bild: Stefan Esser) (Stefan Esser)

Jailbreak: iOn1c will iOS 7.1.1 geknackt haben

Für das iPhone 5C mit iOS 7.1.1 soll es einen Jailbreak geben, doch der wird mit großer Sicherheit nicht veröffentlicht, um die dazu genutzte Sicherheitslücke nicht zu offenbaren, die dann vielleicht noch in iOS 8 vorhanden ist.

/ 17 Kommentare

iPhone-Hacking: Kein Jailbreak für iOS 7?

Aus finanziellen Gründen werde niemand mehr einen Jailbreak für iOS 7 veröffentlichen, behauptet Sicherheitsspezialist Charlie Miller. Doch manches deutet darauf hin, dass bereits daran gearbeitet wird.

/ 181 Kommentare

Paul Griffin (phoenixdev) Foto eines gehackten iPad 3 mit Cydia (Bild: Paul Griffin (phoenixdev)/Imgur) (Paul Griffin (phoenixdev)/Imgur)

Gehackt: Erste Jailbreak-Erfolge beim iPad 3

Kaum ist das iPad 3 mit iOS 5.1 erschienen, da haben Hacker auch schon verschiedene Jailbreak-Methoden gefunden. Es wird also nicht mehr lange dauern, bis unautorisierte Anwendungen wie der Appstore Cydia auf dem Gerät laufen.

/ 6 Kommentare

Seminar: KI-Bilderkennung in Python - Deep Learning mit Keras: virtueller Drei-Tage-Workshop

zum Kurs

Seminar: ISO 27001 Foundation: 2-Day Virtual Seminar (English)

zum Kurs

Seminar: KI-Einsatz in der IT-Sicherheit: Pentesting, Schwachstellenscans, Reporting – virtueller Zwei-Tage-Workshop

zum Kurs

Seminar: ITIL Foundation (Version 5): virtueller Zwei-Tage-Workshop

zum Kurs

In PHP 5.3.9 ist eine gefährliche Sicherheitslücke entdeckt worden. (Bild: PHP-Projekt) (PHP-Projekt)

Kritische Sicherheitslücke: PHP 5.3.9 schleust Code über das Netzwerk ein

Update Über eine schwere Sicherheitslücke in PHP 5.3.9 lässt sich Code einschleusen und ausführen, auch von entfernten Rechnern. Mit der Sicherheitserweiterung Suhosin lässt sich die Lücke schließen.

/ Kommentare

Webanalyse: Piwik 1.4 unterstützt IPv6

Die freie Webanalyse Piwik 1.4 unterstützt künftig IPv6, allerdings zunächst nur experimentell. Zudem können Berichte gezielt als HTML- und PDF-Datei per E-Mail verschickt werden.

/ 1 Kommentare

Pwnagetool und Redsn0w: Untethered Jailbreak für iOS 4.3.1

Das iPhone Dev Team hat seinen untethered Jailbreak für iOS 4.3.1 veröffentlicht. Damit lassen sich alle Apple-Geräte mit Ausnahme des iPad 2 - auf Kosten der Garantie - von Beschränkungen befreien.

/ 7 Kommentare

Freie Webanalyse: Piwik 1.1 schließt kritische Sicherheitslücken

Die freie Webanalysesoftware Piwik ist nach einer Sicherheitsanalyse in der Version 1.1 erschienen. Darin wurden diverse Sicherheitslücken geschlossen, die im Rahmen der Überprüfung erkannt wurden.

/ 13 Kommentare

Sicherheitsupdate: WordPress 2.6.2 veröffentlicht

Schwächen der Funktion mt_rand() gefährden auch andere PHP-Applikationen. Stefan Esser hat eine Sicherheitslücke in der Blogsoftware Wordpress entdeckt, die die Entwickler mit der neuen Version 2.6.2 schließen. Gefährdet sind in erster Linie Blogs, die eine offene Registrierung anbieten.

/ Kommentare

Interview: Ajax-Entwicklung in PHP soll einfacher werden

Golem.de im Gespräch mit Zend-Gründer Zeev Suraski (Teil 2). PHP 6 wird noch mindestens ein Jahr auf sich warten lassen, aber so manch neue Funktion, die eigentlich dafür geplant ist, könnte schon vorher in neuen Ausgaben von PHP 5 auftauchen, so Zend-Gründer Suraski im Gespräch mit Golem.de. Im zweiten Teil des Interviews spricht Suraski auch über das Zend Framework, über Zends Pläne, die Entwicklung von Ajax-Applikationen in PHP zu vereinfachen sowie über den Umgang mit Sicherheitslücken durch die PHP-Entwickler.

/ 13 Kommentare

Bluetooth ist allgegenwärtig - und angreifbar. (Bild: Martin Wolf/Golem) (Martin Wolf/Golem)

Podcast Besser Wissen: Der Fokus auf mobile Security

Der Whirlwind wurde am MIT entwickelt. (Bild: Montage: Golem.de) (Montage: Golem.de)

Podcast Besser Wissen: Der digitale Wirbelwind

Der Elektor Junior Computer war in Europa sehr erfolgreich. (Bild: Wolfgang Robel / Montage: Golem) (Wolfgang Robel / Montage: Golem)

Podcast Besser Wissen: Eine Platine, viel Potenzial

Lara Croft, wie sie auf dem Cover des ersten Tomb Raider aussah. (Bild: Eidos / Montage: Golem) (Eidos / Montage: Golem)

Podcast Besser Wissen: Happy Birthday, Lara!

Der MUPID war viel mehr als ein BTX-Terminal. (Bild: Montage: Golem.de) (Montage: Golem.de)

Podcast Besser Wissen: Apps und Mail per BTX

Die Chipsätze von 3Dfx waren in den 1990er sehr beliebt - und erleben eine Renaissance. (Bild: Public Domain/Montage: Golem.de) (Public Domain/Montage: Golem.de)

Podcast Besser Wissen: Als Grafikkarten Voodoo waren

SektionEins will für sichere Web-Applikationen sorgen

Neue Heimat für Chorizo und Suhosin - Mayflower kooperiert mit Stefan Esser. Mayflower gründet zusammen mit Stefan Esser ein neues Unternehmen, das sich mit der Sicherheit von Webapplikationen nicht nur auf Basis von PHP beschäftigen soll. In SektionEins, so der Name, finden der Sicherheits-Scanner Chorizo von Mayflower sowie Essers PHP-Sicherheits-Patch Suhosin eine neue Heimat.

/ 3 Kommentare

PHP 5.2.2 und 4.4.7 schließen MOPB-Lücken

Über 120 Bugs in PHP 5 beseitigt. Mit neuen Versionen von PHP 4 und 5 schließen die Entwickler der freien Scriptsprache zahlreiche Sicherheitslücken, darunter viele, die Stefan Esser im "Month of the PHP Bug" veröffentlichte. Darüber hinaus wurde die Stabilität verbessert und einige Bibliotheken aktualisiert.

/ 10 Kommentare

PHP 4.4.6 korrigiert Fehler in aktueller Version

Drei Sicherheitslücken am ersten Tag des "Month of PHP Bugs". In die Version 4.4.5 von PHP hat sich ein Fehler eingeschlichen, der PHP unter nicht unüblichen Umständen zum Absturz bringen kann. Derweil hat Stefan Esser die ersten Sicherheitslücken im Rahmen des von ihm ausgerufenen "Month of PHP Bugs" veröffentlicht.

/ 19 Kommentare

PHP 5.2.1 schließt Sicherheitslücken

Stefan Esser ruft den "Month of PHP bugs" aus. Die PHP-Entwickler schließen mit PHP 5.2.1 einige Sicherheitslücken in der freien Scriptsprache. Zudem wurde die Stabilität verbessert. Derweil ruft Sicherheitsexperte Stefan Esser, der sich Ende 2006 aus dem PHP Security Response Team verabschiedete, für März den "Month of PHP bugs" aus, in dem er jeden Tag eine Sicherheitslücke in PHP veröffentlichen will.

/ 19 Kommentare

Kritische Sicherheitslücken in WordPress

Version 2.0.6 beseitigt einige Probleme der freien Blog-Software. Zwei kritische Fehler in der freien Blog-Software WordPress werden mit der neuen Version 2.0.6 beseitigt. Sicherheitsexperte Stefan Esser hatte auf zwei Fehler in der Software hingewiesen, durch die Dritte evtl. Administrationsrechte über ein entsprechendes Blog erlangen können.

/ Kommentare

PHP-Sicherheit: Stefan Esser wirft hin

Sicherheitsexperte verlässt das PHP Security Response Team. Stefan Esser kehrt dem PHP Security Response Team den Rücken. Der Sicherheitsexperte hat genug. Seine Versuche, PHP von innen sicherer zu machen, seien vergeblich gewesen. Künftig werde er Sicherheitslücken in PHP auch dann veröffentlichen, wenn es noch keinen Patch gebe.

/ 90 Kommentare

PHPs open_basedir-Gefängnis ist nicht sicher

Hardened-PHP-Projekt weist auf Designfehler hin. Stefan Esser warnt vor einem Fehler in der Scriptsprache PHP, mit der Nutzer auf Shared-Webhosting-Accounts aus ihrem "Verzeichnis-Gefängnis" ausbrechen können. Eigentlich soll über die Einstellung "open_basedir" verhindert werden, dass Nutzer auf solchen Maschinen außerhalb des ihnen zugedachten Verzeichnisses Dateien lesen und schreiben können, doch offenbar gibt es einen einfachen Weg dies zu umgehen.

/ Kommentare

PHProjekt führt fremden Code aus

Neue Version 5.1.2 korrigiert den Fehler. In der freien Groupware PHProjekt ist ein Sicherheitsloch aufgetaucht, durch das Angreifer Skripte ausführen können. Eine neue Version steht bereits zum Download zur Verfügung, in der die Sicherheitslücke geschlossen wurde.

/ 12 Kommentare

Hardened PHP in neuer Version

Neuer Patch sichert unter anderem das Session-Handling. Das Hardened-PHP-Projekt will mit seinem Patch für PHP die freie Scriptsprache sicherer machen. Nun erschien der Hardened-PHP-Patch in einer neuen Version, die an einigen Ecken die Sicherheit erhöhen kann.

/ 3 Kommentare

Kritische Sicherheitslücke in PHP

Fehler gefährdet zahlreiche PHP-Applikationen. PHP-Entwickler Stefan Esser hat bei den Arbeiten an seinem "Hardening-Patch" für PHP einige Sicherheitslücken in der freien Scriptsprache entdeckt. Darunter auch ein Problem beim Upload von Dateien, das Esser als kritisch einstuft.

/ 18 Kommentare

Kritische Sicherheitslücken in PHP (Update 2)

Insgesamt sieben sicherheitskritische Fehler entdeckt. Stefan Esser von Hardened-PHP-Projekt weist auf sieben Sicherheitslücken in der freien Scriptsprache PHP hin, mit denen unter anderem beliebiger Code auf verwundbaren Systemen ausgeführt werden kann. Die neu erschienenen PHP-Versionen 4.3.10 und 5.0.3 beseitigen diese und fünf weitere Probleme.

/ Kommentare

Kritische Sicherheitslücken in Cyrus IMAP

Fehler erlauben Angreifern Ausführung von beliebigem Code. Der Cyrus-IMAP-Server weist einige gefährliche Sicherheitslücken auf, die es Angreifern von außen erlauben, beliebigen Code auszuführen, darauf weist der Sicherheitsexperte Stefan Esser hin, der die Probleme bei einer Überprüfung gefunden hat.

/ Kommentare

SMB-Implementierung in Linux mit Sicherheitslücken

Stefan Esser findet sieben Fehler, die zumindest DoS-Angriffe erlauben. Der Sicherheitsexperte Stefan Esser weist auf insgesamt sieben Fehler in der Implementierung des SMB-Dateisystems in Linux hin. Diese erlauben es, Clients lahm zu legen, möglicherweise aber auch fremden Code auszuführen.

/ Kommentare

Sicherheitslücken in PHP

Angreifer können fremden Code einschleusen. Der IT-Sicherheitsexperte Stefan Esser warnt vor einer kritischen Sicherheitslücke in PHP. Betroffen sind sowohl PHP 4 als auch die Vorabversionen von PHP 5. Durch einen Fehler bei der Speicherbegrenzung (memory_limit) können Angreifer möglicherweise beliebigen Code auf fremden Systemen ausführen. Eine weitere Sicherheitslücke fand Esser, der selbst an der Entwicklung von PHP mitarbietet, in der Funktion "strip_tags()".

/ Kommentare

Erneut Sicherheitslücken in CVS

Update auf neue Version dringend empfohlen. Der IT-Sicherheitsexperte Stefan Esser weist einmal mehr auf Sicherheitslücken im Concurrent Versions System (CVS) hin. Zusammen mit Sebastian Krahmer von Suse entdeckte Esser bei der Analyse des CVS-Quellcodes mehrere Probleme in CVS, die es Angreifen mitunter erlauben, beliebigen Code auf einem verwundbaren System auszuführen.

/ Kommentare

Sicherheitslücken in CVS, Subversion und libneon

Angreifer können durch Fehler beliebigen Code ausführen. Der Sicherheitsexperte Stefan Esser weist auf zum Teil kritische Sicherheitslücken im Concurrent Versions System (CVS), Subversion und der Bibliothek libneon hin. Durch diese ist es Angreifern mitunter möglich, beliebigen Code auszuführen.

/ Kommentare

Hardened-PHP soll Scripte sicherer machen

Patch sorgt für mehr Sicherheit auch bei schlampiger Programmierung in PHP. Stefan Esser hat mit Hardened-PHP einen Patch für die freie Script-Sprache veröffentlicht, der die Sicherheit von PHP erhöhen soll. Die aktuelle Version 0.1.1 soll zumindest auf Linux-Systemen stabil laufen und Server gegen eine Reihe bekannter Angriffe schützen. Aber auch die Sicherheit von schlecht programmierten Scripten soll erhöht werden.

/ Kommentare

Ein Dutzend Sicherheitslücken in GAIM

Noch keine neue GAIM-Version verfügbar. Software-Sicherheitsexperte Stefan Esser hat zwölf Sicherheitslücken im Multi-Protokoll-Instant-Messenger GAIM entdeckt. Die recht beliebte Software läuft unter Linux, DSD, MacOS X und Windows und unterstützt diverse IM-Protokolle.

/ Kommentare

Kritische Sicherheitslücke in CVS

Angreifer können unter Umständen Root-Rechte erlangen. Eine kritische Sicherheitslücke im Concurrent Versions System (CVS) hat Stefan Esser von der Firma e-matters entdeckt. CVS wird in der Softwareentwicklung zur Verwaltung von Quelltexten eingesetzt und ist insbesondere im Open-Source-Umfeld das dominierende System. CVS bis zur Version 1.11.4 erlaubt es Angreifern unter Umständen eigenen Code auf einem entsprechenden Server auszuführen.

/ Kommentare

Kurse

Podcast Besser Wissen