Passwort - der Podcast von heise security

• Probleme mit Widerrufen, Verbindungsabbrüchen und anderem

  Die Hosts wühlen sich weiter durch Feedback und mehr News, als eigentlich in eine Folge passen. Der Podcast nähert sich daher unermüdlich den Director’s Cuts epischer Filme an – zumindest in seiner Länge. Ein Hauptgrund dafür ist die Zertifizierungsstelle Microsoft PKI Services, bei der sich tiefe Abgründe auftun. Christopher und Sylvester reden aber auch über diverse andere aktuelle Themen in- und außerhalb der PKI, etwa lehrreiche Sicherheitslücken in Coredump-Handlern und die interessante DoS-Schwachstelle MadeYouReset. - Merklemap-Kritik an Static CT: https://www.merklemap.com/documentation/static-ct - Bugreports zu Microsofts Zertifikatsnichtwiderrufen: https://bugzilla.mozilla.org/show_bug.cgi?id=1962829 und https://bugzilla.mozilla.org/show_bug.cgi?id=1965612 - Technische Details zu coredump-Lücken von Qualys: https://www.qualys.com/2025/05/29/apport-coredump/apport-coredump.txt - Erklärung von Oracle zur systemd-coredump-Lücke: https://blogs.oracle.com/linux/post/analysis-of-cve-2025-4598 - PoC zur systemd-coredump-Lücke von CIQ https://ciq.com/blog/the-real-danger-of-systemd-coredump-cve-2025-4598/ - "Made you Reset"-Blogposts: https://galbarnahum.com/posts/made-you-reset-intro und https://galbarnahum.com/posts/made-you-reset-technical-details - Folgt uns im Fediverse: - @[email protected] - @[email protected] Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

  --------  

  2:17:07

  --------

  2:17:07
• Vielfältiges Versagen in Redmond und andere News

  Christopher und Sylvester sind aus dem Urlaub zurück, haben direkt mehr Themen als in einen Passwort-Podcast passen und teilen deshalb auf: In dieser Folge geht es um eine großangelegte Studie, der zufolge viele übliche Anti-Phishing-Maßnahmen kaum oder gar nicht helfen. Außerdem grübeln die beiden über das Tempo, mit dem Let’s Encrypt seine alten CT-Logs abschalten will, und verzweifeln an Microsoft. Die Firma aus Redmond ist mit gleich zwei Geschichten im Podcast vertreten, die nicht nur von Sicherheitslücken und (zweifelhaften) technischen Lösungen handeln, sondern auch totale Kommunikationsdesaster skizzieren. - Phrack Ausgabe 72: https://phrack.org/issues/72/1 - Phising-Studie: https://arianamirian.com/docs/ieee-25.pdf - Slide-Deck der Phishing-Studie: https://i.blackhat.com/BH-USA-25/Presentations/US-25-Dameff-Pwning-Phishing-Training-Through-Scientific-Lure-Crafting-Wednesday.pdf - Blogpost von Microsoft Threat Intelligence zu den Sharepoint- Angriffen: https://www.microsoft.com/en-us/security/blog/2025/07/22/disrupting-active-exploitation-of-on-premises-sharepoint-vulnerabilities - Jürgen Schmidts Kommentar zu Microsofts Secure Future Initiative: https://heise.de/-10505985 - Video des Vortrags „Living off Microsoft Copilot“: https://www.youtube.com/watch?v=FH6P288i2PE - Windows’ Kopieren-Dialog: https://xkcd.com/612/ - Copilot broke your audit log: https://pistachioapp.com/blog/copilot-broke-your-audit-log - Folgt uns im Fediverse: - @[email protected] - @[email protected]

  --------  

  2:01:27

  --------

  2:01:27
• Schlaue Hacks von schlauen Verträgen

  Angriffe, die Fehler in sogenannten Smart Contacts auf einer Blockchain ausnutzen, gibt es immer noch am laufenden Band. Aber ein Angreifer, der direkt Tausende von Contracts unterwandert, dabei technisch durchaus interessante Tricks nutzt und dann entdeckt wird, bevor er zuschlägt? Da kann Sylvester nicht widerstehen – und weil Christopher im Urlaub ist, kann ihn auch niemand aufhalten. Zusammen mit seinem Kollegen Jan Mahn schaut er sich an, was diesmal passiert ist. Weil das nicht so trivial ist, nutzen die beiden die Gelegenheit, auch mal grundsätzlich über Smart Contracts zu reden, welche Sicherheitsvorteile solche Systeme bieten können und wie es damit in der Praxis aussieht. - Der einzig sichere Weg zu programmieren: https://github.com/kelseyhightower/nocode - Folgt uns im Fediverse: - [email protected] - @[email protected] Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

  --------  

  1:17:50

  --------

  1:17:50
• DNSSEC, die DNS Security Extensions

  Das Domain Name System - kurz DNS - ist einer der Grundpfeiler des modernen Internet. Umso wichtiger, dass es zuverlässige und unfälschbare Informationen liefert. Dabei hilft DNSSEC - die DNS Security Extensions. Was das ist, was es kann, wie man es aktiviert und was man davon hat, erklärt den Hosts in dieser Folge ein Gast: DNSSEC-Experte Peter Thomassen arbeitet seit Jahren an vorderster Front bei verschiedenen Gremien mit und entwickelt die Sicherhetismerkmale von DNS weiter. Er kümmert sich besonders um Automatisierung - ein Thema, bei dem DNSSEC anderen großen Ökosystemen wie dem CA-Kosmos noch hinterherhinkt. - https://desec.io/ - Malware in TXT Records: https://arstechnica.com/security/2025/07/hackers-exploit-a-blind-spot-by-hiding-malware-inside-dns-records/ - Post-Quantum DNSSEC Testbed & Feldstudie: https://pq-dnssec.dedyn.io/ - DS-Automatisierung: RFC 7344, 8078, 9615 - ETF-Draft "Dry run DNSSEC": - https://datatracker.ietf.org/doc/draft-yorgos-dnsop-dry-run-dnssec/ - https://www.ietf.org/archive/id/draft-yorgos-dnsop-dry-run-dnssec-02.html - ICANN SSAC Report zu DS-Automatisierung (SAC126): https://itp.cdn.icann.org/en/files/security-and-stability-advisory-committee-ssac-reports/sac-126-16-08-2024-en.pdf - Automatisierungs-Guidelines für Registrierungsstellen (Entwurf): https://datatracker.ietf.org/doc/draft-shetho-dnsop-ds-automation/ - Folgt uns im Fediverse: @[email protected] @[email protected] Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

  --------  

  1:46:56

  --------

  1:46:56
• Vollständig zertifizierte News

  Der (Alb-)Traum vieler Hörer – eine Folge Passwort nur mit News zu Zertifikatsinfrastrukturen. Es gibt aber auch viel Neues zu berichten: von Zertifizierungsstellen, die interessante neue Lösungen bauen, über Zertifizierungsstellen, die Fehler in komischen alten Lösungen machen, und Zertifizierungsstellen, die Dinge einfach anders machen wollen als die Browser, bis zu Zertifizierungsstellen, die in Telefonen stecken. Das klingt nicht nur komisch, sondern auch unsicher, weshalb Christopher und Sylvester es sich genauer angesehen haben. - The CRA and what it means for us (Greg Kroah-Hartman): https://www.youtube.com/watch?v=u44eMQpGlxA - Security: Wie sich der Cyber Resilience Act auf Open-Source-Projekte auswirkt: https://heise.de/-10450910 - Yealink-Artikel von DNIP: https://dnip.ch/2025/06/25/yealink-voip-phones-insecurity-by-design/ - Ver- und Entschlüsselung der Yealink-Firmware: https://stefan-gloor.ch/voip-phone-hack - Mastodon-Account mit VNC-Servern https://fedi.computernewb.com/@vncresolver - Diskussion über ssl.com-Fehler im Mozilla-Bugtracker: https://bugzilla.mozilla.org/show_bug.cgi?id=1961406 - Betreibt Euer eigenes CT-Log: https://words.filippo.io/run-sunlight/#fn:bw - Folgt uns im Fediverse: - @[email protected] - @[email protected] Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

  --------  

  2:09:37

  --------

  2:09:37

Weitere Nachrichten Podcasts

Trending Nachrichten Podcasts

Über Passwort - der Podcast von heise security