Seit Symantec 2015 mit einem gefälschten Google-Zertifikat erwischt wurde, schwelt der Streit zwischen den Unternehmen. Es geht darum, ob Google weiter zu Symantec gehörende CAs wie Thawte oder Verisign in seinen Browser integriert. Google hatte Symantec mit einem Ultimatum gezwungen, seinem Certificate-Transparency-Programm beizutreten. Bei Certificate-Transparency müssen CAs alle Zertifikate in einen Hash-Baum eintragen, wodurch entweder Manipulationen oder gefälschte Zertifikate für immer sichtbar bleiben. Auf Basis der Daten wirft Google Symantecs Zertifizierungsstellen vor, 30.000 Zertifikate nicht korrekt ausgestellt zu haben. Symantec weist diesen Vorwurf zurück und will „das Missverständnis“ klären. Damit Chrome ihre Zertifikate weiter als vertrauenswürdig anzeigt, hat Symantec nun angekündigt, sie künftig von Dritten prüfen zu lassen. Ein bisher nicht benannter externer Dienstleister soll bis 31. August alle Extended-Validation-Zertifikate prüfen. Zusätzlich soll es Prüfungen aktiver Zertifikate von Partnern wie CrossCert geben.

Außerdem geht Symantec auf Googles Forderung ein, regelmäßiger neue Zertifikate auszustellen. Ab Ende August will die CA SSL-/TLS-Zertifikate anbieten, die nur drei Monate lang gültig sind. Bei der Verlängerung von Zertifikaten, die länger als neun Monate gültig waren, will Symantec eine kostenlose Domain-Validierung einführen. Kommende Chrome-Versionen sollen neu ausgestellten Zertifikaten nämlich nur noch für neun Monate und weniger vertrauen. (des@ct.de)

Microsoft will ab dem Creators Update auch außerhalb des Patchdays per kumulativem Update neue Funktionen für Windows 10 ausliefern. Routinemäßig soll ein zusätzliches Update im Monat ausgespielt werden, manchmal auch mehr.

Der Patchday war bislang ein Zugeständnis an Admins, damit die jeden Monat einen festen Tag zum Updaten einplanen können. Die Microsoft-Entwickler tragen sich jedoch schon seit Jahren mit dem Gedanken, den Patchday abzuschaffen oder wenigstens stark aufzuweichen. Microsoft möchte selbst entscheiden, wann welche Updates installiert werden.

Seltsamerweise schließt Microsoft Sicherheits-Updates komplett von dieser Praxis aus. Die Gründe dafür erklärt die Ankündigung im Microsoft-Blog leider nicht. Sicherheitsforscher drängen den Windows-Hersteller seit Jahren dazu, außer der Reihe zu patchen. Sie beklagen, dass Microsoft kriminellen Hackern mit voller Absicht ein Handlungsfenster von fast einem Monat gewährt, falls diese eine Zeroday-Lücke direkt nach einem Patchday angreifen. Man opfere damit die Sicherheit von Millionen Endnutzern zugunsten gut zahlender Geschäftskunden. (fab@ct.de)

Über Phishing erbeuten Kriminelle relativ leicht Zugangsdaten für das Online-Banking zahlreicher deutscher Bankkunden. Um an Mobil-TANs (mTANs) für Überweisungen zu kommen, mussten sie aber bisher immer Trojaner auf die Mobilgeräte der Opfer schleusen oder deren SIM-Karten klonen lassen. Dank einer seit Jahren bekannten Sicherheitslücke im UMTS-Netz konnten sie sich diesen Aufwand jetzt sparen. Mit der Lücke im SS7-Protokoll leiteten die Angreifer SMS-Nachrichten mit mTANs um und empfingen sie auf eigenen Geräten. Damit die Opfer von der Umleitung nichts mitbekamen, fanden die Angriffe wohl nachts statt.

Eigentlich wollten die Provider schon 2014 Gegenmaßnahmen gegen die SS7-Lücke ergreifen. Hacker hatten die Lücke bereits auf dem 31C3 präsentiert. Im März hatten Experten erneut vor der Lücke gewarnt. O2 Deutschland bestätigte gegenüber der Süddeutschen Zeitung, dass schon im Januar dieses Jahres SS7-Angriffe im eigenen Netz stattgefunden haben. Unsere Anfrage, warum O2 die von den Experten empfohlenen Plausibilitäts-Checks nicht umgesetzt hat, beantwortete das Unternehmen bisher nicht. (fab@ct.de)