Verschnaufpause für Symantec-Zertifikate

Bislang zeigt Chrome bei Extended-Validation-Zertifikaten den Zertifikatsinhaber nebst grünem Schloss an.

Der Web-Browser Google Chrome akzeptiert vorerst weiterhin Zertifikate, die von Symantecs Zertifizierungsstellen (Certification Authority, CA) ausgestellt wurden. Inhaber müssen nichts weiter tun – zumindest, bis Verhandlungen zwischen Symantec und Google abgeschlossen sind. Hintergrund ist Googles Vorwurf von Schlampereien auf Seiten Symantecs, durch die in den vergangenen Jahren rund 30.000 Zertifikate falsch ausgestellt worden seien – Vorwürfe, die Symantec zurückweist; es habe lediglich ein Missverständnis gegeben.

Google hatte angedroht, Extended-Validation-Zertifikate von Symantec-CAs wie Thawte und Verisign herabzustufen. In der Konsequenz würde Googles Chrome-Browser Verbindungen zu Websites mit derartigen Zertifikaten nicht mehr mit dem Namen des Inhabers markieren, sondern nur noch als „sicher“ bezeichnen, was sonst bei den einfacheren Domain-Validated-Zertifikaten passiert. Zudem will Google eine regelmäßigere Erneuerung von Zertifikaten durch Symantecs CAs forcieren: Chrome soll neu ausgestellten Zertifikaten künftig maximal neun Monate vertrauen und auch bereits ausgestellte Zertifikate infrage stellen und revalidierte Versionen einfordern.

Symantec hat angekündigt, dass seinen Kunden für Neuausstellungen von Zertifikaten keinerlei Mehrkosten entstehen sollen, sollte Google seine Drohung wahr machen. (des@ct.de)

Schweizer Käse, Marke Samsung …

Amihai Neiderman, Forschungschef von Equus Software, hat sich den Quellcode von Samsungs Android-Alternative Tizen angeschaut und dabei gleich 40 Zero-Day-Lücken gefunden. Über einige davon können Angreifer aus der Ferne Schadcode einschleusen und ausführen und im schlimmsten Fall Geräte komplett unter ihre Kontrolle bringen.

„Das könnte der mieseste Code sein, den ich je gesehen habe“, kommentierte Neiderman seine Ergebnisse in einem Gespräch mit US-Medien. Die übelste Lücke stecke im App Store. Zwar soll er ausschließlich von Samsung signierte Apps installieren können. Eben diese Überprüfung lässt sich aber durch ein gezieltes Auslösen eines Speicherfehlers schachmatt setzen, woraufhin der Store ohne weitere Rückfrage untergeschobene Programme installiert. Daneben lassen sich über die Funktion strcpy () Pufferüberläufe provozieren. Auch kommt HTTPS nicht konsequent zum Einsatz, sodass hier und dort Daten ungeschützt übers Netz wandern.

Die Lücke betrifft vor allem Millionen von Smart-TVs: Seit 2015 stattet Samsung seine Fernseher mit der Eigenentwicklung Tizen aus. Smartphones sind auch betroffen, die Samsung derzeit vor allem in Indien und Russland verkauft – der Konzern will den Markt allerdings ausweiten und strebt für 2017 den Absatz von zehn Millionen Tizen-Geräten an. (des@ct.de)

… und Marke LastPass

Die Add-on-Seite, hier die von Google Chrome, zeigt die Versionsnummer des LastPass-Add-on an.

Über den Passwort-Manager LastPass ergießt sich eine regelrechte Flut von Negativmeldungen: Googles Sicherheitsforscher Tavis Ormandy deckte jüngst mehrere Sicherheitslücken auf, durch die er eingeschleusten Code ausführen oder gespeicherte Passwörter auslesen konnte.

Ormandy lobte die schnelle Reaktion der Lastpass-Entwickler, doch wurden Lücken mitunter nur halbherzig gestopft. In einem Fall handelte es sich um eine Verwundbarkeit, die schon 2015 auftauchte und seitdem als beseitigt galt.

Die Browser-Add-ons sollten sich automatisch aktualisieren; LastPass-Anwender sollten dennoch ein Auge auf das Add-on haben und gegebenenfalls die aktuelle Version bei lastpass.com herunterladen. (jss@ct.de)