Die Erstellung einer Software Bill of Materials (SBOM) für Container-Images stellt heute kein Problem mehr dar. Mit dem hilfreichen Tool »syft« lässt sich problemlos eine SBOM im gewünschten Format generieren. Dieser Prozess kann zudem vollautomatisiert erfolgen. Die Installation gestaltet sich sehr einfach und auch die Ausführung ist unkompliziert.
Dirk Knop schreibt in »MFA-Schutz von Microsofts Azure war aushebelbar« für heise.de Nach der Eingabe eines gültigen Nutzernamens und Passworts werden User darum gebeten, ihre Identität zu bestätigen. Microsoft unterstützt mehrere MFA-Methoden dafür, etwa auch einen Verifikationscode eines Authenticators. In einer Session erlaubte Microsoft bis zu zehn Fehlversuche. Indem die IT-Forscher nun in schneller Folge neue Sessions erstellten und Verifikationscodes durchprobierten, war es rasch möglich, die eine Million Möglichkeiten des sechsstelligen Codes durchzuprobieren. Es ließen sich viele Versuche gleichzeitig starten. ...
Dirk Knop schreibt in »Yubikey: Cloning-Angriff über Seitenkanal« für heise.de Der Hersteller Yubico hat eine Sicherheitsmitteilung zu der Schwachstelle herausgegeben und ordnet sie darin ein. Der Fehler geht auf eine Lücke in einer Krypto-Bibliothek von Infineon zurück, die Yubico in den alten Firmware-Versionen einsetzt. “Angreifer können das Problem ausnutzen als Teil eines fortschrittlichen und gezielten Angriffs, um private Schlüssel wiederherzustellen”, erklären die Entwickler von Yubico.
Bert Hubert schreibt in seinem Artikel »The gigantic and unregulated power plants in the cloud«, dass die Regulierung des Solarstromnetzes privater Haushalte vernachlässigt wurde, wodurch ein Netzwerk entstanden ist, das von wenigen Akteuren kontrolliert wird.
Marc Stöckel schreibt in »Windows-Systeme per IPv6 aus der Ferne angreifbar« für golem.de In allen gängigen Windows-Versionen klafft eine äußerst gefährliche Sicherheitslücke, die es Angreifern ermöglicht, auf einem anfälligen Zielsystem aus der Ferne und ohne jegliche Nutzerinteraktion Schadcode auszuführen. Die besagte Schwachstelle ist als CVE-2024-38063 registriert und erreicht mit einem CVSS von 9,8 einen kritischen Schweregrad.