Golem.de - Stefan Esser

Apple iPhone 5s: Hacker ver�ffentlicht Secure-Enclave-Key f�r alte iPhones

Golem.de — 2017-08-18T12:55:00+02:00

Einem Hacker ist es offenbar gelungen, den Key f�r die Verschl�sselung der Firmware von Apples Secure-Enclave-Prozessor zu extrahieren - bei einem iPhone 5s. Damit k�nnen detaillierte Untersuchungen der Firmware vorgenommen werden, konkrete Angriffsszenarien gibt es bislang nicht. (iPhone 5S, Smartphone)

Pegasus-Spionagesoftware: Apple patcht auch OS X und Safari

Golem.de — 2016-09-02T18:10:00+02:00

Der Pegasus-Exploit wurde offenbar auch f�r OS X entwickelt. Apple hat die L�cke mit einem aktuellen Patch geschlossen. Die Bedrohung f�r normale Nutzer d�rfte sich aber in Grenzen halten. (Security, Apple)

Security: Apples Rootless-Konzept hat erhebliche M�ngel

Golem.de — 2016-04-01T10:04:00+02:00

Apples Sicherheitsmechanismus Rootless soll verhindern, dass mit Rootrechten Systemdateien ver�ndert werden k�nnen. Doch er l�sst sich leicht austricksen und Apple scheint es nicht eilig zu haben, die L�cken zu schlie�en. (Security, Apple)

Apple: OS X 10.10.5 sorgt f�r mehr Stabilit�t und verhindert Root-Exploit

Golem.de — 2015-08-14T10:17:00+02:00

Apple hat mit OS X 10.10.5 kurz vor der Ver�ffentlichung von OS X 10.11 alias El Capitan ein Update f�r sein Betriebssystem vorgestellt, das vor allem Stabilit�tsverbesserungen und Sicherheitsupdates enth�lt. (OS X, Apple)

Security: Schwachstelle erlaubt lokale Rechteausweitung in OS X 10.10

Golem.de — 2015-07-23T10:49:00+02:00

Ein Fehler in Apples OS X 10.10.4 erlaubt es, sich administrative Privilegien zu verschaffen. Die Schwachstelle kann nur lokal ausgenutzt werden und wurde in der Beta von OS X 10.11 bereits behoben. (Yosemite, Malware)

Jailbreak: iOn1c will iOS 7.1.1 geknackt haben

Golem.de — 2014-05-19T11:34:00+02:00

F�r das iPhone 5C mit iOS 7.1.1 soll es einen Jailbreak geben, doch der wird mit gro�er Sicherheit nicht ver�ffentlicht, um die dazu genutzte Sicherheitsl�cke nicht zu offenbaren, die dann vielleicht noch in iOS 8 vorhanden ist. (Jailbreak, Apple)

iPhone-Hacking: Kein Jailbreak f�r iOS 7?

Golem.de — 2013-07-05T15:09:00+02:00

Aus finanziellen Gr�nden werde niemand mehr einen Jailbreak f�r iOS 7 ver�ffentlichen, behauptet Sicherheitsspezialist Charlie Miller. Doch manches deutet darauf hin, dass bereits daran gearbeitet wird. (iOS 7, API)

Gehackt: Erste Jailbreak-Erfolge beim iPad 3

Golem.de — 2012-03-18T21:35:00+02:00

Kaum ist das iPad 3 mit iOS 5.1 erschienen, da haben Hacker auch schon verschiedene Jailbreak-Methoden gefunden. Es wird also nicht mehr lange dauern, bis unautorisierte Anwendungen wie der Appstore Cydia auf dem Ger�t laufen. (iPad 3, Jailbreak)

Kritische Sicherheitsl�cke: PHP 5.3.9 schleust Code �ber das Netzwerk ein

Golem.de — 2012-02-02T19:05:00+02:00

�ber eine schwere Sicherheitsl�cke in PHP 5.3.9 l�sst sich Code einschleusen und ausf�hren, auch von entfernten Rechnern. Mit der Sicherheitserweiterung Suhosin l�sst sich die L�cke schlie�en. (PHP, Server-Applikationen)

Webanalyse: Piwik 1.4 unterst�tzt IPv6

Golem.de — 2011-05-02T18:10:00+02:00

Die freie Webanalyse Piwik 1.4 unterst�tzt k�nftig IPv6, allerdings zun�chst nur experimentell. Zudem k�nnen Berichte gezielt als HTML- und PDF-Datei per E-Mail verschickt werden. (Server-Applikationen, Onlinewerbung)

Pwnagetool und Redsn0w: Untethered Jailbreak f�r iOS 4.3.1

Golem.de — 2011-04-04T12:09:00+02:00

Das iPhone Dev Team hat seinen untethered Jailbreak f�r iOS 4.3.1 ver�ffentlicht. Damit lassen sich alle Apple-Ger�te mit Ausnahme des iPad 2 - auf Kosten der Garantie - von Beschr�nkungen befreien. (Jailbreak, iPod)

Freie Webanalyse: Piwik 1.1 schlie�t kritische Sicherheitsl�cken

Golem.de — 2011-01-04T12:39:00+02:00

Die freie Webanalysesoftware Piwik ist nach einer Sicherheitsanalyse in der Version 1.1 erschienen. Darin wurden diverse Sicherheitsl�cken geschlossen, die im Rahmen der �berpr�fung erkannt wurden. (Server-Applikationen, Piwik)

Sicherheitsupdate: WordPress 2.6.2 ver�ffentlicht

Golem.de — 2008-09-09T09:46:00+02:00

Stefan Esser hat eine Sicherheitsl�cke in der Blogsoftware Wordpress entdeckt, die die Entwickler mit der neuen Version 2.6.2 schlie�en. Gef�hrdet sind in erster Linie Blogs, die eine offene Registrierung anbieten. (PHP, Wordpress)

Interview: Ajax-Entwicklung in PHP soll einfacher werden

Golem.de — 2007-10-19T12:12:00+02:00

PHP 6 wird noch mindestens ein Jahr auf sich warten lassen, aber so manch neue Funktion, die eigentlich daf�r geplant ist, k�nnte schon vorher in neuen Ausgaben von PHP 5 auftauchen, so Zend-Gr�nder Suraski im Gespr�ch mit Golem.de. Im zweiten Teil des Interviews spricht Suraski auch �ber das Zend Framework, �ber Zends Pl�ne, die Entwicklung von Ajax-Applikationen in PHP zu vereinfachen sowie �ber den Umgang mit Sicherheitsl�cken durch die PHP-Entwickler. (PHP, Ajax)

SektionEins will f�r sichere Web-Applikationen sorgen

Golem.de — 2007-05-22T15:56:00+02:00

Mayflower gr�ndet zusammen mit Stefan Esser ein neues Unternehmen, das sich mit der Sicherheit von Webapplikationen nicht nur auf Basis von PHP besch�ftigen soll. In SektionEins, so der Name, finden der Sicherheits-Scanner Chorizo von Mayflower sowie Essers PHP-Sicherheits-Patch Suhosin eine neue Heimat. (PHP, Server-Applikationen)

PHP 5.2.2 und 4.4.7 schlie�en MOPB-L�cken

Golem.de — 2007-05-04T09:19:00+02:00

Mit neuen Versionen von PHP 4 und 5 schlie�en die Entwickler der freien Scriptsprache zahlreiche Sicherheitsl�cken, darunter viele, die Stefan Esser im "Month of the PHP Bug" ver�ffentlichte. Dar�ber hinaus wurde die Stabilit�t verbessert und einige Bibliotheken aktualisiert. (PHP, Server-Applikationen)

PHP 4.4.6 korrigiert Fehler in aktueller Version

Golem.de — 2007-03-01T16:16:00+02:00

In die Version 4.4.5 von PHP hat sich ein Fehler eingeschlichen, der PHP unter nicht un�blichen Umst�nden zum Absturz bringen kann. Derweil hat Stefan Esser die ersten Sicherheitsl�cken im Rahmen des von ihm ausgerufenen "Month of PHP Bugs" ver�ffentlicht. (PHP, Server-Applikationen)

PHP 5.2.1 schlie�t Sicherheitsl�cken

Golem.de — 2007-02-09T12:03:00+02:00

Die PHP-Entwickler schlie�en mit PHP 5.2.1 einige Sicherheitsl�cken in der freien Scriptsprache. Zudem wurde die Stabilit�t verbessert. Derweil ruft Sicherheitsexperte Stefan Esser, der sich Ende 2006 aus dem PHP Security Response Team verabschiedete, f�r M�rz den "Month of PHP bugs" aus, in dem er jeden Tag eine Sicherheitsl�cke in PHP ver�ffentlichen will. (PHP, Server-Applikationen)

Kritische Sicherheitsl�cken in WordPress

Golem.de — 2007-01-08T10:22:00+02:00

Zwei kritische Fehler in der freien Blog-Software WordPress werden mit der neuen Version 2.0.6 beseitigt. Sicherheitsexperte Stefan Esser hatte auf zwei Fehler in der Software hingewiesen, durch die Dritte evtl. Administrationsrechte �ber ein entsprechendes Blog erlangen k�nnen. (Wordpress, Server-Applikationen)

PHP-Sicherheit: Stefan Esser wirft hin

Golem.de — 2006-12-13T15:38:00+02:00

Stefan Esser kehrt dem PHP Security Response Team den R�cken. Der Sicherheitsexperte hat genug. Seine Versuche, PHP von innen sicherer zu machen, seien vergeblich gewesen. K�nftig werde er Sicherheitsl�cken in PHP auch dann ver�ffentlichen, wenn es noch keinen Patch gebe. (PHP, Server-Applikationen)

PHPs open_basedir-Gef�ngnis ist nicht sicher

Golem.de — 2006-10-05T11:09:00+02:00

Stefan Esser warnt vor einem Fehler in der Scriptsprache PHP, mit der Nutzer auf Shared-Webhosting-Accounts aus ihrem "Verzeichnis-Gef�ngnis" ausbrechen k�nnen. Eigentlich soll �ber die Einstellung "open_basedir" verhindert werden, dass Nutzer auf solchen Maschinen au�erhalb des ihnen zugedachten Verzeichnisses Dateien lesen und schreiben k�nnen, doch offenbar gibt es einen einfachen Weg dies zu umgehen. (PHP, Server-Applikationen)

PHProjekt f�hrt fremden Code aus

Golem.de — 2006-09-29T16:56:00+02:00

In der freien Groupware PHProjekt ist ein Sicherheitsloch aufgetaucht, durch das Angreifer Skripte ausf�hren k�nnen. Eine neue Version steht bereits zum Download zur Verf�gung, in der die Sicherheitsl�cke geschlossen wurde. (PHP, Groupware)

Hardened PHP in neuer Version

Golem.de — 2005-11-28T10:57:00+02:00

Das Hardened-PHP-Projekt will mit seinem Patch f�r PHP die freie Scriptsprache sicherer machen. Nun erschien der Hardened-PHP-Patch in einer neuen Version, die an einigen Ecken die Sicherheit erh�hen kann. (PHP, Server-Applikationen)

Kritische Sicherheitsl�cke in PHP

Golem.de — 2005-11-01T10:17:00+02:00

PHP-Entwickler Stefan Esser hat bei den Arbeiten an seinem "Hardening-Patch" f�r PHP einige Sicherheitsl�cken in der freien Scriptsprache entdeckt. Darunter auch ein Problem beim Upload von Dateien, das Esser als kritisch einstuft. (PHP, Server-Applikationen)

Kritische Sicherheitsl�cken in PHP (Update 2)

Golem.de — 2004-12-16T12:20:00+02:00

Stefan Esser von Hardened-PHP-Projekt weist auf sieben Sicherheitsl�cken in der freien Scriptsprache PHP hin, mit denen unter anderem beliebiger Code auf verwundbaren Systemen ausgef�hrt werden kann. Die neu erschienenen PHP-Versionen 4.3.10 und 5.0.3 beseitigen diese und f�nf weitere Probleme. (PHP, Server-Applikationen)

Kritische Sicherheitsl�cken in Cyrus IMAP

Golem.de — 2004-11-23T11:02:00+02:00

Der Cyrus-IMAP-Server weist einige gef�hrliche Sicherheitsl�cken auf, die es Angreifern von au�en erlauben, beliebigen Code auszuf�hren, darauf weist der Sicherheitsexperte Stefan Esser hin, der die Probleme bei einer �berpr�fung gefunden hat. (Server-Applikationen, Stefan Esser)

SMB-Implementierung in Linux mit Sicherheitsl�cken

Golem.de — 2004-11-18T13:28:00+02:00

Der Sicherheitsexperte Stefan Esser weist auf insgesamt sieben Fehler in der Implementierung des SMB-Dateisystems in Linux hin. Diese erlauben es, Clients lahm zu legen, m�glicherweise aber auch fremden Code auszuf�hren. (Linux, Man-in-the-Middle)

Sicherheitsl�cken in PHP

Golem.de — 2004-07-14T10:08:00+02:00

Der IT-Sicherheitsexperte Stefan Esser warnt vor einer kritischen Sicherheitsl�cke in PHP. Betroffen sind sowohl PHP 4 als auch die Vorabversionen von PHP 5. Durch einen Fehler bei der Speicherbegrenzung (memory_limit) k�nnen Angreifer m�glicherweise beliebigen Code auf fremden Systemen ausf�hren. Eine weitere Sicherheitsl�cke fand Esser, der selbst an der Entwicklung von PHP mitarbietet, in der Funktion "strip_tags()". (PHP, Server-Applikationen)

Erneut Sicherheitsl�cken in CVS

Golem.de — 2004-06-10T09:46:00+02:00

Der IT-Sicherheitsexperte Stefan Esser weist einmal mehr auf Sicherheitsl�cken im Concurrent Versions System (CVS) hin. Zusammen mit Sebastian Krahmer von Suse entdeckte Esser bei der Analyse des CVS-Quellcodes mehrere Probleme in CVS, die es Angreifen mitunter erlauben, beliebigen Code auf einem verwundbaren System auszuf�hren. (Server-Applikationen, Versionsverwaltung)

Sicherheitsl�cken in CVS, Subversion und libneon

Golem.de — 2004-05-19T10:09:00+02:00

Der Sicherheitsexperte Stefan Esser weist auf zum Teil kritische Sicherheitsl�cken im Concurrent Versions System (CVS), Subversion und der Bibliothek libneon hin. Durch diese ist es Angreifern mitunter m�glich, beliebigen Code auszuf�hren. (Server-Applikationen, Versionsverwaltung)

Hardened-PHP soll Scripte sicherer machen

Golem.de — 2004-05-17T09:24:00+02:00

Stefan Esser hat mit Hardened-PHP einen Patch f�r die freie Script-Sprache ver�ffentlicht, der die Sicherheit von PHP erh�hen soll. Die aktuelle Version 0.1.1 soll zumindest auf Linux-Systemen stabil laufen und Server gegen eine Reihe bekannter Angriffe sch�tzen. Aber auch die Sicherheit von schlecht programmierten Scripten soll erh�ht werden. (PHP, Server-Applikationen)

Ein Dutzend Sicherheitsl�cken in GAIM

Golem.de — 2004-01-27T10:48:00+02:00

Software-Sicherheitsexperte Stefan Esser hat zw�lf Sicherheitsl�cken im Multi-Protokoll-Instant-Messenger GAIM entdeckt. Die recht beliebte Software l�uft unter Linux, DSD, MacOS X und Windows und unterst�tzt diverse IM-Protokolle. (Instant Messenger, Stefan Esser)

Kritische Sicherheitsl�cke in CVS

Golem.de — 2003-01-21T13:19:00+02:00

Eine kritische Sicherheitsl�cke im Concurrent Versions System (CVS) hat Stefan Esser von der Firma e-matters entdeckt. CVS wird in der Softwareentwicklung zur Verwaltung von Quelltexten eingesetzt und ist insbesondere im Open-Source-Umfeld das dominierende System. CVS bis zur Version 1.11.4 erlaubt es Angreifern unter Umst�nden eigenen Code auf einem entsprechenden Server auszuf�hren. (Server-Applikationen, Versionsverwaltung)

PHP 4.1.2 beseitigt Sicherheitsl�cken

Golem.de — 2002-02-28T13:43:00+02:00

Die jetzt ver�ffentlichte PHP-Version 4.1.2 behebt neben den �blichen Bugs auch einige Sicherheitsl�cken, die von Stefan Esser entdeckt und ver�ffentlicht worden waren. (PHP, Server-Applikationen)