Beliebte Tags:
Kosmos Virtualisierung DNS-Sicherheit formale Verifikation Erreichbarkeitsanalyse KI Compilerfehler Makrokonflikt Web-Erweiterung Entwicklungsframework Alle Tags

Ein Jahrzehnt Ruby Marshal Deserialisierungs-Exploits: Geschichte und Ausblick

2025-08-24
Ein Jahrzehnt Ruby Marshal Deserialisierungs-Exploits: Geschichte und Ausblick

Dieser Artikel befasst sich mit der zehnjährigen Geschichte von Deserialisierungs-Schwachstellen im Ruby Marshal-Modul. Er verfolgt die Entwicklung von ersten Fehlerberichten im Jahr 2013 bis hin zu den neuesten Exploit-Techniken im Jahr 2024 und zeigt ein ständiges Katz-und-Maus-Spiel zwischen Sicherheitsforschern und Angreifern auf. Der Autor hebt die Grenzen eines rein patch-basierten Ansatzes hervor und plädiert für die schrittweise Abschaffung des Marshal-Moduls zugunsten sicherer Alternativen, um diese wiederkehrende Sicherheitsbedrohung zu beseitigen.

Mehr lesen
(blog.trailofbits.com)
Entwicklung Ruby Sicherheit Deserialisierungs-Schwachstelle

Bildskalierungsangriffe: Eine neue Schwachstelle in KI-Systemen

2025-08-21
Bildskalierungsangriffe: Eine neue Schwachstelle in KI-Systemen

Forscher haben eine neue Sicherheitslücke in KI-Systemen entdeckt: Die Exfiltration von Daten kann erreicht werden, indem scheinbar harmlose Bilder an große Sprachmodelle (LLMs) gesendet werden. Angreifer nutzen die Tatsache aus, dass KI-Systeme Bilder oft verkleinern, bevor sie verarbeitet werden, indem sie bösartige Prompt-Injektionen in die verkleinerte Version einbetten, die in voller Auflösung unsichtbar sind. Dies ermöglicht es, die Aufmerksamkeit des Benutzers zu umgehen und auf Benutzerdaten zuzugreifen. Die Schwachstelle wurde in mehreren KI-Systemen nachgewiesen, darunter Google Gemini CLI. Die Forscher haben das Open-Source-Tool Anamorpher entwickelt, um diese manipulierten Bilder zu generieren und zu analysieren, und empfehlen, die Bildskalierung in KI-Systemen zu vermeiden oder Benutzern eine Vorschau des Bildes zu geben, das das Modell tatsächlich sieht, um das Risiko zu mindern.

Mehr lesen
(blog.trailofbits.com)
KI Bildskalierung

Ausbeutung von EOL-Netzwerkgeräten: Ein Sieg beim Junkyard-Wettbewerb

2025-07-29
Ausbeutung von EOL-Netzwerkgeräten: Ein Sieg beim Junkyard-Wettbewerb

Forscher belegten den zweiten Platz beim DistrictCon Junkyard-Wettbewerb, indem sie erfolgreich zwei eingestellte Netzwerkgeräte ausbeuteten: einen Netgear WGR614v9-Router und eine BitDefender Box V1. Ihre Exploit-Ketten hoben die anhaltenden Sicherheitsrisiken von Geräten am Ende ihrer Lebensdauer (EOL) hervor, bei denen nicht gepatchte Schwachstellen auch nach Beendigung des Hersteller-Supports ausnutzbar bleiben. Die Forscher detaillierten mehrere Schwachstellen, darunter Authentifizierungsumgehungen, Pufferüberläufe und Command Injections, die zu einem Remote-Root-Zugriff auf beiden Geräten führten. Diese Forschung unterstreicht die Bedeutung der Berücksichtigung der Support-Lebenszyklen der Hersteller und der Community-Firmware-Optionen bei der Auswahl von Geräten und hebt die anhaltenden Sicherheitsherausforderungen hervor, die von EOL-IoT-Geräten gestellt werden.

Mehr lesen
(blog.trailofbits.com)
Technologie

Sicherheitsrisiken bei Go-Parsern: Ausnutzung unerwarteter Verhaltensweisen in JSON, XML und YAML

2025-06-21
Sicherheitsrisiken bei Go-Parsern: Ausnutzung unerwarteter Verhaltensweisen in JSON, XML und YAML

Go's JSON-, XML- und YAML-Parser bergen Sicherheitsrisiken, die es Angreifern ermöglichen, unerwartetes Verhalten auszunutzen, um die Authentifizierung zu umgehen, Autorisierungskontrollen zu unterlaufen und sensible Daten zu exfiltrieren. Der Beitrag beschreibt drei Angriffsszenarien: (1) (De-)Serialisierung unerwarteter Daten: Offenlegung von Daten, die von Entwicklern als privat gedacht waren; (2) Parser-Differenzen: Unterschiede zwischen Parsern ermöglichen das Umgehen von Sicherheitskontrollen; und (3) Datenformat-Verwechslung: Ausnutzung der Verarbeitung von Cross-Format-Payloads. Mitigationsmaßnahmen umfassen die Verwendung von `DisallowUnknownFields` und benutzerdefinierten Funktionen, um Sicherheitslücken in der Go-Standardbibliothek zu schließen.

Mehr lesen
(blog.trailofbits.com)
Entwicklung

Passkeys: Die kryptografische Revolution in der Authentifizierung

2025-05-14
Passkeys: Die kryptografische Revolution in der Authentifizierung

Dieser Artikel untersucht die Kryptografie hinter Passkeys und erklärt, wie sie Schlüsselpaare verwenden, um digitale Signaturen zu erstellen, ohne sensible Informationen an Server zu übertragen. Dies verhindert Phishing und die Wiederverwendung von Passwörtern. Die WebAuthn-Spezifikation verbessert die Sicherheit durch Ursprungsbindung, wodurch sichergestellt wird, dass Passkeys nur auf der richtigen Website verwendet werden. Verschiedene Arten von Authentifikatoren werden untersucht, ebenso wie die Verwendung von WebAuthn-Erweiterungen zum Generieren und Speichern kryptografischer Schlüssel. Potenzielle Bedrohungen wie Browser-Angriffe und kompromittierte Authentifikatoren werden diskutiert, zusammen mit Strategien zur Risikominderung. Obwohl keine perfekte Lösung, bieten Passkeys eine deutlich verbesserte Sicherheit und stellen eine vielversprechende Zukunft für die Authentifizierung dar.

Mehr lesen
(blog.trailofbits.com)
Technologie

PyPIs Warehouse: 81% schnellere Testsuite durch einfache Optimierungen

2025-05-12
PyPIs Warehouse: 81% schnellere Testsuite durch einfache Optimierungen

Trail of Bits hat die Performance der Testsuite von PyPIs Warehouse drastisch verbessert und die Ausführungszeit von 163 Sekunden auf 30 Sekunden reduziert, während die Anzahl der Tests von 3.900 auf über 4.700 stieg. Diese 81%ige Verbesserung wurde durch mehrere wichtige Optimierungen erreicht: Parallelisierung der Testausführung mit pytest-xdist, Nutzung von Python 3.12s sys.monitoring für eine effizientere Coverage-Instrumentierung, Optimierung der Testfindung und Eliminierung unnötiger Importe. Diese Techniken sind auf viele Python-Projekte anwendbar, die mit langsamen Testsuiten zu kämpfen haben, und bieten erhebliche Performance-Verbesserungen zu minimalen Kosten.

Mehr lesen
(blog.trailofbits.com)
Entwicklung Testoptimierung

Neue ASN.1-API von PyCA Cryptography: Geschwindigkeit und Sicherheit

2025-04-18

Das PyCA Cryptography-Team entwickelt eine neue ASN.1-API mit einem reinen Rust-Parser für deutlich verbesserte Leistung und reduzierte Sicherheitsrisiken durch Unterschiede zu anderen ASN.1-Parsern. Die neue API bietet auch eine deklarative Schnittstelle im Dataclass-Stil für bessere Lesbarkeit und Wartbarkeit des Codes. Dies behebt die Mängel bestehender Python-ASN.1-Bibliotheken in Bezug auf Leistung und Sicherheit und unterstützt neue Ökosysteme wie Sigstore besser.

Mehr lesen
(blog.trailofbits.com)
Entwicklung

1,5 Milliarden Dollar Krypto-Diebstahl: Ein raffinierter Angriff deckt Schwachstellen in der operativen Sicherheit auf

2025-02-22

Am 21. Februar 2025 erlitt die Krypto-Börse Bybit den größten Krypto-Diebstahl der Geschichte mit einem geschätzten Verlust von 1,5 Milliarden Dollar. Die Angreifer nutzten keine Schwachstellen in Smart Contracts aus, sondern kompromittierten die Geräte mehrerer Unterzeichner mithilfe von raffinierter Malware, um ihre Wallet-Oberflächen zu manipulieren und unbemerkt Signaturen zu erhalten. Untersuchungen deuten auf nordkoreanische staatlich unterstützte Akteure (wie TraderTraitor und Jade Sleet) hin, die fortschrittliche Social-Engineering-Methoden einsetzten, um Schlüsselpersonal zu attackieren und ein plattformübergreifendes Toolkit einsetzten. Dies unterstreicht das kritische Risiko, operative Sicherheit zu vernachlässigen, und betont die Bedeutung von physisch isolierten Signatursystemen, Mehrfaktor-Authentifizierung und regelmäßigem Sicherheitstraining. Ähnliche Angriffe werden wahrscheinlich anhalten, es sei denn, Krypto-Unternehmen verbessern ihre operative Sicherheit deutlich.

Mehr lesen
(blog.trailofbits.com)
Technologie Krypto-Sicherheit operative Sicherheit