#benutzthierjemand

fefebot@pod.dapor.net

[l] Benutzt hier jemand Rust? In einem Projekt mit "serde" vielleicht (das sind gefühlt 100%)?

Dann hat euch letzte Woche jemand einen Binär-Blob ins Projekt gedrückt, der auch noch kein reproducable build ist.

Gut, für Rust-Leute wahrscheinlich kein Problem, denn die lassen sich ja auch den Compiler schon als Binary reindrücken. Einen Bootstrap-Prozess ohne Binary kennt Rust nicht, obwohl Ocaml seit gefühlt 30 Jahren zeigt, wie es geht.

Bei allen tollen Ideen in Rust ist die Umsetzung schon an einigen Stellen eher traurig.

#fefebot #benutzthierjemand

fefebot@pod.dapor.net

[l] Benutzt hier jemand Fortigate-Produkte?

Ich habe ja gerade mal herauszufinden versucht, was die eigentlich machen. Google sagt:

Fortinet bietet automatisierten Security-Betrieb in einer konsolidierten Cyber-Sicherheitsplattform.

Hmm hmm. OK. Yes, but what do you DO?

Fortinet hilft Unternehmen, die digitale Fortentwicklung ihrer Anwendungswege in die Cloud, aber auch zwischen und über Clouds hinweg zu sichern.

Hmm hmm. OK. Yes, but what do you DO?

Die Fortinet Security Fabric integriert branchenführende Sicherheitslösungen, die einen umfassenden Einblick in die IT-OT-Angriffsfläche ermöglichen.

Hmm hmm. OK. Yes, but what do you DO?

Die Fortinet Security Fabric ist die leistungsstärkste Cyber-Security-Mesh-Plattform der Branche.

OK. Yes. Buw what do you DO?

Ich habe ja noch nie verstanden, wieso Firmen solches Goobledigook publizieren. Wollen die ihre Kunden einschläfern? Hypnotisieren vielleicht?

Noch unverständlicher ist mir, wieso Leute bei solchen Firmen kaufen. Wenn die Firma nicht mal selber sagen kann, was ihre Produkte eigentlich tun, wieso würde man die dann kaufen? Weil man mal eine Indiana-Jones- oder Lara-Croft-Phantasie ausleben will?

Oh, die Lücke. Die Lücke ist ein pre-auth remote code execution in deren VPN-Modul. Also DIE EINE Sache, die der absolut maximale GAU für ein VPN-Produkt ist.

#fefebot #benutzthierjemand #google

fefebot@pod.dapor.net

[l] Benutzt hier jemand MSI-Produkte? Die haben sich gerade ihre Private Keys klauen lassen.Darunter auch der Intel OEM Private Key für Bootguard.

Wenn jemandem der private key geklaut wird, dann heißt das, dass der pivate key aus dem Netz erreichbar war. Dafür alleine sollte man diese Firma direkt und für immer aus seiner Einkaufsliste streichen. Aber selbst wenn man nicht bei MSI kauft, sondern sagen wir bei Lenovo oder Supermicro: Der Key ist jetzt halt geleakt. Danke, MSI!

#fefebot #benutzthierjemand #twitter

fefebot@pod.dapor.net

[l] Benutzt hier jemand MS Edge?

Völlig überraschend, ach was sage ich! Völlig schockierend stellt sich heraus, dass Edge euren Browserverlauf nach Hause telefoniert.

Das war natürlich bloß ein bedauerliches Missverständnis, versteht sich ja von selbst.

“Microsoft Edge now has a creator follow feature that is enabled by default,” says Rivera in a conversation with The Verge. “It appears the intent was to notify Bing when you’re on certain pages, such as YouTube, The Verge, and Reddit. But it doesn’t appear to be working correctly, instead sending nearly every domain you visit to Bing.”

Ein blödes Versehen! Kann jedem mal passieren!1!!

#fefebot #benutzthierjemand #microsoft

fefebot@pod.dapor.net

[l] Benutzt hier jemand Windows?

Old and busted :Ping of Death. New hotness: Ping with Remote Code Execution! Auf einmal allen Windows-Versionen.

Die, die da nicht stehen, sind aus dem Support gefallen.

Das, falls das jemandem nicht auf Anhieb klar ist, ist das nächste Eternalblue. Das ist ein Wurm-Vektor. Da werden jetzt einmal alle Institutionen drüber geransomwared werden, weil das 3/4 mal wieder nicht patchen werden. Und am Ende wird jemand nach dem Staat rufen.

Unsere Spezies kriegt genau den Untergang, den sie verdient hat. Das war ein Unfall, dass wir am oberen Ende der Food Chain rauskamen.

Update: Grund zur Sorge ist auch, dass sie "Exploitation More Likely" sagen. Normalerweise sagen sie less likely. Die glauben also, dass das besonders leicht auszunutzen ist.

#fefebot #benutzthierjemand #oldandbusted #newhotness #microsoft

fefebot@pod.dapor.net

[l] Benutzt hier jemand das Cropping-Tool auf einem Google-Smartphone? Money Quote:

so basically the pixel 7 pro, when you crop and save a screenshot, overwrites the image with the new version, but leaves the rest of the original file in its place

Der Rest von dem Bild ist dann unter gewissen Umständen rekonstruierbar.

Die Wahrscheinlichkeit dafür ist gar nicht so schlecht, wenn man z.B. ein detailreiches Hintergrundbild hat, das man mit dem Crop-Tool entfernt hat.

Das ist ja mal ein fetter Verkacker von Google, aber man kann es erklären. Erstens: Wenn du eine neue Datei schreibst, dann kann es sein, dass der Platz alle ist. Wenn du die alte überschreibst, und die neue kleiner ist (wie bei Crop zu erwarten), dann nicht.

Zweitens: Android hat da ein API verkackt. Da musste man immer "w" sagen, wenn man überschreiben wollte, und das hat sich dann plötzlich geändert, so dass man "wt" sagen musste, um auch abzuschneiden. Das Memo hat natürlich kaum jemand gekriegt dann. Nicht mal die eigenen Leute. Bonus: Die Änderung war nicht mal dokumentiert. Ja GANZ super, Google! Einmal mit Profis!

#fefebot #benutzthierjemand #google

fefebot@pod.dapor.net

[l] Benutzt hier jemand Samsung-Smartphones? Google Project Zero hat denen gerade schön öffentlich auf die Schuhe gepinkelt.

Note: Until security updates are available, users who wish to protect themselves from the baseband remote code execution vulnerabilities in Samsung’s Exynos chipsets can turn off Wi-Fi calling and Voice-over-LTE (VoLTE) in their device settings. Turning off these settings will remove the exploitation risk of these vulnerabilities.

Das heißt, dass Project Zero Samsung vor drei Monaten Bescheid gesagt hat und Samsung hat das nicht gefixt sondern lieber ausgesessen.

Mein Mitleid mit Samsung hält sich in Grenzen.

#fefebot #benutzthierjemand #google #samsung

fefebot@pod.dapor.net

[l] Benutzt hier jemand GoTo?

Die Cloud ist sicher, müsst ihr wissen. Und außerdem verschlüsseln wir ja zur Sicherheit in der Cloud.

Aber keine Sorge. Die Firma hat jetzt nachgebessert.

Das Unternehmen gibt an, betroffene Kunden mit Tipps zur Absicherung ihrer Accounts kontaktiert zu haben. Zusätzlich versichern sie, die Passwörter und MFA von einigen Kunden zurückgesetzt zu haben. Zudem haben sie eigenen Angaben zufolge deren Accounts automatisch auf eine Identity Management Platform mit erweiterten Schutzregeln migriert.

Mit mehr Cloud-Bullshit.

#fefebot #benutzthierjemand