Rollen im Regen: Impressionen vom Benefizkonzert auf dem Neuköllner Kranoldplatz, veranstaltet von SOLWODI Berlin e.V. am 13. Juni 2015. [Photo (cc): Gabriele Kantel] (#) ()

---

Noch ein Security Alert: Schwerwiegende Sicherheitslücke in MacOS X und iOS erlaubt Auslesen von Passwörtern

Einer Studie von Sicherheitsforschern zufolge sei es aufgrund von Schwachstellen in iOS und MacOS X möglich, sensible Daten anderer Programme einzusehen, im systemeigenen Schlüsselbund gespeicherte Passwörter auszulesen und Zugangs-Token für die iCloud abzugreifen.

Die Sicherheitslücken bestehen in MacOS X, zum Teil aber auch in iOS. Das Problem liege in der Kommunikation zwischen dem Betriebssystem und einzelnen Apps beziehungsweise der Kommunikation der Apps untereinander begründet (XARA = Cross-App Resource Access). Apple wurde offenbar schon vor sechs Monaten von den Forschern über dieses Problem informiert, hat bislang aber noch nicht reagiert. Näheres dazu auch bei Tante Heise. (Mein persönlicher CERT per Email.) (Kommentieren) (#) ()

---

Security Alert: Gefährliche Sicherheitslücke in Samsung Galaxy Smartphones

Bei einigen Samsung Smartphones der Galaxy-Reihe (z.B. S4 Mini, S5 und S6) hat das amerikanische Sicherheitsunternehmen NowSecure einen schweren Fehler im Zusammenspiel mit der mitgelieferten SwiftKey-Tastatur entdeckt. Durch unverschlüsselte Verbindungen im Updatemechanismus dieser mitgelieferten Swiftkey-App können Angreifer auf den Geräten beliebige Daten und Befehle mit Systemrechten auszuführen, und bekommen so zum Beispiel Zugriff auf Mikrophon und Kamera.

Samsung kennt diesen Fehler bereits und hat Anfang 2015 einen Patch dafür bereitgestellt. Offenbar wurde dieser noch nicht von den Providern an die Endgeräte verteilt.

Es geht hierbei übrigens nicht um die SwiftKey-App aus dem Google Play Store, sondern um die von Samsung bei einigen Modellen vorinstallierte Tastatur mit einer speziellen Software von SwiftKey. NowSecure versucht aktuell zu ermitteln, welche der Galaxy-Geräte genau für die Lücke anfällig sind. Einstweilen empfiehlt es sich somit, ungeschützte WLAN-Netzwerke zu meiden. (Mein persönlicher CERT per Email.) (Kommentieren) (#) ()

---

Updates, Updates!

• Shiny 0.12, das Web-Applikation-Framework für R hat fertig. Eine der Neuerungen ist, daß Shiny nun auch interaktive Plots sowohl mit den Standard-Plotwerkzeugen als auch mit ggplot2 erstellen kann.

• Googles Version der Cloud, die App Engine, besitzt in der aktuellen Version endlich die langerwartete, vollständige PHP-Unterstützung. Somit kann man für Anwendungen in Googles Cloud neben Python, Java und Go nun auch diese weitverbreitete Skriptpsrache nutzen. Ob ich das gut finde, sei dahingestellt.

• Und last but not least ist Twitters beliebtes CSS-/JavaScript-Framewokr Bootstrap in der Version 3.3.5 erschienen. Es gibt nur wenige neue Features, aber etliche Bugfixes.

(Kommentieren) (#) ()

---