März 28, 2023
Wer sich mit IT Security befasst, kommt an den OWASP Top 10 nicht vorbei. Die Non-Profit-Organisation Open Web Application Security
ESET nutzt für Updates keine Verschlüsselung und ist anfällig für Man in the Middle Angriffe.
Insbesondere durch die jüngst bekannt gewordene Sicherheitslücke in ESET (CVE-2016-0718) verdeutlicht den Impact, welchen eine fehlende Verschlüsselung kombiniert haben kann.
Wenn ein Client seine Signaturen updaten will, baut er eine HTTP Verbindung zum Repository Server auf – diese Verbindung ist unverschlüsselt und anfällig für Man in the Middle. Sofern keine Signaturprüfung stattfindet, ist es möglich, Schadcode zu injizieren.
Auch Updates vom ERA Server sind unverschlüsselt, weshalb auch hier ein Man in the Middle möglich ist.
Ein TLS Zertifikat kostet für die beiden Domains pro Jahr nicht mehr als 10€ pro Domain. Die Schwachstelle wurde uns durch ESET bestätigt – eine Antwort, ob man diese Schwachstelle beheben wolle, haben wir nicht erhalten.
Von einem Sicherheitshersteller erwarten wir an dieser Stelle eine bessere Kommunikation und mehr Transparenz.
Wer sich mit IT Security befasst, kommt an den OWASP Top 10 nicht vorbei. Die Non-Profit-Organisation Open Web Application Security
Burp Suite von Portswigger und OWASP ZAP sind beides Programme mit einem Proxy-Server, welche auf deinem lokalen Gerät laufen. Mit
Unser Mitgründer Immanuel war zu Gast bei Radio Bonn/ Rhein-Sieg und hat dem Moderatoren-Team Nico Jansen und Jasmin Lenz und