scip AG

News: Archiv 2009

Inhaltsverzeichnis

• 23.12.2009 – Festtage und Neujahr
• 18.12.2009 – smSS vom 18. Dezember 2009
• 16.12.2009 – OSVDB unterstützt offiziell scip VulDB
• 15.12.2009 – Advisories zu Dropbox und ManageEngine Password Manager
• 07.12.2009 – Expertenkommentar zu Outsourcing im Tages-Anzeiger
• 19.11.2009 – smSS vom 19. November 2009
• 11.11.2009 – Xdoor Video auf SecurityTube
• 03.11.2009 – Das scip AG Team als Twitter-List
• 27.10.2009 – Erweiterung der VulDB
• 19.10.2009 – smSS vom 19. Oktober 2009
• 29.09.2009 – Video des Talk von Marc Ruef an OpenExpo
• 24.09.2009 – Interview mit Marc Ruef in Linux Technical Review
• 21.09.2009 – Veröffentlichung Advisory zu Check Point Connectra
• 19.09.2009 – smSS vom 19. September 2009
• 18.09.2009 – 7 Jahre scip AG
• 09.09.2009 – Einführung der NASLDB
• 08.09.2009 – Veröffentlichung Advisory zu Lotus Notes
• 03.09.2009 – VulDB auf Twitter als scipvulbot
• 01.09.2009 – Vortrag von Marc Ruef an OpenExpo 2009 Winterthur
• 25.08.2009 – Grosse Aktualisierung der VulDB
• 19.08.2009 – smSS vom 19. August 2009
• 22.07.2009 – 4000ste Schwachstelle in VulDB
• 19.07.2009 – smSS vom 19. Juli 2009
• 13.07.2009 – Stetige Aktualisierung des Twitter Feeds
• 26.06.2009 – Aktualisierung des VulDB RSS Feeds
• 23.06.2009 – Einführung der neuen VulDB
• 09.06.2009 – Vorwort zu "Die Kunst der digitalen Verteidigung"
• 05.06.2009 – scip AG nun auf Twitter verfügbar
• 02.06.2009 – Launch der neuen Webseite
• 19.04.2009 – Vorstellung des spread project
• 19.01.2009 – Erfolgreiches neues Jahr

23.12.2009 – Festtage und Neujahr

Die scip AG wünscht an dieser Stelle allen Kunden, Partnern, Lesern und Besuchern erholsame Festtage und einen guten Rutsch in eine neues, erfolgreiches und gesundes Jahr 2010.

18.12.2009 – smSS vom 18. Dezember 2009

Aufgrund der anstehenden Festtage veröffentlichen wir im Dezember 2009 unseren scip monthly Security Summary einen Tag früher. Wir wünschen Ihnen viel Erfolg beim Glücksspiel. Ebenso nicht zu verpassen ist der Artikel über die 10 sicherheitsrelevante Gründe gegen Cloud Computing und der Erfahrungsbericht aus dem Leben eines scip AG Security Consultant – Cyberwar aus Nordkorea: Artikel richtig lesen.

16.12.2009 – OSVDB unterstützt offiziell scip VulDB

Die OSVDB gilt mittlerweile mit über 60’000 Einträgen als grösste Verwundbarkeitsdatenbank. Die jeweiligen Einträge verlinken nun offiziell auf unsere scip VulDB, die als grösste deutschsprachige Datenbank gilt. Dadurch werden Recherchen nun noch einfacher. Wir bedanken uns beim OSVDB Team für die angenehme Zusammenarbeit und das hervorragende Projekt.

15.12.2009 – Advisories zu Dropbox und ManageEngine Password Manager

Diese Tage hat Stefan Friedli, Security Researcher der scip AG, zwei Schwachstellen in populären Produkten publik gemacht. Durch eine Header-Injection Schwachstelle können erweiterte Zugriffsrechte bei Dropbox erlangt und durch eine Script-Injection Schwachstelle beliebiger Code bei ManageEngine Password Manager ausgeführt werden. Die Hersteller wurden informiert und reagieren mit Patches.

• scip Advisory: PasswordManager Pro 6.1 Script Injection Vulnerability
• Labs: Dropbox.com – Probleme mit HTTP Header Injection
• English: Details on the Dropbox.com HTTP Header Injection Vulnerability

07.12.2009 – Expertenkommentar zu Outsourcing im Tages-Anzeiger

Marc Ruef, CTO der scip AG, wurde für einen Artikel mit dem Titel Google überwacht UBS und CS bezüglich der Sicherheit von Outsourcing befragt. Dieser ist heute im Tages-Anzeiger / Der Bund erschienen und ebenfalls online einsehbar. In Hochsicherheitsumgebungen raten wir davon ab, die technische Kompetenz auszulagern.

19.11.2009 – smSS vom 19. November 2009

Wie jeden Monat haben wir auch im November 2009 unseren scip monthly Security Summary fertiggestellt. Wir wünschen Ihnen viel Erfolg beim Glücksspiel. Ebenso nicht zu verpassen ist der Erfahrungsbericht aus dem Leben eines scip AG Security Consultant – Falsche Akzeptanz eines möglichen Schutzes.

11.11.2009 – Xdoor Video auf SecurityTube

Im Juni dieses Jahres haben wir Details und ein Video zu Xdoor, unserer ajax-basierten Backdoor, publik gemacht. Das Demo-Video wurde nun ebenfalls auf SecurityTube veröffentlicht. In diesem ist zu sehen, wie ein Client über einen Browser erfolgreich ferngesteuert wird.

03.11.2009 – Das scip AG Team als Twitter-List

Auch wir machen vom neuen Feature von Twitter gebrauch, indem nun komfortabel unseren Mitarbeitern in der Team-List gefolgt werden kann. Dort werden zusätzlich private Projekte, die nicht oder erst später durch die scip AG Verwendung finden, diskutiert. Die scip AG betreibt zudem @scipag für allgemeine News und @scipvulbot für neue Einträge in der VulDB.

27.10.2009 – Erweiterung der VulDB

Die Verwundbarkeitsdatenbank wurde erweitert. Neu wird eine statistische Übersicht der Einträge dargeboten. Desweiteren werden nun zusätzliche Produkte sowie die Angabe der total dokumentierten Schwachstellen in der Produkteübersicht dargestellt. Zudem zeigt der scipvulbot auf Twitter nun regelmässig die neuesten Einträge samt Direkt-URL zur Datenbank an.

19.10.2009 – smSS vom 19. Oktober 2009

Wie jeden Monat haben wir auch im Oktober 2009 unseren scip monthly Security Summary fertiggestellt. Wir wünschen Ihnen viel Erfolg beim Glücksspiel. Ebenso nicht zu verpassen ist der Erfahrungsbericht aus dem Leben eines scip AG Security Consultant – Eingabeüberprüfung par Excellence.

29.09.2009 – Video des Talk von Marc Ruef an OpenExpo

Marc Ruef hielt Ende dieses Monats einen Talk über Security Scanner Design an der OpenExpo in Winterthur. Die rund 30 Minuten dauernde Präsentation im Rahmen des Security Track wurde aufgezeichnet und nun das Video auf YouTube bereitgestellt.

24.09.2009 – Interview mit Marc Ruef in Linux Technical Review

Die deutsche Rechtsanwältin und Fachjournalistin für IT-Recht Vilma Niclas erläutert in ihrem umfassenden Artikel die Auswirkungen des umstrittenen “Hackerparagrafen”. Dabei kommt Marc Ruef (CTO der scip AG) zu Wort, erläutert seine Sicht der Dinge sowie die Auswirkungen auf die Arbeiten der scip AG.

21.09.2009 – Veröffentlichung Advisory zu Check Point Connectra

Stefan Friedli der scip AG fand eine Script Injection Schwachstelle in Check Point Connectra R62. Das Login Interface der populären VPN SSL Lösung wies nur unzureichende Validierungsmechanismen auf und konnte daher angegriffen werden. Die Schwachstelle wurde heute in den jeweiligen Mailinglisten sowie in der hauseigenen Verwundbarkeitsdatenbank publik gemacht, nachdem in Zusammenarbeit mit dem Hersteller öffentlich ein Hotfix zur Verfügung gestellt werden konnte.

19.09.2009 – smSS vom 19. September 2009

Wie jeden Monat haben wir auch im September 2009 unseren scip monthly Security Summary fertiggestellt. Wir wünschen Ihnen viel Erfolg beim Glücksspiel. Ebenso nicht zu verpassen ist der Erfahrungsbericht aus dem Leben eines scip AG Security Consultant – Nichtexistenz als Schwachstelle.

18.09.2009 – 7 Jahre scip AG

Heute feiern wir das siebenjährige Bestehen der Firma scip AG. Diese Gelegenheit möchten wir nutzen, um unseren Kunden und Partnern für die erfolgreichen Jahre zu danken: Wir wünschen allen auch weiterhin viele erfolgreiche Projekte!

09.09.2009 – Einführung der NASLDB

In unserer Verwundbarkeitsdatenbank pflegen wir die bekannt gewordenen Schwachstellen zu dokumentieren. Auf der Basis dieser Arbeit haben wir als NASLDB eine ähnliche Datenbank für die NASL-Plugins des bekannten Vulnerability Scanners Nessus bereitgestellt.

08.09.2009 – Veröffentlichung Advisory zu Lotus Notes

Marc Ruef der scip AG fand einen Designfehler in Lotus Notes 8.5. Das für das Einlesen von RSS-Feeds dargebotene Widget weist eine kritische Schwachstelle auf. Diese wurde heute in den jeweiligen Mailinglisten (z.B. Bugtraq und Full-Disclosure) sowie in der hauseigenen Verwundbarkeitsdatenbank publik gemacht.

03.09.2009 – VulDB auf Twitter als scipvulbot

Die News zur scip AG werden seit einigen Wochen auch auf Twitter bereitgestellt. Davon ausgeschlossen waren bisher die neuen Einträge der Verwundbarkeitsdatenbank. Doch auch diese werden von nun an über den scipvulbot mitgeteilt. So kann alternativ zum RSS-Feed stets über die neuesten Schwachstellen informiert werden.

01.09.2009 – Vortrag von Marc Ruef an OpenExpo 2009 Winterthur

Marc Ruef, CTO und Leiter der Abteilung Auditing der scip AG, wird an der OpenExpo 2009 in Winterthur einen Vortrag halten (23.-24. September 2009 in den Eulachhallen). Der Titel dessen lautet Security Scanner Design am Beispiel von httprecon und soll die wichtigsten Punkte bei der Entwicklung und Anwendung von Software im Rahmen von Sicherheitsüberprüfungen diskutieren.

25.08.2009 – Grosse Aktualisierung der VulDB

Unsere Verwundbarkeitsdatenbank wurde in grösserem Umfang aktualisiert. So wurden zu allen Einträgen die fehlenden Daten, wie zum Beispiel CVE und Secunia IDs, zugewiesen. Ebenso werden weitere Details wie die Bestätigung des Herstellers und Securitytracker-Links dargeboten. Dadurch konnte die Qualität der freien Datenbank massgeblich verbessert werden.

19.08.2009 – smSS vom 19. August 2009

Wie jeden Monat haben wir auch im August 2009 unseren scip monthly Security Summary fertiggestellt. Wir wünschen Ihnen viel Erfolg beim Glücksspiel. Ebenso nicht zu verpassen ist der Erfahrungsbericht aus dem Leben eines scip AG Security Consultant – Wer rechnen kann, ist klar im Vorteil.

22.07.2009 – 4000ste Schwachstelle in VulDB

Dieses Wochenende wurde die viertausendste Schwachstelle in unserer Verwundbarkeitsdatenbank katalogisiert. Hierbei handelt es sich um die Beschreibung einer sehr kritischen Pufferüberlauf-Schwachstelle in den Microsoft Office Web Components. Seit Anfang 2003 dokumentieren wir in deutscher Sprache publik gewordene Schwachstellen in unserer öffentlichen VulDB.

19.07.2009 – smSS vom 19. Juli 2009

Wie jeden Monat haben wir auch im Juli 2009 unseren scip monthly Security Summary fertiggestellt. Wir wünschen Ihnen viel Erfolg beim Glücksspiel. Ebenso nicht zu verpassen ist der Erfahrungsbericht aus dem Leben eines scip AG Security Consultant – Despotische Demokratie in der virtuellen Welt.

13.07.2009 – Stetige Aktualisierung des Twitter Feeds

Seit Anfang Juni sind wir ebenfalls auf Twitter vertreten. Darauf werden nun stets die aktuellsten Neuerungen publiziert. Die jeweiligen Kategorien sind dabei mit den passenden Hashtags versehen: #scipnews, #sciplabs, #scipsmss und #scippublikationen. Somit bleiben Sie stets auf dem neuesten Stand. Alternativ kann unser RSS Feed benutzt werden.

26.06.2009 – Aktualisierung des VulDB RSS Feeds

Mit der Überarbeitung der hauseigenen Verwundbarkeitsdatenbank haben wir nun ebenfalls den RSS-Feed dieser optimiert. Neben zusätzlichen Details werden nun ebenfalls erweiterte Kategorien geführt, wodurch die Nutzung und Recherche massgeblich verbessert wird.

23.06.2009 – Einführung der neuen VulDB

Seit Anfang 2003 dokumentieren wir fortwährend in deutscher Sprache öffentlich gewordene Schwachstellen in unserer Verwundbarkeitsdatenbank. Diese wurde einem umfassenden Redesign unterzogen und damit in die neue Seite integriert.

09.06.2009 – Vorwort zu “Die Kunst der digitalen Verteidigung”

Marc Ruef, seines Zeichens CTO und Head of Auditing der scip AG, ist im Buch Die Kunst der digitalen Verteidigung von Thomas Werth mit einem Vorwort vertreten. Dieses Buch, welches per sofort im Handel erhältlich ist, gilt als Ergänzung von Die Kunst des Penetration Testing von Marc Ruef.

05.06.2009 – scip AG nun auf Twitter verfügbar

Die Neuigkeiten zur scip AG sind nun ebenfalls in unserem Feed auf Twitter verfügbar. In Kombination mit unseren RSS Feeds sehen Sie sich damit in der Lage, stets auf dem neuesten Stand zu sein.

02.06.2009 – Launch der neuen Webseite

Die scip AG befindet sich im siebten Jahr seit ihrer Gründung. Dies nahmen wir als Anlass, unseren Webauftritt komplett zu überarbeiten. Die neue Webseite unterstützt die aktuellsten Standards und Browser-Features, ohne die Kompatibilität zu älteren Browsern zu verlieren. Wir wünschen viel Spass mit unserer neuen Homepage.

19.04.2009 – Vorstellung des spread project

Das spread project von Marc Ruef hat zum Ziel, auf der Basis des Client/Server-Prinzips, eine valable technische Möglichkeit aufzuzeigen, wie gängige Sicherheitsmassnahmen umgangen werden können um eigenen Programmcode in ein sicheres Netz einzuschleusen und auszuführen.

19.01.2009 – Erfolgreiches neues Jahr

Das neue Jahr 2009 hat definitiv begonnen. Die kurze Zeit der verbreiteten Arbeitspause ist vorüber. Täglich stehen wieder Meetings, Workshops und Entscheidungen an. Die scip AG wünscht Ihnen auf diesem Weg nocheinmal ein erfolgreiches und gesundes Jahr.

News Übersicht

• Aktuell
  • smSS vom 19. Mai 2013
  • CVSS Maps in VulDB verfügbar
  • Vortrag zu Security Testing an SGRP Schweiz
  • smSS vom 19. April 2013
  • Interview zu Angriff auf Spamhaus
• Archiv
• Medienauftritte
• Syndication
  • RSS
  • Twitter