Kaum hat Microsoft Skype gekauft, geht's auch schon los mit den Sicherheitsproblemen ich werde das genau so lange nicht updaten, wie meine schöne uralte Version noch tut.

Bitte WAS?!?

Der österreichische Breitbandanbieter UPC hat WLAN-Router an seine Kunden ausgeliefert, die undokumentiert ein zweites, verstecktes WLAN aufspannen, berichten Sicherheitsforscher von SBA-Research.

So steht es gerade auf Heise. Dieses versteckte Netz ist nicht von "eigentlichen" WLAN getrennt, weshalb ein potentieller Angreifer munter auf andere Rechner im gleichen Netz zugreifen, das Internet mit benutzen und sogar die Konfiguation des Routers ändern könnte. UPC selber schießen allerdings den Vogel ab mit der "Erklärung" für dieses völlig kranke Verhalten:

UPC begründete dieses Verhalten damals mit "neuen Möglichkeiten", die für die Zukunft geplant seien.

Äh... keine weiteren Fragen euer Ehren.

Im so furchtbar komplizierte Begriffe wie "Cross-Site-Scripting" und so nen Krams zu vermeiden, erzähle ich euch den Sachverhalt auf Deutsch. Dafür gehen natürlich ein paar Feinheiten verloren, die ihr vielleicht bei Netzpolitik nachlesen könnt wenn ihr wollt.

Die Website www.die-bahn.de (und alle ähnlichen Bahn-Websites) hat zur Zeit ein scheunentorgroßes Loch, das es erlaubt, Anmeldedaten der User zu "klauen" und damit wer-weiß-was anzustellen. Das ist eine Riesenscheiße. Entdeckt wurde das Ganze von Manuel Blechschmidt, der - nett wie er ist - die Bahn schon am 29.6. darauf aufmerksam gemacht hat.

Passiert ist: nix. Das zeigt, wie groß das Interesse der Bahn an ihren Kunden ist. Naja. Wenn es sich vermeiden lässt, meldet euch also besser nicht an der Bahn-Website an sondern kauft die Tickets lieber am Automaten oder am Schalter. Sobald ich davon erfahre, dass die Sicherheitslücke gestopft ist, werde ich euch davon in Kenntnis setzen.

Es folgt die Mail von Manuel:

(mehr …)

Heise berichtet:

Eine in drei populären Plug-ins entdeckte Hintertür hat die WordPress-Entwickler dazu bewogen, alle Passwörter für WordPress.org zurückzusetzen und den Zugriff auf die Erweiterungsrepositories zu sperren. Wie die Hintertüren in AddThis, WPtouch und W3 Total Cache gelangt sind, ist noch unklar.

Für daMax bedeutet erstmal, dass es jetzt erstmal keine Mobilvariante von daMax mehr gibt! Sorry, folks!