|
|
|
|
|
|
|
|
|
Deutsche Politik News und Infos: Nachrichten @ Deutsche-Politik-News.de !
 Weitere News: Risiko durch Framesniffing-Angriffe: Daten in Microsoft SharePoint und LinkedIn sind gefährdet
Veröffentlicht am Dienstag, dem 13. März 2012 @ 16:04:28 auf Freie-PresseMitteilungen.de
(350 Leser, 0 Kommentare, 0 Bewertungen, Durchschnittsbewertung: 0,00)
|
|
Context zeigt Wege auf, Internet- und Intranet-Seiten zu schützen
Die Analysten von Context Information Security haben Sicherheitslücken in den Webbrowsern Internet Explorer, Chrome und Safari aufgezeigt. Diese ermöglichen Remote-Angriffe auf diebstahlgefährdete Daten auf privaten Microsoft SharePoint-Seiten sowie auf öffentlichen Websites wie LinkedIn. Im Rahmen dieser sogenannten Framesniffing-Attacken wird ein verborgener HTML-Frame verwendet, um die Zielseite in die schadhafte Webpage des Angreifers zu laden. Dort werden Informationen über den Inhalt und die Struktur der gezogenen Seite ausgelesen. Angriffe dieser Art umgehen die Sicherheitseinstellungen der Browser, die eigentlich Webseiten daran hindern sollen, dass die in Frames geladenen Inhalte durch Dritte gelesen werden können. "Durch Framesniffing können schadhafte Webpages Suchanfragen nach potenziell sensiblen Stichwörtern auf SharePoint-Servern stellen und feststellen, wie viele Ergebnisse für jede Anfrage gefunden werden", erläutert Paul Stone, Senior Security Consultant bei Context. "Ist beispielsweise der Name eines Unternehmens bekannt, kann leicht herausgefunden werden, wer die Kunden oder Partner sind. Auf Basis dieser Informationen können Angreifer zunehmend komplexere Suchanfragen durchführen und zum Beispiel wertvolle wirtschaftliche Kennzahlen enthüllen." Auf seinem Blog zeigt Context in einem Video, wie die Framesniffing-Angriffe ablaufen und erklärt in fünf einfachen Schritten, wie sich die eigenen Websiten davor schützen lassen:http://www.contextis.com/research/blog/framesniffing
Die Sicherheitsexperten von Context haben SharePoint 2007 und 2010 getestet und herausgefunden, dass diese das "Framing" nicht in der Grundeinstellung unterbinden. So senden sie die Titelzeile für die X-Frame-Optionen nicht an die Webbrowser, welche die Anwendungen sowohl vor Framesniffing als auch vor Clickjacking schützen würde. Die Folge ist, dass jede Website, welche die URL einer SharePoint-Installation kennt, diese in einen Frame laden und die Sicherheitsattacke ausführen kann - sogar wenn die Zielseite nur in einem Intranet zugänglich ist. In Folge dieser Entdeckung hat Context den Hersteller Microsoft kontaktiert. Die Antwort des Unternehmens: "Wir haben unsere eigenen Nachforschungen abgeschlossen und festgestellt, dass die Grundeinstellungen für die aktuellen Versionen von SharePoint gelten. Wir arbeiten daran, die X-Frame-Optionen in der nächsten Version im Standard zu aktivieren."
Framesniffing kann auch für das Abgreifen vertraulicher Daten von öffentlichen Webseiten verwendet werden. Ein Beispiel ist das Business-Netzwerk LinkedIn, das keinen Schutz gegen Framing vorsieht. Über eine schadhafte Webpage können Angreifer Benutzerprofile der Besucher aufbauen. Dazu stellen sie Bruchstücke an Informationen zusammen, die verschiedene Websites durchsickern lassen. So können beispielsweise die Produkt-IDs von zuvor auf Einkaufsportalen gekauften Artikeln mit einer Nutzer-ID eines Besuchers von einem Sozialen Netzwerk kombiniert werden.
Die genaue Vorgehensweise von Framesniffing-Attacken zeigt Context auf seinem Blog in einem Video. Hier gewinnen Angreifer sensible Informationen aus einer fiktionalen betrieblichen SharePoint-Installation. Darüber hinaus erklären die Experten von Context in einer einfachen Schritt-für-Schritt Anleitung, wie eine Website vor Angriffen durch Hinzufügen der Titelzeile X-Frame-Options geschützt werden kann. Während Mozilla seinen Browser Firefox im vergangenen Jahr einem Update unterzogen hat, um Framesniffing zu verhindern, sind die letzten Versionen von Internet Explorer, Chrome und Safari nach wie vor angreifbar. "Wir sprechen die Anbieter der verschiedenen Webbrowser derzeit an, ihre Sicherheitsvorkehrungen zu erhöhen. Bis dahin ist jedoch jeder einzelne Website-Betreiber gefragt, seine Seite durch Hinzufügen der X-Frame-Optionen vor Framing zu schützen", betont der Analyst Paul Stone.
Der Blog von Context Information Security ist unter folgendem Link zu erreichen:
www.contextis.com/research/blog/framesniffing/
Über Context Information Security
Context ist eine unabhängiges Beratungsunternehmen, das sich auf den Bereich der technischen Sicherheit spezialisiert hat. Die Fokus liegt zudem auf Dienstleistungen zur Informations- und Datensicherung. Seit der Gründung im Jahr 1998 hat das Unternehmen seinen Kundenstamm kontinuierlich ausgebaut - zum einen aufgrund des produktübergreifenden, ganzheitlichen Ansatzes und der individuell zugeschnittenen Services. Zum anderen liegt der Erfolg in der Unabhängigkeit und Integrität der Berater sowie ihrer fundierten technischen Fähigkeiten begründet. Zu den Kunden gehören heute weltweit führende Großunternehmen sowie Regierungsorganisationen. Context verbindet breitgefächerte Erfahrung mit technischer Expertise und wird damit den umfassenden Anforderungen an Sicherheitsexperten der heutigen Zeit gerecht. Effektive und praktische Lösungen sowie Rat und Unterstützung sind das vorrangige Ziel. Daher liefert Context nicht nur tiefgreifende, technische Analysen und Empfehlungen, sondern übersetzt seine Reports auch für die Managementebene.
Context Information Security Ltd. Zweigniederlassung Düsseldorf
Sven Schlüter
Adersstr. 28, 1. Obergeschoss
40215 Düsseldorf
Tel.: +49 (0)211 7327 9523
www.contextis.de
Pressekontakt:
PressnRelations GmbH Ulm
Anne Zozo
Magirusstr. 33
89077 Ulm
az@press-n-relations.de
073196287-20
http://www.press-n-relations.de
Context zeigt Wege auf, Internet- und Intranet-Seiten zu schützen
Die Analysten von Context Information Security haben Sicherheitslücken in den Webbrowsern Internet Explorer, Chrome und Safari aufgezeigt. Diese ermöglichen Remote-Angriffe auf diebstahlgefährdete Daten auf privaten Microsoft SharePoint-Seiten sowie auf öffentlichen Websites wie LinkedIn. Im Rahmen dieser sogenannten Framesniffing-Attacken wird ein verborgener HTML-Frame verwendet, um die Zielseite in die schadhafte Webpage des Angreifers zu laden. Dort werden Informationen über den Inhalt und die Struktur der gezogenen Seite ausgelesen. Angriffe dieser Art umgehen die Sicherheitseinstellungen der Browser, die eigentlich Webseiten daran hindern sollen, dass die in Frames geladenen Inhalte durch Dritte gelesen werden können. "Durch Framesniffing können schadhafte Webpages Suchanfragen nach potenziell sensiblen Stichwörtern auf SharePoint-Servern stellen und feststellen, wie viele Ergebnisse für jede Anfrage gefunden werden", erläutert Paul Stone, Senior Security Consultant bei Context. "Ist beispielsweise der Name eines Unternehmens bekannt, kann leicht herausgefunden werden, wer die Kunden oder Partner sind. Auf Basis dieser Informationen können Angreifer zunehmend komplexere Suchanfragen durchführen und zum Beispiel wertvolle wirtschaftliche Kennzahlen enthüllen." Auf seinem Blog zeigt Context in einem Video, wie die Framesniffing-Angriffe ablaufen und erklärt in fünf einfachen Schritten, wie sich die eigenen Websiten davor schützen lassen:http://www.contextis.com/research/blog/framesniffing
Die Sicherheitsexperten von Context haben SharePoint 2007 und 2010 getestet und herausgefunden, dass diese das "Framing" nicht in der Grundeinstellung unterbinden. So senden sie die Titelzeile für die X-Frame-Optionen nicht an die Webbrowser, welche die Anwendungen sowohl vor Framesniffing als auch vor Clickjacking schützen würde. Die Folge ist, dass jede Website, welche die URL einer SharePoint-Installation kennt, diese in einen Frame laden und die Sicherheitsattacke ausführen kann - sogar wenn die Zielseite nur in einem Intranet zugänglich ist. In Folge dieser Entdeckung hat Context den Hersteller Microsoft kontaktiert. Die Antwort des Unternehmens: "Wir haben unsere eigenen Nachforschungen abgeschlossen und festgestellt, dass die Grundeinstellungen für die aktuellen Versionen von SharePoint gelten. Wir arbeiten daran, die X-Frame-Optionen in der nächsten Version im Standard zu aktivieren."
Framesniffing kann auch für das Abgreifen vertraulicher Daten von öffentlichen Webseiten verwendet werden. Ein Beispiel ist das Business-Netzwerk LinkedIn, das keinen Schutz gegen Framing vorsieht. Über eine schadhafte Webpage können Angreifer Benutzerprofile der Besucher aufbauen. Dazu stellen sie Bruchstücke an Informationen zusammen, die verschiedene Websites durchsickern lassen. So können beispielsweise die Produkt-IDs von zuvor auf Einkaufsportalen gekauften Artikeln mit einer Nutzer-ID eines Besuchers von einem Sozialen Netzwerk kombiniert werden.
Die genaue Vorgehensweise von Framesniffing-Attacken zeigt Context auf seinem Blog in einem Video. Hier gewinnen Angreifer sensible Informationen aus einer fiktionalen betrieblichen SharePoint-Installation. Darüber hinaus erklären die Experten von Context in einer einfachen Schritt-für-Schritt Anleitung, wie eine Website vor Angriffen durch Hinzufügen der Titelzeile X-Frame-Options geschützt werden kann. Während Mozilla seinen Browser Firefox im vergangenen Jahr einem Update unterzogen hat, um Framesniffing zu verhindern, sind die letzten Versionen von Internet Explorer, Chrome und Safari nach wie vor angreifbar. "Wir sprechen die Anbieter der verschiedenen Webbrowser derzeit an, ihre Sicherheitsvorkehrungen zu erhöhen. Bis dahin ist jedoch jeder einzelne Website-Betreiber gefragt, seine Seite durch Hinzufügen der X-Frame-Optionen vor Framing zu schützen", betont der Analyst Paul Stone.
Der Blog von Context Information Security ist unter folgendem Link zu erreichen:
www.contextis.com/research/blog/framesniffing/
Über Context Information Security
Context ist eine unabhängiges Beratungsunternehmen, das sich auf den Bereich der technischen Sicherheit spezialisiert hat. Die Fokus liegt zudem auf Dienstleistungen zur Informations- und Datensicherung. Seit der Gründung im Jahr 1998 hat das Unternehmen seinen Kundenstamm kontinuierlich ausgebaut - zum einen aufgrund des produktübergreifenden, ganzheitlichen Ansatzes und der individuell zugeschnittenen Services. Zum anderen liegt der Erfolg in der Unabhängigkeit und Integrität der Berater sowie ihrer fundierten technischen Fähigkeiten begründet. Zu den Kunden gehören heute weltweit führende Großunternehmen sowie Regierungsorganisationen. Context verbindet breitgefächerte Erfahrung mit technischer Expertise und wird damit den umfassenden Anforderungen an Sicherheitsexperten der heutigen Zeit gerecht. Effektive und praktische Lösungen sowie Rat und Unterstützung sind das vorrangige Ziel. Daher liefert Context nicht nur tiefgreifende, technische Analysen und Empfehlungen, sondern übersetzt seine Reports auch für die Managementebene.
Context Information Security Ltd. Zweigniederlassung Düsseldorf
Sven Schlüter
Adersstr. 28, 1. Obergeschoss
40215 Düsseldorf
Tel.: +49 (0)211 7327 9523
www.contextis.de
Pressekontakt:
PressnRelations GmbH Ulm
Anne Zozo
Magirusstr. 33
89077 Ulm
az@press-n-relations.de
073196287-20
http://www.press-n-relations.de
|
|
Artikel-Titel: Weitere News: Risiko durch Framesniffing-Angriffe: Daten in Microsoft SharePoint und LinkedIn sind gefährdet |
|
Für die Inhalte dieser Veröffentlichung ist nicht Deutsche-Politik-News.de als News-Portal sondern ausschließlich der Autor (PR-Gateway) verantwortlich (siehe AGB). Haftungsausschluss: Deutsche-Politik-News.de distanziert sich von dem Inhalt dieser Veröffentlichung (News / Pressemitteilung inklusive etwaiger Bilder) und macht sich diesen demzufolge auch nicht zu Eigen! |
| "Weitere News: Risiko durch Framesniffing-Angriffe: Daten in Microsoft SharePoint und LinkedIn sind gefährdet" | Anmelden oder Einloggen | 0 Kommentare |
|
| | Für den Inhalt der Kommentare sind die Verfasser verantwortlich. |
|
|
| Diese Web-Videos bei Deutsche-Politik-News.de könnten Sie auch interessieren: |
Ukraine: Russisches Landungsschiff versenkt - im be ...
 | Versorgungskrise durch Ukraine-Krieg: Steigende Pre ...
 | Bundestag zum Haushaltsgesetz 2022 / Schlussrunde a ...
 |
|
|
| Diese Fotos bei Deutsche-Politik-News.de könnten Sie auch interessieren: |
Berlin-Friedrichstrasse-2012-121127-DSC_0 ...
 | Wasserbueffel-Tour-Biohof-Eilte-Niedersac ...
 | Deutschland-Berliner-Tierpark-2013-130810 ...
 | | |
|
| Diese Testberichte bei Deutsche-Politik-News.de könnten Sie auch interessieren: |
 Rotwein Femar Roma Rosso DOC Der Femar Roma Rosso DOC (0,75L) von Femar Vini Sr, IT-Monte Porzio Catone, Roma, ist einer der besten Rotweine, den man zu seinem Preis bekommt - kaum zu toppen!
(Weitere Testberichte zu Le ... (Peter, 07.4.2024)
REEVA Instant-Nudelgericht RIND GESCHMACK Reeva Instant Nudeln mit BBQ-Rindfleischgeschmack (60g):
In nur 5 Minuten fertig – mit 300 ml heißem Wasser übergießen, 5 Minuten ziehen lassen und umrühren.
Solide kleine Mahlzeit ... (xyz_101, 04.4.2024)
Saperavi 2018 - Rotwein aus Russland Saperavi ist eine dunkle Rebsorte aus dem Alasani-Tal in der Region Kachetien in Ost-Georgien.
Der russische Saperavi 2018 kommt aus Sennoy im Temryuksky District desKrasnodar Kra ... (HildeBL2022, 20.2.2023)
Japanische Nudelsuppe Ramen von OYAKATA (Sojasoße) Hier in der Variante mit dem Geschmack von Sojasoße und einer Gemüsemischung aus Schnittlauch, Mais, Karotten und Lauch.
Mir hat sie nicht zugesagt - ich fand sie geschmacksarm.
( ... (KlausFPM, 20.2.2023)
Wesenitz-Bitter - schmackhafter sächsischer Magenbitter Der Sächsischer Magenbitter Wesenitz-Bitter (33%) ist mild und schmackhaft.
Der Wesenitz-Bitter wird seit 1906 nach einem überlieferten Rezept in Dürrröhrsdorf hergestellt.
Maggi - Magic Asia - Noodle Cup Chikcen Taste with Black Pepper & Chili Maggi - Magic Asia - Noodle Cup Chikcen Taste with Black Pepper & Chili ist ein einfach und schnell zubereiteter Nudel-Snack.
Wenn es mal schnell gehen soll, durchaus schmackhaft ... (Harald, 16.3.2022)
Badesalz AntiStress 1300g - Meersalz mit 100% natürlichem ätherischem Rosmarin- & Wacholderöl
Das Meersalz verbessert die Hautbeschaffenheit und hat auf den Körper eine positive Wirkung, es versorgt ihn mit notwendigen Makro-und Mikroelementen.
Das Badesalz ist reich ... (Bernd-Berlin-13189, 05.5.2021)
Lamm-Hüfte tiefgefroren aus Neuseeland (Metro)
Lamm-Hüfte tiefgefroren aus Neuseeland von der Metro
4 Stück á 175 g Stücke, ohne Fettdeckel, ohne Knochen, aeinzeln vak.-verpackt ca. 700 g
Qualität und Geschmac ... (Petra-38-Berlin, 05.5.2021)
Cerveza Palax – einfach ein gutes Bier
Ein Vorteil der Globalisierung ist, du kannst dir Essen und Trinken aus aller Welt zu dir nach Hause kommen lassen.
Du warst bei deinem letzten Spanienurlaub von eine bestim ... (Udo van der Ahe, 03.5.2021)
Greywacke Sauvignon Blanc Marlborough NZL trocken 0,75l
Ein trockener Weißwein mit kräftiger gelber Farbe aus Neuseeland, würziger Geschmack mit Fruchtaromen.
Er passt sehr gut zu Gerichten mit Meeresfrüchten und zu asiatischen G ... (Heinz-integerBLN, 02.5.2021)
| Diese News bei Deutsche-Politik-News.de könnten Sie auch interessieren: |
Hitachi Vantara und Veeam gründen weltweite strategische Allianz zur Bereitstellung von Datensicherungslösungen für die Hybrid Cloud (PR-Gateway, 15.05.2024)
Die neue Partnerschaft kombiniert Hitachi Vantaras Infrastruktur-Know-how mit der Datensicherungs- und Ransomware-Recovery-Software von Veeam und stärkt so den strategischen "Defense-in-Depth"-Ansatz von Hitachi Vantara.
Dreieich, Santa Clara (Kalifornien), 15. Mai 2024 - Hitachi Vantara, Tochtergesellschaft der Hitachi, Ltd. (TSE: 6501) für Datenspeicherung, Infrastruktur und Hybrid-Cloud-Management, hat eine strategische Partnerschaft mit Mit dem Handy zur richtigen Therapie: (PR-Gateway, 15.05.2024)
Smartphone basierte biomechanische Analyse funktioneller Bewegungen in Kliniken
Um Verletzungen und Überlastungen des Bewegungsapparates effektiv und gezielt behandeln zu können, braucht man objektive funktionelle Bewegungsanalysen. Solche Laboranalysen waren lange Zeit Leistungssportlern vorbehalten, denn die Technik dafür ist ressourcenaufwendig und teuer. Bioingenieure in den Vereinigten Staaten haben nun eine App entwickelt, die es ermöglicht, eine objektive Bewegungsanalyse mit V ...
Richtig reisen (PR-Gateway, 15.05.2024)
Unterwegs sicher versorgt
Ob die Ferne ruft oder ein Kurztrip lockt - wer das Auto nimmt, hat zum Gepäck meist noch Proviant und Getränke dabei. Vor allem mit Kindern. Wichtig: Glasflaschen, die bei Unfällen schnell zu Bruch gehen können, sollten deshalb im Innenraum gewissenhaft verstaut werden. Oder man nutzt Flaschen aus Plastik. Das meint auch der ADAC.
Geht es um Sicherheit, denken wir beim Auto erstmal an Bremsen, Reifen, Licht, schauen nach Warnweste, Warndre ...
Globaler Start der MY-Domain: Neue Möglichkeiten ab dem 13. Juni (PR-Gateway, 15.05.2024)
Jetzt kann jeder MY-Domains registrieren
Ab dem 13. Juni eröffnet sich für Internetnutzer weltweit eine neue Gelegenheit: Die MY-Domain, die bisher nur in Malaysia verfügbar war, wird nun international zugänglich. Die Internet Naming Co. hat angekündigt, dass die MY-Domain ab diesem Datum für alle ICANN-akkreditierten Registrare und globale Internetbenutzer ohne besondere Überprüfungs- oder Nexus-Anforderungen w ...
Investui auch im April in Topform - Nettorendite steigt weiter (PR-Gateway, 15.05.2024)
Für die Kunden des innovativen Finanzdienstleisters Investui ist der April hervorragend gelaufen. Die Nettorendite des verwalteten Musterdepots stieg von 15,5 Prozent auf 32,4 Prozent. Nach nur vier Monaten befinden sich damit ein sattes Plus von 8.089 Euro auf dem Konto. Damit beweist Investui einmal mehr, dass sich die Nutzung von Markteffekten in Kombination mit Diversifizierung auszahlt.
Erfolgreiche Geldanlage muss weder zeitaufwändig noch kompliziert sein. D ...
Erneut zertifiziert: innobis bietet ausgezeichnetes Qualitätsmanagement nach DIN ISO 9001:2015 (PR-Gateway, 15.05.2024)
Qualitätsmanagementsystem erfüllt internationale Norm in allen Kriterien
Hamburg, den 15. Mai 2024 - Die Zertifizierungsgesellschaft DNV bestätigt der innobis AG zum dritten Mal in Folge ein Qualitätsmanagementsystem nach DIN ISO 9001:2015. Das Rezertifizierungsaudit wurde ohne Abweichungen absolviert und bestanden. Alle Prozesse im Unternehmen laufen äußerst wirksam und normkonfor ...
Drogenreport 2024 enthüllt Gefahren: Entscheidungsexpertin Dr. Johanna Dahm warnt (PR-Gateway, 15.05.2024)
Dr. Johanna Dahm: "Das große Tabu in der Führungsetage: Sucht schmälert Entscheidungskompetenz"
(Frankfurt am Main, 15.05.2024) Die Vielfalt und Komplexität der Herausforderungen, denen Führungskräfte gegenüberstehen, ist immens. Immer mehr Chefs neigen dazu, auf Alkohol, Medikamente, Stimulanzien und kognitive Enhancer zurückzugreifen. Es ist jedoch nur wenigen bewusst, dass diese Mittel ihre Fähigkeit zur Entscheidungsfindung, ihre Führungskompetenz und den Ruf des Unternehmens erns ...
Neues Release der baramundi Management Suite (PR-Gateway, 14.05.2024)
bMS Release im Zeichen der Sicherheit
Augsburg, 14. Mai 2024 - Die baramundi software GmbH veröffentlicht im Mai das nächste Release der baramundi Management Suite (bMS) 2024 R1. Die umfassende Unified-Endpoint-Management (UEM)-Lösung erhielt damit wieder zahlreiche Verbesserungen und Erweiterungen - darunterneueMöglichkeiten zur Passwortverwaltung, sichere Verbindungen durch Per-App VPN sowie die Weiterentwicklung zur Erfassung von End User Feedback in Argus Experience.
...
Vitel vertreibt den B One 5G von Peplink und ermöglicht so verlässliche 5G-Konnektivität (PR-Gateway, 14.05.2024)
Als offizieller Peplink-Distributor vertreibt die Vitel GmbH, ein Value Added Distributor (VAD) mit Fokus auf IT- und Netzwerklösungen, den neuen Router B One 5G. Das Gerät ist eine Weiterentwicklung des Routers B One und bietet im Vergleich zum Standardmodell zusätzlich 5G-Konnektivität. Als 5G-Router ist der B One 5G bestens für Unternehmen und Büros, den Einzelhandel oder Wohnmobile geeignet.
Die Dual WAN-Architektur macht es möglich, dass die Verbindung auch d ...
AGRAVIS Raiffeisen AG ist trotz Wetterherausforderungen auf Kurs (PR-Gateway, 14.05.2024)
Vorstand blickt bei der Hauptversammlung in Münster zuversichtlich auf Gesamtjahr
Nach den ersten vier Monaten sieht sich die AGRAVIS Raiffeisen AG für das Geschäftsjahr 2024 bislang auf Kurs. Wie Vorstandschef Dr. Dirk Köckler in der Hauptversammlung des Agrarhandels- und Dienstleistungskonzerns in Münster sagte, sei bis Ende ...
| Werbung bei Deutsche-Politik-News.de: |
| Risiko durch Framesniffing-Angriffe: Daten in Microsoft SharePoint und LinkedIn sind gefährdet |
|
|
Möglichkeiten
|
|
|
Artikel Bewertung
|
|
durchschnittliche Punktzahl: 0
Stimmen: 0
|
|
Deutsche-Politik-News.de Spende
|
|
|
Online Werbung
|
|
|
Online Werbung
|
|
|
D-P-N News Empfehlungen
|
|
|
Online Werbung
|
|
|
Möglichkeiten
|
|
|
Online Werbung
|
|
|
|
Bundestag
