Alle Episoden

Eine Bonusfolge, weil die Themen stärker sprudeln als der Zwei-Wochen- Rhythmus vorsieht. Christopher und Sylvester sehen sich eine fortschrittliche Speicherschutztechnik in Apples neuen iPhones an und erklären, wie es um derartiges im Android-Universum bestellt ist. Außerdem reden die Hosts über einen SalesLoft-Chatbot, der Angreifern Zugriff auf diverse Salesforce-Konten verschafft hat. Und da sage noch einer, diese Bots seien zu nichts nütze. Betroffen waren ausgerechnet Infrastruktur- und Security-Unternehmen – aber die Hosts bezweifeln, dass die nun vom umfassenden Chatbot-Einsatz abrücken.

- Apple MIE: https://security.apple.com/blog/memory-integrity-enforcement/
- Salesloft Opferliste: https://www.driftbreach.com/
- Chatbot fail: https://chatbot.fail/
- c’t uplink zu MCP: https://heise.de/-10530901
- Folgt uns...

In dieser "Passwort"-Folge geht es zunächst um große Pläne, die die US- amerikanische IT-Sicherheitsbehörde CISA für das CVE-System hat. Sylvester ist verhalten hoffnungsvoll, Christopher sieht die Gefahr, dass Macht missbräuchlich zementiert werden könnte. Machtmissbrauch witterten auch viele Kommentatoren beim nächsten Thema: Browserhersteller überlegen, XSLT auszubauen. Die Hosts sehen sich an, was XSLT überhaupt ist und diskutieren, ob es im Browser sinnvoll oder deplatziert scheint. Zum Schluss werfen Christopher und Sylvester einen Blick auf die sich aktuell häufenden Angriffe auf npm und erklären unter anderem, was die Sandwürmer aus Frank Herberts Dune damit zu tun haben.

- Darknet Diaries deutsch:
https://www.heise.de/news/Darknet-Diaries-heise-online-bringt-deutsche-Version-des-US-Podcasts-10626196.html...

Die Hosts wühlen sich weiter durch Feedback und mehr News, als eigentlich in eine Folge passen. Der Podcast nähert sich daher unermüdlich den Director’s Cuts epischer Filme an – zumindest in seiner Länge. Ein Hauptgrund dafür ist die Zertifizierungsstelle Microsoft PKI Services, bei der sich tiefe Abgründe auftun. Christopher und Sylvester reden aber auch über diverse andere aktuelle Themen in- und außerhalb der PKI, etwa lehrreiche Sicherheitslücken in Coredump-Handlern und die interessante DoS-Schwachstelle MadeYouReset.

- Merklemap-Kritik an Static CT:
https://www.merklemap.com/documentation/static-ct
- Bugreports zu Microsofts Zertifikatsnichtwiderrufen:
https://bugzilla.mozilla.org/show_bug.cgi?id=1962829 und
https://bugzilla.mozilla.org/show_bug.cgi?id=1965612
- Technische Details zu coredump-Lücken von Qualys:
https://www.qualys.com/2025/05/29/apport-coredump/apport-coredump.txt

- Erklärung von Oracle...

Christopher und Sylvester sind aus dem Urlaub zurück, haben direkt mehr
Themen als in einen Passwort-Podcast passen und teilen deshalb auf: In
dieser Folge geht es um eine großangelegte Studie, der zufolge viele
übliche Anti-Phishing-Maßnahmen kaum oder gar nicht helfen. Außerdem
grübeln die beiden über das Tempo, mit dem Let’s Encrypt seine alten
CT-Logs abschalten will, und verzweifeln an Microsoft. Die Firma aus
Redmond ist mit gleich zwei Geschichten im Podcast vertreten, die nicht
nur von Sicherheitslücken und (zweifelhaften) technischen Lösungen
handeln, sondern auch totale Kommunikationsdesaster skizzieren.

- Phrack Ausgabe 72: https://phrack.org/issues/72/1
- Phising-Studie: https://arianamirian.com/docs/ieee-25.pdf
- Slide-Deck der Phishing-Studie: https://i.blackhat.com/BH-USA-25/Presentations/US-25-Dameff-Pwning-Phishing-Training-Through-Scientific-Lure-Crafting-Wednesday.pdf...

Angriffe, die Fehler in sogenannten Smart Contacts auf einer Blockchain ausnutzen, gibt es immer noch am laufenden Band. Aber ein Angreifer, der direkt Tausende von Contracts unterwandert, dabei technisch durchaus interessante Tricks nutzt und dann entdeckt wird, bevor er zuschlägt? Da kann Sylvester nicht widerstehen – und weil Christopher im Urlaub ist, kann ihn auch niemand aufhalten. Zusammen mit seinem Kollegen Jan Mahn schaut er sich an, was diesmal passiert ist. Weil das nicht so trivial ist, nutzen die beiden die Gelegenheit, auch mal grundsätzlich über Smart Contracts zu reden, welche Sicherheitsvorteile solche Systeme bieten können und wie es damit...

Das Domain Name System - kurz DNS - ist einer der Grundpfeiler des modernen Internet. Umso wichtiger, dass es zuverlässige und unfälschbare Informationen liefert. Dabei hilft DNSSEC - die DNS Security Extensions. Was das ist, was es kann, wie man es aktiviert und was man davon hat, erklärt den Hosts in dieser Folge ein Gast: DNSSEC-Experte Peter Thomassen arbeitet seit Jahren an vorderster Front bei verschiedenen Gremien mit und entwickelt die Sicherhetismerkmale von DNS weiter. Er kümmert sich besonders um Automatisierung - ein Thema, bei dem DNSSEC anderen großen Ökosystemen wie dem CA-Kosmos noch hinterherhinkt.

- https://desec.io/
- Malware in...

Der (Alb-)Traum vieler Hörer – eine Folge Passwort nur mit News zu Zertifikatsinfrastrukturen. Es gibt aber auch viel Neues zu berichten: von Zertifizierungsstellen, die interessante neue Lösungen bauen, über Zertifizierungsstellen, die Fehler in komischen alten Lösungen machen, und Zertifizierungsstellen, die Dinge einfach anders machen wollen als die Browser, bis zu Zertifizierungsstellen, die in Telefonen stecken. Das klingt nicht nur komisch, sondern auch unsicher, weshalb Christopher und Sylvester es sich genauer angesehen haben.

- The CRA and what it means for us (Greg Kroah-Hartman):
https://www.youtube.com/watch?v=u44eMQpGlxA
- Security: Wie sich der Cyber Resilience Act auf Open-Source-Projekte
auswirkt: https://heise.de/-10450910
- Yealink-Artikel von DNIP:...

Stammhörer, seid stark: Dieses Mal gibt es keine Neuigkeiten rund um die WebPKI. Dafür sprechen Christopher und Sylvester über das angebliche 16-Milliarden-Zugangsdaten-Leck und wie es zum Großereignis überhöht wurde. Außerdem geht es um eine Sicherheitslücke im Linux-Kernel - oder doch woanders? Darüber sind sich die Kernelentwickler und die Distribution Ubuntu uneins und trugen diesen Streit via CVE-Kennungen aus. Außerdem erzählt Christopher über seine Eindrücke zum Sicherheitslücken-Ökosystem und wie es einzelne Verwalter von Opensource-Software überlastet. Und zum Schluß wirft eine Bluetooth-Sicherheitslücke ein Schlaglicht auf eine Industrie, in der die Zulieferkette so unübersichtlich geworden ist, dass man unmöglich sagen kann, welche Geräte...

Meta und Yandex sind bei Trackingmethoden erwischt
worden, die weit über das Übliche hinausgehen. Christopher und
Sylvester sehen sich die Publikation "Local Mess" an. Darin
dokumentieren Forscher Tracking-Tricks dieser Firmen, die den
Nutzerwünschen explizit zuwiderlaufen, Securitymaßnahmen untergraben
und Kommunikation verschleiern. Die Hosts haben Mühe, noch einen
Unterschied zum Vorgehen typischer Malware zu sehen.

- Publikation "Local Mess": https://localmess.github.io
- Ars Technica zu LocalMess:
https://arstechnica.com/security/2025/06/meta-and-yandex-are-de-anonymizing-android-users-web-browsing-identifiers/
- Pläne zu "Local Networt Access": https://github.com/explainers-by-googlers/local-network-access

Mitglieder unserer Security Community auf heise security PRO hören
alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

In dieser Folge gibt es ein längeres Gespräch zu einer eigentlich recht marginalen Neuerung im WebPKI-Ökosystem. Auf Drängen von Chrome bauen CAs ein Feature aus TLS-Zertifikaten aus, das einige wenige Serverbetreiber nutzten. Ist es statthaft, die Marktmacht derart zu nutzen - und ist die Begründung sinnvoll? Das diskutieren Sylvester und Christopher ausgiebig. Außerdem hat Sylvester ein kleines, nützliches Werkzeug für Tor-Nutzer namens Oniux gefunden und erzählt anhand eines kleinen Fehlers im Ankündigungsartikel des Tor Project, welche Auswirkungen es haben kann, wenn eine .onion-URL irrtümlich bei einem DNS-Server landet. Außerdem befassen die Hosts sich mit den "Busts" gegen Cybercrime-Strukturen, die Malware-Loader...