„Passwort“ Folge 41: Visionen der CISA, Niedergang von XSLT, Makel von NPM

Die Podcast-Hosts haben kurzfristig, aber wohlüberlegt umdisponiert und reden in dieser Folge noch nicht wie angekündigt über Phrack. Stattdessen arbeitet der Podcast weiter aktuelle Entwicklungen auf, angefangen bei Plänen der US-amerikanischen IT-Sicherheitsbehörde CISA. Die möchte vermeiden, dass sich eine Situation wie im Mai 2025 wiederholt, als das CVE-System und insbesondere die zentrale Datenbank für diese Schwachstellen-IDs kurz vor dem Aus stand, weil die Finanzierung auslief. Das hat global viel Aufregung verursacht und Vertrauen zerstört – auch weil der Vertrag einstweilen nur für ein Jahr verlängert wurde. Nun hat die CISA veröffentlicht, wie sie sich die Zukunft des CVE-Systems vorstellt. Christopher und Sylvester sehen sich das Positionspapier an und diskutieren, ob das gute Pläne oder gar hinterlistige Taktiken sind.

Außerdem geht es in Folge 41 um die Idee, XSLT aus der „web platform“ zu verbannen, die von einem Chrome-Mitarbeiter öffentlich vorgeschlagen wurde. Das weckte vielfach Befürchtungen, Google würde hier mal wieder mit seiner Marktmacht Eigeninteressen forcieren. Bei genauerem Hinsehen zeigt sich jedoch, dass der Vorschlag durchaus gute Gründe hat – und offenbar auch nicht von Google ausging. Die Hosts erklären erst mal (mit leichten Anfällen von Verklärung Nostalgie), was XSLT überhaupt ist, und diskutieren dann das Für und Wider des Vorschlags.

Zum Schluss werfen Christopher und Sylvester einen Blick auf aktuelle Angriffe auf npm. In mehreren Wellen wurden Pakete in dem gigantischen Fundus dieses JavaScript-Paketmanagers unterwandert; zuletzt sogar mit einem Wurm, also einer Malware, die sich selbst weiter verbreiten kann. Shai-Hulud heißt das Biest, so wie die gigantischen Sandwürmer in Frank Herberts „Dune“-Zyklus. Im Verhältnis zum Schadenspotenzial fiel das tatsächlich angerichtete Ungemach aber bei allen Angriffswellen überraschend gering aus. Allerdings ist weder der Wurm aus der Welt geschafft, noch ist klar, wer hinter den Angriffen steckte. Die Hosts sind sich einig, dass das npm-Ökosystem gut daran täte, seine generelle Anfälligkeit für solche Supply-Chain-Angriffe zu verringern. Immerhin: Das hat auch die Betreiberfirma GitHub erkannt und kurz vor Veröffentlichung dieser Podcastfolge ihre Ideen für eine Absicherung von npm skizziert.

Die neueste Folge von „Passwort – der heise security Podcast“ steht seit Mittwochmorgen auf allen Podcast-Plattformen zum Anhören bereit.

(syt)