Datenschutz & Sicherheit
„Passwort“ Folge 54: Alte Bugs, neue Angriffe und zukünftige PKI
Selten hat eine Podcastepisode so viel weiterführendes Feedback produziert, wie die vorangegangene zu GrapheneOS. Die Hosts haben diverse Tipps, Links und Erfahrungsberichte erhalten, die sie natürlich gerne weitergeben – zusammen mit ein paar eigenen Updates zu Themen, die in früheren Folgen zur Sprache kamen. Im weiteren Verlauf der Folge geht es dann viel um alte und neue Bugs und verschiedene Pläne Googles zur „Post Quantum“-Welt.
Weiterlesen nach der Anzeige
Den Einstieg macht Sylvester mit einer sehr alten Sicherheitslücke, nämlich einem Pufferüberlauf in Unix Version 4 von 1973 – der dennoch ganz aktuell eine CVE-Nummer erhalten hat. Die Hosts diskutieren, was an der Lücke interessant ist, wieso auch vermeintlich(?) irrelevante Lücken eine CVE-Nummer erhalten und wieso CVE-2025-71263 kein „1973“ im Namen trägt.
Weiter geht es mit neuen und sehr viel schmerzhafteren Sicherheitsproblemen. Christopher erzählt von Lücken in Citrix Gateway und Netscaler ADC, die seit der Podcast-Aufzeichnung noch kritischer wurden, weil sie nun aktiv ausgenutzt werden. Außerdem debattieren die beiden Hosts Coruna und DarkSword, zwei Exploit-Kits, die beide gleich eine ganze Reihe Lücken enthalten und durch deren Kombination vergleichsweise neue iOS-Versionen befallen können.
Gegen Ende kommt endlich das Leib-und-Magen-Thema des Podcasts zur Sprache: Public-Key-Infrastruktur (PKI). Google treibt einen Vorschlag voran, die im Web jahrzehntelang etablierten Zertifikate und Zertifikatsketten nach dem X.509-Standard abzulösen. Sie skalieren nicht gut auf die deutlich größeren Schlüssel und Signaturen von quantensicheren Kryptografieverfahren (post-quantum cryptography, PQC) – und mit dieser Umstellung auf PQC hat es Google offenbar eilig. Schon bis 2029 will der Internetgigant auf die neuen Verfahren umsatteln, deutlich schneller als es beispielsweise das BSI vorsieht. Die Hosts erzählen, welche Schritte Google neben der PKI-Initiative aktuell geht, und überlegen, woher diese Eile rühren könnte.
(syt)