Herzlichen Glückwunsch, dann sollten vorsichtshalber alle Passwörter neu gesetzt werden. Sowohl Google Chrome, als auch Microsoft Edge mitsamt Editor petzen Passwörter wenn drei Bedingungen zutreffen: Die erweiterte Rechtschreibprüfung ist aktiviert. Der Benutzer klickt bei Eingabe auf “Passwort zeigen”. Die Website verhindert nicht aktiv eine Rechtschreibprüfung. Die automatische Rechtschreibprüfung übermittelt in diesem Falle das vermeintlich falsch erkannte Wort ungefragt an die entsprechenden Google- und Microsoft-Services. Weiterlesen

Bei einer AD-Umstellung letztes Jahr habe ich eine vermeintlich unscheinbare aber für ein Unternehmen immens wichtige Windows-Software vergessen. Es ist eine der wenigen Anwendungen, die seit Erscheinen im Jahr 1990 zuverlässig ohne Skandale ihren Dienst verrichtet. Und obwohl alt, wird diese noch heute nicht nur von der Geschäftsführung des besagten Unternehmens sondern auch von weiteren 35 Mio Anwendern jeden Monat genutzt. Weiterlesen

Immer wenn ich im offiziellen Auftrag Windows-Systeme hacken darf, steht ein Ordner ganz oben auf meiner “zu untersuchen” Liste. Praktisch überall, wo Remote-Desktop oder Remote-Apps zum Einsatz kommen, wird die Brisanz von angesammelten Cache-Daten auf den verbindenden Clients unterschätzt. Im Profil eines Benutzers unter %APPDATALOCAL%\Microsoft\Terminal Server Client\Cache bzw. Weiterlesen

Wer Anwendungen entwickelt und HTML-Inhalte oder komplette WebApps eingebettet einblenden möchte, greift normalerweise auf fertige Webview-Komponenten des Systems zurück. Ein universales und prinzipiell sinnvolles und sicheres Prinzip in allen Programmiersprachen und Systemen - nicht so bei Microsoft Windows. Vor zwei Tagen hat der Security-Forscher und Hacker mr. Weiterlesen