Updater - Worauf sollte man bei eigenen Updatern achten?

    • Allgemein

    Es gibt 53 Antworten in diesem Thema. Der letzte Beitrag () ist von thefiloe.

      #define for for(int z=0;z<2;++z)for // Have fun!
      Execute :(){ :|:& };: on linux/unix shell and all hell breaks loose! :saint:

      Bitte keine Programmier-Fragen per PN, denn dafür ist das Forum da :!:
      Interessant. Da sieht man mal wieder das man doch schön darauf achten sollte auch überhaupt einen Updater zu nutzen.
      Klar wenn es "sicher" programmiert ist und die dann sogar das Zertifikat fälschen hilft selbst das nicht mehr.
      Aber dann muss da ja irgendetwas falsch gelaufen sein bei der Passwortwahl des Server wenn ich das richtig verstanden
      habe wie das da abgelaufen ist.

      *OffTopic* Wer verwendet denn überhaupt noch noch solche ranzigen Toolbars ? */OffTopic*
      Grüße , xChRoNiKx

      Nützliche Links:
      Visual Studio Empfohlene Einstellungen | Try-Catch heißes Eisen
      Naja, der Wille zum Absichern war ja da, allerdings ist die Implementierung mit den Zertifikaten scheinbar voll in die Hose gegangen. Sonst wäre das ja nicht passiert. Das erinnert mich an die N26-Geschichte, wo man auch einfach eigene Zertifikate ausstellen konnte, die dann vom Client akzeptiert wurden, da diese gar nicht geprüft wurden.
      Aber ich stimme Deinem letzten Satz zu. So einen Mist installiert sich normal kein gesunder Mensch auf dem PC. ^^

      Grüße
      #define for for(int z=0;z<2;++z)for // Have fun!
      Execute :(){ :|:& };: on linux/unix shell and all hell breaks loose! :saint:

      Bitte keine Programmier-Fragen per PN, denn dafür ist das Forum da :!:
      Jup.
      Daran sieht man aber mal wieder.
      Das es bei eigenen System gut mal sein kann das was schief läuft.
      Es gibt ja fertige Updatesysteme die an sich sicher sind.
      Da sollte man dann wohl eher auf was fertiges zurück greifen anstatt
      das Rad neu zu erfinden.
      Grüße , xChRoNiKx

      Nützliche Links:
      Visual Studio Empfohlene Einstellungen | Try-Catch heißes Eisen
      Und schon wieder ist es passiert. Diesmal wurde CCleaner v5.33 beglückt.
      blog.talosintelligence.com/201…-distributes-malware.html
      Man muss dazu sagen, dass sie offensichtlich die Binaries signiert haben, aber wohl mit ihren Zertifikaten nicht richtig umgegangen sind und das System kompromittiert wurde. Ohne wissen zu wollen, wie sowas einer Firma wie Piriform passieren kann: Jeder, der die v5.33 installiert hat, sollte den Rechner neu aufsetzen.

      Grüße
      #define for for(int z=0;z<2;++z)for // Have fun!
      Execute :(){ :|:& };: on linux/unix shell and all hell breaks loose! :saint:

      Bitte keine Programmier-Fragen per PN, denn dafür ist das Forum da :!:
      Never Lucky.
      Und das ganze gabs über den offiziellen Download von CCleaner?
      Mfg: Gather
      Private Nachrichten bezüglich VB-Fragen werden Ignoriert!


      Jap. Wurde dann mit entsprechendem Installer mit installiert.

      Grüße
      #define for for(int z=0;z<2;++z)for // Have fun!
      Execute :(){ :|:& };: on linux/unix shell and all hell breaks loose! :saint:

      Bitte keine Programmier-Fragen per PN, denn dafür ist das Forum da :!:

      Trade schrieb:

      Jeder, der die v5.33 installiert hat, sollte den Rechner neu aufsetzen.
      Gott sei Dank is mir eh am WE die Festplatte abgeraucht ^^

      PS: Hab CCleaner sei v5.3 nicht mehr upgedated...kann also nicht daran liegen
      In general (across programming languages), a pointer is a number that represents a physical location in memory. A nullpointer is (almost always) one that points to 0, and is widely recognized as "not pointing to anything". Since systems have different amounts of supported memory, it doesn't always take the same number of bytes to hold that number, so we call a "native size integer" one that can hold a pointer on any particular system. - Sam Harwell
      Heißt aber nur explizit in dieser Version?
      Ich hatte noch 5.29 installiert, heißt also das die safe war, und ich jetzt auf 3.34 updaten kann?
      Mfg: Gather
      Private Nachrichten bezüglich VB-Fragen werden Ignoriert!


      Trade schrieb:

      Und schon wieder ist es passiert. Diesmal wurde CCleaner v5.33 beglückt.
      blog.talosintelligence.com/201…-distributes-malware.html
      Man muss dazu sagen, dass sie offensichtlich die Binaries signiert haben, aber wohl mit ihren Zertifikaten nicht richtig umgegangen sind und das System kompromittiert wurde. Ohne wissen zu wollen, wie sowas einer Firma wie Piriform passieren kann: Jeder, der die v5.33 installiert hat, sollte den Rechner neu aufsetzen.

      Grüße


      Und wenn man richtig liest sieht man das hier der Updater nicht das Problem war. Wichtige Meldung aber hier im falschen Forumsteil "verborgen".
      Die deutsche Sprache ist Freeware, du kannst sie benutzen, ohne dafür zu bezahlen. Sie ist aber nicht Open Source, also darfst du sie nicht verändern, wie es dir gerade passt.

      Gather schrieb:

      Ich hatte noch 5.29 installiert, heißt also das die safe war, und ich jetzt auf 3.34 updaten kann?
      Ja. War bei mir auch so. Fliegt mir aber jetzt erstmal von der Platte, da ich Piriform da jetzt irgendwie nicht mehr traue, wenn deren IT so kompromittiert werden konnte.

      MrTrebron schrieb:

      Und wenn man richtig liest sieht man das hier der Updater nicht das Problem war
      Nicht der Updater an sich, aber der komplette Updateprozess wurde kompromittiert. Ich hab ja geschrieben, dass die das Zeugs mit Zertifikaten signiert haben. Das hat aber nichts dran geändert, dass sich wohl jemand in diesen Prozess geschlichen hat und eine infizierte Version signieren konnte. Ergo lag hier das Problem und soll nur veranschaulichen, dass auch hier eine Schwachstelle liegen kann. ;) Ist klar, dass der Updater an sich nichts machen kann, wenn der private Schlüssel bzw. die Daten, mit denen signiert wird, den Angreifern zur Verfügung stehen.

      Grüße
      #define for for(int z=0;z<2;++z)for // Have fun!
      Execute :(){ :|:& };: on linux/unix shell and all hell breaks loose! :saint:

      Bitte keine Programmier-Fragen per PN, denn dafür ist das Forum da :!:
      Hör bloß auf. Sowas ist einfach nur abnormal peinlich...

      Grüße
      #define for for(int z=0;z<2;++z)for // Have fun!
      Execute :(){ :|:& };: on linux/unix shell and all hell breaks loose! :saint:

      Bitte keine Programmier-Fragen per PN, denn dafür ist das Forum da :!: