:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/35/5b/355b75f20e735b8a4e5e14052b58477d/0113325597.jpeg "Basierend auf USD-Coin sollen die Programmable Wallets von Circle einfach integrierbare Crypto-Geldbörsen ermöglichen. (Bild: Circle)")
:quality(80)/p7i.vogel.de/wcms/63/d2/63d2f4e43c55e2140ec3bd9b96d19d5c/0114247757.jpeg "Zumindest in der jetzigen Form wird künstliche Intelligenz keine Jobs vernichten, sondern vielmehr ergänzen. (Bild: <a href=https://pixabay.com/de/users/placidplace-25572496/>Placidplace</a>)")
:quality(80)/p7i.vogel.de/wcms/4a/2c/4a2c83570cf413a53acc88791127985b/0113689146.jpeg "UX- und UI-Design müssen sich auf immer neue Trends einstellen, es gibt allerdings auch einige festgeschriebene Grundregeln. (Bild: <a href=https://unsplash.com/@karlsolano>Karl Solano</a>)")
:quality(80)/p7i.vogel.de/wcms/58/19/5819c761ed85847bcd078190acf7ad4f/0114215872.jpeg "Die Beta von GitHub Copilot Chat ist fortan für alle User von Visual Studio und VS Code verfügbar. (Bild: GitHub)")
:quality(80)/p7i.vogel.de/wcms/c5/cf/c5cfc19667755322546e8e914f17890d/0114256966.jpeg "Mehr am Bahnhof denn in der Berufsschule: Der angehende Fachinformatiker für Systemintegration Jonas Lohrmann beklagt lange Wege zur Berufsschule. (Bild: Lohrmann)")
:quality(80)/p7i.vogel.de/wcms/5e/08/5e0825016fa505d43decf6f23fcd5047/0114270026.jpeg "Die Open Source Pentest-Tools Legion, sqlmap, Zed Attack Proxy, OpenSCAP, Karkinos und Scapy helfen Admins bei der Schwachstellensuche. (Bild: Nmedia - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/02/ca/02caa38db6be1bcce330d6bb35d8742e/0114195179.jpeg "Langeweile lassen Developer nicht lange auf sich sitzen, der Arbeitgeber ist schnell gewechselt. (Bild: Leonardo.ai)")
:quality(80)/p7i.vogel.de/wcms/6d/7b/6d7bd893f3034b22e9515d03f4a2bcf8/0114243416.jpeg "Lens AppIQ richtet sich laut Mirantis insbesondere an IT-Fachkräfte, die täglich mit Kubernetes arbeiten müssen. (Bild: Mirantis)")
:quality(80)/p7i.vogel.de/wcms/dd/64/dd64a3e1d07ca90d00b83de559c2512d/0113887944.jpeg "„Edge-Computing ist kein bestimmter Ort oder Gerätetyp, sondern eher ein Kontinuum von Standorten, die vom zentralisierten Cloud-Computing entfernt sind“, so Autor Sebastian Scheele. Trotzdem eignen sich Cloud-Native-Technologien, insbesondere Kubernetes, um an der Edge Computing zu betreiben. (Bild: frei lizenziert: distelAPPArath)")
:quality(80)/p7i.vogel.de/wcms/80/87/80875380ee678528982c0dcc073f0684/0114128044.jpeg "Die WSO2 API Platform for Kubernetes (APK) erweitert Kubernetes um API Management der Enterprise-Klasse. (Bild: WSO2)")
:quality(80)/p7i.vogel.de/wcms/bf/88/bf88d3e9f2f3c4cd391fc2218d8eca4c/0114136576.jpeg "Generative KI sollte als unterstützendes Tool verantwortungsbewusst eingesetzt werden. (© ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b7/64/b76475ee2a6f7435d75f28607817522d/0114100897.jpeg "Der Erfolg des Apple App Store fußt auf der großen Anzahl hochqualitativer Apps – ein Merkmal, das Apple selbst kontrolliert. (Bild: <a href=https://unsplash.com/@maria_shalabaieva>Mariia Shalabaieva</a>)")
:quality(80)/p7i.vogel.de/wcms/45/93/45930907cccf8cb2ca621cb6555cf717/0114183021.jpeg "SQL-Datenbanken lassen sich unproblematisch hin zu PostgreSQL migrieren, Unternehmen sollten diesen Schritt trotzdem gut vorbereiten. (Bild: Leonardo.ai)")
:quality(80)/p7i.vogel.de/wcms/2b/5e/2b5e53a28c7068ca57358ee8c8b7e221/0114149037.jpeg "Das Java-21-Release ist das Ergebnis einer Zusammenarbeit zwischen Entwicklern von Oracle und der weltweiten Java-Developer-Community. (Bild: Oracle)")
:quality(80)/p7i.vogel.de/wcms/e8/a2/e8a2ed56eaea2f9670ac8bfbefe10cc7/0113533673.jpeg "Copy-and-paste- oder Clipboard-Programming kann sich sehr negativ auf die Code-Qualität auswirken. (Bild: <a href?https://pixabay.com/users/chenspec-7784448/>chenspec</a>)")
:quality(80)/p7i.vogel.de/wcms/7e/5a/7e5aac8b7041780b5065919ce0cbabf3/0113499457.jpeg "Zeremonielles Kreuz des „John Frum Cargo Cult“, auf der Insel Tanna im heutigen Vanuatu. (Bild: JohnFrumCrossTanna1967.jpg / Tim Ross - eigene Arbeit / CC BY 3.0)")
:quality(80)/p7i.vogel.de/wcms/d8/90/d890b7a3d8daf81956377a29a87efdd5/0113481871.jpeg "Das Scaled Agile Framework soll großen Unternehmen dabei helfen, agile Methoden zu adaptieren. (Bild: <a href=https://pixabay.com/users/snottyboggins-6421955/>SnottyBoggins</a>)")
:quality(80)/p7i.vogel.de/wcms/ec/0c/ec0cdde8e59873a426bf939ed52c38f3/0113355036.jpeg "Selbstbedienung ist beim Developer Self-Service ausdrücklich erwünscht. (Bild: <a href=https://pixabay.com/users/manfredrichter-4055600/><u>Manfred Richter</u></a>)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Synopsys deckt Bluetooth-Anfälligkeiten per Fuzzing auf Schwachstellen im BLE-Controller von Zephyr OS
Als leichtgewichtiges Embedded-Betriebssystem setzt Zephyr OS auf einen Bluetooth Low Energy Controller, der auch in einer Fuzzing-Lösung von Synopsys zum Einsatz kommt. Der Testing-Anbieter hat vorsichtshalber die eigenen Lösungen auf den Controller angesetzt und dabei einige Sicherheitslücken aufgedeckt.
Anbieter zum Thema
Das von Apache lizenzierte Echtzeit-Betriebssystem Zephyr OS kommt hauptsächlich in eingebetteten und ressourcenbeschränkten Systemen zum Einsatz. Dementsprechend wird das Projekt von der Linux Foundation und vielen großen Industrieunternehmen unterstützt.
Der native Netzwerk-Stack von Zephyr unterstützt mehrere Protokolle, darunter LwM2M, BSD-Sockets, OpenThread sowie den kompletten Bluetooth Low Energy (BLE) Stack einschließlich Link Layer und Bluetooth Mesh. Synopsys vertraut in der Fuzzing-Lösung „Defensics Bluetooth LE“ selbst auf den BLE-Controller von Zephyr, hat die niedrigsten Layer des Stacks vorsichtshalber aber Fuzz-Tests unterzogen.
Dabei entdeckte Matias Karhumaa vom Synopsys Cybersecurity Research Center (CyRC) acht verschiedene Schwachstellen in der Bluetooth LE Link Layer (LL) und der L2CAP-Implementierung. Diese eignen sich dazu, Zielgeräte einzufrieren, Konnektivitätsverluste zu erzwingen oder gar sensible Daten wie Encryption Keys und Informationen zum Speicherlayout zu extrahieren. Laut Synopsys könnten diese Informationlecks auch dabei helfen, Mitigations-Techniken wie Address Space Layout Randomization (ASLR) zu umgehen.
Alle gemeldeten Schwachstellen können innerhalb der Reichweite von Bluetooth LE ausgelöst werden. Das Auslösen der Schwachstelle erfordert keine Authentifizierung oder Verschlüsselung. Einzige Voraussetzung ist, dass sich das Gerät im Advertising-Modus befindet und Verbindungen annimmt.
| CVE-ID | Art der Schwachstelle | Host / Controller | Beschreibung |
|---|---|---|---|
| CVE-2021-3430 | Freeze | Controller | Assertionsfehler bei wiederholtem LL_CONNECTION_PARAM_REQ |
| CVE-2021-3431 | Freeze | Controller | Assertionsfehler bei bestimmten wiederholten LL-Paketen |
| CVE-2021-3432 | Freeze | Controller | Ungültiges Intervall in CONNECT_IND führt zur Division durch Null |
| CVE-2021-3433 | Deadlock | Controller | Ungültige Channel Map in CONNECT_IND führt zu Deadlock |
| CVE-2021-3434 | Freeze | Host | L2CAP: Stapelbasierter Pufferüberlauf in le_ecred_conn_req() |
| CVE-2021-3435 | Informationsleck | Host | L2CAP: Informationsleck in le_ecred_conn_req() |
| CVE-2021-3454 | Freeze | Host | L2CAP: Abgeschnittener L2CAP-K-Frame verursacht Assertionsfehler |
| CVE-2021-3455 | Freeze | Host | Das Trennen des L2CAP-Kanals direkt nach einer ungültigen ATT-Anfrage führt zu einem Use-after-free |
Synopsys empfiehlt Herstellern von Produkten, die das Zephyr-Betriebssystem nutzen, ein Update der Zephyr-Version mit den neuesten Sicherheitsfixes vorzunehmen. Die Sicherheitsrichtlinie von Zephyr garantiert, dass Sicherheitspatches auf die beiden neuesten Versionen und auf die aktive LTS-Version zurückportiert werden. Bei Nicht-LTS-Zephyr-Versionen müssten sich die Hersteller möglicherweise selbst um die Rückportierung der Sicherheitspatches kümmern, kommentiert Synopsys. Endbenutzern von Produkten, deren Firmware auf anfälligen Zephyr OS-Versionen basiert, sollten auf die neueste vom Hersteller erhältliche Firmware-Version upgraden.
(ID:47473866)
:quality(80)/p7i.vogel.de/wcms/a1/9a/a19a5f0ef6e0a423f62f95b0443f7926/0107086533.jpeg "Scheduling-Komponente in Windows Presentation Foundation mit Tagesansicht und Theming. (Bild: Krypczyk / Microsoft)")
:quality(80)/p7i.vogel.de/wcms/35/3d/353d33f859ce94947973c2ade1c08a88/0113466965.jpeg "Tastaturnavigation ist nur eine von vielen Möglichkeiten, für mehr Barrierefreiheit in der Web-App-Bedienung zu sorgen. (© Rawf8 – stock.adobe.com)")