Google stopft mehrere gefährliche Lücken in Chrome

Wer unter Windows, macOS oder Linux mit dem Google-Browser Chrome surft, sollte den Browser jetzt aus Sicherheitsgründen aktualisieren. Macht er das nicht, könnten Angreifer seine Systeme attackieren und möglicherweise sogar Schadcode ausführen. In solchen Warnmeldungen findet man normalerweise nur wenige Informationen zu den Schwachstellen und den möglichen Angriffsszenarien. Damit will Google erreichen, dass potenziellen Angreifern so wenig Details wie möglich verraten werden, so dass die Benutzer mehr Zeit haben, ihren Browser auf den aktuellen Stand zu bringen. Die Folgen von Angriffen Die Entwickler haben eigenen Angaben zufolge insgesamt 37 Sicherheitsprobleme beseitigt. Von diesen Lücken wurden mehrere mit dem Bedrohungsgrad "hoch" eingestuft. Den spärlichen Informationen kann man entnehmen, dass Angreifer nach erfolgreichen Angriffen Speicherfehler hervorrufen könnten, was in der Regel zu einem Absturz (DoS) führt. Mit êtwas mehr Aufwand könnten Angreifer in solchen Fällen häufig sogar auch Schadcode ausführen und damit die volle Kontrolle über den Rechner übernehmen können. Chrome 90.0.4430.72 bringt auch funktionelle Änderungen Die Chrome-Version 90.0.4430.72 ist gegen diese Angriffe abgesichert. In dieser neuen Ausgabe haben die Entwickler nicht nur Sicherheitslücken geschlossen, sondern auch funktionelle Änderungen durchgeführt. Beispielsweise bevorzugt der Browser jetzt HTTPS-Verbindungen und nimmt http-Verbindungen nur noch als Fallback.

2021-04-16T10:51:11+02:00April 16th, 2021|Browser, Sicherheit|Kommentare deaktiviert für Google stopft mehrere gefährliche Lücken in Chrome

Sicherheitsupdate für Chrome beseitigt Schwachstellen

Wenn Sie mit dem Google-Browser Chrome unter den Betriebssystemen Windows, macOS oder Linux surfen, sollten Sie jetzt sicherstellen, dass ihr Webbrowser auf dem aktuellen Stand ist. Ansonsten könnten Angreifer mehrere Schwachstellen ausnutzen, um ihren Computer zu attackieren. Aus einer Warnmeldung geht hervor, dass die Entwickler insgesamt zehn Sicherheitslücken in dem Browser entschärft haben. In dieser Meldung sind auch die CVE-Nummern der Schwachstellen aufgelistet. Die meisten der zehn Lücken wurden mit dem Bedrohungsgrad „hoch“ eingestuft. Details zu den geschlossenen Sicherheitslücken Leider verrät Google auch diesmal kaum Details zu den Schwachstellen, um Cyberkriminellen keine Anhaltspunkte zu geben. Bekannt ist, dass in fast allen Fällen Angreifer Speicherfehler in verschiedenen Kontexten wie Downloads, Media und Payment auslösen könnten. Wenn ein solcher Angriff erfolgreich, stürzt eine Anwendung mindestens ab (DoS-Attacke). Häufig können Angreifer in so einem Fall aber auch Schadcode auf den angegriffenen Computer übertragen und ausführen. Die  neue Version Chrome 88.0.4324.182 ist abgesichert. Normalerweise aktualisiert sich Chrome beispielsweise unter macOS oder Windows automatisch. Die installierte Version lässt sich prüfen, wenn man oben rechts neben der Adressleiste auf die drei vertikal angeordneten Punkte (Einstellungen) klickt. Unter dem Unterpunkt Hilfe/Über Google Chrome sieht man die installierte Ausgabe. Sollte diese veraltet sein, startet das Update dann automatisch.

2021-02-18T11:45:35+02:00Februar 18th, 2021|Browser, Coding, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Sicherheitsupdate für Chrome beseitigt Schwachstellen

Sicherheitsupdate für Emailclient Thunderbird

Soeben haben die Entwickler in der aktuellen Version von Mozillas Mailclient Thunderbird eine gefährliche Sicherheitslücke geschlossen. Über diese Lücke könnten Angreifer das Mailprogramm mit DOS-Angriffen attackieren. Das von der Sicherheitslücke ausgehende Risiko wurde als "hoch" eingestuft. Nach der Warnmeldung von Mozilla könnten Angreifer die einen eigenen SMTP-Server nutzen, durch die Sicherheitslücke manipulierte Status-Codes übermitteln. Der Thunderbird liest diese Codes aus und legt sie als Byte im Stack (Stapelspeicher) ab. Und genau da können diese manipulierten Codes einen Speicherfehler vom Typ „stack overflow“ auslösen, was dann in der Regel zum Ausgangspunkt für DoS-Attacken genutzt wird. Auf diesem Weg kann in so einem Szenario dann auch Schadcode aller Art auf einen betroffenen Computer gelangen. Ein Update ist also dringend zu empfehlen. Die Entwickler haben die Schwachstelle (CVE-2020-26970) mit der neuen Version Thunderbird 78.5.1 geschlossen.

2020-12-03T20:12:01+02:00Dezember 3rd, 2020|Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Sicherheitsupdate für Emailclient Thunderbird

Google bringt Sicherheitsupdate für Chrome

Gestern hat Hersteller Google eine abgesicherte Version seines Browser Chrome für mehrere Betriebssysteme freigegeben. Sowohl in Chrome als auch in Chromium wurde eine Sicherheitslücke (CVE-2018-6056) beseitigt, deren Angriffsrisiko von den Chrome-Entwicklern als „hoch“ eingestuft wurde. Zu derselben Einschätzung kommt auch das Notfallteam des BSI CERT Bund. Googles eigenem Sicherheitsteam Project Zero war die Schwachstelle vor 14 Tagen aufgefallen. Details gibt Google noch nicht an Der Konzern will aber erst dann genauere Details zu den über diese Schwachstelle möglichen Angriffen veröffentlichen, wenn ein deutlicher Anteil der Chrome-Nutzer die gehärtete neue Version 64.0.3282.167 abgerufen hat. CERT Bund warnt davor, dass Angreifer über die Schwachstelle in der JavaScript Engine V8 des Google-Browsers aus der Ferne und völlig ohne Authentifizierung in Systeme eindringen können. Das kann dann zu einer DoS-Attacke, aber auch zur Ausführung von Schadcode auf den angegriffenen Rechnern führen.

2018-02-28T19:07:51+02:00Februar 16th, 2018|Browser, Coding, Javascript|Kommentare deaktiviert für Google bringt Sicherheitsupdate für Chrome

Sicherheitsupdates für libpng

Schlechte Nachrichten für Entwickler, die die beliebte freie Programmbibliotheklibpng zur Verarbeitung von PNG-Grafiken nutzen. Die Bibliothek ist verwundbar, denn über die Sicherheitslücke CVE-2015-8126 könnten Angreifer die Versionen bis 1.0.63, 1.2.53, 1.4.16, 1.5.23 und 1.6.18 attackieren und Programme über DoS-Attacken abstürzen lassen. Abgedichtete Versionen sind auf der Projektseite schon verfügbar. Die Angriffe sollen nach Angaben der Entwickler über einen Pufferüberlauf möglich sein. Dabei überprüfe libpng PNG-Dateien mit einer geringeren Bittiefe als acht nicht wirklich korrekt. Der Exploit dazu soll vergleichsweise einfach zu nutzen sein. Über gezielte Angriffe ist derzeit aber noch nichts bekannt.

2015-11-17T12:59:31+02:00November 17th, 2015|Allgemein, Bildbearbeitung|Kommentare deaktiviert für Sicherheitsupdates für libpng

Angriffe über http.sys auf Windows-Server

Eine Sicherheitslücke erlaubt sogar die Remotecodeausführung, wenn ein Angreifer eine spezielle HTTP-Anforderung an ein betroffenes Windows-System sendet. Die Lücke hat in der National Vulnerability Database (NVD) die Kennung CVE-2015-1635. Im seinem Security Bulletin MS15-034 beschreibt Microsoft diese kritische Schwachstelle als Sicherheitsproblem in HTTP.sys, einer im IIS genutzten Komponente. Diverse Honeypot-Fallen zeigen den Sicherheitsexperten, dass die Lücke schon aktiv ausgenutzt wird, allerdings bis jetzt in den meisten Fällen nur für DoS-Angriffe und noch nicht zur Remotecode-Ausführung. Ein von Microsoft schon bereitgestelltes Sicherheitupdate behebt das Problem, indem es die Verarbeitung der Anforderungen durch den HTTP-Stack von Windows modifiziert. Dies Update sollten Sie als Admin von Internetservern unter Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows 8.1 sowie Windows Server dringend einspielen.

2015-04-18T17:03:37+02:00April 18th, 2015|Allgemein, Webwerkzeuge|Kommentare deaktiviert für Angriffe über http.sys auf Windows-Server

Framework Django: Zu lange Passwörter wirken wie DoS-Angriffe

Böswillige Angreifer können nach einem Bericht von Heise die Authentifizierung des freien Webentwicklungs-Frameworks Django mit der Eingabe extrem langer Passwörter außer Gefecht setzen. Der Grund für diese DoS-Schwachstelle (Denial of Service) liegt in dere django.contrib.auth-Funktion, die die Länge der zu überprüfenden Passwörter bei der Authentifizierung nicht einschränkt. Drei Updates Django (1.4.8, 1.5.4 und 1.6 beta 4) beseitigen das Problem. Sie können auf der Internetseite des Django-Projekts heruntergeladen werden.

2013-09-16T16:37:52+02:00September 16th, 2013|Allgemein|Kommentare deaktiviert für Framework Django: Zu lange Passwörter wirken wie DoS-Angriffe

POST-Anfragen können Internetserver lahmlegen

Auf dem Kongress des Chaos Computer Clubs wurde eine neue Schwachstelle von Internetservern offengelegt. Die Entwickler Alexander Klink und Julian Wälde haben das Problem entdeckt und beschrieben. Über POST-Requests kann man gezielt Hash-Kollisionen auslösen, die die Last eines Internetservers drastisch erhöhen, und so eine DoS-Angriff fahren. Das klappt im Grunde bei allen Webservern, denn das Problem liegt in den verwendeten Scriptsprachen wie PHP, ASP oder Javascript. Durch solche provozierten Hash-Kollisionen braucht man weniger als 100 kBit/s Bandbreite, um eine moderne CPU komplett auszulasten und einen Internetserver in die Knie zu zwingen. Als bestes Mittel dagegen gilt es, die Hash-Funktion zu randomisieren. Einige Hersteller haben schon auf die Angriffsmöglichkeit reagiert. Microsoft bietet einen Patch für ASP.Net an, der heute erscheinen soll. Bei PHP empfiehlt sich die Absicherung mit Suhosin an. Für Tomcat gibt es ein Workaround und für Ruby einen Patch.

2011-12-29T14:53:20+02:00Dezember 29th, 2011|Javascript, PHP|Kommentare deaktiviert für POST-Anfragen können Internetserver lahmlegen
Nach oben