Tag-Archive for » Schadcode «

Joomla-Update schließt SQL-Injection-Lücke

Die Version 3.7.0 des Content-Management-Systems (CMS) Joomla weist eine SQL-Injection-Lücke auf, durch welche Hacker eigene Datenbankbefehle in das CMS einschleusen können. Solche Schwachstellen können üble Folgen haben: Ein Angreifer könnte beispielsweise den Inhalt der Seite manipulieren und auf diese Weise Schadcode einschleusen oder aber auf die Nutzerdaten zugreifen.

Die Sicherheitslücke steckt im Joomla Core und hat die CVE-Nummer CVE-2017-8917. Vom Joomla-Team wird das Sicherheitsproblem mit dem zweithöchsten Schweregrad „Hoch“ bewertet. Joomla gibt aber bisher keine Details bekannt – vermutlich, um Benutzer der verwundbaren Version zu schützen.

Die abgesicherte Version 3.7.1, die sich auf der Projektseite herunterladen lässt, beseitigt das Problem. Wer eine betroffene Joomla-Installation betreibt, sollte deshalb so schnell wie möglich auf diese aktuelle Version umsteigen.

Denn nun, wo der Patch einmal herausgegeben ist, können potentielle Angreifer durch Vergleich von Version 3.7.0 und Version 3.7.1 leicht herausfinden, an welcher Stelle es zu der mangelnden Prüfung eingehender Daten kommt und dann diese Lücke auch für ihre Zwecke missbrauchen.

Zero-Day-Lücke in Firefox geschlossen

firefox-logoMozilla hat soeben seinen Browser Firefox auf die Version 50.0.2 aktualisiert. Das ist inzwischen schon das zweite Update außer der Reihe für den Feuerfuchs innerhalb einer Woche.

Mit diesem Patch schließen die Entwickler eine vorgestern bekannt gewordene kritische Zero-Day-Lücke, die insbesondere die Nutzer des Browsers als Tor-Browser für das Anonymisierungsnetzwerk The Onion Router (Tor) bedrohte.

Nach dem Security Advisory steckte das Problem in der Browser-Komponente SVG Animation: ein Use-after-free-Bug erlaubte es, Schadcode einzuschleusen und dann auch auszuführen. Davon betroffen sind Firefox 50.0.1 und ältere Versionen, das Extended Support Release 45.5.0 und der Email-Client Thunderbird in Version 45.5.0 und älter.

Das Firefox-Update kann man seit gestern manuell für Windows, Mac OS X und Linux von Mozillas Internetseite herunterladen. Vorhandene Firefox-Installationen sollten sich inzwischen schon automatisch aktualisiert haben.

Angriff auf Tor-Nutzer mit Javascript

torBenutzer des Tor-Browsers werden aktuell aktiv über eine Zero-Day-Lücke angegriffen, die letztlich einen Fehler im Speichermanagement des zugrundeliegenden  Firefox-Browsers ausnutzt.

Eventuell sind auch Nutzer des Firefox-Browsers ohne Tor-Bundle betroffen. Die Sicherheitslücke soll es Angreifern erlauben, ihren Code auf dem Rechner der Tor-Nutzer auszuführen. Der vermutlich verwendete Schadcode wurde schon auf einer Tor-Mailingliste gepostet. Browser-Hersteller Mozilla arbeitet noch an einem Patch, um die Sicherheitslücke zu schließen.

Sicherheitsforscher weisen darauf hin, dass der verwendete Angriff einer Attacke aus dem Jahr 2013 sehr ähnlich ist. So schreibt Twitter-Nutzer @TheWack0lian„Es ist eigentlich fast exakt der gleiche Payload wie er im Jahr 2013 benutzt wurde.“

Damals hatte die Bundespolizei der USA, das FBI, einen Server, der mutmaßlich an der Verbreitung von Missbrauchsdarstellungen an Kindern beteiligt war, mit diesem Exploit infiziert, um einzelne Tor-Nutzer zu enttarnen.

Adobe patcht 25 Flash-Sicherheitslücken

flash-playerWie schon angekündigt hat Adobe jetzt ein Sicherheitsupdate für seinen Flash Player herausgegeben. Der Patch stopft insgesamt 25 Sicherheitslücken, die Adobe als kritisch einstuft. Dazu gehört unter anderem auch eine Zero Day-Lücke, die aktuell schon aktiv für Angriffe benutzt wird.

Von dem Problem sind alle aktuellen Flash-Versionen inklusive der in den Browsern Chrome, Internet Explorer 11 und Edge eingebundenen Plug-ins betroffen.

Laut einem Sicherheitsbulletin können Angreifer durch diese Lücken Schadcode einschleusen und ausführen. So ist es unter Umständen durchaus möglich, die komplette Kontrolle über ein solches System zu übernehmen.

Die Benutzer sollten so schnell wie möglich die fehlerbereinigten Versionen 21.0.0.242 oder 18.0.0.352 für Windows und OS X und 11.2.202.621 für Linux installieren, die Adobe über die integrierte Update-Funktion und über das Flash Player Download Center bereitgestellt hat.

Die nötigen Patches für die Microsoft-Browser IE 11 und Edge sind schon seit Dienstagabend online. Auch Google hat gestern ein Update für Chrome 50 bereitgestellt, das schon die aktuelle Flash-Player-Version enthält.

Im Grunde neigt sich die Zeit des proprietären Flash, das immer wieder neue Sicherheitsprobleme erzeugt, ihrem Ende zu, denn Flash wurde inzwischen weitestgehend vom Internet-Standard HTML 5 abgelöst.

Sicherheitsupdates für aktive PHP-Versionen

Die PHP-Versionen 5.5, 5.6 und 7.0 sind über zwei Sicherheitslücken verwundbar. Angreifer können diese Installationen aus der Ferne attackieren, Speicherfehler auslösen und dann eigenen Code auf diese Systeme übertragen und ausführen.

Diese zwei Schwachstellen wurden in den jetzt zum Download bereitstehenden Versionen PHP 5.5.35, 5.6.21 und 7.0.6 geschlossen. Die dazugehörigen Windows-Binaries finden Sie auf dieser Webseite.

Sicherheitslücken und Exploits

Die Sicherheitslücke CVE-2016-3078 betrifft alle PHP-Versionen vor 7.0.6. Nutzen die Angreifer diese Schwachstelle aus, dann können sie über ein dafür präpariertes Zip-Archiv einen Speicherfehler hervorrufen und dann eigenen Code auf dem Rechner ausführen.

Die zweite Schwachstelle mit der Kennung CVE-2016-3074 steckt in der Bild-Bibliothek libgd 2.1.1, die seit PHP 4.3 bei der Default-Installation standardmäßig auf den Rechner kommt. Um über diese Schwachstelle einen Speicherfehler auszulösen, müssen die Angreifer dem Opfer komprimierte gd2-Daten unterjubeln. Danach können sie das System entweder crashen oder darauf sogar Schadcode ausführen.

Das Ende von PHP 5.5

AchtungBei dieser Gelegenheit möchte ich darauf hinweisen, daß der Support der Entwickler für die PHP-Version 5.5 schon am 10. Juli 2015 endete.

Sicherheitsupdates gibt es für PHP 5.5 jetzt noch bis zum 10. Juli 2016 – in 2 Monaten sollte man also im eigenen Interesse auf die neueren Zweige 5.6 (Sicherheitsupdates bis 28. August 2017) oder noch besser auf PHP 7.0 (aktuellste Version) upgraden.

Neue Version 0.67 des SSH-Clients Putty

puttyBei dem beliebten SSH-Client Putty wurde mit der gerade veröffentlichten neuen Version 0.67 eine Sicherheitslücke bei der Verwendung von PSCP, dem älteren SCP-Protokoll, geschlossen.

Durch diese Schwachstelle waren theoretisch die Ausführung von Schadcode und sogar die Übernahme des Clients möglich. Außerdem beseitigt Putty 0.67 einige kleinere Fehler der Vorversion.

Wer noch mit Putty in der Version 0.66 auf seinen Server geht, kann die Nutzung des neuen SFTP-Protokolls erzwingen, indem er einfach „-sftp“ eingibt. Sinnvoller ist es natürlich, den SSH-Client in der aktuellen Version 0.67 Beta herunterzuladen

Chrome 49 schließt 26 Sicherheitslücken

Chrome-LogoHersteller Google hat gerade eine neue Version seines Browsers Chrome 49 zum Download bereitgestellt. Chrome 49 korrigiert viele Fehler und enthält zusätzlich auch neue Funktionen für Entwickler.

Hauptsächlich stopft das Update aber 26 Sicherheitslücken. Von mindestens acht der Anfälligkeiten geht ein hohes Risiko für Benutzer und Rechner aus. Angreifer könnten Schadcode einschleusen und auch ausführen.

Nutzer, die Chrome schon installiert haben, erhalten das Update automatisch – allerdings erst nach einem Neustart des Programms. Chrome 49 für Windows, Mac OS X und Linux kann alternativ auch von der Google-Website geladen werden.

Fixit für Sicherheitslücke im Internet Explorer veröffentlicht

microsoft-fix-itAm letzten Tag des alten Jahres hat Microsoft ein Fixit gegen die gerade bekannt gewordene Sicherheitslücke in den Internet Explorer-Versionen 6, 7 und 8 als Erste Hilfe-Maßnahme herausgebracht.

Über die Sicherheitslücke kann man Schadcode einschleusen, und das wird auch schon vielfach ausgenutzt. Es existiert auch ein Metasploit-Modul, mit dessen Unterstützung eigentlich jedermann diese Sicherheitslücke für seine Zwecke nutzen kann.

Auf die Dauer soll das Fixit durch ein reguläres Update ersetzt werden. Bis dahin sollte man aber das Fixit anwenden, damit man sich keinen unerwünschten Schadcode einfängt.

Mehrere Fehler in Opera 12.12 beseitigt

Beim Erstellen von Internetseiten muss man schon die wichtigsten Browser auf seinem Rechner haben, um zu testen, ob Darstellung und Funktion der Seiten in Ordnung sind. Opera gehört zu den wichtigeren Browsern und hat vor wenigen Tagen die neue Version Opera 12.12 herausgebracht.

Behoben wurden vor allem Sicherheits- und Stabilitätsprobleme, darunter auch der Fehler, der die Ausführung von Schadcode über entsprechend präparierte GIF-Dateien erlaubte.

Auch die in Opera 12.11 bekannt gewordenen Fehler mit der Löschfunktion für Nutzungsdaten der Browsererweiterungen soll jetzt korrekt arbeiten.

Ein guter Grund für ein Update!