Google Chrome 85 schließt Sicherheitslücke in WebGL

Über eine Sicherheitslücke in der WebGL-API des Google-Browsers Chrome schaffen es Hacker, Schadcode auf einen Rechner zu übertragen und auch auszuführen. Mit der neuen Version Chrome 85 beseitigt Google die Schwachstelle in seinem Browser. Die Lücke in der WebGL-API In den Browsern wird WebGL zur Darstellung von 2D- und 3D-Inhalten ohne Zusatzprogramme benutzt. Ein Fehler in der Schnittstelle im Google-Browser Chrome gestattet es Hackern, die API zu missbrauchen, um darüber Schadcode auszuführen. Von dem Fehler sind die Version 81.0.4044.138, die Dev-Version 84.0.4136.5 und die Canary-Version 84.0.4143.7 betroffen. Für die Beta-Versionen gibt es schon einen Patch. In der Live-Version beseitigt Google das Problem mit dem aktuellen Chrome-85-Update, das heute erschienen ist. Bisher soll die Sicherheitslücke laut Google noch nicht ausgenutzt werden. Sollten sie das Update Chrome 85 noch nicht erhalten haben, können Sie den Browser auch manuell updaten. Hier die Download-Adressen der verschiedenen Versionen: Google Chrome (64 Bit) Google Chrome (32 Bit) Google Chrome (Mac) Google Chrome (Linux)

2020-08-25T23:01:56+02:00August 25th, 2020|Browser, Sicherheit|Kommentare deaktiviert für Google Chrome 85 schließt Sicherheitslücke in WebGL

Das CMS Drupal bekommt ein Sicherheitsupdate

In dem ziemlich verbreiteten Content-Management-Systems (CMS) Drupal gibt es eine Schwachstelle, die Angreifern die Manipulation von Dateien im CMS aus der Ferne möglich macht.. Das BSI hat dazu eine Sicherheitswarnung der zweithöchsten Risikostufe (4 von 5)herausgegeben, und die Drupal-Entwickler selbst wählten gemäß "NIST's Common Misuse Scoring System (CMSS)" die Einordnung "moderately critical". Updates, die diese Schwachstelle beseitigen, stehen jetzt zur Verfügung und sollten auch ziemlich umgehend eingespielt werden. Selbe Schwachstelle in TYPO3 bereits im letzten Sommer geschlossen Drupal gibt in seinem Sicherheitshinweis zur Schwachstelle (CVE-2019-11831) die Drittanbieter-PHP-Komponente "Phar Stream Wrapper" als Quelle des Problems an. Dabei verweisen sie auch auf ein aktuelles Dokument auf der Internetpräsenz des CMS Typo3, in dem die Schwachstelle detailliert erläutert wird. Dieses Dokument wiederum verweist seinerseits auf einen Typo3-Sicherheitshinweis, der bestätigt, dass CVE-2019-11831 auch in Typo3 existierte. Dort eliminierten die Entwickler  die Schwachstelle allerdings schon im Juli 2018 aus ihrem CMS. Auch das Phar Stream Wrapper Package selbst wurde mittlerweile bereinigt. Die verfügbaren Versionen des Updates Drupal rät den Benutzern von Drupal 8.7 zum Update auf Drupal 8.7.1, während Benutzer von Version 8.6 auf die Version 8.6.16 umsteigen sollten . Für die 8er-Versionen vor 8.6.x gibt es bekannterweise keine Sicherheitsupdates mehr.  Deshalb sollten die auch gar nicht mehr genutzt werden. Für Benutzer von Drupal 7 beseitigt die Aktualisierung auf [...]

2019-05-10T18:46:21+02:00Mai 10th, 2019|Coding, Webwerkzeuge|Kommentare deaktiviert für Das CMS Drupal bekommt ein Sicherheitsupdate

Viele Drupal-Websites sind immer noch verwundbar

Man mag es kaum glauben, aber noch immer gibt es über 100.000 auf dem CMS Drupal basierende Websites, die über eine lange bekannte kritische Sicherheitslücke, über die wir auch schon vor über zwei Monaten berichtet haben, angreifbar sind. Sicherheitsupdates gegen die Schwachstelle sind seit über zwei Monaten verfügbar. In diesen Tagen sind Sicherheitsforscher von Bad Pockets Report auf über 115.000 Drupal-Websites gestoßen, die anfällig für Angriffe über die kritische Sicherheitslücke CVE-2018-7600 sind, wie sie in einem Blogeintrag berichten. Die Schwachstelle ist schon seit Ende März bekannt, und zu diesem Zeitpunkt erschienen auch Sicherheitspatches gegen das Problem. Nach eigenen Angaben haben die Sicherheitsforscher eine halbe Million Drupal-Webseiten untersucht, die die Version 7 des Content Management Systems (CMS) nutzen. Davon war noch etwa ein Viertel über CVE-2018-7600 verwundbar. Rund ein Drittel hatten bereits eine abgesicherte Version installiert. Bei 47 Prozent der Websites konnten die Sicherheitsforscher die genutzte Drupal-Version nicht ermitteln. Updates schon seit Ende März verfügbar Erwartungsgemäß kam es nach der Veröffentlichung von Details zur Lücke  zu  ersten Angriffen,was unter anderem eine Webseite von des Computerherstellers Lenovo traf. Die Schwachstelle gibt es sowohl in Drupal 7.x als auch in Drupal 8.x. Die Ausgaben ab 7.58 und 8.5.1 sind schon abgesichert. Wegen der Schwere der Sicherheitslücke bekommen selbst die eigentlich nicht mehr [...]

2018-06-05T18:55:40+02:00Juni 5th, 2018|Allgemein, Coding, Javascript, PHP, Webwerkzeuge|Kommentare deaktiviert für Viele Drupal-Websites sind immer noch verwundbar

Drupal-Update schließt extrem kritische Lücke

Ein wichtiger Termin für alle, die ihre Internetseiten auf Basis des CMS Drupal erstellt haben: Am 28. März zwischen 20:00 und 21:30 deutscher Zeit wollen die Drupal-Entwickler Sicherheitsupdates für das Content Management System (CMS) zum Download bereitstellen. Diese Updates für diverse Varianten des CMS Drupal schließen eine extrem kritische Sicherheitslücke, kann man der Vorankündigung entnehmen. Die Updates soll es nicht nur für die noch supporteten Versionen 7.x und 8.5.x geben. Wegen der Schwee der Lücke wollen die Entwickler auch noch einmal Updates für die eigentlich nicht mehr im Support befindlichen Versionen  8.3.x und 8.4.x zur Verfügung stellen. Angriffe sind bald zu erwarten Die Admins von Websites unter Drupal sollten die Sicherheitsupdates am nächsten Mittwoch möglichst zügig installieren, weil potentielle Angreifer in wenigen Stunden Exploits entwickeln könnten, warnt das Team von Drupal. Aus diesem Grund gibt es aktuell auch noch keine weiteren Infos zu dieser Schwachstelle.

2018-03-23T21:17:26+02:00März 23rd, 2018|CMS|Kommentare deaktiviert für Drupal-Update schließt extrem kritische Lücke

Tor-Browser verrät die IP-Adresse

Ende Oktober fiel Filippo Cavallarin vom Sicherheitsunternehmen We Are Segment eine Sicherheitslücke im Tor-Browser unter Linux und MacOS auf. Diese TorMoil genannte Schwachstelle öffnet Links, die mit „file://“ beginnen, am Tor-Browser vorbei. Dummerweise kann bei diesem Versuch die echte IP-Adresse des Nutzers mit übertragen werden – damit wird die vom Tor-Browser versprochene Anonymität dann ausgehebelt. Es betrifft nur die Betriebssysteme MacOS und Linux Nach den Erläuterungen der Sicherheitsexperten von We Are Segment steckt die Schwachstelle im Umgang des Browsers Firefox, der die Basis für den Tor-Browser bildet, mit Links. Windows-, Tail- und Sandbox-Nutzer sind von dem Problem nicht betroffen. Noch vor dem letzten Wochenende haben die Tor-Entwickler einen Hotfix für den Tor-Browser erarbeitet. Der aktuelle Tor-Browser für Mac und Linux steht auf torproject.org in der Version 7.0.9 zum Download bereit. Wer den Tor-Browser für Linux oder MacOS oder Tor-Software aus dem Alpha-Zweig der Entwicklung nutzt, sollte die neue Version so schnell wie möglich installieren. Heute soll noch eine überarbeitete Alpha-Version für Linux und MacOS online gestellt werden. File-Links können dann nicht mehr angeklickt werden Achtung: Der Hotfix in der neuen Browser-Version schließt zwar die Sicherheitslücke, bringt jedoch eine Einschränkung mit. Das Klicken auf „file://“-Links funktioniert damit nicht mehr. Nutzer können solche Links aber einfach in die Adressleiste ziehen, um dieses [...]

2017-11-07T07:11:12+02:00November 7th, 2017|Allgemein, Browser, Webwerkzeuge|Kommentare deaktiviert für Tor-Browser verrät die IP-Adresse

Sicherheitsupdates für Ruby on Rails

Das Entwickler-Team von Rails hat jetzt Sicherheitsupdates für die letzten drei Hauptserien veröffentlicht. Die Updates mit den Versionsnummern 5.0.0.1, 4.2.7.1 und 3.2.22.3 des Webframeworks beheben eine Schwachstelle in Action View. Über diese Sicherheitslücke waren Angriffe möglich, weil Text, der als html_safe deklariert ist, keine Escape-Sequenzen für Anführungszeichen erhält. Das wird immer dann zum Problem, wenn Programme Benutzereingaben ohne weitere Überprüfung übernehmen wie bei dem nach folgendem Beispiel aus dem Bericht zu der als CVE-2016-6316 (Common Vulnerabilities and Exposures) markierten Schwachstelle: content_tag(:div, "hi", title: user_input.html_safe) Der Bericht weist auch darauf hin, dass einige der Helper-Funktionen wie beispielsweise sanitize Strings bei der Weitergabe als html_safe markieren und dadurch auch betroffen sind. Neben dieser Schwachstelle, die in allen Hauptversionen von 3 bis 5 zu finden sind, gibt es noch ein weiteres Problem, das nur die 4.2.x-Serie betrifft. Das ist zwar weniger kritisch, erlaubt aber das Ausführen einerIS NULL-Abfrage durch das Einfügen eines [nil]-Wertes innerhalb eines Requests. Der CVE-2016-6317-Bericht weist darauf hin, dass Angreifer so keine beliebigen Werte in SQL-Abfragen einfügen, sondere nur nach NULL-Werten suchen oder WHERE-Bedingungen entfernen wollen und können. Deshalb raten die Entwickler dringend zur Aktualisierung von Ruby on Rails. Weiterführende Informationen und die Checksummen der Updates finden Sie in der offiziellen Bekanntmachung.

2016-08-12T11:22:09+02:00August 12th, 2016|Allgemein|Kommentare deaktiviert für Sicherheitsupdates für Ruby on Rails

Framework Django: Zu lange Passwörter wirken wie DoS-Angriffe

Böswillige Angreifer können nach einem Bericht von Heise die Authentifizierung des freien Webentwicklungs-Frameworks Django mit der Eingabe extrem langer Passwörter außer Gefecht setzen. Der Grund für diese DoS-Schwachstelle (Denial of Service) liegt in dere django.contrib.auth-Funktion, die die Länge der zu überprüfenden Passwörter bei der Authentifizierung nicht einschränkt. Drei Updates Django (1.4.8, 1.5.4 und 1.6 beta 4) beseitigen das Problem. Sie können auf der Internetseite des Django-Projekts heruntergeladen werden.

2013-09-16T16:37:52+02:00September 16th, 2013|Allgemein|Kommentare deaktiviert für Framework Django: Zu lange Passwörter wirken wie DoS-Angriffe

Google zahlt jetzt mehr für gefundene Schwachstellen

Egal ob Sicherheitsexperte oder normaler Programmierer von dynamischen Webseiten – wer Google eine bisher nicht bekannte Schwachstelle im Browser-Projekt im Rahmen des ausgelobten Belohnungsprogramms nennen kann, soll jetzt eine höhere Belohnung erhalten als bisher. Das ist wohl eine Reaktion auf den deutlichen Rückgang der gemeldeten Sicherheitslücken. Zwar verkauft Google das als Erfolg seiner Belohnungsaktion, aber die Erhöhung der Prämien spricht doch Bände. Wer also bei der Entwicklung von Internetseiten auf solche Schwachstellen stößt, könnte das weiter verfolgen und bis zu 10.000 US-Dollar für eine gemeldete außergewöhnliche Lücke kassieren. Zu den bisherigen Prämien kommen jetzt auch noch Boni – da fühlt man sich doch wie ein Banker! Auch für einen (zumindest teilweise) lauffähigen Exploit zu einer neu gemeldeten Lücke gibt es 1.000 $ extra.

2012-08-16T08:10:07+02:00August 16th, 2012|Allgemein, Webwerkzeuge|Kommentare deaktiviert für Google zahlt jetzt mehr für gefundene Schwachstellen
Nach oben