Angriffe

/Tag: Angriffe

Viele Drupal-Websites sind immer noch verwundbar

Man mag es kaum glauben, aber noch immer gibt es über 100.000 auf dem CMS Drupal basierende Websites, die über eine lange bekannte kritische Sicherheitslücke, über die wir auch schon vor über zwei Monaten berichtet haben, angreifbar sind. Sicherheitsupdates gegen die Schwachstelle sind seit über zwei Monaten verfügbar. In diesen Tagen sind Sicherheitsforscher von Bad Pockets Report auf über 115.000 Drupal-Websites gestoßen, die anfällig für Angriffe über die kritische Sicherheitslücke CVE-2018-7600 sind, wie sie in einem Blogeintrag berichten. Die Schwachstelle ist schon seit Ende März bekannt, und zu diesem Zeitpunkt erschienen auch Sicherheitspatches gegen das Problem. Nach eigenen Angaben haben die Sicherheitsforscher eine halbe Million Drupal-Webseiten untersucht, die die Version 7 des Content Management Systems (CMS) nutzen. Davon war noch etwa ein Viertel über CVE-2018-7600 verwundbar. Rund ein Drittel hatten bereits eine abgesicherte Version installiert. Bei 47 Prozent der Websites konnten die Sicherheitsforscher die genutzte Drupal-Version nicht ermitteln. Updates schon seit [...]

By | 2018-06-05T18:55:40+00:00 Juni 5th, 2018|Allgemein, Coding, Javascript, PHP, Webwerkzeuge|Kommentare deaktiviert für Viele Drupal-Websites sind immer noch verwundbar

Drupal-Update schließt extrem kritische Lücke

Ein wichtiger Termin für alle, die ihre Internetseiten auf Basis des CMS Drupal erstellt haben: Am 28. März zwischen 20:00 und 21:30 deutscher Zeit wollen die Drupal-Entwickler Sicherheitsupdates für das Content Management System (CMS) zum Download bereitstellen. Diese Updates für diverse Varianten des CMS Drupal schließen eine extrem kritische Sicherheitslücke, kann man der Vorankündigung entnehmen. Die Updates soll es nicht nur für die noch supporteten Versionen 7.x und 8.5.x geben. Wegen der Schwee der Lücke wollen die Entwickler auch noch einmal Updates für die eigentlich nicht mehr im Support befindlichen Versionen  8.3.x und 8.4.x zur Verfügung stellen. Angriffe sind bald zu erwarten Die Admins von Websites unter Drupal sollten die Sicherheitsupdates am nächsten Mittwoch möglichst zügig installieren, weil potentielle Angreifer in wenigen Stunden Exploits entwickeln könnten, warnt das Team von Drupal. Aus diesem Grund gibt es aktuell auch noch keine weiteren Infos zu dieser Schwachstelle.

By | 2018-03-23T21:17:26+00:00 März 23rd, 2018|CMS|Kommentare deaktiviert für Drupal-Update schließt extrem kritische Lücke

Sicherheitsupdate Thunderbird 52.6

Beim Email-Client Thunderbird wurden soeben zehn Sicherheitslücken beseitigt. Der bereinigte aktuelle Thunderbird 52.6 steht seit heute zum Download bereit. Zusätzliche Angaben zu den beseitigten Schwachstellen finden Sie In der offiziellen Sicherheitswarnung von Hersteller Mozilla. Mozilla stuft die Auswirkungen der Lücken laut Sicherheitswarnung insgesamt als kritisch ein; obwohl der Großteil der Schwachstellen den Bedrohungsgrad "hoch" aufweist. Nur die Schwachstelle CVE-2018-5089 wird auch einzeln vom Hersteller als „kritisch“ bewertet. Wenn Angreifer die Lücken ausnutzen, könnten sie Speicherfehler auslösen und damit den Email-Client crashen oder sogar Schadcode auf dem Rechner ausführen. Mozilla legt Wert auf den Hinweis, dass man die Lücken in der Standardeinstellung von Thunderbird nicht ausnutzen kann, weil das Scripting ab Werk deaktiviert ist. Wie solche Angriffe im Detail vor sich gehen, bleibt aber noch unklar. Wegen der Einstufung „kritisch“ ist aber wohl anzunehmen, dass letztlich Angriffe aus der Ferne ohne Authentifizierung stattfinden können.

By | 2018-01-27T21:08:53+00:00 Januar 26th, 2018|Javascript, Webwerkzeuge|Kommentare deaktiviert für Sicherheitsupdate Thunderbird 52.6

Adobe patcht 25 Flash-Sicherheitslücken

Wie schon angekündigt hat Adobe jetzt ein Sicherheitsupdate für seinen Flash Player herausgegeben. Der Patch stopft insgesamt 25 Sicherheitslücken, die Adobe als kritisch einstuft. Dazu gehört unter anderem auch eine Zero Day-Lücke, die aktuell schon aktiv für Angriffe benutzt wird. Von dem Problem sind alle aktuellen Flash-Versionen inklusive der in den Browsern Chrome, Internet Explorer 11 und Edge eingebundenen Plug-ins betroffen. Laut einem Sicherheitsbulletin können Angreifer durch diese Lücken Schadcode einschleusen und ausführen. So ist es unter Umständen durchaus möglich, die komplette Kontrolle über ein solches System zu übernehmen. Die Benutzer sollten so schnell wie möglich die fehlerbereinigten Versionen 21.0.0.242 oder 18.0.0.352 für Windows und OS X und 11.2.202.621 für Linux installieren, die Adobe über die integrierte Update-Funktion und über das Flash Player Download Center bereitgestellt hat. Die nötigen Patches für die Microsoft-Browser IE 11 und Edge sind schon seit Dienstagabend online. Auch Google hat gestern ein Update für Chrome 50 bereitgestellt, das schon die aktuelle Flash-Player-Version enthält. Im [...]

By | 2016-05-13T09:36:04+00:00 Mai 13th, 2016|CSS, HTML|Kommentare deaktiviert für Adobe patcht 25 Flash-Sicherheitslücken

Java 8u91/92 bringt mehr Sicherheit

Gerade werden von Oracle die Updates JDK 8u91 und 8u92 verteilt, die vor allem die Sicherheit verbessern sollen. Dabei geht es diesmal nicht nur wie üblich um kritische Fehler in Java selbst, sondern der Umgang mit unsicheren Signaturen und potenziellen Angriffen durch das Ausnutzen von Fehlern stehen im Fokus. Die JVM (Java Virtual Machine) hat nun zwei neue Optionen, die den Umgang mit Out-of-Memory-Fehlern bestimmen, die die Virtual Machine bisher selbst behandelt hat. Bei Nutzung des Flags ExitOnOutOfMemory stoppt sie jetzt, sobald der Hauptspeicher nicht mehr ausreicht. Wenn ein Nutzer das Flag CrashOnOutOfMemory setzt, führt der Fehler zum Absturz der JVM, der dann entsprechende Einträge in den Log-Dateien erzeugt. Der Message-Digest Algorithm 5 (MD5) gilt schon länger als unsicher, weil das Erzeugen unterschiedlicher Nachrichten mit denselben MD5-Hashes recht einfach möglich ist. Deshalb akzeptiert die JSSE-Implementierung (Java Secure Socket Extension) inzwischen standardmäßig keine MD5withRSA-Signaturen mehr. Wer im Legacy-Bereich weiterhin auf MD5 angewiesen ist, muss sie erst manuell aus der Liste der deaktivierten Algorithmen [...]

By | 2016-04-20T18:02:42+00:00 April 20th, 2016|Allgemein, Webwerkzeuge|Kommentare deaktiviert für Java 8u91/92 bringt mehr Sicherheit

Sicherheitsupdates für libpng

Schlechte Nachrichten für Entwickler, die die beliebte freie Programmbibliotheklibpng zur Verarbeitung von PNG-Grafiken nutzen. Die Bibliothek ist verwundbar, denn über die Sicherheitslücke CVE-2015-8126 könnten Angreifer die Versionen bis 1.0.63, 1.2.53, 1.4.16, 1.5.23 und 1.6.18 attackieren und Programme über DoS-Attacken abstürzen lassen. Abgedichtete Versionen sind auf der Projektseite schon verfügbar. Die Angriffe sollen nach Angaben der Entwickler über einen Pufferüberlauf möglich sein. Dabei überprüfe libpng PNG-Dateien mit einer geringeren Bittiefe als acht nicht wirklich korrekt. Der Exploit dazu soll vergleichsweise einfach zu nutzen sein. Über gezielte Angriffe ist derzeit aber noch nichts bekannt.

By | 2015-11-17T12:59:31+00:00 November 17th, 2015|Allgemein, Bildbearbeitung|Kommentare deaktiviert für Sicherheitsupdates für libpng

Angriffe über http.sys auf Windows-Server

Eine Sicherheitslücke erlaubt sogar die Remotecodeausführung, wenn ein Angreifer eine spezielle HTTP-Anforderung an ein betroffenes Windows-System sendet. Die Lücke hat in der National Vulnerability Database (NVD) die Kennung CVE-2015-1635. Im seinem Security Bulletin MS15-034 beschreibt Microsoft diese kritische Schwachstelle als Sicherheitsproblem in HTTP.sys, einer im IIS genutzten Komponente. Diverse Honeypot-Fallen zeigen den Sicherheitsexperten, dass die Lücke schon aktiv ausgenutzt wird, allerdings bis jetzt in den meisten Fällen nur für DoS-Angriffe und noch nicht zur Remotecode-Ausführung. Ein von Microsoft schon bereitgestelltes Sicherheitupdate behebt das Problem, indem es die Verarbeitung der Anforderungen durch den HTTP-Stack von Windows modifiziert. Dies Update sollten Sie als Admin von Internetservern unter Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows 8.1 sowie Windows Server dringend einspielen.

By | 2015-04-18T17:03:37+00:00 April 18th, 2015|Allgemein, Webwerkzeuge|Kommentare deaktiviert für Angriffe über http.sys auf Windows-Server

Mozilla Firefox startet Java-Updates nur auf Nachfrage

Sogar das allerneueste Java-Plugin Java 7 Update 15 blockiert der Firefox-Browser, weil er auf den Click-to-Play-Modus umgeschaltet wurde. So wird die Ausführung von Javascript zwar nicht komplett geblockt, aber mit einer deutlichen Hürde versehen.  Jetzt zahlt es sich gerade bei kommerziellen Internetseiten wie Onlineshops aus, wenn der Ersteller der Seiten so gearbeitet hat, dass die Funktionen auch ohne Javascript mit reinem HTML laufen. Die Firmen Oracle, Adobe und Microsoft sehen in diesem Monat nicht besonders gut aus mit ihren vielen Updates. Es hat wohl auch noch nie einen Monat mit mehr Patches, aber auch keinen mit mehr Angriffen auf sie Internetseiten großer Unternehmen über Sicherheitslücken in Java, Flash oder PDF gegeben.

By | 2013-02-28T20:31:43+00:00 Februar 28th, 2013|HTML, Javascript|Kommentare deaktiviert für Mozilla Firefox startet Java-Updates nur auf Nachfrage