Tag-Archive for » einschleusen «

Chrome blockiert Code von Drittanbietern

Zwei von drei Chrome-Nutzern verwenden unter Windows Software, die mit dem Browser interagiert und sich dabei in dessen Prozesse einklinkt, hat Google festgestellt.

Als bestes Beispiel dafür nennt der Chrome-Hersteller Virenschutzprogramme, die ihren Code direkt in den Chrome-Browser „injizieren“, um die Nutzer dadurch besser vor Malware zu schützen.

Allerdings verschärfen genau solche Verfahren ein Problem verschärft: Durch den injizierten Fremdcode steigt nämlich die Absturzrate des „Wirts-Browsers“ Chrome um satte 15 Prozent, schreibt Chris Hamilton vom Chrome-Stabilitätsteam. In Zukunft sieht er Chrome-Erweiterungen und das Native-Messaging-API als modernere und absturzsicherere Alternativen zur Code-Injektion.

Dreistufige Absturzvermeidung

Um die hohe Absturzrate des aktuellen Platzhirschen unter den Browsern auf dem Markt merklich zu senken, will Chrome ab Juli 2018 Drittanbieter daran hindern, ihren Code in den Chrome-Browser unter Windows zu einzufügen.

Der Plan ist dreistufig: Ab April zeigt Chrome 66 nach einem solchen Absturz nur einen Warnhinweis an, der dem Nutzer erläutert, dass der Code eines Drittanbieters Ursaches des Crashs war. Außerdem empfiehlt der Browser dann, die betroffene Software upüzudaten– oder aber zu deinstallieren.

Ab Juli wird es dann wirklich ernst, denn ab dann hindert Chrome 68 die Programme Dritter daran, Code in einen Chrome-Prozess zu injizieren. Falls diese Blockierung dann aber den Start des Browsers verhindern sollte, wird Chrome das Einschleusen des Codes dann doch noch erlauben.

Auch in diesem Fall bekommt der Nutzer wieder einen Warnhinweis. In der dritten Stufe wird Chrome 72 ab Januar 2019 dann solchen externen Code komplett blockieren. Es soll dabei jedoch einige Ausnahmen geben. Dazu gehören beispielsweise von Microsoft-signierter Code, Software für barrierefreies Arbeiten und Eingabeprogramme (IME), die davon nicht betroffen sind.

Joomla-Update schließt SQL-Injection-Lücke

Die Version 3.7.0 des Content-Management-Systems (CMS) Joomla weist eine SQL-Injection-Lücke auf, durch welche Hacker eigene Datenbankbefehle in das CMS einschleusen können. Solche Schwachstellen können üble Folgen haben: Ein Angreifer könnte beispielsweise den Inhalt der Seite manipulieren und auf diese Weise Schadcode einschleusen oder aber auf die Nutzerdaten zugreifen.

Die Sicherheitslücke steckt im Joomla Core und hat die CVE-Nummer CVE-2017-8917. Vom Joomla-Team wird das Sicherheitsproblem mit dem zweithöchsten Schweregrad “Hoch” bewertet. Joomla gibt aber bisher keine Details bekannt – vermutlich, um Benutzer der verwundbaren Version zu schützen.

Die abgesicherte Version 3.7.1, die sich auf der Projektseite herunterladen lässt, beseitigt das Problem. Wer eine betroffene Joomla-Installation betreibt, sollte deshalb so schnell wie möglich auf diese aktuelle Version umsteigen.

Denn nun, wo der Patch einmal herausgegeben ist, können potentielle Angreifer durch Vergleich von Version 3.7.0 und Version 3.7.1 leicht herausfinden, an welcher Stelle es zu der mangelnden Prüfung eingehender Daten kommt und dann diese Lücke auch für ihre Zwecke missbrauchen.

PDF-Reader von Foxit sind verwundbar

Wer wegen der vielen Sicherheitsprobleme mit Adobes PDF-Reader auf die Alternative Foxit Reader oder den PDF-Editor Foxit PhantomPDF umgestiegen ist, kommt vom Regen in die Traufe. Beide Programme lassen sich aus der Ferne angreifen, und die Angreifer können sogar eigenen Code auf einen betroffenen Computer einschleusen.

Der Editor Foxit PhantomPDF ist bis inklusive Version 7.2.2.929 verwundbar; der PDF-Reader Foxit Reader ist bis einschließlich Version 7.2.8.1124 unter Windows gefährdet, warnt der Anbieter der Software.

Die abgesicherten Versionen 7.3 schließen insgesamt zehn Sicherheitslücken und stehen schon zum Download bereit. Beide Programme können auch direkt über das Hilfe-Menü aktualisiert werden.

SQL-Injection-Lücke in xt:Commerce

xtCommerceSQL-InjectionDie Shop-Software xt:Commerce weist eine Sicherheitslücke auf, die sich zum Einschleusen von SQL-Befehlen ausnutzen lässt, schreiben die Entwickler in ihrem Blog.

Es soll angeblich noch keine Hinweise  darauf geben, dass die Lücke schon aktiv von Kriminellen genutzt wurde. Die inzwischen von den xt:Commerce-Entwicklern bereitgestellten fehlerbereinigten Versionen  4.2.00, 4.1.10 und 4.1.00 beseitigen das Problem.

Wer also Online-Shops mit xt:Commerce betreibt oder verwaltet, sollte möglichst umgehend auf eine dieser aktuellen Versionen umsteigen. Denn jetzt können kriminelle Angreifer ja durch Vergleich einer verwundbaren und einer abgesicherten Version der in PHP geschriebenen Software für ihre kriminellen Zwecke wertvolle Einzelheiten über die SQL-Injection-Lücke herausfinden…

Fixit für Sicherheitslücke im Internet Explorer veröffentlicht

microsoft-fix-itAm letzten Tag des alten Jahres hat Microsoft ein Fixit gegen die gerade bekannt gewordene Sicherheitslücke in den Internet Explorer-Versionen 6, 7 und 8 als Erste Hilfe-Maßnahme herausgebracht.

Über die Sicherheitslücke kann man Schadcode einschleusen, und das wird auch schon vielfach ausgenutzt. Es existiert auch ein Metasploit-Modul, mit dessen Unterstützung eigentlich jedermann diese Sicherheitslücke für seine Zwecke nutzen kann.

Auf die Dauer soll das Fixit durch ein reguläres Update ersetzt werden. Bis dahin sollte man aber das Fixit anwenden, damit man sich keinen unerwünschten Schadcode einfängt.