feed-image Feed-Einträge

In der Userspace-Krypto-API des Linux-Kernels kann mithilfe eines Speicherfehlers beliebiger Schadcode mit root-Rechten ausgeführt werden. Betroffen sind zwar nur Installationen ab der Kernelversion 4.10 in Zusammenhang mit dem Modul af_ag, die Schwachstelle war aber bereits in der Kernelversion 2.6 vorhanden. Jedoch wurde das Modul in dieser Version nicht genutzt.

Quelle: heise.de (21.02.2019)

Der Internet Information Service (IIS) von Microsoft, ist auf eine Denial-of-Service-Schwachstelle anfällig. Das einspielen der Patches reicht aber nicht aus. Admins müssen manuell die maximale Anzahl der SETTINGS-Parametern anpassen.

Quelle: heise.de (22.02.2019)

Erneut sind im Darknet gehackte Accounts aufgetaucht. Die Datenbank mit rund 620 Millionen Accounts kann für 20'000 USD erworben werden. Der Hacker der die Daten verkaufe, soll ausserdem im Besitz von einer Milliarde gestohlenen Accounts sein.

Quelle: heise.de (12.02.2019)

Das Smartphone-Betriebssystem Android ist auf Angriffe mittels eines preparitem PNG-Bildes verwundbar. Angreifer könnten somit Schadcode, im Kontext des Benutzers (nicht als root), ausführen. Bis jetzt sind gemäss Google noch keine Angriffe bekannt.

Quelle: heise.de (07.02.2019)

Im Schlüsselbund von macOS haben Sicherheitsforscher erneut eine Schwachstelle gefunden. Diese erlaub es, dass sogar Apps ohne Admin- oder Root-Berechtigungen Passwörter auslesen können. Inzwischen wurde ein Workaround veröffentlicht, welcher den Zugriff auf die Passwörter erschwert. Im goSecurity-Blog von Tore Schlatter, erfahren Sie mehr über die sichere Aufbewahrung von Passwörtern.

Quelle: heise.de (04.02.2019 / 05.02.2019)

Die Gruppen-FaceTime-Funktion von Apple kann als Wanze missbraucht werden. Ein Update steht noch aus. Apple hat den Facetime-Dienst vorübergehend deaktiviert. Ein Video welches im Internet kursiert zeigt wie einfach das ausnutzen der Schwachstelle ist.

Quelle: heise.de (29.1.2019)

Im Exchange Server (ab Version 2010) klafft eine gravierende Schwachstelle. Eine Prvilege-Escalation-Lücke erlaubt es, sich als einen anderen Benutzer auszugeben. Im schlimmsten Falle kann dies der Domänen-Administrator sein. Ein 0-Day-Exploit existiert bereits, das passende Update von Microsoft ist noch ausstehend. Immerhin bietet Microsoft einen Workaround an. 

Quelle: heise.de (29.1.2019)

Das Content-Management-System TYPO3 wurde kürzlich aktualisiert. Mehrere Cross-Site-Scripting Schwachstellen wurden behoben.

Quelle: heise.de (24.01.2019)

Zurzeit kursiert eine Sicherheitslücke, welche Debian basierte Linux-Systeme angreifbar macht. Angreifer können während dem Update-Prozess das System kapern.

heise.de (22.01.2019)

Momentan sind wieder massenweise gefälschte Bewerbungen im Umlauf. Diese E-Mails enthalten einen Trojaner in Form eines Anhangs und haben gemäss Berichten bereits grossen Schaden angerichtet.

Quelle: heise.de (16.01.2019)