Sicherheitslücke im CMS Drupal erlaubt Website-Übernahme

Eine Drittherstellerbibliothek erzeugt Sicherheitslücken im CMS Drupal. Die US-amerikanische Cyber-Sicherheitsbehörde CISA rät jetzt zur Aktualisierung. BVon der US-amerikanischen Cyber-Sicherheitsbehörde CISA kommt die Warnung vor einer Schwachstelle im Content Management System (CMS) Drupal. Angreifer könnten möglicherweise durch Sicherheitslücken aus der Ferne die Kontrolle über eine betroffene Internetpräsenz übernehmen. Diese Sicherheitslücke findet sich nicht im eigentlichen Drupal-Code, sondern in der Bibliothek Guzzle eines Drittherstellers. Über Guzzle wickelt Drupal HTTP-Anfragen und -Antworten an externe Dienste ab. Inzwischen hat das Guzzle-Projekt ein Update veröffentlicht, dass zwar nicht den Drupal-Core betrifft, aber Auswirkungen auf beigesteuerte Projekte oder speziell angepassten Code von Drupal-Seiten haben könnte. Der Fehler in Drittherstellerbibliothek Guzzle Die Schwachstelle im Guzzle-Projekt bezeichnen die Entwickler als "Cross-Domain Cookie Leakage". Der Fehler ist eine fehlende Prüfung, ob die Domain eines Cookies mit derjenigen des Servers übereinstimmt, der es über den "Set-Cookie"-Header setzt. Dadurch könnte ein bösartiger Server auch Cookies für andere Domains setzen. Als Beispiel nennen die Entwickler, dass www.example.com ein Session-Cookie für api.example.net setzen könne. Der Guzzle-Client logge sich dann ins Konto ein und könne so an die privaten API-Anfragen aus dem Sicherheitsprotokoll gelangen (CVE-2022-29248, CVSS 8.0, Risiko "hoch"). In ihrem Security Advisory schreiben die Drupal-Entwickler, dass sie die Sicherheitsmeldung deshalb außerhalb des üblichen Zeitrahmens herausgegeben haben, weil das Guzzle-Projekt schon Informationen über die [...]

2022-05-31T17:15:10+02:00Mai 31st, 2022|CMS, Sicherheit|Kommentare deaktiviert für Sicherheitslücke im CMS Drupal erlaubt Website-Übernahme
Weiterlesen

Eine Spam-Welle rollt durch Xing

Nutzer des sozialen Business-Netzwerks Xing erhalten aktuell vermehrt Nachrichten, dass sie angeblich in Beiträgen erwähnt wurden. Dabei handelt es sich um Spam. Auf dem für Geschäftskontakte gedachten sozialen Netzwerk Xing häufen sich die Beschwerden von Nutzern, die teils Dutzende Nachrichten in ihren Posteingängen dazu erhalten, dass sie in öffentlichen Nachrichten erwähnt wurden. Diese Nachrichten entpuppen sich letztlich als Spam für Dating-Portale. Im Posteingang erreichen die Nutzer oftmals gleich mehrere solcher Benachrichtigungen. Die öffentlichen Nachrichten bestehen dabei nur aus dem kurzen Hinweis, dass dort ein Foto hinterlegt sei. Dann folgt ein Link, der mit dem URL-Shortener bit.ly verschleiert wird. Der in der aktuellen Spam-Welle meist benutzte Link funktioniert inzwischen aber schon nicht mehr. Spam beim Betreiber melden In anderen sozialen Netzwerken wie Facebook gab es früher häufig solche Spam-Bot-Aktivitäten. Dort scheint man das Problem inzwischen aber im Griff zu haben. Auf Xing ist das Phänomen den meisten Nutzern bisher noch nicht bekannt. Solche Nachrichten sollten Nutzer unbedingt als Spam melden, damit Xing Gegenmaßnahmen ergreifen und gegebenenfalls bessere Filtermaßnahmen ergreifen kann. Den Links in solchen Nachrichten sollten die Empfänger aber auf keinen Fall folgen, denn dahinter könnten Scam, Phishing oder Malware auf Opfer warten...

2022-05-10T19:16:03+02:00Mai 10th, 2022|Allgemein, Sicherheit|Kommentare deaktiviert für Eine Spam-Welle rollt durch Xing
Weiterlesen

Google-Browser Chrome 101 schließt 30 Sicherheitslücken

Mehrere Sicherheitslücken im Browser Google Chrome hätten möglicherweise für die Ausführung von Schadcode missbraucht werden können. Insgesamt schließt Chrome 101 30 Sicherheitslücken. Soeben hat Google die Version 101 seines Webbrowsers für Linux, Mac und Windows herausgegeben und behebt damit 30 sicherheitsrelevante Fehler. Davon stuft der Hersteller mindestens sieben als Bedrohung mit hohem Risiko für Nutzer, 14 als mittleres Risiko und weitere vier als niedriges Risiko ein. Zu den weiteren fünf Lücken gab Google bisher keine Informationen bekannt. Einige der Sicherheitslücken ließen sich vermutlich zum Ausführen eingeschleusten Schadcodes missbrauchen. Inzwischen hat auch die Android-Version die Nummer 101.0.4951.41 erreicht, und der iOS-Browser trägt sogar schon 101.0.4951.44. Zu den Änderungen in den Mobil-Browsern fasst Google nur zusammen, dass Verbesserungen dort hauptsächlich die Stabilität und die Performance betreffen. Die Extended Stable-Fassung wurde als Version 100.0.4896.143 veröffentlicht. Versionsprüfung und Installation Um die aktuelle Version des auf Ihrem Gerät installierten Browsers zu prüfen, können Chrome-Nutzer oben rechts das Einstellungsmenü mit Klick auf das Symbol mit den drei Punkten aufrufen. Unter "Hilfe" findet sich der Menüpunkt "Über Google Chrome". Klickt man darauf, öffnet sich ein Fenster, das entweder die aktuelle Version anzeigt oder im Falle einer veralteten Version den Download und die Installation der neuen Version startet.

2022-04-27T12:12:31+02:00April 27th, 2022|Browser, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Google-Browser Chrome 101 schließt 30 Sicherheitslücken
Weiterlesen

Office 2013 läuft im kommenden Jahr aus

Office-2013-Kunden erhalten nur noch bis April 2023 Sicherheitsupdates. Danach sollen sie zu Microsoft 365 oder einem anderen Programm wechseln. Im April 2023 läuft der Support für Office 2013 endgültig aus - die dedizierte und von der Microsoft-365-Cloud abgekoppelte Version der Büro-Software. "Nach fünf Jahren Mainstream-Support und fünf Jahren erweitertem Support erreicht Office 2013 das Ende des Supports", schreibt Microsoft seinen Kunden bei Bleeping Computer. Nach dem 23. April 2023, also schon in einem Jahr, soll es keine weiteren Updates mehr für Office 2013 geben. Der erweiterte Support versorgt die Kunden aktuell wenigstens noch mit Sicherheitspatches. Funktionen wurden aber schon seit mehreren Jahren nicht mehr hinzugefügt. Kunden, die nach dem Stichtag immer noch Office 2013 nutzen, könnten sich laut Microsoft dadurch einem Sicherheitsrisiko aussetzen. Hersteller empfiehlt Microsoft 365 Der Hersteller bietet ein Upgrade auf Microsoft 365 an, was als Cloud-basierte Software erfahrungsgemäß nicht in allen Unternehmen gut ankommt. "Bitte beginnen Sie mit dem Upgrade auf Microsoft-365-Apps, die darauf ausgelegt sind, regelmäßige Updates zu erhalten und Ihnen dabei helfen, auf dem neuesten Stand zu bleiben, indem Sie Sicherheitsupdates und unsere neuesten Features erhalten", empfiehlt Microsoft davon unberührt. Als Alternative sollen die Kunden auch Zugriff auf Office LTSC 2021 bekommen, wenn nach Aussage von Microsoft "ihre Organisation ein statisches, sich nicht änderndes Produkt benötigt". Office [...]

2022-04-19T11:59:13+02:00April 19th, 2022|Allgemein, Sicherheit|Kommentare deaktiviert für Office 2013 läuft im kommenden Jahr aus
Weiterlesen

Update für Google Chrome schließt Sicherheitslücke

Neu veröffentlichte Versionen des Webbrowsers Google Chrome schließen eine Sicherheitslücke in der JavaScript-Engine V8. Es steht zu vermuten, dass Edge und Chromium ebenfalls betroffen sind. Nur kurz nach der Aktualisierung auf die erste dreistellige Version 100 haben die Google-Entwickler des Webbrowsers Chrome eine neue Fassung veröffentlicht, die eine Sicherheitslücke schließt. Erneut ist die JavaScript-Engine V8 betroffen. Das Risiko durch diese Lücke stuft Google als hoch ein. Die Version 100.0.4896.75 steht für die Betriebssysteme Linux, Mac und Windows bereit und soll automatisch im Laufe der kommenden Tage und Wochen verteilt werden. Die damit geschlossene Sicherheitslücke, welche die Entwickler damit schließen, ist wieder einmal vom Typ "Type Confusion" (CVE-2022-1232, Risiko hoch). Wie immer gibt es (noch) keine Details Leider fehlen wie üblich noch nähere Details zu der Schwachstelle. Die Lücke wurde vom Mitarbeiter Sergei Glazunov von Googles Project Zero gemeldet. Bei einer Type Confusion prüft die Software den Typ von übergebenen Daten nicht korrekt. Dabei können Daten dann falsch interpretiert oder zum Beispiel wegen fehlender Typumwandlung in unterschiedlich große Datenstrukturen umkopiert werden, was dann auch Pufferüberläufe erzeugen kann, die etwa in Kombination mit einer Use-after-Free-Schwachstelle zur Ausführung untergeschobenenen Schadcodes missbraucht werden kann. Anders als bei dem Notfall-Update von Chrome vor etwas über einer Woche ist aktuell noch kein Schadcode in freier Wildbahn gesehen worden, der die Lücke zum [...]

2022-04-05T09:19:45+02:00April 5th, 2022|Browser, Sicherheit|Kommentare deaktiviert für Update für Google Chrome schließt Sicherheitslücke
Weiterlesen

Notfallupdate für Google-Browser Chrome

Soeben hat Google neue Versionen seines Webbrowsers Chrome veröffentlicht. Diese schließen eine Sicherheitslücke, für die schon Exploit-Code existiert. Der Webbrowser Chrome ist jetzt in der stabilen Version 99.0.4844.84 für  Linux, MacOS und Windows erschienen. Das Update enthält nur eine einzige Fehlerbehebung, mit der der Hersteller eine am Mittwoch der Woche anonym gemeldete Sicherheitslücke dicht macht. Für diese Lücke ist schon Exploit-Code im Netz aufgetaucht, bestätigt das Unternehmen. In seinem Release-Blog listen die Google-Entwickler nur eine Schwachstelle auf, die die neue version beseitigt. Wie immer halten sie sich mit Details zum Schutz der Nutzer erst einmal zurück. Nur eine knappe Beschreibung bestätigt, dass es sich dabei um eine Type-Confusion-Schwachstelle handelt. Bisher noch keine Details bekannt In solchen Fällen prüft das Programm den Typ übergebener Daten nicht korrekt, was dann zu diversen Fehlern wegen fehlender Typumwandlung und unterschiedlich großen Datenstrukturen beispielsweise bei nachfolgenden Kopieroperationen führen kann. Hier sind etwa daraus resultierende Pufferüberläufe denkbar, die das Ausführen von eingeschleustem Schadcodes möglich machen. Das Problem steckt in der Javascript-Engine Die Sicherheitslücke steckt laut Googles Release-Blog-Beitrag in der JavaScript-Engine V8 von Chrome (CVE-2022-1096). Die Entwickler stufen das Risiko der Schwachstelle als hoch ein. Die Details zur Lücke fehlen zwar noch, aber schon der Besuch einer bösartig manipulierten Webseite könnte wahrscheinlich ausreichen, um die Schwachstelle auszunutzen – und jede Webseite [...]

2022-03-27T09:15:39+02:00März 27th, 2022|Browser, Coding, Sicherheit|Kommentare deaktiviert für Notfallupdate für Google-Browser Chrome
Weiterlesen

Das Sicherheits-Update 99.0.1150.46 für den Browser Edge

Schon in Kürze erscheinen Googles Browser Chrome und Microsofts Edge  in der Version 100. Trotzdem sollten die Benutzer schon vorher prüfen, ob Ihre Installation auf dem aktuellen Stand ist. Denn aktuell warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor mehreren Schwachstellen im Edge-Browser. Der entsprechende Sicherheitshinweis des BSI weist die Risikostufe 4 (von 5) aus. Hohe Gefahr durch Edge-Sicherheitslücken Das BSI erklärt dazu: "Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Microsoft Edge ausnutzen, um seine Berechtigungen zu erhöhen, Schadcode auszuführen, einen Programmabsturz herbeizuführen oder andere Auswirkungen zu verursachen. Zur Ausnutzung genügt es, eine bösartig gestaltete Webseite zu laden beziehungsweise einen Link zu einer solchen Seite anzuklicken.“ Das vom Hersteller Microsoft bereitgestellte Sicherheits-Update auf die Version 99.0.1150.46 sollten Sie wegen des hohen Schadenspotenzials umgehend einspielen. Nach Angaben von Microsoft  gibt es aktuell keine Hinweise darauf, dass Cyberkriminelle die Sicherheitslücken schon für Angriffe ausnutzen. Einen Überblick über alle behobenen Sicherheitsprobleme finden Sie im Leitfaden zum Sicherheitsupdates von Microsoft. Wie man den Browser Edge updatet Um das Edge-Update auszulösen, sind folgende Schritte nötig: Edge-Browser öffnen Auf die drei Punkte oben rechts klicken Auf Hilfe und Feedback und danach auf Infos zu Microsoft Edge klicken Edge sucht dann nach Updates. Wenn eines verfügbar ist, aktualisiert sich der Browser automatisch.

2022-03-22T12:03:15+02:00März 22nd, 2022|Browser, Sicherheit|Kommentare deaktiviert für Das Sicherheits-Update 99.0.1150.46 für den Browser Edge
Weiterlesen

Notfallupdate: Angriffe auf Firefox und Thunderbird

Mozilla hat außer der Reihe Sicherheitsupdates für die Programme Firefox, Klar und Thunderbird herausgegeben, die schon aktiv angegriffene Lücken darin schließen. Zwei dieser Sicherheitslücken mit der Risikoeinstufung "kritisch" schließt die Mozilla-Foundation außer der Reihe mit Updates der Webbrowser Firefox und Klar sowie des Mailers Thunderbird. Diese Anwendungen werden schon aktiv von Cyberkriminellen angegriffen. Administratoren und Benutzer sollten die Updates jetzt rasch installieren. Die Sicherheitslücken dichten die neuen Versionen Firefox 97.0.2, Firefox ESR 91.6.1, Firefox für Android 97.3.0 und Firefox Klar 97.3.0 (Privater Browser - die Firefox-Version mit aktiviertem Tracking-Schutz und Werbeblocker, in Englisch als Focus bekannt) sowie Thunderbird 91.6.2 ab. Weiterreichende Details zu den Lücken nennt die Mozilla-Stiftung nicht. Es gibt noch keine Details Die Sicherheitsmeldung der Mozilla-Entwickler gibt nur die CVE-Nummern und eine grobe Beschreibung der Schwachstellen an. Bei beiden Lücken treten die Fehler durch das sogenannte "Use-after-free" auf, also der Nutzung eines Zeigers auf Speicherbereiche, die eigentlich schon wieder freigegeben wurden. Die Auswirkungen dieser Art Sicherheitslücken variieren generell von der Möglichkeit, Daten zu manipulieren über den Absturz der Programme bis hin zur Ausführung eingeschleustem Schadcode auf dem Rechner. Der Besuch einer „bösen“ Internetseite reicht aus Bei beiden Lücken kann das Öffnen einer entsprechend präparierten Webseite ausreichen, um die Lücke zu missbrauchen. Die eine Lücke kann unter Umständen aufgehen, wenn XSLT-Parameter entfernt werden, erläutert Ubuntu [...]

2022-03-07T11:35:13+02:00März 7th, 2022|Allgemein, Browser, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Notfallupdate: Angriffe auf Firefox und Thunderbird
Weiterlesen

Browser Chrome 99 dichtet diverse Schwachstellen ab

Soeben hat Google seinen neuesten Browser Chrome 99 veröffentlicht und darin insbesondere mehrere Sicherheitslücken entschärft. Das Risiko dieser Schwachstellen stuft der Hersteller teilweise als hoch ein. Google hat jetzt den Webbrowser Chrome 99.0.4844.51 für die Betriebssysteme Linux, Mac und Windows  freigegeben. Damit schließt der Hersteller insgesamt 28 Sicherheitslücken, deren Risiko er bei neun der Schwachstellen als hoch einstuft. Wenigstens zwölf weitere Schwachstellen sind für Chrome-Nutzer eine mittelschwere Bedrohung. In seinem Blog-Beitrag zum Release spart Google wie immer mit Details zu den sicherheitsrelevanten Fehlern, damit die Benutzer Zeit haben, upzudaten, bevor die Lücken bekannt werden. Der Hersteller erwähnt aber, dass er auch weitere Fehlerbehebungen und Verbesserungen vorgenommen hat. Update automatisch oder schneller manuell Mehr über diese Fehlerbehebungen will Google dann in späteren Blog-Beiträgen berichten. Wie immer verteilt Google die Aktualisierung automatisch und streckt diesen Vorgang über die kommenden Wochen. Chrome-Benutzer können das aber auch beschleunigen, indem sie im Browser oben rechts auf die drei vertikal aufgereihten Punkte und dort dann auf "Hilfe" und abschließend auf "Über Chrome" klicken. Ist die neue Version noch nicht installiert, stößt das den Download und die Installation von Chrome 99 an. Mit einem Browser-Neustart wird der Vorgang dann abgeschlossen.

2022-03-02T18:06:59+02:00März 2nd, 2022|Browser, Sicherheit|Kommentare deaktiviert für Browser Chrome 99 dichtet diverse Schwachstellen ab
Weiterlesen

Google veröffentlicht Sicherheitsupdates für Browser Chrome

Hersteller Google warnt vor möglichen Angriffen auf seinen Browser Chrome und stellt eine dagegen abgesicherte Version für die Betriebssysteme Linux, macOS und Windows bereit. Wie immer stehen in der Warnmeldung nur wenige Details zu den insgesamt elf geschlossenen Sicherheitslücken in Googles Browser Chrome. Die knappen Beschreibungen lassen aber vermuten, dass böswillige Angreifer nach erfolgreichen Attacken Schadcode ausführen könnten, was auch die Einstufung mit dem Bedrohungsgrad „hoch“ annehm,en lässt. Sicherheitsupdates sind ab sofort verfügbar Für eine der geschlossenen Sicherheitslücken (CVE-2022-0609) gibt es laut Google schon Exploit-Code, weshalb Attacken auch kurz bevorstehen könnten. Wer also mit dem Browser Chrome im Internet surft, sollte jetzt sicherstellen, dass auf seinem Rechner auch die aktuelle Version Chrome 98.0.4758.102 installiert ist.

2022-02-15T11:39:36+02:00Februar 15th, 2022|Browser, Sicherheit|Kommentare deaktiviert für Google veröffentlicht Sicherheitsupdates für Browser Chrome
Weiterlesen
Nach oben