Der Juli-Patchday beinhaltet 30 Fixes. Drei Schwachstellen stuft Google als kritische ein. Auch Samsung bietet das Juli-Update bereits für erste Geräte an.
IT-News Sicherheitslücke
Juni-Patchday: Microsoft schließt Zero-Day-Lücke in Windows
Sie ist seit Mai bekannt und wird bereits aktiv ausgenutzt. Ein besonders hohes Risiko geht auch von Bugs in SharePoint Server, Hyper-V und Windows Kerberos aus. Insgesamt stopft Microsoft 55 Löcher in seinen Produkten.
Zyxel schließt schwer- wiegende Lücke in VPN- und Firewall-Produkten
Sie erlaubt eine Remotecodeausführung. Eine vorherige Authentifizierung ist nicht erforderlich. Zyxel veröffentlicht seinen Patch stillschweigend.
HP schließt schwerwiegende BIOS-Lücken – mehr als 200 PC-Modelle betroffen
Angreifbar sind Produkte der Modellreihen EliteBook, ProBook, EliteDesk und ProDesk. HP stellt für fast alle betroffenen Geräte Firmware-Updates bereit. Ein Angreifer kann unter Umständen das BIOS überschreiben.
Google Project Zero: Niemand stopft Sicherheitslöcher schneller als Linux-Entwickler
Sie benötigen für einen Patch durchschnittlich 25 Tage. Google selbst schafft es nicht unter 44 Tagen. Generell bescheinigt Google den Softwareanbietern, dass sie die Bearbeitungszeit für Patches seit 2019 kontinuierlich verkürzen.
VMware patcht bei chinesischem Hackerwettbewerb entdeckte Sicherheitslücken
Insgesamt stehen Updates für fünf Schwachstellen zur Verfügung. Angreifbar sind VMware ESXi, Workstation, Fusion und Cloud Foundation.
Google schließt Zero-Day-Lücke in Chrome
Sie erlaubt das Einschleusen und Ausführen von Schadcode innerhalb der Sandbox. Betroffen sind Chrome für Windows, macOS und Linux. Google stopft insgesamt elf Löcher in Chrome.
iOS 15.3.1 schließt aktiv ausgenutzte Sicherheitslücke
Betroffen sind nicht nur alle unterstützten Apple-Smartphones ab iPhone 6s. Updates verteilt Apple auch für iOS und macOS. Ein Speicherfehler erlaubt unter Umständen das Einschleusen und Ausführen von Schadcode.
Schwachstellen in UEFI-Firmware betreffen Produkte von Intel und Fujitsu
Wahrscheinlich sind auch Systeme von anderen Herstellern wie Dell, Siemens, HP, HPE und Microsoft angreifbar. Die Schwachstellen erlauben das Ausführen von Schadcode – unter Umständen unsichtbar für Sicherheitsanwendungen wie Virenscan ...
Log4Shell: Britische Gesundheitsbehörde warnt vor Angriffen auf VMware Horizon-Server
Laut NHS geht eine bisher unbekannte Gruppe gegen Organisationen im britischen Gesundheitssystem vor. Betroffene sollen zeitnah verfügbare Update für Horizon Server von VMware einspielen.
Google schließt kritische Sicherheitslücke in Chrome
Chrome 97 bringt insgesamt 37 Sicherheitspatches. Von den meisten Anfälligkeiten geht ein hohes Risiko aus. Die Entwicklern implementieren zudem eine umstrittene Programmierschnittstelle.
Zweite Sicherheitslücke in Java-Bibliothek Log4j entdeckt
Unter bestimmten Umständen ist der Patch für die erste Log4j-Lücke unvollständig. Apache verteilt bereits ein Update für die neue Anfälligkeit.
Log4Shell: Experten gehen von mehrjähriger Bedrohungslage aus
Sie vergleichen Log4Shell mit "namhaften" Anfälligkeiten wie Shellshock und Heartbleed. Sicherheitsforscher verweisen auch darauf, dass die Lücke sehr einfach ausgenutzt werden kann, während es unter Umständen sehr schwierig ist, sie z ...
Log4Shell: BSI warnt vor schwerwiegender Sicherheitslücke
Angreifer können unter Umständen aus der Ferne Schadcode einschleusen und ausführen. Betroffen ist die Bibliothek log4j, die viele Java-Anwendungen nutzen. Das BSI vergibt die höchste Warnstufe.
Acht Jahre alte Sicherheitslücke betrifft rund 150 Druckermodelle von HP
Ein Angreifer kann unter Umständen Schadcode aus der Ferne einschleusen und ausführen. Auch eine Ausweitung einer Attacke auf andere Geräte im Netzwerk ist möglich. HP veröffentlicht Firmwareupdates.
Malware für ungepatchte Sicherheitslücke im Windows Installer im Umlauf
Ein von Microsoft veröffentlichte Patch lässt sich umgehen. Die Malware verschafft einem Angreifer Administratorrechte unter Windows 10, Windows 11 und Windows Server 2022.
Fehler in MediaTek-Prozessoren erlauben Abhören von Android-Smartphones
Check Point entdeckt insgesamt vier Schwachstellen. Für drei Anfälligkeiten stellt MediaTek bereits Patches zur Verfügung. Der vierte Fix folgt im Dezember.
Sicherheitsforscher veröffentlicht Beispiel-Exploit für Zero-Day-Lücke in Windows
Die Schwachstelle erlaubt eine nicht autorisierte Ausweitung von Benutzerrechten. Betroffen sind offenbar alle unterstützten Versionen von Windows und Windows Server. Die Veröffentlichung geschieht auf Protest gegen Microsoft.
Bericht: Cyberkriminelle bezahlen Millionen Dollar für Zero-Day-Lücken
Der Sicherheitsanbieter Digital Shadows wertet Kommunikation in einschlägigen Untergrundforen aus. Dort werden Preise von bis zu 10 Millionen Dollar diskutiert. Bestimmte Zero-Day-Lücken erzielen offenbar höhere Preise als bei "offizie ...
Neuer Rowhammer-Angriff umgeht vorhandene Sicherheitsvorkehrungen
Forscher entwickelt die neue Technik mithilfe eines Fuzzers. Damit erzielen sie zuverlässig Bit Flips bei 40 getesteten DRAM-Modulen. Ihre Erkenntnisse teilen die Forscher mit Google und Intel.
Intel warnt vor schwerwiegenden Sicherheitslücken in seinen Prozessoren
Betroffen sind zahlreiche Core-, Xeon-, Celeron- und Pentium-CPUs. Sie sind anfällig für eine nicht autorisierte Ausweitung von Nutzerrechten. Patches gibt es nur in Form von BIOS-Updates.
Google warnt vor Angriffen auf Zero-Day-Lücke in macOS
Das Ziel sind Besucher bestimmter Websites mit Bezug zu Aktivisten in Hongkong. Die Angreifer kombinieren einen bekannten Bug mit der Zero-Day-Lücke, um Root-Zugriff auf Macs zu erhalten. So schleusen sie eine Hintertür ein.
November-Patchday: Microsoft schließt sechs Zero-Day-Lücken
Für zwei Zero-Days sind bereits Exploits im Umlauf. Betroffen sind Exchange Server und Excel. Insgesamt stopft Microsoft 55 Löcher.
Pwn2Own: Hacker knacken NAS-Geräte, Router und Drucker
Betroffen sind Produkte von Western Digital, Cisco, Netgear, Canon, Lexmark und HP. Auch ein intelligenter Lautsprecher von Sonos zählt zu den "Opfern". In der Regel übernehmen die Hacker die vollständige Kontrolle über die fraglichen ...
Microsoft warnt vor schwerwiegender Sicherheitslücke in macOS
Sie erlaubt die Installation eines Rootkits. Ein Bug hebelt die Sicherheitsfunktion System Integrity Protection aus. Apple verteilt bereits Patches an macOS Monterey, Big Sur und Catalina.
Notfall-Patch: Google schließt kritische Zero-Day-Lücke in Chrome
Hacker nehmen die Schwachstelle bereits ins Visier. Google entwickelt innerhalb von drei Tagen einen Patch. Betroffen sind Chrome 94 und früher für Windows, macOS und Linux.
WhatsApp schließt kritische Sicherheitslücke in Fotofiltern
Ein Angreifer erhält unter Umständen Zugriff auf vertrauliche Informationen. Allerdings muss ein Opfer zuvor ein Bild mit einem Filter versehen und an den Angreifer zurückschicken. Ein Patch für die Schwachstelle ist bereits erhältlich ...
Fehler in Chipsätzen von Realtek macht Produkte von 65 Herstellern angreifbar
Betroffen sind Produkte mit dem WLAN-Chipsatz RTL819xD. Hacker greifen über die Schwachstelle die anfälligen Geräte mit der Malware Mirai an. Realtek stellt bereits einen Patch zur Verfügung, den Hersteller allerdings noch an ihre Prod ...
Google macht ungepatchte Schwachstelle in Windows AppContainer öffentlich
Der Bug erlaubt es, bestimmte Beschränkungen des AppContainers zu umgehen. Google macht die Details öffentlich, weil Microsoft keinen Patch bereitstellen will. Nach einer Kehrtwende arbeitet der Softwarekonzern nun doch an einem Fix.
Sicherheitslücken in Millionen von IoT-Geräten wie Überwachungskameras entdeckt
Sie stecken in der Kalay-Plattform des Anbieters ThroughTek. Sie wird auch für Babyfons und andere Geräte zur Videoaufzeichnung verwendet. Angreifer können Geräte auf sich selbst registrieren und diese anschließend aus der Ferne kontro ...