In die aktuelle Ausgabe fließen Daten von mehr als 32.000 Schwachstellen ein. Die Liste nutzt auch Daten des Common Vulnearability Scoring System. Den Spitzenplatz belegen Out-Of-Bounds-Schreibfehler.
IT-News Sicherheitslücke
Microsoft warnt vor weiterer Zero-Day-Lücke in Windows-Druckwarteschlange
Sie lässt sich nur lokal ausnutzen. Ein Angreifer kann sich möglicherweise Systemrechte zum Ausführen von Schadcode sichern. Details zu der Schwachstelle präsentiert dessen Entdecker Anfang August auf der Sicherheitskonferenz Def Con 2 ...
PrintNightmare-Update verursacht Probleme mit Druckern
Bestimmte Quittungs- und Etikettendrucker führen unter Umständen keine Druckaufträge aus. Microsoft reagiert mit einem Known Issue Rollback. Das Unternehmen bestätigt zudem die Wirksamkeit seines Notfall-Patches.
Wegen Accellion-FTA-Lücke: Morgan Stanley meldet Hackerangriff
Unbekannte dringen in Systeme eines Partners ein. Der hält den Vorfall rund zwei Monate geheim. Die Angreifer erbeuten persönliche Daten wie Sozialversicherungsnummern von Morgan-Stanley-Kunden.
PrintNightmare: Microsoft veröffentlicht außerplanmäßiges Sicherheitsupdate
Es steht für Windows 10 und Windows Server zur Verfügung. Laut Microsoft wird die Schwachstelle bereits aktiv für Angriffe ausgenutzt. Es handelt sich um einen vorläufigen Fix.
QNAP stopft kritisches Sicherheitsloch in NAS-Backup
Die Anfälligkeit erlaubt das Umgehen von Zugangskontrollen. Unbefugte erhalten Zugriff auf Systemressourcen. Der Bug steckt in der Backup-Lösung HBS 3 Hybrid Backup Sync.
PrintNightmare: Microsoft bestätigt Zero-Day-Lücke in Windows-Druckwarteschlange
Der anfällige Code steckt in allen Windows-Versionen. Angreifbar sind nach bisherigen Erkenntnissen aber nur Domänen-Controller. Microsoft rät zur Abschaltung von Remote-Druckaufträgen per Gruppenrichtlinie.
Beispielcode für ungepatchte Windows-Sicherheitslücke durchgesickert
Ein Bug in der Druckwarteschlange erlaubt das Einschleusen und Ausführen von Schadcode. Ein Angreifer kann unter Umständen die Kontrolle über einen Domänen-Server übernehmen. Forscher verwechseln die von ihnen entdeckte Schwachstelle m ...
Trotz Patch: Weiterhin Tausende VMware vCenter-Server angreifbar
Forscher von Trustwave ermitteln über 4000 anfällige Instanzen. Hacker können unter Umständen auf das Host-Betriebssystem eines vCenter-Servers zugreifen. Die benötigten Patches liegen bereits seit drei Wochen vor.
HPE schließt Zero-Day-Lücke in Systems Insight Manager – nach vier Monaten
Ein Patch ist seit April verfügbar. Erst jetzt informiert HPE in einem aktuellen Security Advisory darüber. Unbefugte können unter Umständen Schadcode einschleusen und ausführen.
Forscher macht Zero-Day-Lücke in Safari öffentlich
Eigentlich liegt seit fast drei Wochen ein Patch vor. Die jüngsten Updates für macOS und iOS verzichten jedoch auf diesen Fix. Ein Angreifer kann mindestens einen Absturz des Browsers auslösen.
Apple schließt kritische Sicherheitslücken in macOS und iOS
Beide Betriebssysteme zusammen bringen es auf 116 Anfälligkeiten. Darunter ist eine Zero-Day-Lücke in macOS. Sie gibt Apps Zugriff auf vertrauliche Nutzerdaten.
Exploit für wurmfähige Lücke im Windows-HTTP-Stack veröffentlicht
Ein Sicherheitsforscher entwickelt innerhalb weniger Tage Beispielcode. Der Code verzichtet jedoch auf die Funktion zur selbstständigen Verbreitung. Ein Angreifer kann ohne Interaktion mit einem Nutzer einen Absturz von Windows auslöse ...
Mai-Patchday: Wichtige Updates von Microsoft und Adobe
Beide Unternehmen stopfen auch Zero-Day-Löcher in ihren Produkten. Microsoft bringt es auf insgesamt 55 Schwachstellen im Mai. Betroffen sind unter anderem Windows, Exchange Server, Office, Visual Studio und .NET.
Deutscher Sicherheitsforscher hackt Apples AirTag
Er spielt eine manipulierte Firmware auf. Sie ändert die URL, die ein gefundener AirTag ausgibt.
Microsoft warnt vor Sicherheitslücken in IoT-Systemen
Betroffen sind Produkte von ARM, Amazon, Google und Samsung. Die Schwachstellen erlauben unter Umständen das Einschleusen und Ausführen von Schadcode. Die Hersteller sind bereits informiert.
Fehler in macOS 11 Big Sur hebelt Sicherheitsfunktion Gatekeeper aus
Hacker nutzen die Schwachstelle bereits aktiv aus. In macOS Big Sur steckt zudem eine weitere Zero-Day-Lücke. Sicherheitsupdates bietet Apple aber auch für macOS Catalina und Mojave an.
QNAP entfernt Hintertür aus NAS-Backup-Software
Sie enthält voreingestellte Anmeldedaten. Ein Angreifer kann aus der Ferne die Kontrolle über einen Netzwerkspeicher von QNAP übernehmen. Dem Unternehmen sind keine Attacken auf die Schwachstelle bekannt.
Offenlegung von Sicherheitslücken: Google Project Zero erwägt Nachfrist von 30 Tagen
Sie gilt nur für Schwachstellen, für die bereits ein Patch vorliegt. Ziel ist die Verkürzung der Zeitspanne, in der Endanwender für bekannte Angriffe anfällig sind.
Name:Wreck: Neue DNS-Bugs betreffen mehr als 100 Millionen Geräte
Die Fehler stecken in TCP/IP-Stacks von FreeBSD und mehreren Real Time Operating Systems. Sie erlauben Denial-of-Service und das Einschleusen und Ausführen von Schadcode.
Pwn2Own 2021: Windows 10, Exchange und Teams gehackt
Die Schwachstellen in Exchange und Teams bringen den Entdeckern jeweils 200.000 Dollar ein. Ein Forscher zeigt zudem eine Lücke in Zoom, die sich ohne Interaktion mit einem Anwender ausnutzen lässt.
Apple veröffentlicht Notfall-Patch für iOS und iPadOS
iPhones und iPads erhalten die OS-Version 14.4.2. WebKit ist offenbar anfällig für Cross-Site-Scripting. Apple zufolge handelt es sich um eine Zero-Day-Lücke, die Hacker bereits ins Visier genommen haben.
Google zeigt Proof-of-Concept für Spectre-Angriffe
Er funktioniert mit diversen Browsern, Betriebssystemen und Prozessoren. Google richtet sich vor allem an Web- und Anwendungsentwickler. Sie sollen verstehen, welche Gefahren von den seit 2018 bekannten Attacken ausgehen können.
März-Patchday: Microsoft schließt 14 kritische Sicherheitslücken
Insgesamt stehen Fixes für 89 Anfälligkeiten zur Verfügung. Darunter ist auch eine Zero-Day-Lücke in Internet Explorer. Der März-Patchday markiert außerdem das Supportende für Legacy Edge.
Apple stopft schwerwiegendes Sicherheitsloch in WebKit
Betroffen sind iOS, iPadOS, macOS und watchOS. Ein Angreifer kann unter Umständen Schadcode aus der Ferne einschleusen und ausführen. Ein mögliches Einfallstor sind speziell gestaltete Websites.
Microsoft warnt vor Zero-Day-Lücken in Exchange Server
Sie werden bereits für zielgerichtete Angriffe eingesetzt. Hacker stehlen vollständige Mailboxen ihrer Opfer. Microsoft stellt außerplanmäßige Updates für Exchange Server 2013, 2016 und 2019 bereit.
Funktionierende Spectre-Exploits für Windows und Linux entdeckt
Sie stammen aus einem Tool für Penetrationstests. Anfang Februar tauchen beide Exploits bei VirusTotal auf. Ohne Kenntnis der für die Ausführung der Exploits benötigten Argumente sind sie jedoch wertlos.
Exploit für kritische Sicherheitslücke in Windows 10 veröffentlicht
Google liefert den Beispielcode nach Ablauf seiner 90-Tage-Frist. Ein Angreifer muss ein Opfer lediglich zum Besuch einer speziell präparierten Website verleiten. Eine darin enthaltene Schriftdatei führt zu einem Speicherfehler und unt ...
Adobe stopft kritische Sicherheitslöcher in Reader, Acrobat und Photoshop
In den PDF-Anwendungen Adobe Reader und Acrobat stecken 23 Anfälligkeiten. Davon sind 18 als kritisch bewertet und erlauben das Einschleusen und Ausführen von Schadcode. Weitere Anfälligkeiten betreffen Magento, Animate, Illustrator un ...
Schwerwiegender Sudo-Bug betrifft auch macOS
Er verschafft unbefugten Root-Rechte. Angreifer erhalten so unter Umständen die vollständige Kontrolle über ein ungepatchtes System. Betroffen ist auch die erst am Montag veröffentlichte Version 11.2 von macOS Big Sur.