Die Schwachstellen in Exchange und Teams bringen den Entdeckern jeweils 200.000 Dollar ein. Ein Forscher zeigt zudem eine Lücke in Zoom, die sich ohne Interaktion mit einem Anwender ausnutzen lässt.
IT-News Sicherheitslücke
Apple veröffentlicht Notfall-Patch für iOS und iPadOS
iPhones und iPads erhalten die OS-Version 14.4.2. WebKit ist offenbar anfällig für Cross-Site-Scripting. Apple zufolge handelt es sich um eine Zero-Day-Lücke, die Hacker bereits ins Visier genommen haben.
Google zeigt Proof-of-Concept für Spectre-Angriffe
Er funktioniert mit diversen Browsern, Betriebssystemen und Prozessoren. Google richtet sich vor allem an Web- und Anwendungsentwickler. Sie sollen verstehen, welche Gefahren von den seit 2018 bekannten Attacken ausgehen können.
März-Patchday: Microsoft schließt 14 kritische Sicherheitslücken
Insgesamt stehen Fixes für 89 Anfälligkeiten zur Verfügung. Darunter ist auch eine Zero-Day-Lücke in Internet Explorer. Der März-Patchday markiert außerdem das Supportende für Legacy Edge.
Apple stopft schwerwiegendes Sicherheitsloch in WebKit
Betroffen sind iOS, iPadOS, macOS und watchOS. Ein Angreifer kann unter Umständen Schadcode aus der Ferne einschleusen und ausführen. Ein mögliches Einfallstor sind speziell gestaltete Websites.
Microsoft warnt vor Zero-Day-Lücken in Exchange Server
Sie werden bereits für zielgerichtete Angriffe eingesetzt. Hacker stehlen vollständige Mailboxen ihrer Opfer. Microsoft stellt außerplanmäßige Updates für Exchange Server 2013, 2016 und 2019 bereit.
Funktionierende Spectre-Exploits für Windows und Linux entdeckt
Sie stammen aus einem Tool für Penetrationstests. Anfang Februar tauchen beide Exploits bei VirusTotal auf. Ohne Kenntnis der für die Ausführung der Exploits benötigten Argumente sind sie jedoch wertlos.
Exploit für kritische Sicherheitslücke in Windows 10 veröffentlicht
Google liefert den Beispielcode nach Ablauf seiner 90-Tage-Frist. Ein Angreifer muss ein Opfer lediglich zum Besuch einer speziell präparierten Website verleiten. Eine darin enthaltene Schriftdatei führt zu einem Speicherfehler und unter Umständen zu einer Remotecodeausführung.
Adobe stopft kritische Sicherheitslöcher in Reader, Acrobat und Photoshop
In den PDF-Anwendungen Adobe Reader und Acrobat stecken 23 Anfälligkeiten. Davon sind 18 als kritisch bewertet und erlauben das Einschleusen und Ausführen von Schadcode. Weitere Anfälligkeiten betreffen Magento, Animate, Illustrator und Dreamweaver.
Schwerwiegender Sudo-Bug betrifft auch macOS
Er verschafft unbefugten Root-Rechte. Angreifer erhalten so unter Umständen die vollständige Kontrolle über ein ungepatchtes System. Betroffen ist auch die erst am Montag veröffentlichte Version 11.2 von macOS Big Sur.
Windows Hello: Biometrische Authentifizierung von Windows lässt sich umgehen
Sicherheitsspeziaisten der deutschen Firma Syss benötigten dafür lediglich einen Ausdruck auf Papier. Der von ihnen “Biometricks” gennante Angriff auf Windows Hello lässt sich in den aktuellsten Versionen von Windows 10 mit der Aktivierung von “Enhanced Anti-Spoofing” abwehren.
Teamviewer stellt Notfall-Patch für gravierende Sicherheitslücke bereit
Sie steckt in Teamviewer für Windows, Mac OS X und Linux. Ein Angreifer kann die Funktion “Richtungswechsel” benutzen, um ohne Zustimmung des Nutzers die Kontrolle über sein System zu übernehmen. Beispielcode für einen Exploit findet sich auf GitHub.
Passwortschutz von macOS High Sierra lässt sich einfach umgehen
Jeder Mac-Rechner, auf dem Apples neuestes Betriebssystem installiert ist, lässt sich mit Eingabe der User-ID “root” ohne Eingabe eines Passworts entsperren. Apple arbeitet derzeit noch an einem Fix.
Sicherheitsrisiko “GhostWriter: Fehlkonfiguration in AWS ermöglicht Malware-Attacken
Unternehmen gehen bei Amazon S3 oft arglos mit der Konfiguration ihrer Speichercontainer um. Das ist gefährlich, denn uneingeschränkte Schreibrechte ermöglichen Man-in-the-Middle-Attacken. “GhostWriter” nennt sich dieses neue Angriffsszenario.
Github spürt für Entwickler nun auch Sicherheitslücken auf
Die Plattform setzt damit den kürzlich mit der Einführung des Dependency Graph eingeschlagenen Weg fort. Der zeigt – bislang für Javascript und Ruby – Abhängigkeiten des eigenen Codes von anderer Software ab. Nun erhalten Entwickler Benachrichtigungen, wenn in einem dieser Programme eine Schwachstelle gefunden wurde.
Schwachstelle in wichtiger Sicherheitsfunktion von Windows 10 aufgedeckt
Der Fehler betrifft Windows 8 und Windows 10. Das systemweit erzwungene ASLR vergibt offenbar statische statt zufällige Speicheradressen. Das begünstigt speicherbasierte Angriffe und macht Windows 8 und 10 in diesem Punkt unsicherer als Windows 7.
Microsoft schließt kritische Sicherheitslücken in Internet Explorer und Edge
Der November-Patchday bringt Fixes für insgesamt 20 kritische Anfälligkeiten. Updates stehen auch für Windows, Office, ASP.NET Core und .NET Core zur Verfügung. Adobe patcht zudem Reader und Acrobat, Flash Player und Photoshop CC 2017.
Face ID beim iPhone X mit Maske überlistet
Ein Video zeigt die Entsperrung eines iPhone X durch eine Maske. Sicherheitsforscher haben damit die Gesichtserkennung durch eine Schwäche in Apples KI überwunden. Im Laufe der Woche wollen sie weitere Details veröffentlichen.
Zahlreiche Sicherheitslücken im USB-Treiber des Linux-Kernels entdeckt
Ein Fuzzing-Tool hat 79 Bugs offenbart. 14 davon wurden nun veröffentlicht. Sie ermöglichen Denial-of-Service-Angriffe und können zu Systemabstürzen führen. Angreifer benötigen allerdings physischen Zugriff auf ein Linux-System.
Android: Google schließt neun als kritisch eingestufte Sicherheitslücken
Unter anderem weden zum Android-Patchday im November Fixes für die KRACK-Lücken in WPA2 und in der Sicherheitsfunktion Trusted Execution Environment (TEE) bereitgestellt. Samsung und LG kündigen Patches zumindest für ausgewählte Geräte an.
Tor-Browser gibt IP-Adressen von Nutzern preis
Der Fehler tritt unter Mac OS X und Linux auf. Er steckt im Mozilla-Browser Firefox, der den Unterbau für den Tor-Browser liefert. Datei-URLs umgehen unter Umständen den Browser und stellen eine direkte Verbindung zwischen Betriebssystem und entferntem Server her.
Hacker decken Schwachstellen in iPhone 7 und Galaxy S8 auf
Beim iPhone 7 mit iOS 11.1 nutzten die Sicherheitsforscher zwei Schwachstellen in der WLAN-Verbindung und im Safari-Browser aus. Beim Samsung Galaxy S8 waren es Schwachstellen im Browser und im Baseband-Chip. Die Hersteller haben nun 90 Tage Zeit, um Patches bereitzustellen bevor die Lücken veröffentlich werden.
Apple schließt mit Update auf iOS 11.1 auch KRACK-Lücke
Insgesamt behebt das erste große Update für iOS 20 Sicherheitslücken. Sie könnten ausgenutzt werden, um Schadcode einzuschleusen und auszuführen von. Daneben bringt iOS 11.1 Verbesserungen für die Kamera-App und neue Emojis.
Jüngste Lücke im Flash Player wird bereits von Angreifern ausgenutzt
Die Angriffe richten sich derzeit vor allem gegen Behörden in Europa und den USA. Die Angreifer nutzen dabei den Umstand aus, dass vielfach noch kein Update eingespielt wurde.
Trojaner für Mac OS X über manipulierte Software verbreitet
Unbekannte schleusten den Trojaner Proton in die Installationsdatei des Elmedia Player ein. Den Download-Server des Anbieters Eltima hacken sie über eine JavaScript-Bibliothek. Proton installiert eine Hintertür, die es dem Angreifer erlaubt, nahezu die vollständige Kontrolle zu übernehmen.
Erste Hersteller liefern Patches für WPA2-Schwachstelle KRACK aus
Unter anderem gibt es Updates bereits von Cisco, Microsoft, Netgear und mehreren Linux-Anbietern. Google und Apple haben Patches in Aussicht gestellt. AVM und Lancom weisen darauf hin, dass WLAN-Router und WLAN–Access-Points nur eingeschränkt angreifbar sind und beim Aufruf von HTTPS-Seiten die Verschlüsselung dennoch sicher ist.
Warnung vor Angriffen über Zero-Day-Lücke im Flash Player
Die Sicherheitslücke steckt in allen Versionen des Adobe Flash Player für Windows, Mac OS X und Linux. Auch die Plug-ins für Chrome, Edge und Internet Explorer sind darüber angreifbar. Über die Lücke lässt sich Schadcode einschleusen und auf dem infizierten System ausführen.
RSA-Schlüssel seit 2012 angreifbar
Der Fehler steckt in einer RSA-Bibliothek von Infineon. Er erlaubt es, die privaten Schlüssels aus dem öffentlichen Schlüsselteil zu errechnen. Bei Schlüsseln mit einer Länge von 2048 Bit ist der Aufwand allerdings weiter sehr hoch, bei einer Schlüssellänge von 1024-Bit dagegen durchaus vertretbar.
Android: Google stellt Oktober-Update bereit
Für Android werden im Oktober Fixes für 14 Schwachstellen ausgeliefert. Ein separater Patch ist nur für Nexus- und Pixel-Geräte verbindlich. Googles Partner dürfen diese 38 Fixes, die unter Umständen auch für ihre Geräte sicherheitsrelevant sein können auslassen. Die aktuellste Sicherheitspatch-Ebene erhalten sie trotzdem.
Deep Learning: Cybersicherheit, die denkt, denkt tiefer
Egal ob es darum geht, einen Nagel einzuschlagen, eine Schraube zu befestigen oder einen versteckten HTTP-Tunnel zu erkennen: Es kommt darauf an, das richtige Werkzeug zu benutzen, weiß Gérard Bauer, Vice President EMEA bei Vectra Networks.