Thema
CSRF
CSRF-Lücke im OpenVPN Access Server geschlossen
Durch eine Schwachstelle können sich Angreifer potenziell VPN-Zugänge erschleichen.
Sicherheitsalarm für D-Link-Router
In den Modellen DIR-300 und DIR-600 klafft eine kritische Sicherheitslücke, durch die Angreifer beliebige Befehle mit Root-Rechten ausführen können -- bei vielen Systemen sogar aus dem Internet. Und der Hersteller will das Problem nicht beseitigen.
Facebook-Lücke erlaubte unbemerkte Webcam-Aufnahmen
Rund vier Monate nachdem zwei Sicherheitsforscher eine Schwachstelle in Facebooks Video-Upload-Funktion meldeten, soll de Lücke geschlossen worden sein. Die Entdecker sind überrascht über die Höhe der von Facebook gezahlten Belohnung.
Mail hackt Router
Wenn man bestimmte Router von Arcor, Asus und TP-Link einsetzt, kann schon das Öffnen einer E-Mail weitreichende Konsequenzen haben.
CSRF-Lücken gezielt finden 
Wenn bösartige Webseiten den Router umkonfigurieren oder im Webmail-Frontend eine Weiterleitung einrichten ist meist Cross Site Request Forgery im Spiel. Der CSRFTester von OWASP spürt solche Lücken gezielt auf.
Sicherheitsupdate für Django
Ein Fehler im freien Python-Webframework Django 1.2 hebelt den vor Kurzem eingeführten Schutz vor CSRF-Angriffen aus.
Facebook schließt Spammer-Lücke
Eine Cross-Site-Request-Forgery-Lücke ließ sich Anfang der Woche zum automatischen Versand von Spam-Mails über das Facebook-System missbrauchen.
Sieben Lücken weniger in Googles Webbrowser Chrome [Update]
Vier der Lücken stufen die Entwickler als kritisch ein. Für das Entdecken von zwei der Lücken vergab Google im Rahmen des "Chromium Security Reward" jeweils 500 US-Dollar.
Sicherheits-Update für LANDesk Management Gateway
Über einen Fehler in der Weboberfläche des LANDesk Management Gateway können Angreifer eigene Befehle an die Shell des zugrundeliegenden Systems übergeben und mit Root-Rechten ausführen.
Clickjacking-Problem in Browsern bleibt bestehen
Beim Clickjacking schiebt eine manipulierte Webseite beispielsweise einen durchsichtigen iFrame unter den Mauszeiger. Im Glauben, etwas auf der angezeigten Seite anzuklicken, klickt der Anwender jedoch auf Elemente in einem durchsichtigen iFrame einer anderen Seite.
Apple schließt kritische Lücken in Safari
In der nun veröffentlichten Version 4.0.4 für den Web-Browser sind sieben Sicherheitslücken beseitigt. Zwei der Lücken stuft Apple als kritisch ein.
Mehr Schutz für Mozilla-Nutzer vor JavaScript-Angriffen
Nutzer des Firefox können auf mehr Sicherheit vor Cross-Site-Scripting und ähnlichen Attacken per JavaScript hoffen.
Sicherheits-Updates für Drupal
Die Entwickler des Content Management Systems haben die Versionen 5.20 und 6.14 zum Download bereitgestellt, in denen vier Schwachstellen beseitigt sind.
Schutz vor Attacken durch Cross-Site-Request-Forgery ausgehebelt
Sicherheits-Tokens in URLs sollen vor CSRF-Angriffen schützen. Ein Sicherheitsspezialist zeigt, wie sich eine drei Jahre alte Methode zum Auslesen der Browser-Historie nutzen lässt, um den Token zu "berechnen".
DSL-Router per URL ferngesteuert
Angreifer können den DSL-WLAN-Router WAG54G2 von Linksys Systembefehle ausführen lassen, die in einer URL versteckt sind.
Sicherheits-Update für SquirrelMail
Das Update schließt mehrere XSS-Lücken sowie eine Server-Side-Code-Injection-Lücke, die es sogar ermöglichen soll, eigenen Code auf einem Server auszuführen,
McAfee schließt Lücke in eigener Sicherheits-Zertifizierungsseite
Durch eine CSRF-Lücke hätten Angreifer Zugriff auf die Konten von McAfee-Secure-Kunden gehabt. Mit dem Dienst können Kunden ihren Shop mit dem Tool Hacker Safe auf Sicherheitslücken überprüfen und erhalten bei Erfolg ein Sicherheitssiegel.
CSRF-Lücke in TWiki geschlossen
Mit manipulierten Image-Tags soll es möglich sein, TWiki-Skripte aufzurufen. Ein Opfer könnte mit eigenen vorgegebenen Inhalten bestimmte Seiten im Kontext des Opfers aktualisieren.
Sicherheits-Update für Drupal
Die Entwickler des Content-Management-Systems Drupal haben die Versionen 5.17 und 6.11 veröffentlicht, in der eine Cross-Site-Scripting- und eine Cross-Site-Request-Forgery-Schwachstelle geschlossen ist.
Sicherheits-Updates für Bugzilla
Die Entwickler des Fehler-Tracking-Systems Bugzilla haben die Versionen 3.3.4 und 3.2.3 vorgelegt, in denen eine Cross-Site-Request-Forgery-Lücke geschlossen ist.
Twitter-Wurm "Don't Click" verbreitet sich im Twitter-Space [Update]
Ein raffiniert gemachter Wurm breitet sich derzeit im Twitter-Universum aus. Mit der Nachricht "Don't Click" weckt er die Neugier, wer darauf klickt, verbreitet die Nachricht selbst.
Sicherheits-Updates für Fehlerdatenbank Bugzilla
Die Updates schließen Cross-Site-Request-Forgery- und Cross-Site-Scripting-Lücken. Ein weiteres Update beseitigt einen Fehler, den das vorherige Update einführte.
Sicherheits-Update für Novell GroupWise
Das Update beseitigt unter anderem einen Buffer Overflow im GroupWise Internet Agent (GWIA), der sich zum Einschleusen und Ausführen von Code missbrauchen lassen soll.
Zahlreiche Sicherheitslücken in Ad-Server OpenX
Zu den Problemen zählen Cross-Site-Scripting-, Cross-Site-Request-Forgery- und SQL-Injection-Lücken sowie eine File-Inclusion-Lücke. Ein Update gibt es derzeit nicht.
Mehrere Schwachstellen im Jabber-Server OpenFire
Die Schwachstellen ermöglichen Angreifern unter anderem, ein System auf Basis des freien Server für das Instant-Messaging-Protokoll XMPP (Jabber) unter ihre Kontrolle zu bekommen oder es auszuspähen.
Sicherheits-Update für MediaWiki
Die Updates 1.12.2, 1.13.3 und 1.6.11 schließen drei Cross-Site-Scripting- und eine Cross-Site-Request-Forgery-Lücke.
Google dementiert Sicherheitslücke in Google Mail
Laut Google habe sich nach einer Analyse zusammen mit den Betroffenen herausgestellt, dass simple Phishing-Angriffe auf die Inhaber der Mail-Konten die Ursache für die manipulierten Filterfunktionen waren.
Lücke in Google Mail ermöglicht Umleiten von Mails
Aktuell gibt es mehrere Berichte über erfolgreiche Angriffe, bei denen die Lücke missbraucht wurde, um die Kontrolle über die Verwaltung von Domains von Opfern zu erhalten.
Update für Nagios schließt "Cross Site Request Forgery"-Lücke
Ohne Update könnte ein Angreifer ohne eigene Authentifizierung auf die Weboberfläche des Tools zugreifen und etwa die Konfiguration ändern. Allerdings müsste er dazu den Browser eines Nagios-Admins als Sprungbrett missbrauchen.
Schwachstelle in Banken-Site ermöglichte unautorisierte Überweisung [Update]
Forscher der Princeton University haben unter anderem bei der Direktbank ING eine "Cross Site Request Forgery"-Lücke entdeckt, mit der ein Angriff auf Konten möglich war. Nach Cross Site Scripting scheint nun auch CSRF epidemische Ausmaße zu erreichen.
heise online Themen