Thema
Sicherheitslücke
cURL auf Abwegen
Ein Server kann cURL über Umwege dazu bringen, beim Abruf einer Webseite beliebigen Code auf dem System auszuführen.
Viele Router-Lücken, wenig Patches
Michael Messner hat nachgelegt: In seinem Blog veröffentlichte er weitere Schwachstellen in Routern von Linksys, Netgear – und erneut D-Link. Die Hersteller sind seit Monaten informiert, trotzdem sind die meisten Lücken noch sperrangelweit offen.
PostgreSQL-Updates schließen DoS-Lücke
Für sämtliche Releases der freien, relationalen Datenbank seit 8.3 gibt es neue Softwareversionen. Sie beheben einen vor wenigen Tagen gemeldeten Fehler, durch den ein Anwender den Server abstürzen lassen konnte.
D-Link schließt hochkritische Router-Lücken
Als Reaktion auf die Veröffentlichung kritischer Schwachstellen stellt der Hersteller nun doch Firmware-Updates bereit, die verhindern, dass Angreifer Router des Typs DIR-300 und DIR-600 aus der Ferne kompromittieren.
LKA wird wegen verwundbarer D-Link-Router aktiv
Bestimmte D-Link-Router lassen sich mit minimalem Aufwand kompromittieren. Das hat jetzt sogar das Landeskriminalamt (LKA) Niedersachsen auf den Plan gerufen. Es überprüft derzeit, ob es die Besitzer der Geräte zur Gefahrenabwehr warnen muss.
Sicherheitsalarm für D-Link-Router
In den Modellen DIR-300 und DIR-600 klafft eine kritische Sicherheitslücke, durch die Angreifer beliebige Befehle mit Root-Rechten ausführen können -- bei vielen Systemen sogar aus dem Internet. Und der Hersteller will das Problem nicht beseitigen.
TLS stolpert über die "Glückliche 13"
Als "Lucky 13" firmiert ein Angriff auf die Technik, die Web-Verbindungen verschlüsselt. Er nutzt das Zeitverhalten beim Entschüsseln von TLS-Nachrichten aus. Bislang ist die Gefahr zwar noch gering, doch das könnte sich ändern, warnen die Forscher.
Acht Zeichen killen Mac-Programme
Die Rechtschreibkorrektur in Apples aktuellem Betriebssystem Mountain Lion enthält offenbar einen Fehler. Jedes Programm, das diesen zentralen Dienst benutzt, lässt sich zuverlässig durch Eingabe von acht bestimmten Zeichen zum Absturz bringen.
10.000 Euro Prämie für Mega-Hack
Kim Dotcom will Hacker mit einer Prämie belohnen, wenn es ihnen gelingt, Code auf die Mega-Server einzuschleusen oder die Verschlüsselung zu knacken.
Großes Notfall-Update für Java
Oracle hat überraschend das nächste Java-Update vorgezogen. Java-Version 7 Update 13 bringt 50 Sicherheitskorrekturen, viele davon schließen kritische Lücken. Anwendern sei daher empfohlen, ihre Java-Installationen möglichst bald zu aktualisieren.
Heisec-Netzwerkcheck spürt offene UPnP-Dienste auf
Millionen Netzwerkgeräte wie Router antworten auf UPnP-Anfragen aus dem Internet und sind damit potenziell angreifbar. Mit dem Netzwerkcheck von heise Security überprüfen Sie, ob Ihr Equipment auch dazugehört.
Etherpad-Patch gegen Serverabstürze
Ein Update für die Notepad-Applikation Etherpad beseitigt eine wichtige Sicherheitslücke, die zu Serverabstürzen führen kann. Mit dem Update kommen neue Funktionen und ein paar Bugfixes.
Schadcode in Rubys Software-Archiv
Im zentralen Repository für Ruby-Module wurde ein Modul entdeckt, das Konfigurationsdateien an einen Server überträgt. Während der Aufräumarbeiten können keine neuen Gems hochgeladen werden.
Aktuelle VLC-Version mit kritischer Lücke
Durch einen Fehler im ASF-Muxer kann Schadcode auf den Rechner gelangen. Nicht nur durch das Öffnen verseuchter Mediendateien, sondern auch beim Surfen.
Opera-Update schließt Sicherheitslücken
Version 12.13 des Desktop-Browsers beseitigt einige SIcherheitsrisiken. Benutzer berichten jedoch von Abstürzen beim Update.
Millionen Geräte über UPnP angreifbar
Die Sicherheitsfirma Rapid7 hat bei einem IP-Scan unzählige netzwerkfähige Geräte gefunden, die über UPnP antworten – und durch kritische Lücken angreifbar sein sollen.
Neue Java-Schutzfunktion bereits ausgehebelt
Adam Gowdiak verweist auf weitere Sicherheitsmängel in Oracles Java Browser-Plugin. Die neuen Sicherheitsmaßnahmen lassen sich bereits umgehen.
Sicherheitslücken: Google verspricht Pi-Millionen US-Dollar
Der dritte Pwnium-Wettbewerb dreht sich nur um Googles Chrome-Betriebssystem. Teilnehmer können sich über hohe Gewinnsummen freuen.
Weitere kritische Lücke in Ruby on Rails geschlossen
Erneut können Angreifer Ruby-Objekte in den Server einschleusen und somit Code zur Ausführung bringen. Da bereits passende Exploits kursieren, sollten Admins betroffener Server umgehend handeln.
iOS-Update beseitigt Browser-Lücken
Das aktuelle iOS 6.1 beseitigt rund 20 Sicherheitslücken, die das Einschleusen und Ausführen von Code ermöglicht hätten; die meisten davon in der Browser-Basis Webkit
Wordpress schließt Pingback-Hintertür
Über Pingback-Anfragen lassen sich URLs und Ports ausspähen sowie DNS-Server von Routern manipulieren. Mit einem Update schließt Wordpress mehrere Sicherheitslücken.
Operation Payback: 18 Monate Haft für britischen Hacker
Das Londoner Gericht sah den 22-jährigen Briten als wichtigen Organisator der DDoS-Kampagne "Operation Payback" an und verurteilte ihn zu 18 Monaten. Weitere Angeklagte kamen glimpflicher davon.
Backdoors in vielen Barracuda-Appliances
Über fest eingestellte Benutzeraccount kann man auf fast alle Barracuda-Appliances via SSH aus der Ferne zugreifen – vorausgesetzt, man hat die richtige IP-Adresse.
Geschasster Campus-Hacker: College widerspricht
Das ist der Stoff, aus dem die Shitstorms sind: Kanadisches College exmatrikuliert Studenten, weil er auf eine Sicherheitslücke aufmerksam gemacht hat. Statt einzulenken, verteidigt das Dawson College seine Position.
Vertrauen ist gut, Kontrolle ist unbequem 
Fremde Apps können nicht nur ein Sicherheitsrisiko sein, sondern auch die Produktivität der Mitarbeiter negativ beeinflussen. Dennoch verzichtet die Mehrheit der Unternehmen auf entsprechende Kontrollen.
Hochschule wirft Finder schwerwiegender Sicherheitslücke raus
Ein kanadischer Student wollte überprüfen, ob eine von ihm gemeldete Sicherheitslücke noch existierte. Dafür hat das College ihn kurzerhand ausgeschlossen.
Foxit schließt Lücke im Reader
Die vor 12 Tagen bekannt gewordene kritische Lücke im Browser-Plugin des PDF-Readers von Foxit ist geschlossen.
Dawanda meldet Angriffe
Anfang des Jahres ärgerten sich Dawanda-Nutzer über plötzliche Kontenwechsel. Heute ging das Portal mehrfach in die Knie – Dawanda verweist auf Angriffe von Außen und bemüht sich um Abwehr.
Hohe Preise winken für neue Exploits
Im diesjährigen Pwn2own-Wettbewerb sind insgesamt 560.000 US-Dollar für das Aufdecken bisher unbekannter Exploits in Browsern, Acrobat-Produkten und Java ausgelobt.
Oracles Java-Patch lässt Schlupfloch offen
Kurz nachdem Oracle außer der Reihe einen Patch für eine kürzlich bekanntgewordene Java-Lücke veröffentlicht hat, findet ein Sicherheitsexperte eine weitere Angriffsmöglichkeit. Derweil verkleidet sich Schadcode als Java-Update.
heise online Themen