Ein Sicherheitsforscher deckte zwei Lücken in der Wordpress-Erweiterung Event-Registration auf; die Hersteller reagieren jedoch nicht.

• 09. Mai 2016, 13:15 Uhr
• 3 Kommentare
• mit Video
• Eine Meldung von: heise security

Jede Drupal-Installation, die am 15. Oktober nicht binnen Stunden gepatcht worden ist, muss man als kompromittiert betrachten. Mit dieser drastischen Einschätzung wendet sich das Drupal-Team an die Öffentlichkeit. Wohl dem, der ein Backup hat.

• 29. Oktober 2014, 19:52 Uhr
• 206 Kommentare
• Eine Meldung von: heise security

Zwei recht ähnliche Lücken erlaubten SQL-Injections auf Websites, die auf Ruby on Rails 2.0.0 bis 3.1.18 sowie auf 4.x aufsetzen. In mehreren Anläufen haben die Rails-Entwickler die Lücken nun geschlossen.

• 05. Juli 2014, 17:29 Uhr
• 6 Kommentare
• Eine Meldung von: iX

Eine weitere Sicherheitslücke in xt:Commerce 3 und einigen der Nachfolger wird derzeit ausgenutzt, um die Namen, Mail-Adressen und Passwort-Hashes in Online-Shops zu entwenden. Betroffen sind über 230.000 Kunden vor allem aus Deutschland und Österreich.

• 10. Januar 2014, 17:03 Uhr
• 54 Kommentare
• Eine Meldung von: heise security

Heute mit: Klopftechniken, einem angriffslustigen Google-Bot, angreifbaren Web-Apps, vorhergesagten PHP-Zufallszahlen, nützlichen Python-Skripten und den Defcon-Mitschnitten.

• 08. November 2013, 16:29 Uhr
• Eine Meldung von: heise security

Der Web Application Attack Report von Imperva kommt zu dem Schluss, dass Einzelhändler im wesentlich häufiger per SQL Injection attackiert werden, als andere Branchen. Das kann auch an der Vielzahl von Katalogseiten einer Webseite liegen.

• 23. Juli 2013, 14:36 Uhr

Heute mit: einer fingierten Phishing-Falle, SQL-Injections wie im Lehrbuch, Security-Nachhilfe für App-Entwickler, Cisco-Bugs, einer Fortinet-Faceplam, einem Pentester-Firefox und Neuigkeiten zu den QNAP-Lücken.

• 07. Juni 2013, 17:01 Uhr
• Eine Meldung von: heise security

Das ist der Stoff, aus dem die Shitstorms sind: Kanadisches College exmatrikuliert Studenten, weil er auf eine Sicherheitslücke aufmerksam gemacht hat. Statt einzulenken, verteidigt das Dawson College seine Position.

• 24. Januar 2013, 07:40 Uhr
• 97 Kommentare
• Eine Meldung von: heise security

Die Entwickler von Ruby on Rails bitten ihre Nutzer um ein schnellstmögliches Update - über Rails-Objekte kann Code eingeschleust und ausgeführt werden.

• 09. Januar 2013, 17:30 Uhr
• 15 Kommentare
• Eine Meldung von: heise security

Alle aktuellen Versionen des Fameworks Ruby on Rails sind von einer Sicherheitslücke betroffen, die das Einschleusen von beliebigem SQL-Code ermöglicht. Nutzer sollten ihre Software möglichst schnell aktualisieren.

• 03. Januar 2013, 13:58 Uhr
• 26 Kommentare
• Eine Meldung von: heise security

Der Entwickler der Web-Applikation PHP Gift Registry hat fast 8 Jahre nach der Veröffentlichung eines Hinweises auf eine schwere Sicherheitslücke schließlich doch noch geantwortet: Das Problem sei nun behoben.

• 04. Dezember 2012, 14:02 Uhr
• 49 Kommentare
• Eine Meldung von: heise security

Das Online-Auktionshaus hat unter anderem eine Lücke geschlossen, durch die man lesend und schreibend auf eine seiner Datenbanken zugreifen konnte.

• 24. November 2012, 00:07 Uhr
• 42 Kommentare
• Eine Meldung von: heise security

Ein Update beseitigt eine SQL-Injection-Lücke in Trends Security-Management-Plattform.

• 01. Oktober 2012, 19:44 Uhr
• Eine Meldung von: heise security

Die LulzSec-Gruppe hatte im vergangenen Jahr eine Website von Sony gehackt und Nutzerdaten veröffentlicht. Ein Mitglied der Gruppe bekannte sich bereits schuldig. Nun wurde ein zweiter Verdächtiger verhaftet.

• 29. August 2012, 12:30 Uhr
• 63 Kommentare

Die auf den Schutz vor verteilten Denial-of-Service-Attacken spezialisierte Firma Prolexic hat diverse Sicherheitslücken in dem DDoS-Toolkit Dirt Jumper veröffentlicht – und ist prompt nicht mehr zu erreichen.

• 15. August 2012, 18:50 Uhr
• 4 Kommentare
• Eine Meldung von: heise security

Die Security-Firma FireHost berichtet, dass die Zahl der registrierten SQL-Injection-Angriffe im letzten Quartal um 69 Prozent angestiegen ist. Das passt gut zu den in letzter Zeit sehr gehäuft auftretenden Passwort-Lecks.

• 24. Juli 2012, 18:00 Uhr
• 167 Kommentare
• Eine Meldung von: heise security

Der Hoster hat eine kritische Sicherheitslücke auf seiner Webseite geschlossen, noch bevor dadurch vertrauliche Daten entwendet werden konnten.

• 06. Juli 2012, 12:17 Uhr
• 33 Kommentare
• Eine Meldung von: heise security

Das FBI soll den Führer der Hacktivistengruppe UGNazi verhaftet haben. Die Hacker hatten vor kurzem die Website des Bezahlsystemanbieters WHMCS gehackt und zahlreiche Kundendatensätze online gestellt.

• 30. Mai 2012, 21:21 Uhr
• 47 Kommentare
• Eine Meldung von: heise security

Die Lücke lässt sich ohne Anmeldung übers Netz ausnutzen; der Hersteller stellt jedoch bereits Updates bereit.

• 01. März 2012, 17:58 Uhr
• 30 Kommentare
• Eine Meldung von: heise security

Durch kritische Schwachstellen in der Webpräsenz soll der Zugriff auf vertrauliche Daten wie Kreditkartennummern, Passagierlisten und Passwörter möglich gewesen sein.

• 18. Januar 2012, 13:00 Uhr
• 33 Kommentare
• Eine Meldung von: heise security

Nachdem heise Security die Kreditkartenfirma über ein kritisches Sicherheitsproblem auf ihren Web-Seiten informiert hat, wurde die Lücke innerhalb weniger Tage geschlossen.

• 13. Januar 2012, 00:07 Uhr
• 72 Kommentare
• Eine Meldung von: heise security

Eine Welle von gezielten SQL-Injection-Attacken breitet sich nach Angaben von Sicherheitsexperten immer stärker aus. Betreiber sollten ihre Websites überprüfen und Gegenmaßnahmen ergreifen.

• 06. Januar 2012, 12:30 Uhr
• 66 Kommentare
• Eine Meldung von: heise security

Eine Schwachstelle in seiner Bulletin-Board-Software ist Nokia zum Verhängnis geworden. Ein Hacker erlangte Zugriff auf E-Mailadressen und Geburtsdaten von im Developer-Forum registrierten Entwicklern.

• 29. August 2011, 15:10 Uhr
• 22 Kommentare
• Eine Meldung von: heise Developer

Wie es aussieht hat bereits im Juli ein Unbekannter die Benutzerpasswörter des Gema-Servers entführt. Der spektakuläre Einbruch am Wochenende mit dem Defacement erfolgte über eine ähnliche Lücke.

• 24. August 2011, 00:06 Uhr
• 283 Kommentare
• mit Bilderstrecke
• Eine Meldung von: heise security

Erneut sind Hacker in Server von Sony eingedrungen. Sie wollen Zugriff auf über eine Million Kundendaten gehabt haben und veröffentlichten als Beweis zehntausende Datensätze – einschließlich der Passwörter im Klartext.

• 03. Juni 2011, 10:26 Uhr
• 244 Kommentare
• Eine Meldung von: heise security