bedrohungsfeed

Jetzt updaten: Jira-Team schließt kritische Sicherheitslücke in Insight-App

Insight, eine Anwendung fürs Asset- und Konfigurationsmanagement im Zusammenspiel mit Jira Service Management Data Center und Server, wies eine als kritisch eingestufte und aus der Ferne ausnutzbare Sicherheitslücke auf. Ein Angreifer mit niedrigen Zugriffsrechten hätte unter bestimmten Voraussetzungen beliebigen Java-Code auf dem Server zur Ausführung bringen können (Remote Code Execution, RCE). Die Jira-Entwickler haben aktualisierte Bundles aus Service Management Data Center, Server und Insight sowie eine abgesicherte Standalone-Version der Insight-App veröffentlicht. Nutzer sollten die Software möglichst zeitnah aktualisieren. Laut Atlassians Jira Service Management Security Advisory 2021-10-20 basiert CVE-2018-10054 auf einer Kombination aus Insights Datenbank-Import-Feature und einer nativen Funktion der H2 Database Engine, die standardmäßig mit der Jira-Software gebündelt ist. Die Funktion könne via Insight zur RCE missbraucht werden – unabhängig davon, ob die betreffende Import-Konfiguration gespeichert worden oder H2 vorher jemals als Ziel-DB verwendet worden sei. Voraussetzung für einen Angriff sei allerdings die Anmeldung als Jira-Benutzer in Kombination mit bestimmten Berechtigungen („Insight administrator“ oder „Object Schema Manager“). Zusätzliche Informationen zur Schwachstelle liefert auch der NVD-Eintrag zu CVE-2018-10054. Einen Überblick über alle betroffenen Ausgaben von Jira Service Management Data Center und Server sowie der Insight-App liefert Jiras Advisory. Ausdrücklich nicht betroffen ist die Cloud-Fassung von Jira Service Management. Abgesichert sind Insight ab Version 8.9.3 sowie Jira Service Management Data Center und Server 4.20.0. Letzteres Software-Bundle enthält Insight 9.1.2. Informationen zur (versionsabhängigen) Vorgehensweise beim Update sowie zur Kompatibilität von Insight 8.9.3 mit verschiedenen Ausgaben von Jira Service Management Data Center und Server sind dem Advisory zu entnehmen.

Quelle: Heise

Ransomware BlackMatter: Forscher bieten Gratis-Decryption für einige Varianten

Einem Forscherteam von Emsisoft ist es gelungen, eine Entschlüsselungsfunktion für einige Varianten der Ransomware „BlackMatter“ zu entwickeln. Opfer können sich direkt an die Forscher wenden, um bestenfalls Hilfe bei der Wiederherstellung ihrer Daten zu erhalten. Es gibt allerdings Einschränkungen – die Kriminellen haben den entscheidenden Bug in den Verschlüsselungsroutinen des Schadcodes vor einigen Wochen nämlich auch selbst entdeckt und behoben. Die Gang ist mit neuen, „abgesicherten“ BlackMatter-Varianten unverändert aktiv. Wie aus einem aktuellen Blogeintrag des Emsisoft-Teams und einem Online-Artikel der New York Times hervorgeht, hatten die Sicherheitsforscher den Bug im BlackMatter-Code, der ihnen die Entschlüsselung ermöglichte, im Spätsommer dieses Jahres entdeckt: Er hatte sich mit einem Update eingeschlichen. Heimlich hätten die Forscher Opfern über mehrere Monate hinweg geholfen, ihre Dateien ohne Lösegeldzahlung wiederherzustellen und dadurch verhindert, dass Millionen von US-Dollar in die Hände der Gang fielen. Dabei hätten die US-Behörde CISA sowie Strafverfolgungsbehörden, CERTs und Unternehmen aus verschiedenen Ländern dabei geholfen, den Kontakt zwischen Forschern und Betroffenen herzustellen. Nachdem der Bugfix der Gang diese Möglichkeit der Hilfe zunichtemachte, habe das Team es als sicher erachtet, die Operation im Blogeintrag nachträglich publik zu machen. Man wolle auf diese Weise auch bislang nicht erreichbaren Opfern die Möglichkeit der Kontaktaufnahme zu Emsisoft geben. BlackMatter fußt auf einem Ransomware-as-a-Service (RaaS)-Modell, bei dem der „harte Kern“ der Gang von den Erlösen seiner Affiliates profitiert. Ziel der Angriffe sind vor allem große Unternehmen, wobei das Regelwerk auf der Leak-Website unter anderem den Bereich Kritische Infrastrukturen, Rüstungsindustrie, Non-Profit-Organisationen und Krankenhäuser ausdrücklich als Angriffsziele ausklammert. Derlei kennt man allerdings schon aus der Vergangenheit von anderen Ransomware-Gangs, die ihren Prinzipien letztlich doch untreu wurden. Emsisoft, aber auch ein aktueller Sicherheitshinweis der CISA sehen in BlackMatter einen direkten Nachfolger beziehungweise ein „Rebranding“ des Ransomware-Partnerprogramms DarkSide, das für den Ausfall der Colonial Pipeline in den USA im Mai 2021 verantwortlich war. Das DarkSide-Team hatte damals die Kontrolle über einen Teil seiner Infrastruktur an Strafverfolgungsbehörden verloren und war letztlich mit kalten Füßen von der Bildfläche verschwunden. DarkSide besaß nach Einschätzung vieler Sicherheitsforscher übrigens auch enge Verbindungen zur berüchtigten REvil-Gang, die derzeit offline ist.

Quelle: Heise

QNAP: Lücke in QTS-Add-on machte NAS aus der Ferne angreifbar

Über eine Command Injection-Sicherheitslücke im Media Streaming-Add-on für mehrere Versionen des Betriebssystems QTS und QuTS hero Edition hätten entfernte Angreifer unter bestimmten Voraussetzungen beliebige Befehle auf Netzwerkspeichern (NAS) von QNAP zur Ausführung bringen können. Abgesicherte Add-on-Fassungen stehen bereit; der NAS-Hersteller rät zum zügigen Update. In seinem Security Advisory QSA-21-44 stuft QNAP die von der Sicherheitslücke CVE-2021-34362 ausgehende Gefahr als „hoch“ ein. Nutzer sollen auf folgende Add-on-Versionen aktualisieren:

  • QTS 5.0.0: Media Streaming Add-on ab Version 500.0.0.3 (2021/08/20) aufwärts
  • QTS 4.5.4: Media Streaming Add-on ab Version 500.0.0.3 (2021/08/20) aufwärts
  • QTS 4.3.3: Media Streaming Add-on ab Version 430.1.8.12 (2021/09/29) aufwärts
  • QuTS hero h5.0.0: Media Streaming Add-on ab Version 500.0.0.3 (2021/08/20) aufwärts

Zum Updaten loggt man sich bei QTS als Administrator ein, wechselt zum Media Center und nutzt dort die Suchfunktion. Ein Klick auf den „Update“-Button der angezeigt wird, sofern die aktuellste Version noch nicht installiert ist, wirft das Update an.

Quelle: Heise

Schadcode in weit verbreiteter JavaScript-Bibliothek UAParser.js entdeckt

In drei Versionen eines sehr verbreiteten NPM-Pakets namens UAParser.js wurde am Freitag Schadcode gefunden. UAParser.js dient in Apps und Websites unter anderem dazu, das genutzte System und den verwendeten Browser zu identifizieren. Ein Rechner, auf dem die genannte Software ausgeführt wird, könnte Angreifern Zugriff auf vertrauliche Informationen gewähren oder ihnen erlauben, die Kontrolle über das System zu übernehmen. Offenbar dient der in diesem Fall eingeschleuste Schadcode dazu, auf dem Zielsystem einen Miner für Kryptowährung zu installieren. Der Entwickler von UAParser.js, ein Programmierer aus Indonesien, der seine Software unter dem Namen faisalman veröffentlicht, hatte in seinem Gitmemory-Profil mitgeteilt, dass die Software durch Schadcode verändert wurde. Die Website zu UAParser.js meldet für die vergangenen Woche fast 8 Millionen Downloads. Am Freitagabend gab die US-amerikanische Sicherheitsbehörde Cybersecurity & Infrastructure Security Agency (CISA) eine Sicherheitswarnung zu dem Vorfallheraus, die auf die GitHub Advisory Database verweist. In der GitHub Advisory Database werden drei mit Schadcode versehene Versionen des Pakets ua-parser-js genannt: 0.7.29, 0.8.0 und 1.0.0. Anwender, die diese Versionen auf ihrem System haben, sollten umgehend Updates installieren (0.7.30, 0.8.1, 1.0.1) und ihre Systeme auf verdächtiges Verhalten untersuchen. Auch wenn der Schadcode vom System entfernt worden sei, gebe es keine Garantie, dass alle durch die vorübergehende Einrichtung der Malware entstandenen Schäden damit behoben seien, so die Warnung in der Database. Die NPM-Plattform ist seit Anfang 2020 Teil von GitHub, dem weltweit größten Repository von Entwicklerprojekten. 2018 hatte Microsoft Github für rund 7,5 Milliarden US-Dollar gekauft. Als GitHub 2020 den Paketmanager übernahm, ging die Plattform damit also in den Besitz von Microsoft über. GitHub-CEO Nat Friedmann erklärte nach der Übernahme, dass Microsoft so in den Besitz des „größten Entwickler-Ökosystems der Welt“ gelangt sei. Der Service umfasst weit mehr als eine Million Pakete und verzeichnet monatlich ungefähr 75 Milliarden Downloads durch rund 12 Millionen Entwickler.

Quelle: Heise

Cisco: Schwachstelle in IOS XE (SD-WAN) macht mehrere Produkte angreifbar

Frisch veröffentlichte Versionen von Ciscos Betriebssystem IOS XE sollen eine Sicherheitslücke schließen, von der ein hohes Risiko ausgeht (CVSS-Score 7.8/“High“). Ein authentifizierter lokaler Angreifer mit „normalen“ Zugriffsrechten könnte auf bestimmten Geräten, auf denen IOS XE SD-WAN als Standalone-Version oder aber eine verwundbare Version des „universellen“ IOS XE im sogenannten „Controller Mode“ läuft, beliebige Befehle mit Root-Rechten ausführen.

Die Sicherheitslücke CVE-2021-1529 fußt auf einer mangelhaften Validierung von Kommandozeileneingaben. Grundsätzlich angreifbar können laut Cisco folgende Geräte sein:

  • 1000 Series Integrated Services Routers (ISRs)
  • 4000 Series ISRs
  • ASR 1000 Series Aggregation Services Routers
  • Catalyst 8000 Series Edge Platforms
  • Cloud Services Router (CSR) 1000V Series

Ciscos Security Advisory zu CVE-2021-1529 nennt verwundbare und abgesicherte Versionen von IOS XE. Wer noch IOS XE SD-WAN als Standalone-Software nutzt, sollte laut Cisco auf ein aktuelles IOS XE umsteigen, in das die SD-WAN-Komponente mittlerweile integriert wurde. Verwundbare Universal Releases von IOS XE sind grundsätzlich nur im Controller Mode angreifbar. Wie man herausfindet, ob dieser Modus aktiviert ist, erklärt Cisco im Advisory. Gleichzeitig mit dem hier beschriebenen Advisory hat Cisco noch weitere aktuelle Sicherheitshinweise veröffentlicht. Sie widmen sich Lücken mit „Medium“-Einstufung und sind in Ciscos Security Center zu finden.

Quelle: Heise

Oracle: „Critical Patch Update“ liefert Übersicht über teils kritische Lücken

Ganze 419 Security-Patches führt das kürzlich erschienene „Oracle Critical Patch Update Advisory“ auf. Quer durch Orcales Produktportfolio wurden zahlreiche Sicherheitslücken geschlossen, die in mehreren Fällen mit einem CVSS-Score nahe der 10, also als „kritisch“, bewertet wurden. Nicht alle im Advisory thematisierten Lücken sind „frisch veröffentlicht“. Vielmehr handelt es sich um eine vierteljährliche Zusammenfassung, die zudem auch Sicherheitsprobleme in Drittanbieterkomponenten thematisiert. Dennoch ist es für Admins ratsam, den eigenen Update-Status mit dem Advisory abzugleichen. Eine Übersicht über sämtliche Produkte, für die Patches verfügbar sind, steht am Anfang des Advisories. Sie sind mit den jeweils relevanten Schwachstellen-Beschreibungen im Dokument verlinkt und verweisen außerdem auf separate „Patch Availability“-Dokumente. Für den Zugriff auf letztere ist ein Log-in in den Oracle-Kundenaccount erforderlich.

Wie gewohnt hat Oracle parallel zu seinem produktübergreifenden Advisory auch separate Sicherheits- und Updatehinweise für das Solaris-Betriebssystem, für Oracle Linux sowie für VM Server for x86 veröffentlicht. Eine Übersichtsseite führt aktuelle und frühere Advisories auf und nennt außerdem die Termine für kommende Critical Patch Updates. Das nächste ist am 18. Januar 2022 zu erwarten.

Quelle: Heise

Chrome: Browser-Update auf Version 95 beseitigt mehrere Sicherheitslücken

Am gestrigen Dienstag hat das Chrome-Entwickler-Team die Version 95 des beliebten Browsers für den Desktop (Linux, Windows, macOS) veröffentlicht. In einer entsprechenden Ankündigung wies es zudem auf eine ganze Reihe von Schwachstellen hin, die mit der Aktualisierung auf Chrome 95.0.4638.54 für den Desktop beseitigt wurden. Von fünf der Schwachstellen soll ein hohes Risiko ausgehen; die übrigen wurden mit „Low“ bis „Medium“ bewertet. Insgesamt umfasst das Update laut Google 19 Security-Fixes. Es soll in den kommenden Tagen und Wochen an bestehende Browser-Installationen verteilt werden. Wie gewohnt nennt Googles Hinweis zum Stable Channel-Update für den Desktop kaum Details zu den Schwachstellen oder zu Möglichkeiten, diese auszunutzen. Um Angriffen vorzubeugen, folgen nähere Informationen erst dann, wenn die meisten Nutzer das Update erhalten haben. Der Chromium-basierte Edge von Microsoft hat die aktuellen Schwachstellen-Fixes übrigens noch nicht bekommen: Laut den „Release Notes for Microsoft Edge Security Updates“ wurde der Browser zuletzt am 11. Oktober mit Sicherheitsupdates versorgt. Neben der verbesserten Sicherheit birgt die neue Chrome-Version auch einige funktionale Neuerungen, die Google demnächst in Einträgen in den Chrome- und Chromium-Blogs zusammenfassen will. Unter anderem wurde mit Chrome 95 die Unterstützung des unsicheren und nur noch wenig genutzten File Transfer Protocol (FTP) endgültig gekappt und der entsprechende Code aus der Codebasis entfernt. Die Beendigung des FTP-Supports war bereits Anfang des Jahres mit Chrome 88 eingeleitet worden. Neuerungen, die sich mit Chrome 95 für Entwickler ergeben, ist die Übersichtsseite „What’s New In DevTools“ gewidmet. Für mobile Geräte stehen Chrome 95-Varianten für Android und iOS (95.0.4638.50) bei Google Play beziehungsweise in Apples App Store bereit. Die neuen Versionen sollen laut dem Chrome-Team vor allem Verbesserungen in puncto Stabilität und Performance mitbringen.

Quelle: Heise

Acer-Server in Indien und Taiwan gehackt

Hardwarehersteller Acer ist erneut Opfer von Hacker-Angriffen geworden. Die Täter sind Anfang Oktober zunächst in Acer-Server in Indien eingedrungen und haben dort Kunden- und Firmendaten erbeutet. Nur wenige Tage später konnten sich dieselben Hacker Zugang zu Acer-Rechnern in Taiwan verschaffen. Dort wurden wohl „nur“ Mitarbeiterdaten gestohlen. Acer hat den Einbruch in seine Systeme gegenüber PrivacyAffairs bestätigt. Demnach hat das Unternehmen umgehend Sicherheitsmaßnahmen eingeleitet und möglicherweise betroffene Kunden in Indien informiert. Die Angriffe wurden den lokalen Behörden gemeldet. Wesentliche Auswirkungen auf den Geschäftsbetrieb gibt es laut Acer keine. Nach eigenen Angaben ist die Desorden-Bande für die Angriffe auf Acer sowohl in Indien als auch Taiwan verantwortlich. Von den indischen Servern wurden demnach 60 GByte an Kunden- und Unternehmensdaten gestohlen. Als Beleg veröffentlichte die Gruppe in einem einschlägigen Forum einen Auszug. Daten über Millionen weiterer Acer-Kunden in Indien seien gegen Gebühr erhältlich. In Taiwan, dem Heimatland des Hardwareherstellers, haben die Täter Daten über Mitarbeiter Acers an sich gebracht. Das hat Desorden ZDNet erzählt. Acer bestätigt, dass die gehackten taiwanischen Server keine Kundendaten enthielten. Die Desorden-Bande schmäht Acers unzulässige IT-Sicherheit. Dadurch seien Daten ungeschützt und das globale Server-Netzwerk anfällig. Dies habe die Gruppe unter Beweis stellen wollen. Außerdem seien weitere Acer-Server wie etwa in Malaysia und Indonesien ebenfalls anfällig. Acer ist bereits im März Opfer eines Hackerangriffs geworden. Damals verlangte die „REvil“-Gruppe von Acer 50 Millionen US-Dollar Lösegeld nach einem Ransomware-Befall. Dabei wurden nicht nur Systeme des Unternehmens verschlüsselt, sondern auch Dokumente abgezogen. Es ist unklar, ob Acer das Lösegeld bezahlt hat.

Quelle: Heise

Datenleck bei Modern Solution: Hausdurchsuchung statt Bug Bounty

Nachdem ein unabhängiger Programmierer ein Datenleck bei einem Dienstleister für den Online-Handel publik gemacht hatte, erhielt er Besuch von der Polizei. Am 15. September wurde seine Wohnung in Nordrhein-Westfalen durchsucht und sein gesamtes Arbeitsmaterial beschlagnahmt. Das betroffene Unternehmen Modern Solution, das sich nach derzeitigen Erkenntnissen zumindest grobe Fahrlässigkeit vorwerfen lassen muss, blockt ab und will sich gegenüber heise Security nicht äußern. Modern Solution bietet Händlern aller Art an, ihre Warenwirtschafts-Systeme an die Online-Marktplätze großer Firmen wie Otto, Kaufland und Check24 anzubinden, damit sie ihre Waren dort anbieten können. Im Regelfall findet eine solche Anbindung über eine lokale Software statt, die sich mit dem Warenwirtschaftssystem des Händlers verbindet und Informationen mit den Servern des Marktplatzes austauscht. Im Normalfall sollte das über zugangsgeschützte APIs erfolgen. Im Juni hatte der IT-Experte, dessen Identität heise Security bekannt ist, eigenen Angaben zufolge beim Troubleshooting für einen Kunden von Modern Solution entdeckt, dass dieser Datenaustausch bei Modern Solution über eine im Klartext einsehbare SQL-Verbindung lief und die Zugangsdaten fest in der Software verankert waren. Dadurch waren die Daten von mehr als 700.000 Endkundeneinsehbar – und das offenbar schon über längere Zeit. Der in der E-Commerce-Community bekannten Blogger Mark Steier riet dem Programmierer, seinen Fund zunächst dem Unternehmen zu melden. Am folgenden Morgen meldete der Experte die Lücke an Modern Solution mit einer Frist zur Behebung der Sicherheitsprobleme innerhalb von drei Tagen. Dabei sei er recht schroff abgewiesen worden, erzählt der Programmierer im Gespräch mit heise Security: Modern Solution habe abgestritten, dass es eine Lücke gebe. Nachdem der Dienstleister im Anschluss allerdings die verwundbaren Systeme vom Netz genommen hatte, habe er sich entschlossen, den Vorfall öffentlich zu machen und wandte sich erneut an Steier. Auch ihm gegenüber habe Modern Solution bestritten, dass es eine Sicherheitslücke in den eigenen Systemen gebe. Beide berichten allerdings, dass das Unternehmen offenbar den betroffenen Server vom Netz genommen hatte. Da die Sicherheitslücke nun beseitigt war, entschlossen sich Programmierer und Blogger, die Öffentlichkeit schnell zu informieren. Steier fragte noch einmal bei Modern Solution nach einer Stellungnahme, wurde abgewiesen, und veröffentlichte dann einen ausführlichen Blog-Eintrag. Dieser Artikel ging am 23. Juni online, demselben Tag, an dem der Programmierer Modern Solution und Steier informiert hatte. Über die Geschwindigkeit der Veröffentlichung lässt sich streiten. Der IT-Experte und Blogger Steier gingen am selben Tag an die Öffentlichkeit, an dem sie Datenleck und Lücke an den Hersteller und die zuständigen Datenschutzbehörden gemeldet hatten. Erfahrene Sicherheitsforscher und Journalisten lassen Firmen in der Regel mehr Zeit, sich zu dem Sachverhalt zu äußern. Hat Modern Solution die beiden allerdings so schroff abgewiesen, wie der Programmierer dies gegenüber heise Security zu Protokoll gab, ist davon auszugehen, dass keine konstruktive Zusammenarbeit gewünscht war. So ungeschickt das Timing der beiden wirken mag, rein technisch haben sie die Grundregel der Responsible Disclosure eingehalten: Die Lücke war zu dem Zeitpunkt, an dem sie die Öffentlichkeit informiert haben, offenbar schon geschlossen. Und bei über 700.000 betroffenen Endkunden bleibt auch kein Zweifel daran, dass ein öffentliches Interesse an dem Fall angenommen werden konnte. In einer Stellungnahme gegenüber Steier bezeichnet Modern Solution den Programmierer als „ethischen Hacker“ – in Anführungszeichen. Doch statt Dank für die Entdeckung eines für 700.000 Endkunden potenziell katastrophalen Datenlecks bekommt der Programmierer richtig Ärger mit den Behörden. Am 15. September steht ein Durchsuchungskommando des Kriminalkommissariats 22 der Polizei Aachen vor der Tür. Die Beamten gaben sich nach Schilderung des Programmierers als Paketboten aus, verschafften sich Zugang zur Wohnung und drückten ihn an die Wand. Die Polizei beschlagnahmte einen PC, fünf Laptops, ein Mobiltelefon und fünf externe Speichermedien – das gesamte Arbeitsgerät des Programmierers. Laut dem Durchsuchungsprotokoll, das heise Security vorliegt, wird dem IT-Experten „ua. Ausspähen von Daten“ vorgeworfen – ein Verweis auf den sogenannten Hackerparagraph 202a StGB. Wer die Anzeige erstattet hat, ist uns nicht bekannt. Die Polizei Aachen verweist auf die Staatsanwaltschaft Köln, die Durchsuchung und Beschlagnahmung veranlasst hatte. Die Staatsanwaltschaft bestätigt unsere Informationen zu Tatbestand und Durchsuchung. Die Auswertung der sichergestellten Datenträger dauere noch an, erklärte die Justizbehörde auf Anfrage. Warum im September die Wohnung des Programmierers nach Spuren durchsucht werden musste, wenn der Sachverhalt sowie die Sicherheitslücke seit Juni öffentlich gut dokumentiert waren, beantworten die Behörden nicht. Modern Solution selbst will sich gegenüber heise Security offenbar gar nicht zu der Sachlage äußern: Eine entsprechende Anfrage blieb gänzlich unbeantwortet. Allein der Programmierer und Blogger Steier waren bereit, mit uns konstruktiv zu sprechen. Der Fall erinnert an ähnliche Vorgänge im August, als gegen die Programmiererin Lilith Wittmann ein Strafverfahren eingeleitet wurde, weil sie eklatante Sicherheitslücken in der Software CDUconnect öffentlicht gemacht hatte. Die CDU zog ihre Anzeige zurück, nachdem es viel politischen Druck in diese Richtung gegeben hatte und das Verfahren wurde schließlich eingestellt, weil der Hackerparagraph in diesem Fall nicht anwendbar sei. Als Begründung dazu hieß es zu dieser Zeit in Unterlagen der Staatsanwaltschaft Berlin: „Die Daten waren somit nicht vor einem unberechtigten Zugriff geschützt und aus technischer Sicht öffentlich abrufbar.“ Die Kölner Kollegen sollten das aufmerksam lesen.

Quelle: Heise

Argentinien: Angeblich komplette Ausweis-Datenbank bei Hack abgegriffen

Eine unbekannte Person hat Argentiniens Personenregister gehackt und nach eigenen Angaben zu allen Bürgern und Bürgerinnen des Landes den vollen Namen, die Wohnanschrift, den Geburtstag, die Geschlechtsangabe und verschiedene Ausweisdaten. Das Innenministerium hat den illegalen Zugriff bereits vor einigen Tagen eingestanden, aber versichert, dass weniger als zwei Dutzend Datensätze abgegriffen worden seien. Das Onlinemagazin The Record berichtet jedoch, dass die unbekannte Person nach eigenen Angaben in Besitz der vollständigen Datenbank ist – ohne jedoch zu sagen, wie viele der rund 45 Millionen Einwohner:innen des südamerikanischen Landes darin enthalten sind. Gegenwärtig würden die Daten in einschlägigen Onlineforen zum Verkauf angeboten. Argentiniens Regierung hatte am 13. Oktober eingestanden, dass mithilfe eines gestohlenen Passworts unerlaubte Zugriffe auf das Nationale Personenregister (Renaper) gegeben habe. Dort werden nicht nur die Daten für die Ausweise digital zusammengetragen, auf die Datenbank können außerdem anderen Behörden zugreifen, erläutert The Record. Wenige Tage vor dem Eingeständnis der Regierung hatte ein – inzwischen gesperrter – Twitter-Account namens @AnibalLeaks sensible Personendaten zu mehreren Dutzend Personen, darunter auch Prominente, veröffentlicht. Ein IT-Sicherheitsteam habe versichert, dass die veröffentlichten Bilder genau zu jener Zeit aus der Datenbank abgerufen worden seien. Ein darüber hinaus gehendes unbefugtes Eindringen habe es nicht gegeben. Es sei Strafanzeige erstattet worden. Der Versicherung der Regierung, dass sich die Angelegenheit damit erledigt habe, widerspricht die Person hinter dem Hack gegenüber The Record. Sie hat demnach noch Zugriff auf die Daten und habe das durch die Übermittlung einer erfragten Ausweisnummer belegt. „Vielleicht werde ich in ein paar Tagen [die Daten] von ein oder zwei Millionen Leuten veröffentlichen“, habe sie ergänzt. Bestätigt hat sie demnach aber zumindest, dass die Zugangsdaten über einen unvorsichtigen Regierungsangestellten erbeutet wurden. Laut The Record wurde bereits kurz nach Veröffentlichung der Promi-Daten in einem Hacking-Forum angeboten, Daten zu beliebigen Argentinier:innen weiterzugeben. Vorhanden seien alle Daten, um einen falschen Ausweis zu erstellen.

Quelle: Heise

Cyberangriff: Stadtverwaltung Witten online nicht erreichbar

Die Verwaltung der Ruhrgebietsstadt Witten ist nach einem Cyberangriff nicht mehr erreichbar. Am vergangenen Wochenende seien die technischen Systeme angegriffen worden, teilte die Stadtverwaltung auf ihrer Website mit. „Durch den Angriff sind die städtischen Systeme der Stadt Witten massiv eingeschränkt. Als Folge ist unter anderem die Stadtverwaltung derzeit weder per E-Mail noch telefonisch zu erreichen.“ Auch die Termine in der Bürgerberatung, beim Standesamt und den weiteren Ämtern werden voraussichtlich auch in den nächsten Tagen davon betroffen sein, heißt es aus Witten. Ebenfalls betroffen seien das Kulturforum Witten, Stadtmarketing Witten, die VHS und der Stadtsportverband Witten. Etwa 1000 Computerarbeitsplätze seien betroffen, heißt es in Medienberichten. Der Notruf 112 und „die Angebote der Daseinsvorsorge aber funktionieren: dazu zählen etwa Strom, Gas und Wasser“, da die Stadtwerke nicht gehackt wurden, wie die Stadtverwaltung erläutert. Feuerwehr und Rettungsdienst seien ebenfalls erreichbar, die Kitas blieben geöffnet, die Müllabfuhr fahre, der Kommunale Ordnungsdienst sei unterwegs. Die Polizei Bochum und Staatsanwaltschaften ermitteln. Aus ermittlungstaktischen Gründen könne sich weder die Stadt Witten noch die Polizei zu weiteren Details äußern. Es werde mit Hochdruck daran gearbeitet, die Probleme zu beheben. Die Stadt habe das Landeskriminalamt, Experten der Sicherheitsbehörden und externe Dienstleister hinzugezogen, um die Ursachen zu analysieren und das Problem möglichst zügig zu lösen. Von Cyberangriffen betroffen waren dieses Jahr bereits unter anderem die Stadtverwaltungen Anhalt-Bitterfeld und Geisenheim, auch das Klinikum in Wolfenbüttel war betroffen. Schadsoftware war in die Systeme eingedrungen und hatte nachhaltige Schäden angerichtet. Anhalt-Bitterfeld hatte am 9. Juli den deutschlandweit ersten Cyber-Katastrophenfall ausgerufen, eine Lösegeldforderung der Angreifer hatte die Stadt abgelehnt. Ob Witten ebenfalls von einem Erpressungstrojaner betroffen ist, wurde noch nicht bekannt. Erst vor wenigen Tagen gab es einen Angriff auf die Stadt Schwerin und den benachbarten Landkreis Ludwigslust-Parchim.

Quelle: Heise

WordPress: Beliebtes Plugin „WP Fastest Cache“ braucht dringend ein Update

Das Plugin WP Fastest Cache zur Optimierung der Ladezeiten von WordPress-Websites bot Angriffsmöglichkeiten für Cross-Site-Scripting (XSS) und SQL Injection. Für die mehr als eine Million Nutzer des Cache-Plugins steht ein Update bereit: WP Fastest Cache 0.9.5 beseitigt die in allen früheren Versionenvorhandenen Sicherheitsprobleme. Wer das Plugin noch nicht aktualisiert hat, sollte dies möglichst zügig nachholen. Die Entdecker der Schwachstellen stufen das Sicherheitsrisiko als „hoch“ bis „kritisch“ ein. Die abgesicherte Version ist seit vergangener Woche auf der Download-Site von WP Fastest Cache verfügbar. Ein Blogeintrag der Firma Jetpack nennt Details zu den beiden Schwachstellen, die seltsamerweise ein und dieselbe CVE-ID (CVE-2021-24869), jedoch unterschiedliche Beschreibungen und CVSS-Scores (7.7/“High“ bzw. 9.6/“Critical“) aufweisen. Der Score 7.7 bezieht sich auf eine Möglichkeit der SQL-Injection, die allerdings nur unter bestimmten Voraussetzungen besteht: Der Angreifer muss als „normaler“ Nutzer angemeldet sein und in der angegriffenen WP-Installation muss zugleich auch das Plugin „Classic Editor“ installiert sein. Sind diese Voraussetzungen gegeben, ist das Abgreifen sensibler Daten wie etwa Nutzernamen in Kombination mit Passwort-Hashes denkbar. Die mit 9.6 bewertete Angriffsmöglichkeit besteht auch ohne solche Einschränkungen, erfordert allerdings eine Nutzerinteraktion mit der Website: Im Zuge eines so genannten Cross-Site-Request-Forgery-Angriffs ist es möglich, beliebige Aktionen mit den Rechten des Admins auszuführen, der während des Angriffs angemeldet war. Zudem könnte der Angreifer dauerhaft schädlichen Code in die betreffende Website einschleusen, der später beispielsweise für „Stored XSS“-Angriffe verwendet werden kann.

Quelle: Heise

Smishing: BSI warnt vor neuen Betrugsmaschen bei SMS-Phishing

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) verweist auf neue Betrugsmethoden bei den laufenden „Smishing“-Wellen (SMS-Phishing). Generell geht es Angreifern dabei darum, mithilfe gefälschter Kurzmitteilungen Zugangsdaten etwa zum Online-Banking und anderen Nutzerkonten zu ergattern. Seit Herbst gaukeln die Täter dabei dem BSI zufolge Nutzern immer öfter vor, eine zunächst nicht zustellbare Sprachnachricht („Voicemail“) empfangen zu haben oder dass das Smartphone bereits mit einem Schadprogramm infiziert sei. Hinter dem Link aus der Mitteilung befindet sich dann eine Anleitung zum Download der Sprachnachricht beziehungsweise eines angeblichen Sicherheitsupdates. „Erst wer diese Dateien herunterlädt, installiert die Schadsoftware der Betrüger“, warnt das BSI. „Klicken Sie nicht auf enthaltene Links“, mahnt das Amt. „Laden Sie keine Dateien aus unbekannter Quelle herunter. Löschen Sie die verdächtige SMS-Nachricht unverzüglich.“ Im Frühjahr gaben die Angreifer häufig vor, dass die Empfänger der SMS bald ein Paket erhielten oder eine Sendung zurück an den Absender gehen solle. Auch damals schlug das BSI Alarm. Damals handelte es sich den Experten zufolge um das Android-Botnetz MoqHao. Diese Methode sei in Deutschland verwendet worden, um weitere Android-Schadsoftware wie „FluBot“ und „TeaBot“ zu verbreiten. Offenbar verfängt diese Masche nach dem Ende des Corona-Lockdowns aber immer weniger. Mit der Neuausrichtung fallen laut dem BSI parallel zunehmend Smishing-Mitteilungen auf, in denen den Empfängern vorgetäuscht werde, dass ihre privaten Fotos ins Internet gewandert seien. Auch hier soll sich eine Schadsoftware auf dem Handy befinden. „Damit üben die Täter Druck aus“, moniert die Behörde. Sie versuchten die Nutzer so ebenfalls dazu zu bewegen, ein vermeintliches Sicherheitsupdate zu installieren. Auch in diesem Fall führe der Download zur Infektion des Systems. Zwar haben die deutschen Mobilfunkprovider Filtermaßnahmen ergriffen, um den Versand von „Smishing-SMS“ zu unterbinden, erläutert das BSI. Diese könnten aber keinen vollständigen Schutz bieten, da die Angreifer ständig gegensteuerten. So sei seit Kurzem zu beobachten, „dass die Nachrichten manchmal absichtliche Buchstabendreher, Schreibfehler oder zufällige Zeichenketten enthalten“, um die Spamfilter der Betreiber zu umgehen. Betroffenen, die auf einen einschlägigen Link geklickt oder sogar bereits einen Trojaner installiert haben, rät die Behörde weiterhin, das Gerät in den Flugmodus zu schalten. Danach sollten der Provider informiert und etwa das Bankkonto auf ungewöhnliche Abbuchungen überprüft werden. „Erstatten Sie Strafanzeige bei der örtlichen Polizeidienststelle“, empfiehlt das BSI ferner. „Nehmen Sie dazu Ihr Smartphone zur Beweissicherung mit.“ Im Anschluss sollte das Gerät auf die Werkeinstellungen zurückgesetzt werden. Alle gespeicherten und installierten Daten gingen dabei zwar verloren. Der Schritt sei aber nötig, „um die über die aktuellen SMS-Spam-Nachrichten verteilten Android-Schadprogramme vollständig zu entfernen“.

Quelle: Heise

Ransomware legt Verwaltung von Schwerin und benachbartem Landkreis lahm

In Schwerin und dem angrenzenden Landkreis Ludwigslust-Parchim hat offenbar ein Verschlüsselungstrojaner weite Teile der öffentlichen Verwaltung lahmgelegt. Die Schadsoftware wurde in der vergangenen Nacht auf den Systemen des kommunalen Unternehmens KSM/SIS entdeckt, das die IT-Dienste für die Verwaltung der Landeshauptstadt Mecklenburg-Vorpommerns und den Landkreis sowie Versorgungsbetriebe stellt. In Schwerin tagt ein Krisenstab, die Sicherheitsbehörden wurden hinzugezogen. „Unser kommunale IT-Dienstleister KSM/SIS hat seit heute Nacht einen Angriff mit einer Schadsoftware registriert und musste daraufhin sämtliche IT-Systeme des Verbundes herunterfahren“, sagte der Schweriner Oberbürgermeister Rico Badenschier (SPD). Zu weiteren Einzelheiten machen die Verantwortlichen derzeit noch keine Angaben. Dafür sei es „zum derzeitigen Zeitpunkt zu früh“, sagte Badenschier. „Der Krisenstab der SIS/KSM wird alle notwendigen Maßnahmen einleiten und regelmäßig informieren.“ Der Angriff hat die Bürgerdienste der Stadt und des Landkreises weitgehend lahmgelegt. „Faktisch geht im Moment in den Häusern der Kreisverwaltung keine Dienstleistung“, erklärte der Landrat von Ludwigslust-Parchim, Stefan Sternberg (SPD), gegenüber dem NDR. Bürgerbüros und andere Einrichtungen wie die Kfz-Zulassungsstelle seien geschlossen. Auch andere kommunale Betriebe wie Verkehrsgesellschaft Ludwigslust-Parchim (VLP) seien betroffen. Feuerwehr und Rettungsdienste funktionierten aber weitestgehend normal. „Wir haben aus jetziger Sicht erstmal gar keinen Zugriff“, sagte Sternberg. Sämtliche Systeme seien heruntergefahren worden. Derzeit versuchen die Spezialisten, das Ausmaß des Schadens zu ermessen. „Wir müssen jetzt schauen, Server für Server, wo haben wir verschlüsselte Daten und wie sind die verschlüsselt.“ Das erfolge im Austausch mit der Polizei und weiteren Sicherheitsbehörden. Der Angriff auf den zentralen IT-Dienstleister der Kommunen lasse ein sehr gezieltes Vorgehen vermuten, erklärte der SPD-Politiker weiter. Eine Lösegeldforderung sei bisher noch nicht eingegangen. Offen ist, ob Daten abgeflossen sind. „Wir gehen nicht davon aus, dass wir ein Datenleck haben“, sagte Sternberg. Bisher sehe es so aus, „dass wir eine Software haben, die Programme verschlüsselt“. Noch gibt es keine Hinweise, welche Schadsoftware zum Einsatz gekommen ist. Allerdings könnte sich die Annahme des Landrats, dass keine Daten abgeflossen sind, noch als falsch herausstellen. Hinter solchen Ransomware-Attacken stecken oft koordinierte Teams von mehreren Angreifern, die sich in aller Ruhe auf den Zielsystemen umsehen und Daten kopieren, bevor sie die eigentliche Verschlüsselungssoftware auslösen. Anfang Juli war der Landkreis Anhalt-Bitterfeld Ziel einer Ransomware-Attackeund hatte den Katastrophenfall ausgerufen – bundesweit der Erste wegen eines Cyberangriffs. Der Katatrophenstatus soll so lange aufrechterhalten bleiben, bis das Netz wiederhergestellt ist. Der Fall zeigt auch, wie lange so ein Angriff nachwirken kann: In Anhalt-Bitterfeld ist man vorsichtig optimistisch, dass die Attacke bis Jahresende abgehakt sei.

Quelle: Heise

Junos OS: Angreifer könnten Admin-Sessions kapern

Um mögliche Attacken vorzubeugen, sollten Admins ihre Netzwerkgeräte auf Junos-OS- und Junos-OS-Evolved-Basis auf den aktuellen Stand bringen. Andernfalls könnten Angreifer Geräte lahmlegen oder sogar eigenen Code ausführen. Wie man den Meldungen in Junipers Sicherheitscenter entnehmen kann, ist keine der Lücken als kritisch eingestuft. Am gefährlichsten gilt eine XSS-Lücke (CVE-2021-31355 „hoch“), über die sich Angreifer persistent in Systemen einnisten könnten. Wie das im Detail funktionieren könnte, ist zurzeit nicht bekannt. Ist eine Attacke erfolgreich, könnten sie etwa Zugangsdaten von Admins-Sessions mitschneiden. Mehrere Lücken sind mit dem Bedrohungsgrad „hoch“ eingestuft. Dort könnten Angreifer beispielsweise für DoS-Attacken ansetzen oder Sicherheitsmechanismen umgehen. Dafür müssen sie aber oft authentifiziert sein. Davon sind mehrere unterschiedliche Ausgaben von Junos OS betroffen. Juniper hat eine Reihe von gegen solche Attacken gerüstete Junos-OS-Ausgaben veröffentlicht. Admins finden die verwundbaren und reparierten Versionen in den unterhalb dieser Meldung verlinkten Warnmeldungen. Liste nach Bedrohungsgrad absteigend sortiert:

Quelle: Heise

Datenleck bei 3D-Druckplattform Thingiverse

Eine Backupdatei der 3D-Druck-Plattform Thingiverse soll seit fast genau einem Jahr im Netz kursieren. In der 36 Gigabyte großen Datei seien rund 228.000 E-Mail-Adressen und weitere persönliche Daten, darunter schwach verschlüsselte Passwörter, so ein Bericht von Data Breach Today. Öffentlich gemacht hat das Leck Troy Hunt, der auf seinem Password-Prüfdienst HaveIBeenPwned nun die Möglichkeit bietet, die eigenen Thingiverse-Zugangsdaten zu überprüfen. Die Datei sei bereits am 13. Oktober 2020 im Hacker-Forum RaidForums veröffentlicht worden und seither verfügbar gewesen. Neben Daten zu 3D-Modellen seien laut seiner Analyse Usernamen, E-Mail- und IP-Adressen und physische Anschriften im Datenleck zu finden. Passwörter seien nur verschlüsselt enthalten – allerdings unsalted und mittels der Algorithmen bcrypt und SHA-1 verschlüsselt, die als unsicher gelten. Gina Häußge, Maintainerin der 3D-Drucker-Software Octoprint3D, rät daher zum sofortigen Passworttausch und lieferte auf Twitter auch gleich eine Anleitung dazu. Vom Betreiber der Plattform, 3D-Druckerhersteller Makerbot, gibt es bisher keine öffentliche Stellungnahme, so Data Breach Today. Der Thingiverse-Account sorgt derweil auf Twitter für weitere Verwirrung. Ein erster Tweet riet zum Update des Passworts und entschuldigte sich für die „Unannehmlichkeiten“. Die betroffenen Nutzer seien bereits informiert worden und der interne Fehler, der zum Leak der „nicht-sensiblen“ Daten führte, werde bereits angegangen. Einer späteren Klarstellung zu Folge bezog sich dies aber nur auf einen weiteren, kleineren Leak.

Quelle: Heise

VMware: Angreifer könnten Opfer auf von ihnen kontrollierte Websites umleiten

Angreifer könnten Systeme mit der Cloud-Managementlösung vRealize und vRealize Orchestrator attackieren. Dagegen abgesicherte Versionen sind erschienen. Nehmen Angreifer die drei nun geschlossenen Sicherheitslücken (CVE-2021-22036 „mittel“, CVE-2021-22035 „mittel“, CVE-2021-22033 „niedrig“) erfolgreich ins Visier, könnten sie Opfer unter anderem auf eine von ihnen kontrollierte Domain umleiten. Die Entwickler geben an, die Sicherheitsprobleme in vRealize Orchestrator 8.6,vRealize Automation 8.6 und vRealize Operations 8.6.0 gelöst zu haben. Die Patches für Cloud Foundation (vROps) und vRealize Suite Lifecylce Manager (vROps) stehen noch aus.

Quelle: Heise

Foxit sichert PDF-Software für Windows & macOS gegen Angriffe ab

Software-Hersteller Foxit hat unter der einheitlichen Versionsbezeichnung 11.1 neue Ausgaben von Foxit PDF Reader und PDF Editor für Windows sowie von deren macOS-Pendants veröffentlicht. Die Releases beseitigen eine ganze Reihe von Sicherheitslücken, die offenbar von externen Forschern entdeckt wurden. Den Schwachstellen-Auflistungen in Foxits Security-Bulletin-Bereich zufolge könnten Exploits unter anderem Denial-of-Service-Zustände zur Folge haben, unbefugte Informationszugriffe oder auch die Ausführung schädlichen Programms ermöglichen. Sowohl lokale als auch Remote-Angriffe seien möglich. Laut einem Advisory des DFN-CERT erfordert das Ausnutzen der Schwachstellen allerdings ausnahmslos „die Interaktion eines Benutzers“. Die Lücken stecken in

  • PDF Reader für Windows bis einschließlich Version 11.0.1.49938,
  • PDF Editor für Windows in den Versionen 11.0.1.49938, 11.0.0.49893, 10.1.5.37672 und früher sowie in
  • PDF Reader Mac /Editor Mac bis inklusive Version 11.0.1.0719.

Im Falle einer bereits bestehenden Installation kann man die Aktualisierung manuell über den Menüpunkt „Help“–> (eventuell mit Umweg über „About(…)“ –>) „Check for Updates“ in Reader oder Editor anstoßen. Die abgesicherten Software-Versionen stehen außerdem im Downloadbereich von Foxit Software bereit.

Quelle: Heise

Patchday: Intel bessert bei HAXM und SGX-SDK nach

Die von Intel zum „Patch Tuesday“ veröffentlichten Advisories sind diesen Monat überschaubar: Es handelt sich um zwei Veröffentlichungen, die insgesamt drei lokal ausnutzbare Sicherheitslücken mit Einstufungen von „Medium“ bis „High“ thematisieren. Software-Updates sind teils schon seit längerem verfügbar. Die mit „High“ bewertete Sicherheitslücke CVE-2021-0186 betrifft das SGX-Software Development Kit (SDK) und hier speziell Anwendungen, die für Prozessoren mit SGX2-Unterstützung kompiliert wurden. Sofern solche Anwendungen mit Intels SGX-SDK bis einschließlich v2.12 für Windows- oder bis einschließlich v2.13 für Linux-Systeme erstellt wurden, weisen sie Mängel bei der Validierung von Eingaben auf. Diese Mängel wiederum könnten von einem lokalen Angreifer zur Rechteausweitung missbraucht werden. Entwickler sollten auf neuere SDK-Versionen (mindestens 2.13 für Windows / 2.14 für Linux) umsteigen und ihre Anwendungen jeweils neu kompilieren. Zwei Lücken mit Medium-Einstufung stecken im Hardware Accelerated Execution Manager (HAXM), einem Hypervisor, der vor allem zur Beschleunigung von Android-Emulation und QEMU-VMs unter Windows und macOS verwendet wird. CVE-2021-0180 und CVE-2021-0182 könnten lokalen, unauthentifizierten Angreifern unter bestimmten Voraussetzungen das Ausweiten ihrer Rechte und das Abgreifen von Informationen ermöglichen. Angreifbar sind HAXM-Versionen vor 7.6.6. Nutzer sollten, sofern noch nicht geschehen, mindestens auf 7.6.6 umsteigen; aktuell ist Version 7.7.0, die schon seit Juni 2021 bei GitHub zum Download bereitsteht. Weitere Sicherheitslücken-Details sind Intels HAXM-Advisory beziehungsweise dem SGX SDK-Advisory zu entnehmen.

Quelle: Heise

Patchday: Angreifer attackieren Kernel-Lücke in Windows

Am Patchday im Oktober hat Microsoft Sicherheitsupdates für .NET Core, Dynamics, Edge, Exchange Server, Office, SharePoint, System Center Operations Manager, Visual Studio und verschiedene Windows-Versionen über die Windows-Update-Funktion bereitgestellt. Drei Sicherheitslücken sind bereits öffentlich bekannt. Ein Lücke nutzen Angreifer derzeit aktiv aus. Bei der ausgenutzten Lücke handelt es sich um eine Schwachstelle (CVE-2021-40449 „hoch“) im Kernel-Modul Win32k. Davon sind Windows 7, 8.1, 10 und einige Windows-Server-Versionen betroffen. Von den Attacken sind den Entdeckern der Lücke von Kaspersky zufolge primär Diplomaten, IT-Firmen und Militär-Einrichtungen betroffen. Wie Attacken im Detail ablaufen, ist bislang unbekannt. Sind Angriffe erfolgreich, sollen sich Angreifer höhere Nutzerrechte aneignen können und den MysterySnail-Trojaner auf Systemen installieren. Darüber sollen sie dann Fernzugriff auf Computer haben. Die drei öffentlich bekannten Lücken betreffen den Windows-Kernel (CVE-2021-41335 „hoch“) Windows DNS Server (CVE-2021-40469 „hoch“) und Windows AppContainer Firewall (CVE-2021-41338 „mittel“). Setzen Angreifer an diesen Stellen erfolgreich an, könnten sie Sicherheitsmechanismen umgehen, sich erhöhte Nutzerrechte verschaffen oder sogar Schadcode aus der Ferne ausführen. Durch die öffentliche Bekanntheit der Lücken könnten Angriffe kurz bevorstehen. Als „kritisch“ stuft Microsoft zwei Lücken in Hyper-V und eine in Word ein. In allen Fällen könnte nach erfolgreichen Attacken Schadcode auf Computern landen. Im Fall von Word muss ein Angreifer ein Opfer dazu bringen, ein präpariertes Word-Dokument zu öffnen. Dafür soll die Vorschau-Funktion ausreichen. Eine weitere als kritisch eingestufte Schwachstelle (CVE-2021-26427) betrifft Exchange Server und könnte zu Remote Code Execution führen. Attacken sollen aber nicht über das Internet möglich sein, betont Microsoft. Lücken dieser Art haben typischerweise heftige Auswirkungen, wie die Schlagzeilen in den vergangenen Monaten zu Attacken auf Exchange Server zeigen. Die Lücke hat die NSA an Microsoft gemeldet. Das ist eigentlich genau die Art von Bug, welche die NSA normalerweise ausnutzen würde, um selbst in fremde Server einzusteigen. Warum sie es diesmal vorgezogen hat, die Lücke bei Microsoft zu melden, lässt Raum für Spekulationen. Unter anderem eine Schwachstelle (CVE-2021-40454 „mittel“) in Rich Text Edit gefährdet Windows 11. Wie eine Attacke aussehen könnte, ist bislang unklar. Als Ergebnis könnten Angreifer im Speicher auf Passwörter im Klartext zugreifen. Weitere Information zu den geschlossenen Sicherheitslücken listen die Sicherheitsforscher von Trend Micro in einem Blogbeitrag auf.

Quelle: Heise

Patchday: Adobe schließt kritische Schadcode-Lücken

Wichtige Sicherheitspatches im Oktober schließen mehrere Lücken im Software-Portfolio von Adobe. Einige Schwachstellen sind als „kritisch“ eingestuft. So eine Lücke (CVE-2021-40744) betrifft etwa Campaign Standard unter Linux und Windows. Nach erfolgreichen Attacken könnte Code von Angreifern auf Computern landen. Adobe gibt an, die Version 21.3.1 dagegen gerüstet zu haben. Adobe ops-cli ist ebenfalls von einer Schadcode-Lücke betroffen. Für alle Plattformen ist die abgesicherte Ausgabe 2.0.5 erschienen. Wer Connect nutzt, sollte die gegen Remote-Code-Execution-Attacken geschützte Version 11.2.3installieren. Durch mehrere Schwachstellen in Acrobat und Reader könnten ebenfalls Schadcode auf Computer gelangen. Für macOS und Windows sind reparierte Ausgaben Acrobat DC 21.007.20099, Acrobat 2020 20.004.30017 und Acrobat 2017 17.011.30204 erschienen. Für Android gibt es die aktuelle Version 21.9.0. Durch das erfolgreiche Ausnutzen einer Sicherheitslücke in Commerce könnten Angreifer Sicherheitsmechanismen umgehen. Abhilfe schaffen hier Commerce und Magento Open Source 2.4.3-p1 und 2.3.7-p1.

Quelle: Heise