Das NTP Protokoll (Network Time Protocoll) weist gravierende Schwachstellen auf. Mit Pufferüberläufen lassen sich NTP Pakete so manipulieren dass Code mit den Berechtigungen des NTP Services auf dem Server ausgeführt werden können. Entsprechende Updates wurden bereits in einigen Distributionen veröffentlicht >> Details
Die bereits seit längerem bekannte Lücke im Slider Revolution Plugin ist immer noch auf vielen Sites vorhanden – ein neuer Angriff zielt auf entsprechende Webseiten. Der Angriff heisst SoakSoak weil er Code von soaksoak .ru lädt, anschliessend liest er Informationen über den Webserver aus und greift Webseiten und User an. Slider Revolution sollte mindestens auf … Read more
Eine Schwachstelle im Design der SSL V3 Verbindung erlaubt Angreifern den Inhalt von SSL V3 Verbindungen zu entschlüsseln. SSL V3 ist 18 Jahre alt, wird aber immer noch breit unterstützt. Auch wenn neuere Protokolle zur Verfügung stehen ist oft SSL V3 als Fallback implementiert, Angreifer können also TLS Verbindungen stören um einen Fallback zu SSL V3 … Read more
Lassen Sie Ihre Website(n) jetzt testen und erfahren Sie ob die Website oder Ihr Web Hosting anbieter anfällig ist auf Shellshock oder Bash Bug. Falls Ihre Website anfällig ist können Hacker beliebige Kommandos auf Ihrer Website ausführen – und somit Ihre Website abändern oder von Ihrer Website aus andere Webseiten angreifen. Auch der Versand von … Read more
In den Web-Browsern Chrome und Firefox kann eine Schwachstelle in der Sicherheitsbibliothek ausgenutzt werden, um RSA-Zertifikate zu fälschen. Angreifer konnten so eine sichere Verbindung mit Websites vortäuschen obwohl eigentlich die Website der Angreifer aufgerufen wird. Google und Mozilla haben heute Updates für ihre Browser veröffentlicht. Details bei mozilla.org
“Shellshock” (CVE-2014-6271) soll so gefährlich wie “Heartbleed” sein – oder gefährlicher. Viele Linux Distributionen haben heute bereits ein Update veröffentlicht dass die Lücke schliessen soll. Wenn Sie selbst über ein Unix oder Linux System – oder einen Mac Computer – können Sie einfach testen ob Ihr System angreifbar ist: geben Sie dazu auf der Kommandozeile … Read more
Das Open Crypto Audit Project (OCAP) hat via Github.com Truecrypt 7.1a zum Download veröffentlicht. Das OCAP ist ein Team bekannter Sicherheitsexperten, das die Verschlüsslungssoftware seit längerem einer detaillierten Prüfung unterzieht. Bisher wurden keine gravierenden Mängel entdeckt. Vor kurzem gaben die unbekannten Truecrypt-Macher bekannt, das Projekt nicht weiterzuverfolgen. Eine detaillierte Begründung lieferten sie nicht. Es wurde deshalb spekuliert, ein … Read more
Die internationale Cyberkriminalität führt weltweit zu Schäden von rund 330 Milliarden Euro pro Jahr. Das ergab eine Studie des Center for Strategic and International Studies. Die Verluste machen etwa fünf bis acht Prozent des weltweiten Bruttoinlandsproduktes aus. Dabei handele es sich gemäss den Autoren der Studie um eine Schätzung. Man schliesse jedoch nicht aus, dass … Read more
Der Heartbleed-Bug ist ein schwerwiegender Programmfehler in älteren Versionen der Open-Source-Bibliothek OpenSSL, durch den über verschlüsselte TLS-Verbindungen private Daten von Clients und Servern ausgelesen werden können. Der Fehler betrifft die OpenSSL-Versionen 1.0.1 bis 1.0.1f und wurde mit Version 1.0.1g am 7. April 2014 behoben. Ein großer Teil der Internetdienste, darunter auch namhafte Websites wie auch VoIP-Telefone, Router und Netzwerkdrucker waren dadurch für Angriffe anfällig. Beim Einsatz von … Read more
Schon lange ist eigentlich bekannt dass RSA Verschlüsselungsprodukte eine Backdoor – abgesprochen mit der NSA – aufweisen. Dies wurde nun von offizieller Seite bestätigt, eine Erklärung warum aber offensichtlich unsichere Verschlüsselungsprodukte über Jahre weiter verkauft wurden gab Art Coviello von RSA nicht. An der RSA Conference 2014 trat auch Scott Charney von Microsoft auf, er … Read more