Monat: Januar 2019

Fehler in Software-Suite gefährdet NAS-Geräte von Synology | heise Security

Wer ein NAS von Synology besitzt, sollte die Systemsoftware aktualisieren. Ansonsten könnten Angreifer eine als kritisch eingestufte Sicherheitslücke (CVE-2018-1160) ausnutzen und Schadcode auf Geräten ausführen. Eine Attacke soll über das Internet ohne Anmeldung möglich sein.

Die Lücke findet sich in verschiedenen Versionen von DiskStation Manager (DSM), SkyNAS, Synology Router Manager (SRM) und VS960HD. Ab den folgenden Ausgaben haben die Entwickler die Lücke geschlossen: DSM 6.2.1-23824-3, SRM 1.2-7742-5 und VS960HD 2.3.3-1646. Sicherheitsupdates für DSM 5.2 und 6.1 sowie SkyNAS sind bislang nicht verfügbar.

Aufgrund eines Fehlers in der Software-Suite Netatalk könnten Angreifer einen Speicherfehler (out of bounds) auslösen und so eigenen Code ausführen. Ab der Version 3.1.12 ist die Protokollsammlung abgesichert, führt Synology in einer Sicherheitswarnung aus.

Noch eine Schwachstelle

Einer weiteren Warnung zufolge haben die Synology-Entwickler in DSM 5.2-5967-9, 6.1.7-15284-3 und 6.2.1-23824-4 noch eine weitere als kritisch eingestufte Sicherheitslücke (CVE-2018-1160) geschlossen. Ein erfolgreiches Ausnutzen soll ebenfalls Schadcode auf Systeme bringen. Weitere Infos stehen noch aus.

[UPDATE, 0301.2019 11:20 Uhr]

Wie ein Synology-Sprecher gegenüber heise Security mitteilte, sind mittlerweile die abgesicherten DSM-Versionen 5.2-5967-9 und 6.1.7-15284-3 erschienen. CVE-Nummer im Fließtext nachgetragen.

(des)

Source

Categories: Sicherheit

Zwei kritische Lücken in Adobe Acrobat und Reader | heise Security

Es gibt wichtige Sicherheitsupdates für Adobe Acrobat und Reader. Die PDF-Anwendungen sind über zwei als kritisch eingestufte Schwachstellen unter macOS und Windows attackierbar. Abgesicherte Versionen stehen zur Installation bereit.

In den Standardeinstellungen sollten sich die Anwendungen automatisch aktualisieren. Passiert das nicht, kann man den Vorgang unter dem Menüpunkt “Hilfe” anstoßen. Für eine effizientere Verteilung können Admins Enterprise Installer von Acrobat und Reader herunterladen und die Updates über verschiedene Methoden – beispielsweise SCUP/SCCM oder SSH – installieren.

Die Entwickler haben die Lücken in Acrobat DC/Reader DC (Continuous Track) 2019.010.20069, Acrobat 2017/Reader DC 2017 2017.011.30113 und Acrobat DC/Reader DC (Classic 2015) 2015.006.30464 geschlossen. Alle vorigen Versionen sind einer Warnmeldung von Adobe zufolge von den Sicherheitslücken betroffen.

Remote Code Execution

Eine Schwachstelle (CVE-2018-16011) sollen Angreifer ohne Authentifizierung aus der Ferne ausnutzen können, um auf Computern Schadcode mit den Nutzerrechten eines Opfers auszuführen. Die zweite Lücke (CVE-2018-16018) könnten Angreifer zum Umgehen von Sicherheitsmechanismen ausnutzen. Weitere Details dazu sind derzeit nicht bekannt. Die Entdeckung von beiden Schwachstellen geht auf Sicherheitsforscher von Trend Micros Zero Day Initiative zurück.

(des)

Source

Categories: Sicherheit

Tags:

Die Bilder der Woche (KW02) | c’t Fotografie

In dieser Woche können Sie gar nicht anders: Die Lichtpunkte auf den Bildern des Tages ziehen Ihre Blicke automatisch an. Eingerahmt von Dunkelheit bringen sie die Farben der Motive zum Leuchten. Dabei lohnt es sich, genauer hinzusehen, denn es werden einzigartige Details hervorgehoben.

Das Foto “Im dunklen Wald” von Uschi Hermann ist im eigentlichen Sinn gar kein Foto, sondern wurde verfremdet. Dadurch wirkt es fesselnd und mystisch. Die Lichtpunkte, die den Weg durch den Wald scheinbar entlang fliegen, geben Rätsel auf.

Bild 1 von 7

Bilder der Woche KW03 (7 Bilder)

Hamnoy at dawn

Hamnøy ist eine norwegische Siedlung auf den Lofoten und wahrlich ein Ort zum Träumen. Das emotionsgeladene Bild zeigt den Gegensatz von starken Natur- und Landschaftsgewalten und der friedlichen, farbenfrohen Siedlung im Vordergrund. Durch einen klugen Bildaufbau gelang es Stefan Bock, diesen Effekt zu verstärken und den Fokus auf die bunten Hütten zu lenken, die durch das Licht intensiv leuchten.

(Bild: Stefan Bock )

(ilk)

Source

Categories: IT - News

Fast nur “wichtige” Sicherheitsupdates für Windows & Co. | heise Security

Am ersten Patchday des Jahres räumt Microsoft 49 Sicherheitsprobleme in beispielsweise Edge, Exchange und verschiedenen Windows-Versionen aus dem Weg. Davon gelten sieben Lücken als kritisch, 40 Patches sind als wichtig markiert.

Als besonders gefährlich gelten zwei Lücken (CVE-2019-0550, CVE-2019-0551) in Hyper-V. Ist ein Angreifer in einer virtuellen Maschine im Gast-System angemeldet, soll er durch das Ausführen einer speziellen Anwendung Schadcode in das Host-System schieben und ausführen können.

Wie eigentlich jeden Monat hat der Browser Edge Probleme mit der Speicherverwaltung (CVE-2019-0565) und der alleinige Besuch einer von einem Angreifer präparierten Website soll als Sprungbrett für Schadcode dienen.

Eine weitere kritische Sicherheitslücke ist im DHCP-Client von Windows 10 und Server (Version 1803). Um die Lücke (CVE-2019-0547) auszunutzen, muss ein Angreifer lediglich speziell vorbereitete DHCP-Anfragen an verwundbare Windows-Computer schicken. Anschließend soll das Ausführen von Schadcode möglich sein.

Wichtige Sicherheitsupdates

Den Patch für eine Remote-Code-Execution-Lücke (CVE-2019-0586) in Exchange stuft Microsoft nur als wichtig ein, obwohl bereits der Empfang einer präparierten E-Mail einen Angriff einleiten können soll, um Schadcode auf Computer zu schieben.

Eine Schwachstelle (CVE-2019-0579) in Jet Database Engine ist Microsoft zufolge schon länger öffentlich bekannt, Angriffe soll es derzeit aber noch nicht geben.

Das Flash-Update zur Steigerung der Performance holen sich Internet Explorer 11 und Edge unter Windows 8.1 und 10 automatisch. So passiert es auch bei Chrome.

In seinem Security Update Guide listet Microsoft weitere Infos zu den Sicherheitslücken und Patches auf. Das ist aber nicht wirklich übersichtlich. Beispielsweise im Blog von Cisco Talos bekommt man einen besseren Überblick. (des)

[UPDATE, 09.01.2019 10:50 Uhr]

Hinweis auf Flash-Update in Fließtext eingebaut.

[UPDATE, 10.01.2019 11:00 Uhr]

Windows 7: Updates KB4480970 und KB4480960 verursachen Netzwerkprobleme

(des)

Source

Categories: Sicherheit

Tags:

Flash-Updates, die mit Sicherheit nichts zu tun haben | heise Security

Connect und Digital Editions von Adobe sind verwundbar – die Sicherheitslücken gelten aber nicht als kritisch. Die als “wichtig” eingestuften Updates sind ab sofort verfügbar.

Connect ist einer Sicherheitswarnung von Adobe zufolge für alle Plattformen angreifbar. Die Ausgabe 10.1 ist abgesichert. Bedroht sollen alle Versionen bis einschließlich 9.8.1 sein. Nutzt ein Angreifer die Schwachstelle (CVE-2018-19718) aus, könnte er Details von Sessions auslesen (Session Token Exposure).

Digital Editions ist in der Version 4.5.10 für Android, iOS, macOS und Windows abgesichert. Alle vorigen Ausgaben sollen von der Lücke (CVE-2018-12817) betroffen sein. Ein erfolgreiches Ausnutzen der Schwachstelle soll zu einem Datenleck führen, warnt Adobe.

Was ist mit Flash?

Der Flash Player bekommt auch an diesem Patchday ein Update, dieses schließt aber ungewöhnlicherweise keine Sicherheitslücke, sondern es soll die Performance steigern.

Die aktuelle Version 32.0.0.114 steht für Chrome OS, Linux, macOS und Windows zum Download bereit. Unter Windows 8.1 und 10 holen sich Internet Explorer 11 und Edge das Update automatisch. Auch Chrome macht das so.

(des)

Source

Categories: Sicherheit

Tags:

Facebook droht Rekordstrafe wegen Datenschutz-Ignoranz | heise online

Die Amtsträger in der US-Handelsbehörde Federal Trade Commission (FTC) beraten über eine Rekordstrafe für Facebook. Der Datenkonzern soll eine 2011 mit der FTC eingegangene Vereinbarung über Datenschutz-Maßnahmen nicht eingehalten haben. Nach dem Auffliegen des Cambridge-Analytica-Skandals hat die FTC Ermittlungen gegen Facebook aufgenommen.

Die Strafe der FTC soll deutlich höher ausfallen, als die von der Behörde 2012 über Google verhängte Geldbuße von 22,5 Millionen US-Dollar. Das berichtet die Washington Post unter Berufung auf drei nicht namentlich genannte Personen, die an den Beratungen beteiligt waren. FTC-Mitarbeiter werden den FTC-Kommissaren bald einen Bericht über das Ermittlungsverfahren unterbreiten; dann müssen die fünf Kommissare abstimmen.

Allerdings trifft der “Shutdown” weiter Teile der US-Bundesbehörden auch die FTC. Daher ist offen, wann der Bericht fertig wird. Es wäre die erste ernstzunehmende Strafe im Cambridge-Analytica-Skandal für Facebook in den USA. Die US-Hauptstadt Washington hat Facebook vor einem Bundesgericht verklagt, bis zu einem rechtskräftigen Urteil dürften aber Jahre vergehen. Zusätzlich bremst auch hier der Shutdown.

Datenweitergabe an Dritte erfordert Zustimmung

2011 hat sich Facebook gegenüber der FTC verpflichtet, Nutzer zu informieren und deren Zustimmung einzuholen, bevor Daten in einer Weise an Dritte weitergegeben werden, die den Datenschutzeinstellungen des Users widerspricht. Überhaupt muss Facebook seither eine ausdrückliche Zustimmung einholen, bevor Daten an Dritte weitergegeben werden.

Im Fall der besonders umfangreichen Datenweitergabe an Endgeräte-Hersteller versucht Facebook sich aus der Affäre zu ziehen, in dem es eine überraschende Definition von “Dritte” bemüht: Endgeräte-Hersteller seien keine Dritten, sondern “Service Provider”. Nicht bekannt ist, ob auch dieser später aufgeflogene Datenschutz-Skandal Thema der laufenden FTC-Ermittlungen ist.

Siehe dazu auch:

(ds)

Source

Categories: IT - News

Tags:

Google schließt teils kritische Lücken | heise Security

Googles Android Security Bulletin für Januar umfasst insgesamt 27 Fixes für Sicherheitslücken im Smartphone-Betriebssystem. Das von den Lücken ausgehende Sicherheitsrisiko bewertet das Unternehmen im Bulletin durchweg als hoch, in zwei Fällen gar als kritisch.

Die gefährlichste Lücke mit der CVE-Nummer CVE-2018-9583 steckt im Betriebssystem selbst. Sie könnte laut Google von einem entfernten Angreifer missbraucht werden, um mittels einer eigens dafür erzeugten Datei beliebigen Code im Kontext eines privilegierten Prozesses auszuführen. Die zweite kritische Lücke (CVE-2018-11847) befindet sich in einer Closed-Source-Komponente von Qualcomm, kann nach Herstellerangaben allerdings lediglich lokal ausgenutzt werden.

Auf dem neuesten Stand sind Geräte jetzt mit dem Patch-Level 2019-01-05.

Neben Google veröffentlichen von den großen Herstellern lediglich BlackBerry, LG und Samsung monatlich Sicherheitspatches – allerdings nur für einige Produktserien. Geräte anderer Hersteller bekommen die Updates erheblich später oder, im schlimmsten Fall, gar nicht. Letzteres ist leider die Regel.

Extra-Update für Pixel-Geräte

Im November 2018 hat Google zum letzten Mal Sicherheitsupdates für Nexus 5X und 6P verteilt. Danach hat der Hersteller Sicherheitsupdates und Support für Nexus-Geräte eingestellt – für Pixel und Pixel XL läuft beides aber noch bis Oktober 2019 weiter.

Diesen Monat hat der Hersteller laut separat veröffentlichtem Pixel Update Bulletin zwei Schwachstellen moderaten Sicherheitsrisikos im Kernel gefixt. Ein weiterer Patch verbessert die Soundqualität für Videoaufnahmen mit dem Pixel 3 und Pixel 3 XL. Das Update wird wie gewohnt automatisch an die Pixel-Geräte verteilt.

[Update 09.01.19, 14:54]: Ein Leser hat uns darauf hingewiesen, dass Nexus 5X und 6P trotz Ablauf des garantierten Support- und Updatezeitraums im Dezember noch ein letztes Update erhielten (siehe OTA-Images “Bullhead” für 5X und “Angler” für 6P (Oreo 8.10, Build OPM7.181205.001)). Danke für den Hinweis!

(ovw)

Source

Categories: Sicherheit

Tags:

Drei Uralt-Lücken in Systemd vereinfachen Linux-Angriffe | heise Security

Drei Sicherheitslücken in der Log-Funktion des Init-Nachfolgers Systemd können es Angreifern auf Linux-Systemen ermöglichen, sich Admin-Rechte zu erschleichen. Die Lücken finden sich in allen Linux-Distributionen, die Systemd zum Starten ihrer Prozesse verwenden – allerdings ist die Schwachstelle nicht auf allen Distributionen ausnutzbar. Die SUSE-Produkte SLES 15 und openSUSE Leap 15 und Fedora 28 und 29 sind aufgrund von Sicherheitsvorkehrungen, welche die Entwickler beim Kompilieren ihrer Software-Komponenten getroffen haben, gegen den Angriff gefeit. Die meisten anderen Linux-Distributionen, die Systemd verwenden, arbeiten an Sicherheitsupdates oder haben diese bereits verteilt. Unter anderem bereiten Red Hat und Debian Updates für ihre Systemd-Pakete vor.

Bei den Lücken handelt es sich um zwei allgemeine Speicherverwaltungsfehler (CVE-2018-16864, CVE-2018-16865) und einen Pufferüberlauf (CVE-2018-16866) in der Funktion systemd-journald. Die drei Lücken existieren schon seit Jahren im Code des Init-Systems, die älteste stammt aus Systemd v38 von Ende 2011. Zum Teil wurden die Schwachstellen aber nur durch andere Änderungen im Quellcode erst zu einem späteren Zeitpunkt angreifbar. Interessanterweise wurde der Pufferüberlauf im August 2018 zufällig als Nebeneffekt anderer Änderungen wieder aus dem Code genommen – diese Schwachstelle betrifft also nur Systemd-Versionen bis v235.

Entdeckt wurden die Lücken durch die Sicherheitsfirma Qualys. Bei den Nachforschungen zu einer anderen Schwachstelle hatten Qualys-Forscher durch Zufall entdeckt, dass der journald-Prozess abstürzt, wenn er mit mehreren Megabyte Kommandozeilen-Argumenten gefüttert wird. Solche Abstürze deuten oft auf Speicherfehler hin und sind der erste Schritt zum Finden von Exploits, über die sich Schadcode ausführen oder – wie in diesem Fall – erweiterte Nutzerrechte erlangen lassen. Über die Systemd-Lücke alleine kann ein Angreifer zwar kein Linux-System übernehmen oder dort eindringen, aber er kann sich zum Admin machen, falls er bereits auf anderem Wege eingebrochen ist. Solche Rechteausweitungslücken sind begehrte Werkzeuge im Handwerkskasten von Hackern.
(Fabian A. Scherschel) /

(fab)

Source

Categories: Sicherheit

Tags:

Fernbus-Ticketpreise auf Höchststand – Flixbus expandiert | heise online

Für Fernbuskunden in Deutschland wächst das Angebot, aber auch die Preise steigen. Fahrkarten kosteten zuletzt soviel wie seit der Marktfreigabe vor sechs Jahren nicht, wie aus einer Analyse des Marktforschungsinstituts Iges hervorgeht. Je Fahrgast und Kilometer machten die Anbieter Ende vergangenen Jahres 10,7 Cent Umsatz. Der Normalpreis lag damit je Kilometer 0,8 Cent höher als ein Jahr zuvor, wie das Institut der Deutschen Presse-Agentur mitteilte.

Einnahmen neben dem Fahrpreis bringen den Busunternehmen Zusatzgepäck, Reservierungen und Snackverkauf. Sie sind in den Zahlen nicht berücksichtigt. Der Bus bleibt nach den Daten aber deutlich billiger als die Bahn – meist nehmen Fahrgäste dafür eine längere Fahrtzeit in Kauf.

Höhere Erlöse durch Preisanpassung

Die Marktforscher beobachten schon länger, dass es Bus-Anbietern besser gelingt, die einzelnen Preise ähnlich wie Fluggesellschaften der Nachfrage anzupassen und so die Erlöse zu erhöhen. Die Aktionspreise indes blieben in den vergangenen Jahren recht konstant und pendelten zwischen 3,6 und 4,3 Cent je Kilometer.

Zugleich wuchs laut Iges das Angebot für die Kunden wieder deutlich: Ende 2018 gab es 287 Linien, zuvor hatte sich die Zahl bei etwa 240 bis 250 eingependelt. Auch die Zahl der Fahrten je Woche erreichte mit 3328 den höchsten Stand seit zwei Jahren. Dazu trugen auch Warnstreiks bei der Bahn und bei Ryanair bei.

Flixbus dominiert deutschen Markt

Der Fernbusmarkt war Anfang 2013 freigegeben worden. Zahlreiche Anbieter rivalisierten mit günstigen Fahrkarten um die Kunden – zwischenzeitlich lag der Normalpreis 20 Prozent unter dem heutigen. Seit einigen Jahren dominiert Flixbus den deutschen Markt, dessen grüne Busse gut 95 Prozent der angebotenen Fahrplankilometer fahren.

2018 konnte der deutsche Marktführer die Zahl seiner Fahrgäste weiter steigern. Weltweit waren es mehr als 45 Millionen Passagiere, wie Flixbus der dpa mitteilte. Mit einem Plus von 12,5 Prozent fiel das Wachstum damit schwächer aus als im Vorjahr, als die Fahrgastzahl noch um ein Drittel auf 40 Millionen gestiegen war.

Mehr Konkurrenz für den Bus

Dabei ging das Unternehmen 2018 auch in den USA, Bulgarien und Weißrussland an den Start und ist damit nun in 29 Ländern aktiv. Nach dem Start an der US-Westküste sollen die grünen Busse künftig auch in Texas und New York unterwegs sein. In Deutschland baute das Unternehmen sein Angebot auch mit Fernzügen aus. Geschäftszahlen für einzelne Märkte nennt Flixbus aber nicht.

2017 war die Zahl der Fernbusfahrgäste laut Statistischem Bundesamt bundesweit leicht auf 23 Millionen zurückgegangen. 2018 wuchs die Konkurrenz für den Bus: Die Bahn punktete mit ihrer neuen Schnellfahrstrecke Berlin-München und nach dem Billigflieger Ryanair nahm auch Easyjet innerdeutsche Flüge ins Programm.

Check-In per QR-Code

Flixbus-Kunden in Deutschland sollen künftig selbst im Bus einchecken können. Statt beim Fahrer können die Fahrgäste den QR-Code ihrer Fahrkarte an einer Scanfläche einlösen und Platz nehmen. Zunächst ist ein Pilotversuch in einzelnen Bussen geplant.

Flixbus besitzt selbst keine Busse, sondern kümmert sich mit 1500 Beschäftigten um die Vermittlung der Fahrten, Marketing, Vertrieb, Netzplanung und Betriebssteuerung. Gefahren werden die Strecken durch 7000 Fahrer von 300 meist mittelständischen Busunternehmen.

(bme)

Source

Categories: IT - News

Kritische Lücken in SAP-Software geschlossen | heise Security

Admins, die betriebswirtschaftliche Software von SAP verwalten, sollten die aktuelle Sicherheitswarnung des Entwicklers studieren. Einige Produkte sind über als kritisch eingestufte Lücken angreifbar. Insgesamt hat SAP an diesem Patchday elf Sicherheitsnotizen veröffentlicht.

Als kritisch gelten die Schwachstellen in Cloud Connector (CVE-2019-0246) und Landscape Management (CVE-2019-0249). Setzen Angreifer dort an, könnten sie unter Umständen Schadcode ausführen oder auf eigentlich abgeschottete Informationen zugreifen.

Die Lücke (CVE-2019-0243) in BW/4HANA ist mit dem Bedrohungsgrad “hoch” eingestuft. Ein erfolgreiches Ausnutzen könnte einem Angreifer höhere Rechte verschaffen. Die verbleibenden Schwachstellen hat SAP mit der Priorität “mittel” gekennzeichnet. Darunter finden sich beispielsweise eine DoS-Lücke und mehrere XSS-Schwachstellen in etwa Work and Inventory Manager und Commerce.

SAP-Kunden finden im Support-Portal des Softwareherstellers weitere Infos zu den Sicherheitsproblemen.

(des)

Source

Categories: Sicherheit

Tags:

Angreifer könnten Ciscos Email Security Appliance ausknipsen | heise Security

Verschiedene Geräte und Software von Cisco ist verwundbar. Nun hat das Unternehmen die ersten Sicherheitspatches in diesem Jahr veröffentlicht. Admins sollten sicherstellen, dass sie die Updates zügig installieren, um Schlupflöcher für Angreifer zu schließen. In seinem Sicherheitscenter listet der Netzwerkausrüster betroffene Produkte auf.

Die als am gefährlichsten eingestuften Lücken (CVE-2018-15453, CVE-2018-15460) finden sich in Email Security Appliance. Cisco hat das von den Schwachstellen ausgehende Risiko mit “kritisch” und “hoch” eingestuft. Aufgrund einer fehlerhaften Prüfung von mit S/MIME signierten E-Mails kann die ganze Appliance abstürzen. Auch das Ausnutzen der zweiten Lücke kann einen DoS-Zustand herbeiführen. Dafür ist eine kaputte Filterfunktion im AsyncOS der Appliance verantwortlich.

Für die weitere Schwachstellen in IOS, Jabber Client Framework & Co. hat der Netzwerkausrüster die Risikobewertung “mittel” ausgeschrieben. Der Großteil der Lücken kann zu XSS-Attacken führen.

Sicherheitslücken nach Bedrohungsgrad absteigend sortiert.

  • Email Security Appliance Memory Corruption Denial of Service
  • Email Security Appliance URL Filtering Denial of Service
  • Policy Suite for Mobile and Cisco Policy Suite Diameter Routing Agent Software Redis Server Unauthenticated Access
  • IOS and IOS XE Software TCP Denial of Service
  • IP Phone 8800 Series Arbitrary Script Injection
  • Webex Business Suite Cross-Site Scripting
  • Identity Services Engine Multiple Cross-Site Scripting
  • Cisco Prime Infrastructure Cross-Site Scripting Vulnerability
  • TelePresence Management Suite Cross-Site Scripting
  • ASR 900 Series Aggregation Services Router Software Denial of Service
  • Prime Network Control System Stored Cross-Site Scripting
  • Firepower Management Center Disk Utilization Denial of Service
  • IOS and IOS XE Software Secure Shell Connection on VRF
  • Policy Suite Graphite Unauthenticated Read-Only Access
  • Jabber Client Framework Insecure Directory Permissions
  • Jabber Client Framework Instant Message Cross-Site Scripting
  • Identity Services Engine Password Recovery
  • Unified Communications Manager Digest Credentials Disclosure

(des)

Source

Categories: Sicherheit

Sicherheitslücken mit Höchstwertung in Juniper ATP | heise Security

Angreifer könnten mit vergleichsweise wenig Aufwand die volle Kontrolle über das Schutzprodukt Advanced Threat Prevention (ATP) übernehmen. Darüber hinaus sind verschiedene Versionen des Betriebssystems Junos OS und die Management-Plattform für Netzwerke Junos Space angreifbar.

Zwei Lücken (CVE-2019-0022, CVE-2019-0025) sind mit dem höchstmöglichen CVSS 3 Score 10 von 10 eingestuft. Aufgrund von hartcodierten Zugangsdaten könnten Angreifer direkt in Systeme einsteigen, warnt Junos. Wie aus der Sicherheitswarnung hervorgeht, haben die Entwickler noch weitere Schwachstellen geschlossen.

Lücken in Junos Space und OS

Auch in Junos Space finden sich als kritisch eingestufte Sicherheitslücken. Admins sollten die abgesicherten Versionen zügig installieren, um sich beispielsweise vor DoS-Angriffen zu schützen. Details zu den Schwachstellen listet Junos in einem Beitrag auf.

Das Ausnutzen von kritischen Sicherheitslücken in Junos OS auf Geräten der EX, MX und QFX-Serie kann die Ausführung von Schadcode nach sich ziehen. Es gibt zudem noch viele weitere Schwachstellen in Junipers Betriebssystem auf verschiedenen Geräten, die der Netzwerkausrüster in seinem Sicherheitscenter auflistet.

(des)

Source

Categories: Sicherheit

Tags:

Gravierende Sicherheitslücken in Fortnite-Anmeldung geschlossen | heise Security

Fortnite ist momentan das meistgespielte Videospiel auf dem PC. Millionen Spieler spielen es zu jeder Tages- und Nachtzeit. Da die Entwickler des Free-to-Play-Shooters ihr Geld mit In-App-Käufen im Spiel machen, haben viele Spieler ihren Account mit Zahlungsmitteln verknüpft, um den Fortnite Store nutzen zu können. Das hat sich auch bei Online-Kriminellen herumgesprochen, die es immer öfter neben FIFA- und Counterstrike-Spielerkonten auch auf Fortnite-Accounts abgesehen haben. Sicherheitsforscher haben jetzt entdeckt, wie Angreifer durch einfache Manipulation eines Links die Kontrolle über ein Fortnite-Konto erlangen konnten.

XSS-Angriff auf OAuth-Session

Epic Games, das Entwicklerstudio hinter Fortnite, hat die Sicherheitslücke in den eigenen Systemen mittlerweile behoben. Die Entwickler waren von der Sicherheitsfirma Checkpoint darauf aufmerksam gemacht worden. Die Sicherheitsforscher hatten entdeckt, dass über bestimmte Subdomains auf den Epic-Servern, die selbst nichts mit Fortnite zu tun hatten, Cross-Site-Scripting-Angriffe (XSS) möglich waren.

Die Sicherheitsforscher verleiten einen Server von Epic Games dazu, das Fortnite-Anmelde-Token des Opfers auszugeben

(Bild: Checkpoint)

Ein Angreifer konnte einem Fortnite-Spieler so einen Link unterschieben – etwa über eine Messenger-Nachricht oder ein soziales Netzwerk – der beim Klick durch das Opfer dessen OAuth-Login-Token an die Website des Angreifers übermittelte. Um das zu missbrauchen, hätte der Angreifer nur eine überzeugende Angriffswebsite bauen und Fortnite-Spieler dort hin locken müssen. Der Angriff funktioniert allerdings nur, wenn der Spieler per Single Sign-on sein Fortnite-Konto mit einem anderen Dienst verknüpft hat, etwa Facebook, Google, Nintendo, dem PlayStation Network oder XBox Live. Das ist vor allem wahrscheinlich, wenn der Nutzer das Spiel neben dem PC auch noch auf einer Konsolen-Plattform spielt. Das bei dieser Anmeldung genutzte OAuth-Token kann der Angreifer dann kopieren.

Handel mit In-Game-Gegenständen

Mit dem Zugriff auf das Fortnite-Konto des Opfers hätte der Angreifer dann Gegenstände im Fortnite Store über die Zahlungsmittel des Opfers kaufen können. Da man in Fortnite Gegenstände verschenken kann, können Online-Kriminelle solche ergaunerten Items über Drittseiten weiterverkaufen und damit Geld machen. Angreifer hätten außerdem den Ingame-Chat des Opfers mithören können, ohne dass dem betroffenen Spieler dies auffällt. Da der Hacker bei dem Angriff ein Anmelde-Token kopiert nutzt er dieselbe Session wie das Opfer. Der angegriffene Spieler wiederum bekommt von dem Angriff nichts mit.

Der Beschreibung von Checkpoint nach gab es keine Anzeichen dafür, dass bisher Fortnite-Konten über diese Lücke gekapert wurden. Und da Epic Games die Lücke geschlossen hat, sind Fortnite-Konten wohl auch in Zukunft erst einmal sicher. Fortnite-Spieler, wie andere Internet-Nutzer auch, sollten trotzdem Vorsicht walten lassen und nicht auf unbekannte Links klicken. Manchmal reicht schon ein solcher unachtsamer Klick, um die Login-Daten bei anderen Webseiten abzugreifen.
(Fabian A. Scherschel) /

(fab)

Source

Categories: IT - News

Tags:

Sicherheitslücken in Protokoll gefährden OpenSSH, PuTTY & Co. | heise Security

Wer für die Dateiübertragung zwischen Computern OpenSSH, PuTTY oder WinSCP im Secure-Copy-Protocol-Modus (SCP) nutzt, macht sich unter gewissen Umständen angreifbar. Dabei versäumen es Clients unter anderem, vom Server erhaltene Objekte zu verifizieren. So könnten Angreifer beispielsweise Dateien von Opfern ändern.

Konkret könnte sich ein bösartiger SSH-Server als Man-in-the-Middle in die SSH-Verbindung einklinken und dann etwa bei einem SCP-Kopiervorgang zusätzliche Dateien einschleusen. Kopiert der Anwender beispielsweise eine Datei in sein Home-Verzeichnis, kann der Angreifer dort eine weitere Datei wie .bash_aliases anlegen. Diese wird dann beim nächsten Start einer bash-Shell ausgewertet und trojanisiert das System. Der Vorgang ist nahezu unsichtbar für das Opfer. Die Anzeige der zusätzlichen Kopieraktion versteckt der Angreifer mit ANSI-Kontrollsequenzen. Allerdings erscheint beim Aufbau der Verbindung eine Warnung über einen falschen Host-Fingerprint des MITM-SSH-Servers, den der Anwender akzeptieren muss.

Von den Lücken ist nur eine (CVE-2018-20685) mit dem Bedrohungsgrad “hoch” eingestuft. Bei einer Schwachstelle (CVE-2019-6111) gilt das Angriffsrisiko als “mittel”, zwei weitere (CVE-2019-6109, CVE-2019-6110) sind mit “niedrig” eingestuft. In allen Fällen sollen Übergriffe nur aus einem Netzwerk möglich sein.

Noch nicht alle Sicherheitsupdates da

Wer sich absichern will, kann schlicht und einfach den SCP-Modus meiden. Nur OpenSSH im SCP-Modus ist von allen Lücken betroffen, schreibt der Sicherheitsforscher Harry Sintonen in seiner Warnung. Dort findet man noch weitere Details zu den Schwachstellen. In der aktuellen Version 7.9 von OpenSSH haben die Entwickler bislang nur die Schwachstelle mit der Kennung CVE-2018-20685 geschlossen. Sintonen stellt einen Source-Code-Fix für die anderen Lücken bereit.

WinSCP ist ihm zufolge seit der Version 5.14 abgesichert. PuTTY ist offensichtlich noch verwundbar, da die aktuelle Version aus Juli 2017 stammt. Sintonen hat die Lücken erst im August 2018 entdeckt.

Update 12:50, 15.1.2019: Eine konkretere Beschreibung des Angriffs hinzugefügt.

(des)

Source

Categories: Sicherheit

Tags:

Oracle startet das Jahr mit 284 Sicherheitsupdates | heise Security

Admins, die Software von Oracle verwalten, sollten nach aktuellen Versionen Ausschau halten. Der Hardware- und Softwarehersteller hat in seinem ersten Quartalssammelupdate in diesem Jahr insgesamt 284 Sicherheitsupdates veröffentlicht. Den Großteil der Lücken haben Sicherheitsforscher von Trend Micros Zero Day Initiative und Secunia Research entdeckt und an Oracle gemeldet.

Betroffene Software

Die aktualisierten Updates sollten zügig den Weg auf Computer finden, da viele der Sicherheitslücken mit dem Bedrohungsgrad “kritisch” eingestuft sind. Darunter fallen beispielsweise Banking Platform, diverse Communications Applications, Fusion Middleware und MySQL Workbench. In einer Sicherheitswarnung listet Oracle betroffene Software auf und gibt weitere Infos zu den Lücken.

In vielen Fällen könnten Angreifer mit vergleichsweise wenig Aufwand Attacken über das Internet starten und ohne Authentifizierung auf Systeme zugreifen. Oft ist das Ausführen von Schadcode möglich, sodass Angreifer unter Umständen Computer oder sogar Netzwerke komplett übernehmen könnten.

Die geschlossenen Sicherheitslücken in Java SE sind mit dem Bedrohungsgrad “mittel” und “niedrig” eingestuft. Auch in VM VirtualBox gilt keine Schwachstelle als “kritisch” – der Großteil ist mit der Risikobewertung “hoch” ausgezeichnet.

Oracle weist darauf hin, dass Admins sicherstellen sollten, auch abgesicherte Software aus vorigen Quartalsupdates installiert zu haben. Der Softwarehersteller veröffentlicht viermal im Jahr in Form des Critical Patch Update Sicherheitspatches. Das nächste Sammelupdate ist für 16. April 2019 geplant. Dazwischen gibt es nur in Ausnahmefällen Sicherheitsupdates, etwa wenn Angreifer aktiv eine Software attackieren.

(des)

Source

Categories: Sicherheit

Tags: