Wichtige Security-Updates für mehrere Produkte | heise Security

Cisco hat Sicherheitsupdates für mehrere seiner Geräte und Softwareprodukte bereitgestellt. Von einigen der hierdurch geschlossenen Lücken geht ein hohes Sicherheitsrisiko aus: Das US-CERT weist darauf hin, dass sie unter bestimmten Voraussetzungen eine Übernahme der betroffenen Geräte ermöglichen könnten. Eine Lücke stuft Cisco gar als kritisch ein. Admins sollten die notwendigen Aktualisierungen zeitnah durchführen. Eine vollständige…

Böser Bug in PostScript trifft GhostScript und damit viele andere Programme | heise Security

Eine kritische Sicherheitslücke in GhostScript zieht große Kreise. Das Open-Source-Programm ist der Standard für das Interpretieren von PostScript. Somit lässt sich der Fehler über viele Programme wie Evince, ImageMagick, Nautilus, Gimp und sogar das das Kommandozeilen-Tool less triggern. Öffnet der Anwender eine speziell präparierte PostScript-Datei mit einem dieser Programme, könnte der Angreifer Schadcode auf seinem…

Updates beheben Schwachstellen in CMS und Extensions | heise Security

Die Entwickler des Content-Management-Systems TYPO3 haben mit den Sicherheitsupdates 8.7.24 LTS für die 8er- und 9.5.4 LTS für die 9er-Versionsreihe insgesamt sieben Schwachstellen behoben. Da ihr Schweregrad – teils in Abhängigkeit von der Konfiguration des Webservers – sämtliche Einstufungen von “Low” bis “Critical” abdeckt, sollten Anwender zügig auf die aktuellen Versionen umsteigen.Das DFN-CERT nennt als…

Webserver über Schwachstelle im MySQL-Protokoll gehackt | heise Security

Ein MySQL-Server kann einen MySQL-Client dazu verleiten, äußerst sensible Informationen über sich preiszugeben. Ein bösartiger Server kann eine Schwachstelle des MySQL-Protokolls ausnutzen, um beliebige Dateien auf dem System auszulesen, auf die der MySQL-Client Zugriff hat. Um einen Webserver auf diese Weise anzugreifen, muss der Angreifer einen gepatchten MySQL-Server betreiben und einen MySQL-Client auf dem Server…

Adobe Experience Manager könnte Daten leaken | heise Security

Die Content-Management-Lösungen für Websites Experience Manager und Experience Manager Forms von Adobe sind verwundbar. Angreifer könnten drei Sicherheitslücken (CVE-2018-19724, CVE-2018-19726 und CVE-2018-19727) ausnutzen, um mittels XSS-Attacken Zugriff auf eigentlich abgeschottete Informationen zu bekommen.Der Schwergrad ist mit “moderat” und “wichtig” eingestuft. Weitere Details zu den Schwachstellen und möglichen Angriffsszenarien beschreibt Adobe in den Sicherheitswarnungen zu Experience…

Kritische Sicherheitslücke in Debians Update-Tools | heise Security

Es ist der Worst Case für ein Update-Konzept und er trifft Debian, Ubuntu & Co mit voller Wucht: Ein Lauscher an der Leitung könnte Code einschleusen, der dann als Root auf dem System des Opfers ausgeführt wird. Ein aktuelles Sicherheits-Update schließt die Lücke und sollte bald möglichst eingespielt werden.Böser Redirect Der Angriff ist möglich, weil…

D-Link-Router DIR-816 verträgt keine langen Passwörter | heise Security

D-Links WLAN-Router DIR-816 ist offenbar verwundbar und Angreifer könnten mit vergleichsweise wenig Aufwand Schadcode auf dem Gerät ausführen. Die Sicherheitslücke (CVE-2018-20305) gilt als kritisch. Das Notfallteam des BSI CERT Bund vergibt mit “sehr hoch” die maximale Risikobewertung. Eine abgesicherte Firmware ist noch nicht verfügbar. Eine Antwort auf die Frage von heise Security wann ein Update…

Fehler in Software-Suite gefährdet NAS-Geräte von Synology | heise Security

Wer ein NAS von Synology besitzt, sollte die Systemsoftware aktualisieren. Ansonsten könnten Angreifer eine als kritisch eingestufte Sicherheitslücke (CVE-2018-1160) ausnutzen und Schadcode auf Geräten ausführen. Eine Attacke soll über das Internet ohne Anmeldung möglich sein. Die Lücke findet sich in verschiedenen Versionen von DiskStation Manager (DSM), SkyNAS, Synology Router Manager (SRM) und VS960HD. Ab den…

Zwei kritische Lücken in Adobe Acrobat und Reader | heise Security

Es gibt wichtige Sicherheitsupdates für Adobe Acrobat und Reader. Die PDF-Anwendungen sind über zwei als kritisch eingestufte Schwachstellen unter macOS und Windows attackierbar. Abgesicherte Versionen stehen zur Installation bereit.In den Standardeinstellungen sollten sich die Anwendungen automatisch aktualisieren. Passiert das nicht, kann man den Vorgang unter dem Menüpunkt “Hilfe” anstoßen. Für eine effizientere Verteilung können Admins…

Fast nur “wichtige” Sicherheitsupdates für Windows & Co. | heise Security

Am ersten Patchday des Jahres räumt Microsoft 49 Sicherheitsprobleme in beispielsweise Edge, Exchange und verschiedenen Windows-Versionen aus dem Weg. Davon gelten sieben Lücken als kritisch, 40 Patches sind als wichtig markiert.Als besonders gefährlich gelten zwei Lücken (CVE-2019-0550, CVE-2019-0551) in Hyper-V. Ist ein Angreifer in einer virtuellen Maschine im Gast-System angemeldet, soll er durch das Ausführen…

Flash-Updates, die mit Sicherheit nichts zu tun haben | heise Security

Connect und Digital Editions von Adobe sind verwundbar – die Sicherheitslücken gelten aber nicht als kritisch. Die als “wichtig” eingestuften Updates sind ab sofort verfügbar. Connect ist einer Sicherheitswarnung von Adobe zufolge für alle Plattformen angreifbar. Die Ausgabe 10.1 ist abgesichert. Bedroht sollen alle Versionen bis einschließlich 9.8.1 sein. Nutzt ein Angreifer die Schwachstelle (CVE-2018-19718)…

Google schließt teils kritische Lücken | heise Security

Googles Android Security Bulletin für Januar umfasst insgesamt 27 Fixes für Sicherheitslücken im Smartphone-Betriebssystem. Das von den Lücken ausgehende Sicherheitsrisiko bewertet das Unternehmen im Bulletin durchweg als hoch, in zwei Fällen gar als kritisch.Die gefährlichste Lücke mit der CVE-Nummer CVE-2018-9583 steckt im Betriebssystem selbst. Sie könnte laut Google von einem entfernten Angreifer missbraucht werden, um…

Drei Uralt-Lücken in Systemd vereinfachen Linux-Angriffe | heise Security

Drei Sicherheitslücken in der Log-Funktion des Init-Nachfolgers Systemd können es Angreifern auf Linux-Systemen ermöglichen, sich Admin-Rechte zu erschleichen. Die Lücken finden sich in allen Linux-Distributionen, die Systemd zum Starten ihrer Prozesse verwenden – allerdings ist die Schwachstelle nicht auf allen Distributionen ausnutzbar. Die SUSE-Produkte SLES 15 und openSUSE Leap 15 und Fedora 28 und 29…

Kritische Lücken in SAP-Software geschlossen | heise Security

Admins, die betriebswirtschaftliche Software von SAP verwalten, sollten die aktuelle Sicherheitswarnung des Entwicklers studieren. Einige Produkte sind über als kritisch eingestufte Lücken angreifbar. Insgesamt hat SAP an diesem Patchday elf Sicherheitsnotizen veröffentlicht. Als kritisch gelten die Schwachstellen in Cloud Connector (CVE-2019-0246) und Landscape Management (CVE-2019-0249). Setzen Angreifer dort an, könnten sie unter Umständen Schadcode ausführen…

Angreifer könnten Ciscos Email Security Appliance ausknipsen | heise Security

Verschiedene Geräte und Software von Cisco ist verwundbar. Nun hat das Unternehmen die ersten Sicherheitspatches in diesem Jahr veröffentlicht. Admins sollten sicherstellen, dass sie die Updates zügig installieren, um Schlupflöcher für Angreifer zu schließen. In seinem Sicherheitscenter listet der Netzwerkausrüster betroffene Produkte auf. Die als am gefährlichsten eingestuften Lücken (CVE-2018-15453, CVE-2018-15460) finden sich in Email…