Sicherheitslücken mit Höchstwertung in Juniper ATP | heise Security

Angreifer könnten mit vergleichsweise wenig Aufwand die volle Kontrolle über das Schutzprodukt Advanced Threat Prevention (ATP) übernehmen. Darüber hinaus sind verschiedene Versionen des Betriebssystems Junos OS und die Management-Plattform für Netzwerke Junos Space angreifbar. Zwei Lücken (CVE-2019-0022, CVE-2019-0025) sind mit dem höchstmöglichen CVSS 3 Score 10 von 10 eingestuft. Aufgrund von hartcodierten Zugangsdaten könnten Angreifer…

Oracle startet das Jahr mit 284 Sicherheitsupdates | heise Security

Admins, die Software von Oracle verwalten, sollten nach aktuellen Versionen Ausschau halten. Der Hardware- und Softwarehersteller hat in seinem ersten Quartalssammelupdate in diesem Jahr insgesamt 284 Sicherheitsupdates veröffentlicht. Den Großteil der Lücken haben Sicherheitsforscher von Trend Micros Zero Day Initiative und Secunia Research entdeckt und an Oracle gemeldet. Betroffene Software Die aktualisierten Updates sollten zügig…

Sicherheitslücken in Protokoll gefährden OpenSSH, PuTTY & Co. | heise Security

Wer für die Dateiübertragung zwischen Computern OpenSSH, PuTTY oder WinSCP im Secure-Copy-Protocol-Modus (SCP) nutzt, macht sich unter gewissen Umständen angreifbar. Dabei versäumen es Clients unter anderem, vom Server erhaltene Objekte zu verifizieren. So könnten Angreifer beispielsweise Dateien von Opfern ändern.Konkret könnte sich ein bösartiger SSH-Server als Man-in-the-Middle in die SSH-Verbindung einklinken und dann etwa bei…

Gebäude-Überwachungssystem mit eingebauten Hintertüren | heise Security

Die Gebäude-Sicherheitssoftware PremiSys enthält ungepatchte Sicherheitslücken, die von Angreifern dazu missbraucht werden können, sich Zutritt zu den Bauwerken zu verschaffen. Laut der Sicherheitsfirma Tenable, welche die Zero-Day-Lücken entdeckt hat, gibt es bisher keine Möglichkeit, diese zu beheben. PremiSys ist eine Zugangskontroll- und Gebäude-Überwachungs-Software der Firma IDenticard, einer der weltweit größten Hersteller von Zugangskarten-Systemen, die vor…

Trojaner GandCrab ist zurück | heise Security

Das CERT-Bund, die Computer-Gefahrenstelle der Bundesverwaltung, warnt aktuell vor einer Ausbruchswelle des Verschlüsselungstrojaners GandCrab, der sich wieder einmal über Bewerbungs-Unterlagen verbreitet.Die Methode mit der zuerst der Verschlüsselungstrojaner Goldeneye deutsche Unternehmen in Verlegenheit gebracht hatte, funktioniert Jahre später offensichtlich immer noch. Immerhin sind die Angriffe verbreitet genug, um das vom Bundesamt für Sicherheit in der Informationstechnik…

Kritische Lücken gefährden Drupal-Websites | heise Security

Betreiber von Websites, die auf Drupal fußen, sollten aus Sicherheitsgründen auf eine aktuelle Ausgabe aktualisieren. Das sollte zügig geschehen: Die zwei Lücken sind mit dem Bedrohungsgrad “kritisch” eingestuft. In beiden Fällen könnte Angreifer Schadcode in das CMS schieben und ausführen. In so einem Fall gilt eine Website in der Regel als komplett kompromittiert. Die Lücke…

Junipers Junos OS offen für Fernzugriff ohne Passwort | heise Security

Das Betriebssystem Junos OS für Netzwerkgeräte von Juniper ist in verschiedenen Versionen verwundbar und Angreifer könnten Geräte aus der Ferne komplett übernehmen. Sicherheitsupdates schließen die Lücken – zwei sind mit dem Bedrohungsgrad kritisch eingestuft. Da Juniper-Netzwerkgeräte zentrale Punkte in großen Netzwerken bilden, sollten Admins die Sicherheitsupdates zügig installieren. Eine der gefährlichen Lücken (CVE-2018-0044) findet sich…

Äußerst kritische Sicherheitslücke in SAP BusinessObjects | heise Security

Admins, die in Unternehmen betriebswirtschaftliche Software von SAP betreuen, sollten das Sicherheitsportal des Softwareherstellers besuchen und gegebenenfalls abgesicherte Versionen von SAP-Software installieren. Beispielsweise BussinesObjects Business Intelligence Platform ist durch eine als kritisch eingestufte Sicherheitslücke (CVE-2018-2471) attackierbar. Dabei könnten Angreifer Zugriff auf eigentlich abgeschottete Informationen bekommen. Das ist aber nur beim Einsatz der Ausgaben 4.10 und…

Root-Sicherheitslücke in Smart TVs von Sony | heise Security

(Bild: geralt) Sony hat Sicherheitsupdates für verschiedene TV-Modelle veröffentlicht. Einige Smart-TV-Serien von Sony aus den Jahren 2016, 2017 und 2018 sind angreifbar. Abgesicherte Firmwareversionen sind verfügbar. Eine Schwachstelle (CVE-2018-16593) gilt als kritisch. Darauf weisen nun die Entdecker der Lücken von Fortinet in einem Blog-Eintrag hin. Attacken sind aber nicht ohne Weiteres möglich und ein Angreifer muss…

Zero-Day-Fix für Windows, kritische Exchange-Lücke | heise Security

Patchday: Zero-Day-Fix für Windows, kritische Exchange-Lücke Alert! 10.10.2018 09:38 Uhr Fabian A. Scherschel (Bild: heise online) Im Oktober behebt Microsoft knapp 50 Sicherheitsprobleme. Darunter kritische Lücken in Windows-Komponenten und im Exchange Mail-Server. Pünktlich zum zweiten Dienstag im Monat hat Microsoft knapp 50 Sicherheitslücken in vielen seiner Software-Komponenten geschlossen. Diesmal gibt es Patches für Windows, Office, Internet Explorer,…

Kritische Sicherheitslücke gefährdet Milliarden WhatsApp-Nutzer | heise Security

Kritische Sicherheitslücke gefährdet Milliarden WhatsApp-Nutzer Update Alert! Stand: 10.10.2018 10:43 Uhr Jürgen Schmidt (Bild: arivera) Eine Sicherheitslücke in WhatsApp ermöglicht es, ein Smartphone mit einem einzigen Video-Call zu kapern. Potentiell betroffen sind Milliarden WhatsApp-Nutzer. Mit einem einzigen Videoanruf könnte ein Angreifer eine Sicherheitslücke ausnutzen, die im Code des Messengers WhatsApp schlummerte. Googles Project Zero, ein Team von Elite-Hackern…

Adobe stopft kritische Lücke in Digital Editions | heise Security

Patchday: Adobe stopft kritische Lücke in Digital Editions Alert! 10.10.2018 10:57 Uhr Fabian A. Scherschel (Bild: heise online) Ein Sicherheitsupdate für Flash, das keins ist, und die Abwesenheit von Reader-Patches sorgen bei Adobe für einen eher untypischen Patchday. An seinem monatlichen Patchday stopft Adobe Sicherheitslücken in Digital Editions, dem Adobe Experience Manager, in seiner Technical Communications Suite…

Kritische Lücken in Cisco DNA gefährden ganze Netzwerke | heise Security

Cisco stellt Patches für verschiedene Produkte bereit und schließt damit viele Sicherheitslücken. Das Digital Network Architecture (DNA) Center von Cisco ist verwundbar und Angreifer könnten die volle Kontrolle über weitreichende Management-Funktionen der Netzwerkverwaltungssoftware erlangen. Updates lösen die Sicherheitsprobleme. Darüber hinaus hat der Netzwerkausrüster noch weitere wichtige Sicherheitsupdates für beispielsweise Firewalls der Firepower-Serie und Adaptive Security…

D-Link Central WiFi Manager anfällig für Schadcode | heise Security

Sicherheitsupdate: D-Link Central WiFi Manager anfällig für Schadcode Alert! 08.10.2018 11:36 Uhr Dennis Schirrmacher (Bild: geralt) In der Windows-Version von D-Link Central WiFi Manager klaffen mehrere Sicherheitslücken. Mindestens eine davon gilt als kritisch. Ein Patch schafft Abhilfe. Netzwerk-Admins sollten die von ihnen eingesetzte Version des Central WiFi Manager von D-Link prüfen und die Anwendung aktualisieren. Angreifer könnten…

Enigmail verschickt Krypto-Mails im Klartext | heise Security

c’t deckt auf: Enigmail verschickt Krypto-Mails im Klartext Alert! 03.10.2018 10:09 Uhr Ronald Eikenberg In der verbreiteten Thunderbird-Erweiterung Enigmail steckt ein fataler Fehler. Das Problem betrifft den Junior-Modus, der seit April standardmäßig aktiv ist. Ein fataler Fehler in der beliebten Thunderbird-Erweiterung Enigmail kann dafür sorgen, dass Mails, die nach Angabe der Software verschlüsselt werden, im Klartext…