Home » Archive

Artikel mit Tag: Sicherheitslücke

[8 Dec 2018 | Comments Off on Threatpress.com, um reagieren zu können – Nachtrag für Systemadministratoren | Autor: Jürgen (jdo) ]
Threatpress.com, um reagieren zu können – Nachtrag für Systemadministratoren

Ich bin gespannt, ob noch mehr Hilferufe kommen, denn gestern waren es zwei, bei denen die auf WordPress basierende Website gehackt und auf blueeyeswebsite.com umgeleitet wurde. Bei der ersten hat es ein bisschen gedauert, die Ausmaße und den Ort des Hacks zu finden, die zweite war dann relativ schnell repariert. Die Sache im Blick zu behalten, ist bei der Fülle von Programmen, Plugins, Themes und so weiter wirklich keine Leichte Aufgabe. Websites wie Threatpress.com helfen aber teilweise. Code wird von […]

[11 Apr 2014 | Comments Off on NSA (National Security Agency) war angeblich seit mindestens zwei Jahren über den Heartbleed Bug im Bilde und hat ihn ausgenutzt | Autor: Jürgen (jdo) ]
NSA (National Security Agency) war angeblich seit mindestens zwei Jahren über den Heartbleed Bug im Bilde und hat ihn ausgenutzt

Security-Experte Bruce Schneier sagte: “Von einer Skala von Eins bis Zehn ist Heartbleed eine Elf.”. Außerdem ist er sich nicht sicher, ob der Fehler mit Absicht oder aus Versehen im OpenSSL-Code gelandet ist. Er glaubt aber, dass letzteres der Fall ist. Um was es beim Heartbleed Bug geht, braucht man nicht mehr weiter zu erklären. Es ist wahrscheinlich der einzige Bug, dem man einen eigene Website spendiert hat und Millionen an Websites (SSL/TLS) sind davon betroffen. Es ist der ultimative […]

[31 Jan 2013 | Comments Off on Kritische Sicherheitslücke in aktueller VLC-Version | Autor: Jürgen (jdo) ]
Kritische Sicherheitslücke in aktueller VLC-Version

Die Entwickler der beliebten Multimedia-Software VLC warnen vor einer kritischen Schwachstelle in aktuellen Versionen. Beim Parsen von speziell manipulierten ASF-Dateien lässt sich ein Buffer Overflow erzwingen. Die Entwickler schließen nicht aus, dass sich die Sicherheitslücke zum Ausführen beliebigen Codes missbrauchen lässt – beweisen konnte das bisher aber auch keiner. Um sich der Sicherheitslücke zu bedienen, muss ein Angreifer den Anwendr dazu bringen, eine schädliche ASF-Datei zu öffnen. Deswegen sollten Anwender nur Dateien aus vertrauenswürdigen Quellen öffnen. Wer der Sache wegen […]

[30 Nov 2012 | Ein Kommentar | Autor: Jürgen (jdo) ]
Chrome-Bug: Google zahlt LEET-Geld :)

Es gabe erst vor wenigen Tagen eine neue Chrome-Version. Nun hat Google wegen zwei als hoch eingestuften Sicherheitslücken gleich noch einmal nachgelegt – für Linux, Mac OS X, Windows und die Chrome-Plattform. Ein Fehler (161564 CVE-2012-5138) hängt mit der flaschen Behandlung von Pfaden zusammen. Die zweite Sicherheitslücke (162835 CVE-2012-5137) ist ein Use-after-free bei Medien-Quellen. Für das melden dieses Sichereheitsproblems hat Google 7331 US-Dollar (LEET) springen lassen. Der Finder, Pinkie Pie, hat nach eigenen Angaben auch die Aufgabe 64-Bit-Exploit erfüllt. Bei mir hat […]

[9 Nov 2012 | Comments Off on Mögliche Sicherheitslücke in TOR gefunden | Autor: Jürgen (jdo) ]
Mögliche Sicherheitslücke in TOR gefunden

Entwickler Andrey Karpov hat eine Sicherheitslücke in der Anonymisierungs-Software TOR (The Onion Router) gefunden. Das Problem ist die Funktion memset(). Es handelt sich hier um einen Schutzmechanismus, der nicht mehr benutzten Puffer aufräumt und löscht. Diese Buffer können Passwörter, IP-Adressen und andere Anwenderdaten enthalten. Zerstört man diese Daten nicht, könnten sie ins Internet gesendet werden. Den TOR-Entwicklern ist diese Gefahr natürlich bekannt und sie versuchen, die Buffer-Inhalte mittels der oben genannten Funktion zu löschen. Dies sei aber ein großer Fehler, […]

[7 Nov 2012 | Comments Off on 9000 US-Dollar Kopfgeld und ein Fehler, der nur Linux betrifft ausgebessert: Chrome 23.0.1271.64 | Autor: Jürgen (jdo) ]
9000 US-Dollar Kopfgeld und ein Fehler, der nur Linux betrifft ausgebessert: Chrome 23.0.1271.64

Das Chrome-Team hat den gleichnamigen Browser in Version 23.0.1271.64  für Linux, Windows und Mac OS X ausgegeben. Es gibt einige neue Funktionen. Dazu gehört GPU-beschleunigtes Video-Decoding für Windows. Ebenso können Anwender die Rechte einfacher konfigurieren, die Webseiten erhalten sollen. Dazu gehören Pop-Ups, Standort, Kamera und Mikrofon. In der Omnibox kann man einfach auf das Symbol neben der URL klicken und muss sich nicht durch die Einstellungen wühlen. Weiterhin wurden 6 Fehler ausgebessert, die als Hoch eingestuft sind. 2 dieser Probleme betreffen […]

[26 Sep 2012 | Comments Off on Für Chrome 22 lässt Google 29,500 US-Dollar Kopfgeld springen – schnelleres 3D (Bananabread-Demo) | Autor: Jürgen (jdo) ]
Für Chrome 22 lässt Google 29,500 US-Dollar Kopfgeld springen – schnelleres 3D (Bananabread-Demo)

Google Chrome 22 wurde in den Stable-Channel aufgenommen und steht ab sofort zum Download bereit. In Sachen Sicherheit haben die Entwickler 29.500 US-Dollar als Kopfgeld springen lassen. Eine Sicherheitslücke wurde sogar mit 10.000 US-Dollar und zwei weitere mit 5000 dotiert. Wie immer taucht bei diesen Geldausschüttungen Sergey Galzunov auf, der wieder 15.000 US-Dollar einstecken konnte. Die Sicherheitslücken sind in der Ankündigung im Detail beschrieben. Die beiden von Glazunov gefundenen Sicherheitslücken hängen mit UXSS (Frames und V8-Bindings) zusammen. Eine Lücke, die […]

[15 Aug 2012 | Comments Off on NVIDIA-Treiber 304.37 mit 41 Änderungen | Autor: Jürgen (jdo) ]
NVIDIA-Treiber 304.37 mit 41 Änderungen

Der Linux-Treiber 304.37 (GeForce, Quadro, Tesla) von NVIDIA ist der erste zertifizierte, der 304-Serie. Vorangegangen waren 304.22 Beta und 304.30 Beta. Insgesamt gibt es 41 offizielle Änderungen. Zu den wichtigsten Änderungen gehören Unterstützung für die Grafik-Prozessoren GeForce GTX 680M, Quadro K1000M, Quadro K2000M und Tesla K10. Außerdem haben die Entwickler einige Bugs im Zusammenhang mit RandR ausgebügelt. Verbesserungen gibt es auch für die Unterstützung der Erweiterungen Resize und Rotate von X.Org 1.2 und später. Einige Fehler bezüglich OpenGL wurden auch behoben. […]

[12 Apr 2012 | 2 Kommentare | Autor: Jürgen (jdo) ]
295.40: Sicherheitslücke in NVIDIA-Treiber für Linux/UNIX geschlossen

NVIDIA warnt vor einer Sicherheitslücke (CVE-2012-0946), die sich im Linux-/UNIX-Treiber befindet. Die Schwachstelle wurde am 20. März 2012 privat an NVIDIA gemeldet. Ein Angreifer, der Lese- und Schreibzugriff auf die GPU hat, könnte sich Zugriff auf den Arbeitsspeicher des Systems verschaffen. Derzeit ist kein Fall bekannt, wo die Sicherheitslücke aktiv ausgenutzt wird. Die Standard-Rechte auf den GPU Device Nodes erlauben allen Anwendern Lese- und Schreibrechte. Diese Rechte lassen sich konfigurieren. Allerdings brauchen Anwender diese, wenn Sie zum Beispiel Applikationen mit GLX […]

[11 Feb 2012 | 5 Kommentare | Autor: Jürgen (jdo) ]

Ungewollt an Glaubenskriegen teilnehmen zu müssen, wäre eigentlich belustigend – wenn es nicht die traurige Wahrheit wäre. Ich finde es faszinierend, dass es mehr und mehr Menschen gibt, die ihren Apfel mit Feuer und Schwert verteidigen. Dabei wissen gleichzeitig immer weniger, warum sie das eigentlich tun: “Hah! Ich hab nen Mac, damit wär mir XYZ nicht passiert!” Wird diesen iLiegen Kriegern dann aber die Frage stellt: “Warum ist Mac besser als Windows oder Linux?”, bekommt man in der Regel viele […]