Es hat wohl einen Großangriff auf WordPress Websites gegeben, wie Wordfence berichtet. Ich kann das teilweise bestätigen, da ich nach dem Bericht in die Logs gesehen und solche XSS-Angriffe sehe. Es geht also um Cross-Site-Scripting-Angriffe, die am 28. April 2020 angefangen haben. In den folgenden Tagen war das Volumen der Angriffe 30 Mal höher als normal, lesen die Security-Experten aus ihren Daten. Die Angriffe gehen wohl von einer einzigen Instanz aus. Das sehen die Experten anhand der Payload, die für den […]

Die Entwickler des Webservers Apache haben gerade per E-Mail verkündet, dass ab sofort Apache HTTP Server 2.4.3 zur Verfügung steht. Diese Version ist die dritte Wartungs-Ausgabe des 2.4-Zweiges. Neue Funktionen gibt es keine, allerdings wurden zwei Sicherheitslücken aus der Welt geschaffen. SECURITY: CVE-2012-3502 (cve.mitre.org) – mod_proxy_ajp, mod_proxy_http: bereinigt ein Problem beim Schließen einer Verbindung im Backend. Somit könnten vertrauliche Daten enthüllt werden. SECURITY: CVE-2012-2687 (cve.mitre.org) – mod_negotiation: behebt eine potentielle XSS-Schwachstelle (Cross-Site Scripting), wenn nicht vertrauenswürdige Anwender Dateien zu einer Stelle […]

Die Entwickler der populären CMS- / Blogging-Software WordPress haben Ausgabe 3.3.1 zur Verfügung gestellt. Sie berichten, dass in der neueste Version 15 Probleme aus der Welt geschafft wurden. Ebenso haben die Entwickler eine Sicherheitslücke ausgebessert, die sich für XSS-Angriffe (Cross-Site Scripting) ausnutzen lässt. Andere ausgebesserte Schwierigkeiten enthalten Multi-site Upload Limit ist bei 50 MByte stecken geblieben, ungewollter Backslash in der Ausgabe und ein falsches Zählen der Widgets im Dashboard. Du findest die Liste mit allen behobenen Problemen unter core.trac.wordpress.org. Wer […]

Sprecher der sozialen Datenschleuder Facebook haben gegenüber SCMagazineUS.com gesagt, dass man viele der Verantwortliche für die kürzlich aufgetretene Pornowelle identifiziert hat. Es handelte sich angeblich um einen koordinierten Angriff. Mittels XSS (Cross Site Scripting) hat man Anwender ausgetrickst, dass diese pornographische Inhalte unwissend in ihren News-Feeds verbreiteten. Benutzer-Konten wurden während des Angriffs nicht kompromittiert. Facebook will entsprechende Schritte gegen die Verantwortlichen der Kampagne einleiten. Genaue Details wurden allerdings nicht verraten.

Mit dem ganzen Tamtam um Anonymous, LulzSec, Anti-Sec und so weiter sind die ethischen Hacker-Gruppen fast in Vergessenheit geraten. Die YGN Ethical Hacker Group ist so eine und hat Apple am 25. April 2011 informiert, dass es auf deren Entwickler-Portal mehrere Schwachstellen gibt. Bis her scheint Apple das aber nciht weiter gestört zu haben. Die Gruppe will nun ihre Funde komplett veröffentlichen, sollte Apple die Schwachstellen nicht in den nächsten paar Tagen beheben. Drei verschiedene Sicherheitslücken sollen das Portal knechten: […]

Adobe hat bestätigt, dass der gefundene Fehler in Flash Player aktiv ausgenutzt wird. Cyberkriminelle versuchen, die Login-Daten von Google-Mail-Anwender zu stehlen. Die Sicherheitslücke wurde bereits mit einem ungeplanten Notfall-Flicken geschlossen. Es war der zweite Patch für Adobe Flash in weniger als vier Wochen und bereits der fünfte dieses Jahr. Darüber hinaus ist ein Wochenend-Update doch recht ungewöhnlich für Adobe. Adobe-Sprecherin Wiebke Lips sagte, dass böswillige Hacker Anwendern Links schicken, die auf eine speziell präparierte und schädliche Webseite verweisen. Derzeit seien […]

Das Open-Source-Projekt Diaspora verfolgt ein ehrenhaftes Ziel – ein soziales Netzwerk zu erschaffen, in dem der Anwender komplette Kontrolle über seine Privatsphäre haben. Man will damit Facebook attackieren, das immer wieder in die Kritik der Medien aus Datenschutzgründen und Datensammelwut gerät. Allerdings scheint Diaspora auch massive Schwierigkeiten in Sachen Sicherheit zu haben. Das sagen zumindest Leute, die es getestet haben. In der Ankündigung der Pre-Alpha-Version sagten die Entwickler, dass der Code alles andere als frei von Fehlern und Sicherheitslöchern sei. […]

Giorgio Maone, der Erschaffer von NoScript, hat Version 2.0 angekündigt. Das Firefox-Plugin blockiert auf Wunsch des Anwenders das Ausführen von JavaScript, Java, Flash, anderen Plugins oder gescriptete Inhalte. NoScript enthält eine so genannte Whitelist. Damit können Sie das Plugin auf bestimmten Webseiten deaktivieren. Ebenso ist NoScript ein guter Schutz vor Clickjacking-Angriffen (transparenter iFrame unter dem Cursor). NoScript 2.0 ist nach Angaben des Entwicklers noch zuverlässiger als die Vorgänger. Im Bereich Schutz vor XSS-Angriffen (Cross Site Scripting) soll sich das Plugin für […]

Apples Browser Safari 5 ist ab sofort für Windows XP / Vista / 7 und Mac OS X erhältlich. Der neueste Apple-Browser bringt einige neue Funktionen und Verbesserungen mit sich. Dazu gehört zum Beispiel Safari-Reader. Mit einem Klick auf das Reader-Symbol können Sie sich Artikel im Internet in einer übersichtlichen Seitendarstellung anzeigen lassen. Apple behauptet außerdem, dass Safari 5 JavaScript bis zu 25 Prozent schneller ausführt als Safari 4. Weiter unten können Sie in unserem Benchmark-Test sehen, ob Apple Recht […]