Mein guter Freund und Kollege Moritz Jäger hat ein Google-Dokument zur Verfügung gestellt, das als kleine Liste für (nicht-)anfällige Geräte bezüglich der von Stefan Viehböck gefundenen WPS-Lücke in Routern und Access Points dient – klick. Durch eine Design-Schwachstelle in WPS ist es möglich, das System in 4 bis 10 Stunden zu knacken – sofern WPS natürlich aktiviert ist. Das Problem ist, dass bereits die Hälfte der PIN für “gut” befunden werden kann. Somit verringert sich die Anzahl der zu überprüfenden […]

Adobe hat eine ungeschlossene (0-Day) Lücke bestätigt, die angeblich bereits aktiv ausgenutzt wird. Für Version 9 des Reader und Adobe Acrobat will man bis Ende nächster Woche einen Flicken zu Verfügung stellen – Allerdings nur für die Windows-Ausgabe. Der Patch wird der sechste für Reader und Acrobat dieses Jahr sein. In der Sicherheits-Anweisung von Adobe ist zu lesen, dass eine kritische Schwachstelle in Adobe Reader X (10.1.1), Acrobat X (10.1.1) und früher für Windows und Macintosh gefunden wurde. Ebenso sind […]

Nicht nur kernel.org wurde kompromittiert, sondern auch MySQL.com und hat Schadcode ausgeliefert. In der Zwischenzeit wurde das Problem aber behoben. Die Cyberkriminellen haben ein Script eingeschleust, dass Anwender auf eine Webseite umgeleitet hat. Diese nutzte den BlackHole Exploit Pack. Damit wird der Browser untersucht und ein entsprechender Angriff gestartet. Sicherheits-Experte Brian Krebs hat vor wenigen Tagen gesehen, dass root-Zugriff auf MySQL.com für 3000 US-Dollar feilgeboten wurde. Armorize war der Erste, der im Detail beschrieb, wie der Angriff funktioniert – seehr […]

Insgesamt 8837 US-Dollar hat Google für elf gemeldete Sicherheitslücken ausgeschüttet. Davon sind neun als hoch, eine als medium und eine als hoch kritisch eingestuft. Zwei der Schwachstellen betreffen lediglich Windows, eine nur 32-Bit-Architekturen und eine die Linux-Version. Die Sicherheitslücken lassen sich für Umgehung der Sicherheitsrichtlinien und Systemzugriffe ausnutzen. Chrome 13.0.782.215 ist ab sofort für Linux, Mac OS X und Windows verfügbar.

Auf plusheadlines.com wird berichtet, dass ein Anwender über eine Sicherheitslücke in Google Plus Zugriff auf 1,8 Millionen private Google-Mail-Konten in den letzten zwei Wochen hatte. Allein 600.000 davon sollen in den letzten 24 Stunden kompromittiert worden sein. Der Finder der Schwachstelle, der anonym bleiben möchte, hat Google angeblich gestern darüber in Kenntnis gesetzt und will nach Aussage von plusheadlines.com helfen, die Sicherheitslücke schnellstmöglich zu schließen und auf keine weiteren Konten zugreifen. Google soll bereits aktiv an dem Problem arbeiten. Die […]

Als Teil der Antisec-Kampagne haben die Hacktivisten von Anonymous 7,4 GByte Daten von rund 70 amerikanischen Strafverfolgungs-Behörden via BitTorrent veröffentlicht. Das Paket enthält persönliche Details, E-Mail-Adressen, Trainings-Video und so weiter. Die Daten kommen von 76 Webseiten, die alle auf dem selben Server (gehört Brooks-Jeffrey Marketing – BJM) gehostet waren. Die Hacker haben ganz offenbar eine Sicherheitslücke gefunden und ausgenutzt, die ihnen Zugriff auf die Daten gaben. BJM hat das Loch zwar gemerkt und einen neuen Server aufgestellt, allerdings auch eine […]

Im AMD-Treiber für Linux wurde eine Sicherheitslücke gemeldet, für die es derzeit kein Update gibt. Diese Schwachstelle lässt sich von lokalen Anwendern ausnutzen, um sensible Daten zu enthüllen. Auslöser der Lücke ist das Script authatieventsd.sh, das die X-Authority-Datei erzeugt und ein Cookie an xauth übergibt. Somit könnten sich Bösewichte Zugriff auf den Ausgabebildschirm eines Anwenders verschaffen. Die Schwachstelle ist für Version 11.6 (8.861) bestätigt. Andere Versionen könnetn ebenfalls betroffen sein. Da es kein Update gibt, sollten Anwender den Zugriff nur […]

Mit einem Update für iOS hat Apple eine Schwachstelle im PDF-Viewer geschlossen, die sich Jailbreak.me zunutze machte, um mobile Apple-Geräte zu befreien. iOS 4.3.4 scheint ansonsten keine weiteren Änderungen zu enthalten. Wegen der Gefahr von Drive-By-Downloads hat Apple auch iOS 4.2.9 zur Verfügung gestellt. Nach dem Update ist derzeit kein Jailbreak mehr möglich und zuvor befreite Geräte sind wieder hinter Gittern. Wer sein Gerät lieber in Freiheit genießen möchte, sollte PDF Patcher 2 via Cydia installieren und auf ein aktualisiertes […]

Seit wenigen Tagen ist Version 3 von Jailbreakme (jbme3.0) verfügbar. Hier handelt es sich um eine Webseite, mit deren Hilfe sich Apple-iOS-Geräte, wie zum Beispiel iPhone, iPod Touch und iPad, aus ihrem Gefängnis befreien lassen. Die Entwickler bedienen sich in der Regel Sicherheitslücken im Betriebssystem, um die komplette Kontrolle über das Gerät zu gewinnen – Jailbreak. Dazu müssen Anwender lediglich die Webseite besuchen. Version 3 nutzt im ersten Schritt eine 0-Day-Lücke im Zusammenhang mit PDF aus und bedient sich dann […]

Die YGN Ethical Hacker Group hat Apple das Messer auf die Brust gesetzt, nachdem man Sicherheitslücken bereits am 25. April 2011 gemeldet hatte. Zwei Monate seien schließlich genug und sollte Apple nicht reagieren, wolle man an die Öffentlichkeit gehen. Der kleine Schubs hat wohl geholfen, weil Apple die Schwachstellen nun tatsächlich umgehend geschlossen hat. Nachdem dies geschehen ist, gibt es auch genauere Details zu den gefundenen Sicherheitslücken, die sich für Phishing-Angriffe ausnutzen haben lassen.