Die Mastodon-Entwickler haben eine Sicherheitslücke geschlossen, die es Angreifern ermöglichte, aufgrund mangelhafter Filterung von übergebenen Daten bei der LDAP-Authentifizierung einzelne Informationen auszulesen. Die Entdecker der Schwachstelle schreiben, dass der Nutzername nicht gefiltert werde und sich so eine LDAP-Datenbank-Abfrage einschleusen lasse. Stückweise ließen sich so Informationen zu Nutzern auslesen. Die Sicherheitslücken haben die Entwickler in den Fassungen 4.1.2, 4.0.4 sowie 3.5.8 geschlossen. Administratoren einer Mastodon-Instanz sollten die aktualisierten Fassungen zügig installieren, da die Entwickler die damit geschlossene Schwachstelle als hochriskant einstufen. https://mastodon.social/@Mastodon/110667890329356603

weter lesen ...

Es gibt eine kritische Sicherheitslücke beim 1Password Manger in der Version 7 unter Verwendung von Agile Bits' Sync. Wenn man gemeinsame und private Tresore in 1Password vorhanden sind, kann über die Schaltfläche "Kennwort generieren" in 1Password nicht ausgewählt werden, in welchem Tresor das Kennwort gespeichert werden soll, bis es zu einem Login wird, aber zu diesem Zeitpunkt ist es bereits gespeichert. Wer einen macOS besitzt und 1Password in der Version 7 nutzt, kann folgendes probieren um dies zu reproduzieren: Cmd+Alt+\ drücken und versuchen, mit der Tabulatortaste auf die Schaltfläche "Kennwort generieren" oben rechts in dem sich öffnenden Fenster zu gehen. Das war in früheren 1Password-Versionen möglich, ist es jetzt aber nicht mehr. Mit der Tabulatortaste zwischen der Liste der Vorschläge…

weter lesen ...

Folgende Meldung wurde über das Warnsystem des Hessen CyberCompetenceCenter (Hessen3C) versendet und betrifft das Google eigene Betriebssystem Android. Mobile Endgeräte mit dem Betriebssystem Android, welche nicht über die aktuelle Betriebssystem Version verfügen, sind derzeit verstärkt Ziele von Cyberangriffen. Betroffen sind alle Geräte der Android-Versionsreihen 10, 11 und 12.Sofern Ihr Android-Gerät noch nicht über den aktuellen Versionsstand verfügt, führen Sie bitte umgehend ein Softwareupdate durch.Die Android-Version Ihres Smartphones können Sie wie folgt überprüfen: Öffnen Sie hierzu die EinstellungenTippen Sie auf System - SystemupdateHier werden die Android-Version und der Stand der Sicherheitsupdates angezeigtSteht dort 2022-02-01 oder 2022-02-05, ist das Gerät auf dem aktuellen Stand

weter lesen ...

Der 19-jährige deutsche Sicherheit forscher hat auf Twitter und Medium davon berichtet, dass er wegen einer Sicherheitslücke ohne Probleme auf Fahrzeuge von Tesla zugreifen kann. Er schreibt dazu: "Ich habe jetzt also die volle Kontrolle von über 25+ Teslas in 13 Ländern und es scheint keine Möglichkeit zu geben, die Besitzer zu finden und sie zu informieren …" Weiter heißt es, dass es sich nicht um eine Schwachstelle in der Infrastruktur von Tesla handelt, eher es ist ein Fehler des Besitzers. Wieso, bleibt wohl noch offen bis mehr Infos durchsickern. Zugriff ist möglich auf das komplette Fahrzeug. Diese kann er remote steuern. Fenster öffnen, Fahrzeuge öffnen und verriegeln sowie das Licht steuern und die Musik steuern und eine exakte Ortung…

weter lesen ...

Viele LastPass-Benutzer berichten, dass ihre Master-Passwörter kompromittiert wurden, nachdem sie E-Mail-Warnungen erhalten haben, dass jemand versucht hat, sich mit ihnen von unbekannten Orten aus in ihre Konten einzuloggen. In den E-Mail-Benachrichtigungen wird auch erwähnt, dass die Anmeldeversuche blockiert wurden, weil sie von unbekannten Orten weltweit unternommen wurden. "Jemand hat gerade versucht, sich mit Ihrem Master-Passwort von einem uns unbekannten Gerät oder Standort aus bei Ihrem Konto anzumelden, LastPass hat diesen Versuch blockiert, aber Sie sollten sich das genauer ansehen. Waren Sie das?" heißt es in der Email die einem zugesandt wird, wenn sich jemand versucht unberechtigt anzumelden." Berichte über kompromittierte LastPass-Master-Passwörter gibt über mehrere Social-Media-Seiten und Online-Plattformen, darunter Twitter, Reddit und Hacker News. https://twitter.com/Valcristerra/status/1475734357805572098 https://news.ycombinator.com/item?id=29705957 Kompromittiert wurde wohl das Masterpasswort…

weter lesen ...

Das bei Wordpress beliebte Plugins weißt laut heise eine kritische Sicherheitslücke auf. Bei der Schwachstelle (CVE-2021-25036) die als kritisch gilt, genügt es wenn ein Angreifer einen Subscriber Account anlegt, was bei vermutlich bei 95 % der weltweiten Wordpress Seiten der Fall sein wird. Betroffenen ist die REST-API. Aufgrund einer fehlerhaften Berechtigungsprüfung könnte ein Angreifer durch einen einzigen Großbuchstaben in einer Anfrage die Prüfung vollständig umgehen. Klappt das, ist der Zugriff auf beispielsweise aioseo/v1/hatccess gegeben. Das geht aus einem Post von einem Jetpack Entwickler hervor. Bei einer zweiten Lücke (CVE-2021-25037 „hoch“) könnten SQL-Injection-Attacken möglich ein und wäre mit ersten Lücke kombinierbar sein, allerdings sollen dafür höhere Benutzerrechte von Nöten sein. Mit der Version 4.1.5.3 soll das Problem wohl gelöst sein, laut…

weter lesen ...

Laut heise.de gibt eine neue Version des Web-Proxys Apache. Mit der Version 2.4.52 ist diese Sicherheitslücke über die ich bereits berichtete gehoben. Die Sicherheitslücke wurde von den Entwicklern und dem BSI als „hoch“ eingestuft. Die Lücke betrifft den LUA-Skript-Parser mod_lua (CVE-2021-44790) Quelle: heise.de

weter lesen ...

Die BlackByte-Ransomware-Bande dringt jetzt in Unternehmensnetzwerke ein, indem sie Microsoft Exchange-Server über die ProxyShell-Schwachstellen ausnutzt. ProxyShell ist der Name für eine Reihe von Microsoft Exchange-Schwachstellen, die eine nicht authentifizierte Remotecodeausführung auf dem Server ermöglichen, wenn sie miteinander verkettet sind. Diese Sicherheitslücken sind unten aufgeführt und wurden durch Sicherheitsupdates behoben, die im April und Mai 2021 veröffentlicht wurden: CVE-2021-34473 - Pre-auth Path Confusion leads to ACL Bypass (Patched in April by KB5001779) CVE-2021-34523 - Elevation of Privilege on Exchange PowerShell Backend (Patched in April by KB5001779) CVE-2021-31207 - Post-auth Arbitrary-File-Write leads to RCE (Patched in May by KB5003435) Seit die Forscher die Schwachstellen aufgedeckt haben, haben die Hacker damit begonnen, sie auszunutzen, um in Server einzudringen und um dort Web-Shells, Münzschürfer…

weter lesen ...