Aktualisiert am 24-09-2020, von Ellena
Hinweise auf Schwachstellen in Betriebssystemen und Programmen sowie Informationen zu bekannt gewordene Datenlecks und die Art der kompromittierten Daten.
Warnungen vor Schwachstellen
Schwachstellen bzw. Sicherheitslücken entstehen durch Fehler in der Programmierung von Betriebssystemen oder Programmen. Diese können nicht nur einzelne Funktionen beeinträchtigen. Sondern sie können auch Unbefugten ermöglichen, Daten abzugreifen oder Schadsoftware einzuschleusen.
Folgende Schwachstellen wurden in den letzten Tagen gefunden.
Risiko: Stufe 2 niedrig – 3 mittel – 4 hoch – 5 sehr hoch. / … = Wiederholung der Bezeichnung des Programms
…| September 2020
MacOS X, Windows, Linux, UNIX (+)
Chrome [Google] : 24. | (nicht UNIX) Ausführen beliebigen Programmcodes mit Benutzerrechten – ferngesteuert
Firefox ESR [Apple] : 24. | Ausführen beliebigen Programmcodes mit Benutzerrechten – ferngesteuert
Tomcat [Apache] : 24. | Denial-of-Service – ferngesteuert
Safari [Apple] : 17. | (nur MacOS X) Ausführen beliebigen Programmcodes mit Benutzerrechten – ferngesteuert
Windows, Linux, UNIX (+)
Citrix Systems Workspace App : 24. | (nur Windows) Ausführen beliebigen Programmcodes mit Administratorrechten – ferngesteuert
Wireshark : 24. | (+ Sonstiges) Denial-of-Service – ferngesteuert
Tomcat [Apache] : 23. | (+ Applicance / nur Windows) Ausführen beliebigen Programmcodes mit den Rechten des Dienstes – ferngesteuert
Ruby on Rails: 23. | (+ Sonstiges) Ausführen beliebigen Programmcodes – ferngesteuert
Tomcat [Apache] : 23. | Manipulation von Dateien – ferngesteuert / Cross-Site-Scripting – ferngesteuert
Atlassian Confluence : 23. | Ausspähen von Informationen – ferngesteuert
Tomcat [Apache] : 23. | Manipulation von Dateien – ferngesteuert / (+Applicance / + Sonstiges) Umgehen von Sicherheitsvorkehrungen – ferngesteuert
Trend Micro Internet Security : 23. | (+ Sonstiges) Umgehen von Sicherheitsvorkehrungen – ferngesteuert
Windows [Microsoft] : 18. | (nur Windows) Ausführen beliebigen Programmcodes mit Administratorrechten – ferngesteuert
Oracle Java SE : 18. | Nicht näher beschriebener Angriff möglich – ferngesteuert
Firefox + Thunderbird [Mozilla] : 18. | Ausführen beliebigen Programmcodes mit Benutzerrechten – ferngesteuert
QEMU : 18. | Ausführen beliebigen Programmcodes mit den Rechten des Dienstes – ferngesteuert
Atlassian Jira Software : 18. | (+ Sonstiges) Ausspähen von Informationen – ferngesteuert
Pivotal spring-boot : 18. | Umgehen von Sicherheitsvorkehrungen
OpenSSL : 17. | Umgehen von Sicherheitsvorkehrungen – ferngesteuert
Drupal : 17. | (+ Sonstiges) Umgehen von Sicherheitsvorkehrungen – ferngesteuert
QEMU : 17. | (+ Sonstiges) Denial-of-Service
Android, iOS, MacOS X, Windows, Linux
iOS + iPadOS [Apple] : 17. | (nur iPhone/iPad) Ausführen beliebigen Programmcodes mit den Rechten des Dienstes – ferngesteuert
TLS : 17. | (+ F5 Networks, Sonstiges) Umgehen von Sicherheitsvorkehrungen – ferngesteuert aus dem lokalen Netzwerk
Andere Sicherheitslücken
Citrix Systems ADC : 18. | (Applicance, Sonstiges) Privilegieneskalation – ferngesteuert
Sicherheitslücken bei Linux, UNIX (+)
Xen : 24. |Privilegieneskalation
Kubernetes : 24. | Umgehen von Sicherheitsvorkehrungen – ferngesteuert
libxml2 : 24. | (+ NetApp Appliance) Nicht näher beschriebener Angriff möglich – ferngesteuert
Bash : 23. | Ausführen beliebigen Programmcodes mit den Rechten des Dienstes
Samba : 18. |Umgehen von Sicherheitsvorkehrungen – ferngesteuert / Denial-of-Service – ferngesteuert
Samba : 18. | Denial-of-Service – ferngesteuert
Nur Linux
JBoss Enterprise Application Platform [Red Hat] : 24. | Ausführen beliebigen Programmcodes mit den Rechten des Dienstes – ferngesteuert
Red Hat JBoss Application Server (JBoss) : 24. | Cross-Site-Scripting – ferngesteuert
OpenShift [Red Hat] : 24. | Denial-of-Service – ferngesteuert
Red Hat Enterprise Linux : 24. | Denial-of-Service – ferngesteuert
WavPack [Red Hat] : 24. | Denial-of-Service – ferngesteuert
Open Shift [Red Hat] : 23. | Ausspähen von Informationen – ferngesteuert
Red Hat Enterprise Linux : 23. | Nicht näher beschriebener Angriff möglich – ferngesteuert
QEMU + libvirt : 23. | Umgehen von Sicherheitsvorkehrungen
Red Hat Enterprise Linux : 23. | Ausführen beliebigen Programmcodes – ferngesteuert
FreeType : 23. | Denial-of-Service – ferngesteuert
libmspack [Red Hat] : 23. | Ausspähen von Informationen – ferngesteuert
util-linux : 18. | Privilegieneskalation
JBoss A-MQ [Red Hat] : 18. | Denial-of-Service – ferngesteuert
Open Source Linux Kernel (+)
–
–
–
–
Zwar betreffen die Schwachstellen i. d. R. ältere System-/Programm-Versionen. Aber es ist in jedem Fall ratsam, zu kontrollieren, ob die Systeme und Programme auf dem neusten Stand sind. Generell sollten diese immer zeitnah auf die aktuellsten Versionen aktualisiert werden.
Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)
Schwachstellen – Erklärung von Fachbegriffen
Cross-Site-Scripting (XSS): Angreifer schleusen Schadcode durch eine Sicherheitslücke im Client oder auf dem Server ein. Diesen Code betten sie in eine vermeintlich „sichere“ Umgebung ein. Meistens verwenden die Angreifer das häufig verwendete JavaScript. Anschließend können dadurch beispielweise Websites veräändert werden. Auch ist es möglich vertrauliche Informationen oder Passwörter zu stehlen (z. B. Phishing).
Denial-of-Service: Wörtlich „Verweigerung des Dienstes“. Dabei wird der Server gezielt mit so mit Anfragen überhäuft, das er schlimmsten Falls zusammenbricht. Eine Form der sogenannten DoS-Attacken ist das permanente Verschicken von SYN-Paketen mit gefälschten IP-Adressen. Durch den vergeblichen Versuch auf solche Anfragen zu antworten, verbraucht der Server alle Verbindungskapazitäten und ist nicht mehr erreichbar.
Ähnlich verläuft das Ping-Flooding, das Überfluten des Servers mit Überprüfungsanforderungen hinsichtlich der Erreichbarkeit von Rechnern im Netz (Pings). Deren Beantwortung kann ebenfalls zum Systemabsturz führen.
Des weiteren gibt es das sogenannte Mail-Bombing, bei dem riesige Mengen an Mails an eine Adresse gesendet werden, die die betreffenden Mail-Konten blockieren und zu einer Verlangsamung des Mail-Servers oder zu dessen Zusammenbruch führen.
Privilegieneskalation: Hierunter ist eine „Ausweitung der Rechte“ zu verstehen. Das bedeutet, dass es einem Angreifer gelingt, sich Zugriff auf Bereiche zu verschaffen, deren Nutzung normalerweise eingeschränkt bzw. die nur für bestimmte Nutzer, z. B. Administratoren reserviert sind.
Datenlecks
Ein bisschen Statistik:
Im Jahr 2019 haben sich Unbefugte Zugriff auf
2 Milliarden Passwörter und 3 Milliarden E-Mail-Adressen
verschafft. (Quelle: Firefox Monitor / Stand: Anfang Dezember 2019)
Bei folgenden Unternehmen / Webseiten ist in letzter Zeit ein illegaler Zugriff auf Daten bekannt geworden (in der Reihenfolge des Bekanntwerdens | * s. auch „Unterschiedliche personenbezogene Daten“ = sortiert nach dem Zeitpunkt, an dem das Leck auftgetreten ist) :
Nur E-Mail-Adressen und Passwörter
Live Auctioneers – 22.08.2020*
Sonicbids – 18.08.2020 – Quidd – 24.06.2020 | Mathway – 05.06.2020 | Wishbone (2020) – 28.05.2020 | LiveJournal – 26. Mai 2020 | PetFlow – 26. Mai 2020 | Lifebear – 25. Mai 2020
Unterschiedliche personenbezogene Daten
Neuster Eintrag: 02.09.2020
Experian (South Africa) – 01. September 2020
Telefonnummern, Staatliche Identifikationsdokumente
Unico Campania – 19. August 2020
E-Mail-Adressen, Passwörter
Utah Gun Exchange – 17. Juli 2020
IP-Adressen, Passwörter, Benutzernamen, E-Mail-Adressen, Geschlecht
Twitter – 15. Juli 2020
Zahlreiche Profile v. a. Prominenter gehackt und zum Sammeln von Bitcoims missbraucht
Drizly – 02. Juli 2020
Passwörter, IP-Adressen, E-Mail-Adressen, Anschriften, Telefonnummern, Geburtsdaten, Namen, Geräteinformationen
Wattpad – 29. Juni 2020
Passwörter, IP-Adressen, E-Mail-Adressen, Benutzernamen, Geburtsdaten, Geschlecht, Standorte, Kurzprofil, Namen, Social-Media-Profile, Adressen von Benutzerwebsites
ProctorU – 26. Juni 2020
Passwörter, Benutzernamen, Telefonnummern, E-Mail-Adressen, Namen, Anschriften
Havenly – 25. Juni 2020
Passwörter, E-Mail-Adressen, Telefonnummern, Namen, Standorte
Dave – 28. Juni 2020
E-Mail-Adressen, Passwörter, Geburtsdaten, Anschriften, Telefonnummern, Sozialversicherungsnummern
Kreditplus – 23. Juni 2020
Telefonnummern, E-Mail-Adressen
Swvl – 23. Juni 2020
E-Mail-Adressen, Passwörter, Telefonnummern, Namen, Profilfotos
Appen – 22. Juni 2020
Passwörter, E-Mail-Adressen, IP-Adressen, Telefonnummern, Namen, Arbeitgeber
Promo – 22. Juni 2020
Passwörter, IP-Adressen, E-Mail-Adressen, Geschlecht, Namen
Scentbird – 22. Juni 2020
E-Mail-Adressen, IP-Adressen, Geburtsdaten, Namen, Geschlecht, Stärke des Passworts
Vakinha – 22. Juni 2020
IP-Adressen, Passwörter, E-Mail-Adressen, Telefonnummern, Namen, Geburtsnamen
Dunzo – 19. Juni 2020
IP-Adressen, Telefonnummern
LiveAuctioneers – 19. Juni 2020
Passwörter, E-Mail-Adressen, IP-Adressen, Anschriften, Namen, Benutzernamen
Falls Sie den Verdacht haben, dass Ihre Daten in falsche Hände gelangt sein könnten, ändern Sie umgehend Ihr Passwort. Das neue Passwort sollte sich deutlich von dem ursprünglichen unterscheiden. Außerdem sollte es auch nicht für andere Konten verwendet werden bzw. worden sein.
