Schwachstellen und Datenlecks | Aktuelle Sicherheitslücken

Aktualisiert am 24-09-2020, von Ellena

Hinweise auf Schwachstellen in Betriebssystemen und Programmen sowie Informationen zu bekannt gewordene Datenlecks und die Art der kompromittierten Daten.

Warnungen vor Schwachstellen

Schwachstellen bzw. Sicherheitslücken entstehen durch Fehler in der Programmierung von Betriebssystemen oder Programmen. Diese können nicht nur einzelne Funktionen beeinträchtigen. Sondern sie können auch Unbefugten ermöglichen, Daten abzugreifen oder Schadsoftware einzuschleusen.

Schwachstellen
Schwachstellen und Datenlecks / Grafik: eb

Folgende Schwachstellen wurden in den letzten Tagen gefunden.
Risiko: Stufe 2 niedrig3 mittel4 hoch5 sehr hoch. / … = Wiederholung der Bezeichnung des Programms

| September 2020

MacOS X, Windows, Linux, UNIX (+)

Chrome [Google] : 24. | (nicht UNIX) Ausführen beliebigen Programmcodes mit Benutzerrechten – ferngesteuert

Firefox ESR [Apple] : 24. | Ausführen beliebigen Programmcodes mit Benutzerrechten – ferngesteuert

Tomcat [Apache] : 24. | Denial-of-Service – ferngesteuert

Safari [Apple] : 17. | (nur MacOS X) Ausführen beliebigen Programmcodes mit Benutzerrechten – ferngesteuert

Windows, Linux, UNIX (+)

Citrix Systems Workspace App : 24. | (nur Windows) Ausführen beliebigen Programmcodes mit Administratorrechten – ferngesteuert

Wireshark : 24. | (+ Sonstiges) Denial-of-Service – ferngesteuert

Tomcat [Apache] : 23. | (+ Applicance / nur Windows) Ausführen beliebigen Programmcodes mit den Rechten des Dienstes – ferngesteuert

Ruby on Rails: 23. | (+ Sonstiges) Ausführen beliebigen Programmcodes – ferngesteuert

Tomcat [Apache] : 23. | Manipulation von Dateien – ferngesteuert / Cross-Site-Scripting – ferngesteuert

Atlassian Confluence : 23. | Ausspähen von Informationen – ferngesteuert

Tomcat [Apache] : 23. | Manipulation von Dateien – ferngesteuert / (+Applicance / + Sonstiges) Umgehen von Sicherheitsvorkehrungen – ferngesteuert

Trend Micro Internet Security : 23. | (+ Sonstiges) Umgehen von Sicherheitsvorkehrungen – ferngesteuert

Windows [Microsoft] : 18. | (nur Windows) Ausführen beliebigen Programmcodes mit Administratorrechten – ferngesteuert

Oracle Java SE : 18. | Nicht näher beschriebener Angriff möglich – ferngesteuert

Firefox + Thunderbird [Mozilla] : 18. | Ausführen beliebigen Programmcodes mit Benutzerrechten – ferngesteuert

QEMU : 18. | Ausführen beliebigen Programmcodes mit den Rechten des Dienstes – ferngesteuert

Atlassian Jira Software : 18. | (+ Sonstiges) Ausspähen von Informationen – ferngesteuert

Pivotal spring-boot : 18. | Umgehen von Sicherheitsvorkehrungen

OpenSSL : 17. | Umgehen von Sicherheitsvorkehrungen – ferngesteuert

Drupal : 17. | (+ Sonstiges) Umgehen von Sicherheitsvorkehrungen – ferngesteuert

QEMU : 17. | (+ Sonstiges) Denial-of-Service

Android, iOS, MacOS X, Windows, Linux

iOS + iPadOS [Apple] : 17. | (nur iPhone/iPad) Ausführen beliebigen Programmcodes mit den Rechten des Dienstes – ferngesteuert

TLS : 17. | (+ F5 Networks, Sonstiges) Umgehen von Sicherheitsvorkehrungen – ferngesteuert aus dem lokalen Netzwerk

Andere Sicherheitslücken

Citrix Systems ADC : 18. | (Applicance, Sonstiges) Privilegieneskalation – ferngesteuert

Sicherheitslücken bei Linux, UNIX (+)

Xen : 24. |Privilegieneskalation

Kubernetes : 24. | Umgehen von Sicherheitsvorkehrungen – ferngesteuert

libxml2 : 24. | (+ NetApp Appliance) Nicht näher beschriebener Angriff möglich – ferngesteuert

Bash : 23. | Ausführen beliebigen Programmcodes mit den Rechten des Dienstes

Samba : 18. |Umgehen von Sicherheitsvorkehrungen – ferngesteuert / Denial-of-Service – ferngesteuert

Samba : 18. | Denial-of-Service – ferngesteuert

Nur Linux

JBoss Enterprise Application Platform [Red Hat] : 24. | Ausführen beliebigen Programmcodes mit den Rechten des Dienstes – ferngesteuert

Red Hat JBoss Application Server (JBoss) : 24. | Cross-Site-Scripting – ferngesteuert

OpenShift [Red Hat] : 24. | Denial-of-Service – ferngesteuert

Red Hat Enterprise Linux : 24. | Denial-of-Service – ferngesteuert

WavPack [Red Hat] : 24. | Denial-of-Service – ferngesteuert

Open Shift [Red Hat] : 23. | Ausspähen von Informationen – ferngesteuert

Red Hat Enterprise Linux : 23. | Nicht näher beschriebener Angriff möglich – ferngesteuert

QEMU + libvirt : 23. | Umgehen von Sicherheitsvorkehrungen

Red Hat Enterprise Linux : 23. | Ausführen beliebigen Programmcodes – ferngesteuert

FreeType : 23. | Denial-of-Service – ferngesteuert

libmspack [Red Hat] : 23. | Ausspähen von Informationen – ferngesteuert

util-linux : 18. | Privilegieneskalation

JBoss A-MQ [Red Hat] : 18. | Denial-of-Service – ferngesteuert

Open Source Linux Kernel (+)


Zwar betreffen die Schwachstellen i. d. R. ältere System-/Programm-Versionen. Aber es ist in jedem Fall ratsam, zu kontrollieren, ob die Systeme und Programme auf dem neusten Stand sind. Generell sollten diese immer zeitnah auf die aktuellsten Versionen aktualisiert werden.

Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)

Schwachstellen – Erklärung von Fachbegriffen

Cross-Site-Scripting (XSS): Angreifer schleusen Schadcode durch eine Sicherheitslücke im Client oder auf dem Server ein. Diesen Code betten sie in eine vermeintlich „sichere“ Umgebung ein. Meistens verwenden die Angreifer das häufig verwendete JavaScript. Anschließend können dadurch beispielweise Websites veräändert werden. Auch ist es möglich vertrauliche Informationen oder Passwörter zu stehlen (z. B. Phishing).

Denial-of-Service: Wörtlich „Verweigerung des Dienstes“. Dabei wird der Server gezielt mit so mit Anfragen überhäuft, das er schlimmsten Falls zusammenbricht. Eine Form der sogenannten DoS-Attacken ist das permanente Verschicken von SYN-Paketen mit gefälschten IP-Adressen. Durch den vergeblichen Versuch auf solche Anfragen zu antworten, verbraucht der Server alle Verbindungskapazitäten und ist nicht mehr erreichbar.

Ähnlich verläuft das Ping-Flooding, das Überfluten des Servers mit Überprüfungsanforderungen hinsichtlich der Erreichbarkeit von Rechnern im Netz (Pings). Deren Beantwortung kann ebenfalls zum Systemabsturz führen.

Des weiteren gibt es das sogenannte Mail-Bombing, bei dem riesige Mengen an Mails an eine Adresse gesendet werden, die die betreffenden Mail-Konten blockieren und zu einer Verlangsamung des Mail-Servers oder zu dessen Zusammenbruch führen.

Privilegieneskalation: Hierunter ist eine „Ausweitung der Rechte“ zu verstehen. Das bedeutet, dass es einem Angreifer gelingt, sich Zugriff auf Bereiche zu verschaffen, deren Nutzung normalerweise eingeschränkt bzw. die nur für bestimmte Nutzer, z. B. Administratoren reserviert sind.

Datenlecks

Ein bisschen Statistik:
Im Jahr 2019 haben sich Unbefugte Zugriff auf
2 Milliarden Passwörter und 3 Milliarden E-Mail-Adressen
verschafft. (Quelle: Firefox Monitor / Stand: Anfang Dezember 2019)

Bei folgenden Unternehmen / Webseiten ist in letzter Zeit ein illegaler Zugriff auf Daten bekannt geworden (in der Reihenfolge des Bekanntwerdens | * s. auch „Unterschiedliche personenbezogene Daten“ = sortiert nach dem Zeitpunkt, an dem das Leck auftgetreten ist) :

Nur E-Mail-Adressen und Passwörter

Live Auctioneers – 22.08.2020*

Sonicbids – 18.08.2020 – Quidd – 24.06.2020 | Mathway – 05.06.2020 | Wishbone (2020) – 28.05.2020 | LiveJournal – 26. Mai 2020 | PetFlow – 26. Mai 2020 | Lifebear – 25. Mai 2020

Unterschiedliche personenbezogene Daten

Neuster Eintrag: 02.09.2020

Experian (South Africa) – 01. September 2020
Telefonnummern, Staatliche Identifikationsdokumente

Unico Campania – 19. August 2020
E-Mail-Adressen, Passwörter

Utah Gun Exchange – 17. Juli 2020
IP-Adressen, Passwörter, Benutzernamen, E-Mail-Adressen, Geschlecht

Twitter – 15. Juli 2020
Zahlreiche Profile v. a. Prominenter gehackt und zum Sammeln von Bitcoims missbraucht

Drizly – 02. Juli 2020
Passwörter, IP-Adressen, E-Mail-Adressen, Anschriften, Telefonnummern, Geburtsdaten, Namen, Geräteinformationen

Wattpad – 29. Juni 2020
Passwörter, IP-Adressen, E-Mail-Adressen, Benutzernamen, Geburtsdaten, Geschlecht, Standorte, Kurzprofil, Namen, Social-Media-Profile, Adressen von Benutzerwebsites

ProctorU – 26. Juni 2020
Passwörter, Benutzernamen, Telefonnummern, E-Mail-Adressen, Namen, Anschriften

Havenly – 25. Juni 2020
Passwörter, E-Mail-Adressen, Telefonnummern, Namen, Standorte

Dave – 28. Juni 2020
E-Mail-Adressen, Passwörter, Geburtsdaten, Anschriften, Telefonnummern, Sozialversicherungsnummern

Kreditplus – 23. Juni 2020
Telefonnummern, E-Mail-Adressen

Swvl – 23. Juni 2020
E-Mail-Adressen, Passwörter, Telefonnummern, Namen, Profilfotos

Appen – 22. Juni 2020
Passwörter, E-Mail-Adressen, IP-Adressen, Telefonnummern, Namen, Arbeitgeber

Promo – 22. Juni 2020
Passwörter, IP-Adressen, E-Mail-Adressen, Geschlecht, Namen

Scentbird – 22. Juni 2020
E-Mail-Adressen, IP-Adressen, Geburtsdaten, Namen, Geschlecht, Stärke des Passworts

Vakinha – 22. Juni 2020
IP-Adressen, Passwörter, E-Mail-Adressen, Telefonnummern, Namen, Geburtsnamen

Dunzo – 19. Juni 2020
IP-Adressen, Telefonnummern

LiveAuctioneers – 19. Juni 2020
Passwörter, E-Mail-Adressen, IP-Adressen, Anschriften, Namen, Benutzernamen

Falls Sie den Verdacht haben, dass Ihre Daten in falsche Hände gelangt sein könnten, ändern Sie umgehend Ihr Passwort. Das neue Passwort sollte sich deutlich von dem ursprünglichen unterscheiden. Außerdem sollte es auch nicht für andere Konten verwendet werden bzw. worden sein.

Mehr zum Thema

Schadsoftware
Was sind Trojaner – was tun sie?
Datenschutz
Sicherheit persönlicher Daten