Warnungen vor Schwachstellen bei Betriebssystemen und Programmen sowie Hinweise auf bekannt gewordene Datenlecks und die Art der kompromittierten Daten.
Aktualisiert am 31-07-2020, Ellena
Warnungen vor Schwachstellen
Schwachstellen bzw. Sicherheitslücken entstehen durch Fehler in der Programmierung von Betriebssystemen oder Programmen. Diese können nicht nur einzelne Funktionen beeinträchtigen. Sondern sie können auch Unbefugten ermöglichen, Daten abzugreifen oder Schadsoftware einzuschleusen.
Folgende Schwachstellen wurden in den letzten Tagen gefunden.
Risiko: Stufe 2 niedrig – 3 mittel – 4 hoch – 5 sehr hoch. / … = Wiederholung der Bezeichnung des Programms
… | Juli 2020
MacOS X, Windows, Linux, UNIX (+)
Chrome (Google) : 30. | (nicht UNIX) Nicht näher beschriebener Angriff möglich – ferngesteuert
Apache Tomcat : 28. | Ausführen beliebigen Programmcodes mit den Rechten des Dienstes – ferngesteuert
Ruby on Rails : 27. | Ausführen beliebigen Programmcodes – ferngesteuert
ffmpeg : 27. | (nicht Linux) Ausführen beliebigen Programmcodes
Firefox (Mozilla) : 27. | (+ Sonstiges) Ausführen beliebigen Programmcodes – ferngesteuert
libcurl : 27. | Ausspähen von Informationen – ferngesteuert
QEMU : 27. | Denial-of-Service / (+ Sonstiges) Ausführen beliebigen Programmcodes mit den Rechten des Dienstes
Thunderbird (Mozilla) : 27. | (nicht UNIX) Ausführen beliebigen Programmcodes mit Benutzerrechten – ferngesteuert
Apache Tomcat : 27. | Denial-of-Service – ferngesteuert
Chrome (Google) : 27. | (nicht UNIX) Nicht näher beschriebener Angriff möglich – ferngesteuert
ffmpeg : 27. | (nicht Linux) Denial-of-Service – ferngesteuert
Wireshark : 27. | Denial-of-Service – ferngesteuert
Windows, Linux, UNIX (+)
Grub2 : 31. | (+ Sonstiges) Umgehen von Sicherheitsvorkehrungen
Oracle Java SE : 31. | Nicht näher beschriebener Angriff möglich – ferngesteuert
Firefox (Mozilla) : 31. | Ausführen beliebigen Programmcodes mit Benutzerrechten – ferngesteuert
Drupal : 30. | (+ Sonstiges) Privilegieneskalation – ferngesteuert
TYPO3 Extension : 30. | (+ Sonstiges) Cross-Site-Scripting – ferngesteuert
Dell OpenManage Server Administrator : 30. | Umgehen von Sicherheitsvorkehrungen – ferngesteuert
IBM Informix : 29. | Ausführen beliebigen Programmcodes mit den Rechten des Dienstes – ferngesteuert
Intel Prozessoren : 28. | (+ BIOS/Firmware, F5 Networks, Sonstiges) Privilegieneskalation – ferngesteuert
ClamAV : 28. | Denial-of-Service – ferngesteuert
libvirt : 28. | (+ Sonstiges) Denial-of-Service
ffmpeg : 27. | Denial-of-Service – ferngesteuert
Atlassian Confluence : 27. | Cross-Site-Scripting – ferngesteuert
Wireshark : 27. | Denial-of-Service – ferngesteuert
QEMU : 27. | (+ Sonstiges) Denial-of-Service
Android, iOS, MacOS, Windows, Linux
Firefox (Mozilla) : 29. | (nur iOS) Umgehen von Sicherheitsvorkehrungen – ferngesteuert
Thunderbird / Firefox (Mozilla) : 27. | (+ UNIX, nicht iOS) Nicht näher beschriebener Angriff möglich – ferngesteuert
Andere Sicherheitslücken
JUNOS (Juniper) : 30. | (Juniper Appliance) Erlangen von Administratorrechten – ferngesteuert
Sicherheitslücken bei Linux, UNIX (+)
OpenBSD : 30. | (nur UNIX) Umgehen von Sicherheitsvorkehrungen – ferngesteuert
Samba : 30. | Denial-of-Service – ferngesteuert
Kubernetes : 28. | Umhgehen von Sicherheitsvorkehrungen – ferngesteuert aus dem lokalen Netzwerk / Denial-of-Service – ferngesteuert
ntp : 28. | (+ Appliance, NetApp Appliance, Sonstiges) Denial-of-Service – ferngesteuert
cURL : 27. | Manipulation von Dateien – ferngesteuert
dbus : 27. | Denial-of-Service
Nur Linux
Red Hat Enterprise Linux : 31. | Ausspähen von Informationen – ferngesteuert
JBoss Enterprise Application Platform (Red Hat) : 28. | Ausführen beliebigen Programmcodes mit den Rechten des Dienstes – ferngesteuert
OpenShift Container Platform (Red Hat) : 28. | Privilegieneskalation – ferngesteuert
libvirt : 28. | Denial-of-Service – ferngesteuert
OpenShift Container Platform (Red Hat) : 28. | Umgehen von Sicherheitsvorkehrungen – ferngesteuert
spice : 27. | Ausführen beliebigen Programmcodes mit Benutzerrechten – ferngesteuert aus dem lokalen Netzwerk
OpenSSL : 27. | Denial-of-Service – ferngesteuert
WavPack (Red Hat) : 27. | Denial-of-Service – ferngesteuert
Open Source Linux Kernel (+)
–
Ausspähen von Informationen – ferngesteuert
–
Zwar betreffen die Schwachstellen i. d. R. ältere System-/Programm-Versionen. Aber es ist in jedem Fall ratsam, zu kontrollieren, ob die Systeme und Programme auf dem neusten Stand sind. Generell sollten diese immer zeitnah auf die aktuellsten Versionen aktualisiert werden.
Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)
Datenlecks
Ein bisschen Statistik:
Im Jahr 2019 haben sich Unbefugte Zugriff auf
2 Milliarden Passwörter und 3 Milliarden E-Mail-Adressen
verschafft. (Quelle: Firefox Monitor / Stand: Anfang Dezember 2019)
Bei folgenden Unternehmen / Webseiten ist in letzter Zeit ein illegaler Zugriff auf Daten bekannt geworden:
E-Mail-Adressen und Passwörter
Quidd – 24.06.2020
Mathway – 05.06.2020 | Wishbone (2020) – 28.05.2020 | LiveJournal – 26. Mai 2020 | PetFlow – 26. Mai 2020 | Lifebear – 25. Mai 2020
Unterschiedliche personenbezogene Daten
Neuster Eintrag: 31.07.2020
Swvl – 31. Juli 2020
E-Mail-Adressen, Passwörter, Telefonnummern, Namen, Profilfotos
Appen – 30. Juli 2020
Passwörter, E-Mail-Adressen, IP-Adressen, Telefonnummern, Namen, Arbeitgeber
Scentbird – 30. Juli 2020
E-Mail-Adressen, IP-Adressen, Geburtsdaten, Namen, Geschlecht, Stärke des Passworts
Dunzo – 29. Juli 2020
IP-Adressen, Telefonnummern
Drizly – 28. Juli 2020
Passwörter, IP-Adressen, E-Mail-Adressen, Anschriften, Telefonnummern, Geburtsdaten, Namen, Geräteinformationen
Hurb – 27. Juli 2020
IP-Adressen, Passwörter
Dave – 27. Juli 2020
E-Mail-Adressen, Passwörter, Geburtsdaten, Anschriften, Telefonnummern, Sozialversicherungsnummern
Promo – 22. Juli 2020
Passwörter, IP-Adressen, E-Mail-Adressen, Geschlecht, Namen
Wattpad – 19. Juli 2020
Passwörter, IP-Adressen, E-Mail-Adressen, Benutzernamen, Geburtsdaten, Geschlecht, Standorte, Kurzprofil, Namen, Social-Media-Profile, Adressen von Benutzerwebsites
Twitter – 15. Juli 2020
Zahlreiche Profile v. a. Prominenter gehackt und zum Sammeln von Bitcoims missbraucht
Foodora – 16. Juni 2020
Passwörter, Telefonnummern
Zoom Car – 05. Juni 2020 / Lead Hunter – 03. Juni 2020
IP-Adressen, Passwörter
Wishbone (2020) – 28. Mai 2020
E-Mail-Adressen, Passwörter, IP-Adressen, Telefonnummern, Geburtsdaten
Nulled.ch – 24. Mai 2020
Passwörter, IP-Adressen, E-Mail-Adressen, Benutzernamen, private Nachrichten
Covve – 15. Mai 2020
Telefonnummern, E-Mail-Adressen
db8151dd – 15. Mai 2020
E-Mail-Adressen, Telefonnummern
Ulmon – 8. Mai 2020
Telefonnummern, Passwörter
Tokopedia .com – 2. Mai 2020
Passwörter, E-Mail-Adressen Geburtsdaten, Geschlecht, Namen
Falls Sie den Verdacht haben, dass Ihre Daten in falsche Hände gelangt sein könnten, ändern Sie umgehend Ihr Passwort. Das neue Passwort sollte sich deutlich von dem ursprünglichen unterscheiden. Außerdem sollte es auch nicht für andere Konten verwendet werden bzw. worden sein.
