Schwachstellen und Datenlecks | Aktuelle Sicherheitslücken

Warnungen vor Schwachstellen bei Betriebssystemen und Programmen sowie Hinweise auf bekannt gewordene Datenlecks und die Art der kompromittierten Daten.

Aktualisiert am 31-07-2020, Ellena

Schwachstellen
Grafik: eb

Warnungen vor Schwachstellen

Schwachstellen bzw. Sicherheitslücken entstehen durch Fehler in der Programmierung von Betriebssystemen oder Programmen. Diese können nicht nur einzelne Funktionen beeinträchtigen. Sondern sie können auch Unbefugten ermöglichen, Daten abzugreifen oder Schadsoftware einzuschleusen.

Folgende Schwachstellen wurden in den letzten Tagen gefunden.
Risiko: Stufe 2 niedrig3 mittel4 hoch5 sehr hoch. / … = Wiederholung der Bezeichnung des Programms

… | Juli 2020

MacOS X, Windows, Linux, UNIX (+)

Chrome (Google) : 30. | (nicht UNIX) Nicht näher beschriebener Angriff möglich – ferngesteuert

Apache Tomcat : 28. | Ausführen beliebigen Programmcodes mit den Rechten des Dienstes – ferngesteuert

Ruby on Rails : 27. | Ausführen beliebigen Programmcodes – ferngesteuert

ffmpeg : 27. | (nicht Linux) Ausführen beliebigen Programmcodes

Firefox (Mozilla) : 27. | (+ Sonstiges) Ausführen beliebigen Programmcodes – ferngesteuert

libcurl : 27. | Ausspähen von Informationen – ferngesteuert

QEMU : 27. | Denial-of-Service / (+ Sonstiges) Ausführen beliebigen Programmcodes mit den Rechten des Dienstes

Thunderbird (Mozilla) : 27. | (nicht UNIX) Ausführen beliebigen Programmcodes mit Benutzerrechten – ferngesteuert

Apache Tomcat : 27. | Denial-of-Service – ferngesteuert

Chrome (Google) : 27. | (nicht UNIX) Nicht näher beschriebener Angriff möglich – ferngesteuert

ffmpeg : 27. | (nicht Linux) Denial-of-Service – ferngesteuert

Wireshark : 27. | Denial-of-Service – ferngesteuert

Windows, Linux, UNIX (+)

Grub2 : 31. | (+ Sonstiges) Umgehen von Sicherheitsvorkehrungen

Oracle Java SE : 31. | Nicht näher beschriebener Angriff möglich – ferngesteuert

Firefox (Mozilla) : 31. | Ausführen beliebigen Programmcodes mit Benutzerrechten – ferngesteuert

Drupal : 30. | (+ Sonstiges) Privilegieneskalation – ferngesteuert

TYPO3 Extension : 30. | (+ Sonstiges) Cross-Site-Scripting – ferngesteuert

Dell OpenManage Server Administrator : 30. | Umgehen von Sicherheitsvorkehrungen – ferngesteuert

IBM Informix : 29. | Ausführen beliebigen Programmcodes mit den Rechten des Dienstes – ferngesteuert

Intel Prozessoren : 28. | (+ BIOS/Firmware, F5 Networks, Sonstiges) Privilegieneskalation – ferngesteuert

ClamAV : 28. | Denial-of-Service – ferngesteuert

libvirt : 28. | (+ Sonstiges) Denial-of-Service

ffmpeg : 27. | Denial-of-Service – ferngesteuert

Atlassian Confluence : 27. | Cross-Site-Scripting – ferngesteuert

Wireshark : 27. | Denial-of-Service – ferngesteuert

QEMU : 27. | (+ Sonstiges) Denial-of-Service

Android, iOS, MacOS, Windows, Linux

Firefox (Mozilla) : 29. | (nur iOS) Umgehen von Sicherheitsvorkehrungen – ferngesteuert

Thunderbird / Firefox (Mozilla) : 27. | (+ UNIX, nicht iOS) Nicht näher beschriebener Angriff möglich – ferngesteuert

Andere Sicherheitslücken

JUNOS (Juniper) : 30. | (Juniper Appliance) Erlangen von Administratorrechten – ferngesteuert

Sicherheitslücken bei Linux, UNIX (+)

OpenBSD : 30. | (nur UNIX) Umgehen von Sicherheitsvorkehrungen – ferngesteuert

Samba : 30. | Denial-of-Service – ferngesteuert

Kubernetes : 28. | Umhgehen von Sicherheitsvorkehrungen – ferngesteuert aus dem lokalen Netzwerk / Denial-of-Service – ferngesteuert

ntp : 28. | (+ Appliance, NetApp Appliance, Sonstiges) Denial-of-Service – ferngesteuert

cURL : 27. | Manipulation von Dateien – ferngesteuert

dbus : 27. | Denial-of-Service

Nur Linux

Red Hat Enterprise Linux : 31. | Ausspähen von Informationen – ferngesteuert

JBoss Enterprise Application Platform (Red Hat) : 28. | Ausführen beliebigen Programmcodes mit den Rechten des Dienstes – ferngesteuert

OpenShift Container Platform (Red Hat) : 28. | Privilegieneskalation – ferngesteuert

libvirt : 28. | Denial-of-Service – ferngesteuert

OpenShift Container Platform (Red Hat) : 28. | Umgehen von Sicherheitsvorkehrungen – ferngesteuert

spice : 27. | Ausführen beliebigen Programmcodes mit Benutzerrechten – ferngesteuert aus dem lokalen Netzwerk

OpenSSL : 27. | Denial-of-Service – ferngesteuert

WavPack (Red Hat) : 27. | Denial-of-Service – ferngesteuert

Open Source Linux Kernel (+)

Ausspähen von Informationen – ferngesteuert


Zwar betreffen die Schwachstellen i. d. R. ältere System-/Programm-Versionen. Aber es ist in jedem Fall ratsam, zu kontrollieren, ob die Systeme und Programme auf dem neusten Stand sind. Generell sollten diese immer zeitnah auf die aktuellsten Versionen aktualisiert werden.

Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)

Datenlecks

Ein bisschen Statistik:
Im Jahr 2019 haben sich Unbefugte Zugriff auf
2 Milliarden Passwörter und 3 Milliarden E-Mail-Adressen
verschafft. (Quelle: Firefox Monitor / Stand: Anfang Dezember 2019)

Bei folgenden Unternehmen / Webseiten ist in letzter Zeit ein illegaler Zugriff auf Daten bekannt geworden:

E-Mail-Adressen und Passwörter

Quidd – 24.06.2020

Mathway – 05.06.2020 | Wishbone (2020) – 28.05.2020 | LiveJournal – 26. Mai 2020 | PetFlow – 26. Mai 2020 | Lifebear – 25. Mai 2020

Unterschiedliche personenbezogene Daten

Neuster Eintrag: 31.07.2020

Swvl – 31. Juli 2020
E-Mail-Adressen, Passwörter, Telefonnummern, Namen, Profilfotos

Appen – 30. Juli 2020
Passwörter, E-Mail-Adressen, IP-Adressen, Telefonnummern, Namen, Arbeitgeber

Scentbird – 30. Juli 2020
E-Mail-Adressen, IP-Adressen, Geburtsdaten, Namen, Geschlecht, Stärke des Passworts

Dunzo – 29. Juli 2020
IP-Adressen, Telefonnummern

Drizly – 28. Juli 2020
Passwörter, IP-Adressen, E-Mail-Adressen, Anschriften, Telefonnummern, Geburtsdaten, Namen, Geräteinformationen

Hurb – 27. Juli 2020
IP-Adressen, Passwörter

Dave – 27. Juli 2020
E-Mail-Adressen, Passwörter, Geburtsdaten, Anschriften, Telefonnummern, Sozialversicherungsnummern

Promo – 22. Juli 2020
Passwörter, IP-Adressen, E-Mail-Adressen, Geschlecht, Namen

Wattpad – 19. Juli 2020
Passwörter, IP-Adressen, E-Mail-Adressen, Benutzernamen, Geburtsdaten, Geschlecht, Standorte, Kurzprofil, Namen, Social-Media-Profile, Adressen von Benutzerwebsites

Twitter – 15. Juli 2020
Zahlreiche Profile v. a. Prominenter gehackt und zum Sammeln von Bitcoims missbraucht

Foodora – 16. Juni 2020
Passwörter, Telefonnummern

Zoom Car – 05. Juni 2020 / Lead Hunter – 03. Juni 2020
IP-Adressen, Passwörter

Wishbone (2020) – 28. Mai 2020
E-Mail-Adressen, Passwörter, IP-Adressen, Telefonnummern, Geburtsdaten

Nulled.ch – 24. Mai 2020
Passwörter, IP-Adressen, E-Mail-Adressen, Benutzernamen, private Nachrichten

Covve – 15. Mai 2020
Telefonnummern, E-Mail-Adressen

db8151dd – 15. Mai 2020
E-Mail-Adressen, Telefonnummern

Ulmon – 8. Mai 2020
Telefonnummern, Passwörter

Tokopedia .com – 2. Mai 2020
Passwörter, E-Mail-Adressen Geburtsdaten, Geschlecht, Namen

Falls Sie den Verdacht haben, dass Ihre Daten in falsche Hände gelangt sein könnten, ändern Sie umgehend Ihr Passwort. Das neue Passwort sollte sich deutlich von dem ursprünglichen unterscheiden. Außerdem sollte es auch nicht für andere Konten verwendet werden bzw. worden sein.


Mehr zum Thema

Schadsoftware
Was sind Trojaner – was tun sie?
Datenschutz
Sicherheit persönlicher Daten