Ihr Partner
in Sachen EDV


Hardware
Software
Netzwerktechnik

Aktuelle Meldungen

 

ThinkPwn: BIOS-Lücke bedroht nicht nur Lenovo-PC´s

Sicherheitsforscher finden eine Sicherheitslücke im BIOS auch in Computer-Serien von Dell, Fujitsu, Gigabyte und HP.
Die vom Sicherheitsforscher Dmytro Oleksiuk entdeckte und mit dem Namen ThinkPwn getaufte BIOS-Lücke gefährdet nicht nur diverse ThinkPad-Modelle aus dem Hause Lenovo. Wie Oleksiuk und weitere Sicherheitsforscher nun herausfanden, sind auch verschiedene Geräte von Dell, Fujitsu, Gigabyte und HP bedroht. In einem stetig aktualisierten Beitrag listen die Sicherheitsforscher betroffene Modelle auf.
Angreifer können über die Schwachstelle beliebigen Code auf Systeme schieben und ausführen. Dafür müssen sie aber über lokale Admin-Rechte verfügen. In dieser Position kontrollieren Angreifer schon per se ein System; über die Lücke können sie aber noch mehr Schaden anrichten.
So ist es vorstellbar, den Schreibschutz der Firmware auszuhebeln, um etwa ein BIOS-Rootkit zu installieren. Möglich ist es auch, dass Angreifer via ThinPwn den hochsicheren Credential Guard von Windows 10 aufbrechen, um Passwörter zu klauen. Auf den Credential Guard kann sonst nur privilegierte System-Software zugreifen.
"Angriff sehr unwahrscheinlich"
Lenovo hat einen Patch in Aussicht gestellt; verfügbar ist dieser aber noch nicht. Statements von den anderen Herstellern stehen noch aus. Auch wenn die BIOS-Lücke immer mehr Computer betrifft, sollte keine Panik ausbrechen: Der Exploit von Oleksiuk funktioniert nur von einem USB-Stick. Ein Angreifer müsste also Zugang zum Computer eines potentiellen Opfers haben und wie beschrieben über Admin-Rechte verfügen. Oleksiuk relativiert mögliche Angriffe weiter: "Es ist sehr unwahrscheinlich, dass die Schwäche in freier Wildbahn ausgenutzt wird".
Lücke eigentlich schon geschlossen
Dem Industriestandard folgend, beauftragen Computer-Hersteller für die Erstellung des BIOS externe Dienstleister. Diese beziehen den BIOS-Code direkt von Chip-Herstellern wie AMD und Intel.
Oleksiuk erläutert, dass Intel die Lücke bereits Mitte 2014 geschlossen hat; das wurde aber nie öffentlich kommuniziert. Dementsprechend haben verschiedene Computer-Hersteller über die Zeit den Code mit der Sicherheitslücke implementiert und ihre BIOS-Versionen so unwissentlich verwundbar gemacht. Die BIOS-Lücke könnte demzufolge noch größere Kreise ziehen und mehr Computer-Serien von weiteren Herstellern gefährden.
Oleksiuk entdeckte die BIOS-Lücke zuerst auf einem Lenovo ThinPad T450s; daher stammt auch die Bezeichnung der Lücke ThinkPwn. Über eine Schwachstelle im System Management Mode (SMM) kann von Angreifern ausgeführter Code am Betriebssystem vorbei direkt auf Hardware-Komponenten zugreifen.
(Quelle: Heise Security)
(http://www.heise.de/security/meldung/ThinkPwn-BIOS-Luecke-bedroht-nicht-nur-Lenovo-Compu[..]

 

E-Mail Volksverschlüsselung steht bereit

Ab sofort können Windows-Nutzer die kostenlose Volksverschlüsselungs-Software nutzen, um E-Mails verschlüsselt über gängige Clients zu verschicken.
Das Fraunhofer Institut für Sichere Informationstechnologie (Fraunhofer SIT) und die Deutsche Telekom haben die sogenannte Volksverschlüsselung eingeführt. Dabei handelt es sich um eine Software, über die man mit wenigen Klicks und im Grunde für jedermann handhabbar Ende-zu-Ende verschlüsselte E-Mails versenden kann. Die Telekom stellt dafür die Infrastruktur und das Fraunhofer SIT die Open-Source-Technik.
Die Windows-Version 1.08-0 der Volksverschlüsselung steht zum kostenlosen Download bereit; ist aber ausschließlich für den privaten Gebrauch bestimmt. Versionen für Android, iOS, Linux und OS X sollen folgen. Der Quelltext ist noch nicht auf der Download-Seite abrufbar.
An die Hand genommen
Die Anwendung unterstützt Nutzer bei der verbindlichen Authentifizierung, Erzeugung der Schlüssel und deren Einbettung in das System. So will die Volksverschlüsselung das Problem der sperrigen Usability von PGP lösen. Die Schlüssel-Erzeugung findet auf dem jeweiligen Endgerät statt. Der private Schlüssel verbleibt dem Fraunhofer SIT zufolge zu jedem Zeitpunkt in den Händen des Nutzers. Aktuell ist die Anwendung mit den E-Mail-Clients MS Outlook und Thunderbird kompatibel.
Bei den Zertifikaten setzt die Volksverschlüsselung auf den ITU-T-Standard X.509 der Klasse 3. Das wird von Haus aus von gängigen E-Mail-Clients unterstützt. Die Verschlüsselung von E-Mails erfolgt über den bewährten S/MIME-Standard im jeweiligen Client. In Zukunft soll die Volksverschlüsselung auch OpenPGP unterstützen.
(Quelle: Heise Online)
(http://www.heise.de/newsticker/meldung/E-Mail-Verschluesselung-fuer-jedermann-Volksverschluesselu[..]

 

Adobe-Patchday kritische Flash-Lücke ungepatcht

Adobe schließt Lücken in ColdFusion, der Creative Cloud, dem DNG Development Kit und seinem Texteditor Brackets. Nur eine kritische Flash-Lücke bleibt erst mal ungepatcht.
Adobe hat zum monatlichen Patchday Lücken in ColdFusion, der Adobe Creative Cloud, seinem quelloffenen Texteditor Brackets und im Digital Negative (DNG) Development Kit geschlossen. Nur Patches für den Flash Player sucht man vergebens, und dabei klafft eine kritische Lücke in der Software (CVE-2016-4171), die laut Kaspersky bereits für gezielte Angriffe missbraucht wird. Adobe will diese Lücke nach eigenen Angaben "frühestens am 16. Juni" stopfen. Das ist nun schon das zweite Mal, dass Adobe kritische Flash-Patches um ein paar Tage verschleppt.
ColdFusion
Die Updates, die Adobe abseits des fehlenden Flash-Patches ausliefert, sind weniger kritisch. Der ColdFusion-Hotfix schließt mehrere Lücken, über die Angreifer Cross-Site-Scripting-Attacken gegen ColdFusion-Web-Apps fahren können. Betroffen sind ColdFusion 10, 11 und das 2016 Release des Web-App-Servers. Admins sollten ihre Installation auf ColdFusion 10 Update 20, ColdFusion 11 Update 9 oder ColdFusion (2016 Release) Update 2 aktualisieren, um die Lücken zu stopfen.
Brackets, Creative Cloud
Ein Update für den Texteditor Brackets behebt ebenfalls eine Cross-Site-Scripting-Lücke, die Angreifer durch injiziertes JavaScript ausnutzen können. Außerdem wird eine Lücke im Plug-In-Manager der Software geschlossen. Betroffen sind die Windows-, OS-X- und Linux-Versionen. Nutzer sollten sicherstellen, dass sie Version 1.7 oder neuer installiert haben. Die Windows-Desktop-App der Creative Cloud gibt Informationen preis, die es Angreifern leichter machen könnte, Schadcode auf dem System auszuführen. Abhilfe schafft Version 3.7.0.272 der Creative-Cloud-Software.
DNG Development Kit
Im Development Kit für Adobes Digital-Negative-Format wurde ein Speicherverwaltungsfehler gefunden. Adobe geht nicht näher auf die Art der Lücke ein, belegt sie aber mit einer niedrigeren Priorität – das lässt darauf schließen, dass die Ausführung von Schadcode nicht ohne weiteres möglich ist. Version 1.4 der 2016er Ausgabe der Software für Windows und OS X schließt diese Lücke.

(Quelle: Heise Security http://www.heise.de/security/meldung/Adobe-Patchday-laesst-kritische-Flash-Luecke-ungepatcht-3238271[..]

 

Adobe-Patchday lässt kritische Flash-Lücke ungepat

Adobe schließt Lücken in ColdFusion, der Creative Cloud, dem DNG Development Kit und seinem Texteditor Brackets. Nur eine kritische Flash-Lücke bleibt erst mal ungepatcht.
Adobe hat zum monatlichen Patchday Lücken in ColdFusion, der Adobe Creative Cloud, seinem quelloffenen Texteditor Brackets und im Digital Negative (DNG) Development Kit geschlossen. Nur Patches für den Flash Player sucht man vergebens, und dabei klafft eine kritische Lücke in der Software (CVE-2016-4171), die laut Kaspersky bereits für gezielte Angriffe missbraucht wird. Adobe will diese Lücke nach eigenen Angaben "frühestens am 16. Juni" stopfen. Das ist nun schon das zweite Mal, dass Adobe kritische Flash-Patches um ein paar Tage verschleppt.
ColdFusion
Die Updates, die Adobe abseits des fehlenden Flash-Patches ausliefert, sind weniger kritisch. Der ColdFusion-Hotfix schließt mehrere Lücken, über die Angreifer Cross-Site-Scripting-Attacken gegen ColdFusion-Web-Apps fahren können. Betroffen sind ColdFusion 10, 11 und das 2016 Release des Web-App-Servers. Admins sollten ihre Installation auf ColdFusion 10 Update 20, ColdFusion 11 Update 9 oder ColdFusion (2016 Release) Update 2 aktualisieren, um die Lücken zu stopfen.
Brackets, Creative Cloud
Ein Update für den Texteditor Brackets behebt ebenfalls eine Cross-Site-Scripting-Lücke, die Angreifer durch injiziertes JavaScript ausnutzen können. Außerdem wird eine Lücke im Plug-In-Manager der Software geschlossen. Betroffen sind die Windows-, OS-X- und Linux-Versionen. Nutzer sollten sicherstellen, dass sie Version 1.7 oder neuer installiert haben. Die Windows-Desktop-App der Creative Cloud gibt Informationen preis, die es Angreifern leichter machen könnte, Schadcode auf dem System auszuführen. Abhilfe schafft Version 3.7.0.272 der Creative-Cloud-Software.
DNG Development Kit
Im Development Kit für Adobes Digital-Negative-Format wurde ein Speicherverwaltungsfehler gefunden. Adobe geht nicht näher auf die Art der Lücke ein, belegt sie aber mit einer niedrigeren Priorität – das lässt darauf schließen, dass die Ausführung von Schadcode nicht ohne weiteres möglich ist. Version 1.4 der 2016er Ausgabe der Software für Windows und OS X schließt diese Lücke.

(Quelle: Heise Security http://www.heise.de/security/meldung/Adobe-Patchday-laesst-kritische-Flash-Luecke-ungepatcht-3238271[..]

 

Typo 3: Kritische Lücke geschlossen

Viele ältere und aktuelle Versionen von Typo3 sind aufgrund einer Schwachstelle angreifbar. Admins sollten zügig aktualisieren.
Aufgrund einer als kritisch eingestuften Sicherheitslücke in Typo3 raten die Entwickler dringend dazu, den nun verfügbaren Sicherheits-Patch zu installieren. Die Lücke klafft in den Versionen 4.3.0 bis 8.1.0 im Extbase-Framework.
Besonders bedroht seien aber nur Typo3-Installationen, die mindestens eine von außen zugängliche Extbase-Aktion bereitstellen. In diesem Fall sollen Angreifer ohne Authentifizierung zuschlagen können. Andernfalls muss sich ein authentifizierter Angreifer im Backend befinden und Zugriff auf das Extbase-Modul haben.
Updates trotz Support-Ende
Die Versionen 6.2.24, 7.6.8 und 8.1.1 sind abgesichert. Bei diesen ist aber offensichtlich etwas schief gelaufen, denn die Entwickler haben nun die Regression-Fix-Versionen 6.2.25 LTS, 7.6.9 LTS und 8.1.2 veröffentlicht.
Aufgrund des Schweregrads der Lücke stehen auch für nicht mehr im Support befindliche Versionen Sicherheits-Patches zur Verfügung. Admins können die Updates auch manuell einspielen. Alternativ zum Patch stellen die Entwickler ein Skript bereit, das alle betroffenen Typo3-Versionen automatisch aktualisieren soll.
Das Extbase-Framework unterstützt Entwickler beim Erstellen von Typo3-Erweiterungen. Aufgrund einer mangelnden Überprüfung von Extbase-Aktionen sollen Angreifer Aktionen manipulieren und im schlimmsten Fall Schadcode ausführen können.
Überprüfung optimiert
Der Sicherheits-Patch soll den Umgang mit Anfragen an Extbase optimieren. Den Entwicklern zufolge ist es unwahrscheinlich, dass es aufgrund der Anpassung zu Problemen mit Erweiterungen kommt. Sollte das doch der Fall sein, versichern sie, dass Typo3 bis auf leichte Einschränkungen bei der Abwicklung der Überprüfungen von Extbase uneingeschränkt funktioniert.
[UPDATE, 24.05.2016 12:50 Uhr]
Für eine optimale Kompatibilität haben die Typo3-Entwickler mittlerweile die Regression-Fix-Versionen 6.2.25 LTS, 7.6.9 LTS und 8.1.2 veröffentlicht. Fließtext entsprechend angepasst.
(Quelle Heise Security: http://www.heise.de/security/meldung/Typo-3-Kritische-Luecke-geschlossen-Sicherheits-Update-verfuegb[..]

 
 
Netzwerk | Viren Problem | Microsoft | Avira | Nürnberg | Server | Exchange | Typo3 | Office | Fujitsu | Fürth | EDV Problem | Netzwerktechnik | Datensicherung | Datenrettung | Erlangen | EDV Hilfe | Notebook | Hyper-V | Virtualisieren | Suchmaschinenoptimierung | Acronis | Schwabach | Webdesign | Outlook | Windows 8 |
Eibach Reichelsdorf Katzwang Schweinau Gartenstadt Stein Sündersbühl Schwabach Roth Erlangen Fürth Kornburg Wendelstein Zirndorf Mühlhof Regelsbach Büchenbach Gerasmühle Johannis Langwasser Neusses