Ihr Browser wurde leider nicht Erkannt
BitSicher°
  • Meldungen°
  • Programme°
  • Ratschläge°
  • Softwareaktualisierung°
  • Fehler in WordPress-Plug-in Jetpack gefährdet mehr als eine Million Websites

    31. Mai, 2016 Meldungen°

    Der Sicherheitsanbieter Sucuri weist in einem Blogeintrag auf eine Sicherheitslücke im weit verbreiteten WordPress-Plug-in Jetpack hin. WordPress-basierte Websites, die die Erweiterung nutzen, sind anfällig für Cross-Site-Scripting (XSS). Ein Patch steht inzwischen zur Verfügung.

    Jetpack bietet Funktionen zur Optimierung und Verwaltung von Websites. Es wird von Automattic entwickelt, das hinter WordPress.com und dem Open-Source-Projekt WordPress steht. Das Plug-in hat mehr als eine Millionen aktive Installationen.

    Die XSS-Lücke lässt sich Sucuri zufolge „sehr leicht“ über WordPress-Kommentare ausnutzen. Ein Angreifer könnte also einen Kommentar hinterlassen, der Shortcode enthält, um JavaScript-Code in eine anfällige Website einzuschleusen. „Da es eine XSS-Anfälligkeit ist, könnte ein Angreifer Administrator-Konten entführen, SEO-Spam einfügen und Besucher auf gefährliche Websites umleiten“, heißt es im Sucuri-Blog.

    Weiterlesen

    Hacker erbeuten Profildaten von 200.000 Nutzern der SZ-Magazin-Website

    31. Mai, 2016 Meldungen°

    Unbekannte haben sich illegal Zugang zu einem Datenbank-Server des SZ- Magazin verschafft und dort gespeicherte Profilstammdaten kopiert. Wie eine Sprecherin der Verlagsgesellschaft Süddeutsche Zeitung gegenüber dem Branchendienst Kress bestätigte, sind von dem Angriff etwa 200.000 Nutzer der SZ-Magazin-Website betroffen.

    Die erbeuteten Datensätze umfassen der Sprecherin zufolge in der Regel Pflichtangaben wie Anrede, E-Mail-Adresse, Vorname, Nachname, das als Hashwert gespeicherte Passwort und die Postleitzahl sowie freiwillige Angaben zu Geburtsdatum, Adresse und Telefonnummer. Bezahldaten wie Bankverbindungen seien aber „in keinem Fall“ enthalten.

    Die Daten stammen von Anwendern, die sich unter sz-magazin.sueddeutsche.de registriert haben, um an Gewinnspielen teilzunehmen, die ehemalige Kommentarfunktion zu nutzen oder sich für den Newsletter anzumelden. Der Verlag hat nach eigenen Angaben alle Betroffenen umgehend per E-Mail über den Vorfall informiert.

    Weiterlesen

    Sandjacking: Forscher installiert gefährliche Apps auf iOS-Geräten

    30. Mai, 2016 Meldungen°

    Der Sicherheitsexperte Chilik Tamir von Mi3 Security hat auf der Konferenz Black Hat Asia eine Schwachstelle in der Apple-Entwicklungsumgebung Xcode 7 vorgestellt, die es erlaubt, schädliche Apps auf iOS-Geräten zu installieren. Der von ihm als Sandjacking bezeichnete Angriff funktioniert auch auf Geräten, die nicht per Jailbreak freigeschaltet wurden, wie Security Affairs berichtet.

    Für seinen Angriff nutzte Tamir eine neue Funktion von Xcode 7. Sie erlaubt es Entwicklern, mithilfe ihres Namens und ihrer Apple ID Zertifikate für Apps auszustellen. Diese Apps müssen weder in den App Store hochgeladen werden, noch durchlaufen sie Apples Prüfverfahren. Im Gegenzug sind ihre Funktionen eingeschränkt. Die selbst zertifizierten Anwendungen haben keinen Zugriff auf Apple Pay, Applikations-Domains, iCloud, In-App-Einkäufe, Passbook beziehungsweise Wallet und sie können keine Push-Benachrichtigungen senden.

    Dem Bericht zufolge können solche Apps jedoch Nutzerdaten abrufen und auch das Adressbuch und den Kalender lesen. Zudem sei es ihnen möglich, den Standort des Nutzers per GPS zu ermitteln. Damit verfügten sie über viele Funktionen mobiler Malware.

    Weiterlesen

    Chrome 51 vereinfacht Anmeldung bei Websites und stopft 42 Sicherheitslöcher

    Google hat seinen Browser Chrome auf die Version 51 aktualisiert. Das Update bringt verschiedene Neuerungen, darunter eine Programmierschnittstelle, die die Anmeldung bei Websites vereinfachen soll, und eine Funktion zur Verringerung des Stromverbrauchs von mobilen Geräten. Darüber hinaus schließt Chrome 51 insgesamt 42 Sicherheitslücken.

    Das Credential Management API erlaubt es Nutzer, die sich bei einer Website angemeldet haben, automatisch einzuloggen, wenn sie die Seite erneut besuchen. Weitere Vorteile ergeben sich für Besitzer von Android-Geräten. Da die Programmierschnittstelle die Anmeldedaten im Passwortmanager des Browsers speichert und dieser mit Android-Geräten und Desktops synchronisiert wird, stehen die Daten auch für Android-Apps zur Verfügung, die Googles Smart Lock for Passwords API integriert haben.

    Darüber hinaus hat Google das Offscreen Rendering, also das Rendering von Teilen von Websites, die auf dem Bildschirm nicht sichtbar sind, reduziert. Das soll den Stromverbrauch bei der Darstellung häufig besuchter mobiler Websites um bis zu 30 Prozent reduzieren. Vor allem eingebettete Videos, Social Widgets und Ads sollen so weniger Einfluss auf die Akkulaufzeit haben.

    Weiterlesen

    WordPress: Veraltete Plug-ins sind häufigstes Einfallstor für Hacker

    25. Mai, 2016 Meldungen°

    Die Sicherheitsfirma Sucuri hat über 11.000 kompromittierte Websites im ersten Quartal 2016 analysiert. Aus ihrem Bericht (PDF) geht hervor, dass erweiterbare CMS-Komponenten Angreifern oft als Einfallstor dienen. Beim weit verbreiteten WordPress fanden sich demnach auf 25 Prozent der gehackten Sites veraltete und anfällige Versionen der Plug-ins RevSlider, GravityForms und TimThumb.

    Die Daten wurden von der Sucuri Remediation Group (RG) gesammelt und analysiert, zu deren Schwerpunkten die Sicherung von WordPress-Installationen sowie die Schadensbegrenzung nach erfolgten Angriffen gehören. Derzeit sind über eine Milliarde Websites erreichbar, und hinter über einem Drittel von ihnen stehen die Content-Management-Systeme (CMS) WordPress, Joomla, Drupal und Magento. Unter ihnen hat sich WordPress einen Marktanteil von mehr als 60 Prozent gesichert, was nicht zuletzt auf seine vielfältig erweiterbare Plattform zurückgeht.

    Die beobachteten Hackerangriffe hatten jedoch meist wenig oder nichts mit der Kernanwendung des CMS zu tun, sondern mehr mit unsachgemäßer Installation, Konfiguration und Wartung durch die Webmaster und ihre Hoster. Als häufigste Ursache einer Infektion stellten sich Schwachstellen in den erweiterbaren Komponenten heraus, also in Plug-ins, Erweiterungen, Modulen, Templates, Themes und ähnlichen Integrationen.

    Weiterlesen

    Die meisten Sicherheitslücken stecken in Flash, Chrome und Firefox

    24. Mai, 2016 Meldungen°

    Adobe Flash Player sowie die Browser Google Chrome und Mozilla Firefox zählen zu den Programmen, die die meisten Schwachstellen aufweisen. Das besagt die erste Ausgabe des „Vulnerabilities Barometer“ des Sicherheitsanbieters Stormshield. Es soll Privatnutzer und Unternehmen künftig vierteljährlich über IT-Gefahren informieren.

    Da die Aufstellung eine ähnliche Zielsetzung verfolgt und auf ähnlichen Messmethoden beruht wie andere derartige Listen – beispielsweise von Secunia oder dem Bundesamt für Sicherheit in der Informationstechnik (BSI) – sind die Ergebnisse nicht überraschend. Flash Player, Chrome und Firefox waren schon zuvor als beliebte Ziele von Malware-Autoren und Hackern bekannt. Stormshields Auswertung bestätigt auch, dass bei dem ebenfalls weit verbreiteten Java die Zahl der neu entdeckten Sicherheitslücken deutlich geringer ausfällt und Microsofts Internet Explorer mittlerweile die wenigsten Schwachstellen aller gängigen Browser aufweist.

    Ungeklärt bleibt aber weiter die Frage, wie sicher die jeweilige Software tatsächlich ist. Denn um möglichst effizient zu arbeiten, konzentrieren sich Angreifer in der Regel darauf, in möglichst weit verbreiteter Software nach Lücken zu suchen, da die sich dann auf einer größeren Zahl Systeme ausnutzen lassen. So gesehen ist es auch dem Erfolg von Chrome bei den Anwendern zuzuschreiben, dass er nun unter den Top Drei der Programme mit den meisten gefundenen Schwachstellen rangiert. Und dass der Internet Explorer weniger aufweist, muss nicht nur daran liegen, dass Microsoft gründlicher arbeitet, sondern kann auch darauf zurückzuführen sein, dass ihm Angreifer und Sicherheitsforscher wegen der geringeren Verbreitung inzwischen weniger Aufmerksamkeit schenken.

    Weiterlesen

    Instagram schließt kritisches Datenleck

    24. Mai, 2016 Meldungen°

    Der belgische Sicherheitsforscher Arne Swinnen hat im Rahmen von Facebooks Instagram Bug Bounty Program zwei kritische Sicherheitslücken entdeckt. Begünstigt durch Instagrams schwache Passwortrichtlinie war er in der Lage, per Brute Force die Passwörter von Nutzern des Bilderdiensts zu knacken. Facebook hat die Schwachstellen inzwischen geschlossen.

    Der erste Fehler steckte in Instagrams mobilem Anmeldeverfahren. Mit der Sicherheitssoftware Burp konnte der Forscher mit einer IP-Adresse 1000 Passwörter für einen Nutzernamen testen, bevor er eine Fehlermeldung der mobilen Instagram-App erhielt. Allerdings lieferten nur die nächsten 1000 Versuche die Meldung „User not found“. Ab dem 2001. Versuch meldete Instagram abwechselnd, ob das Passwort richtig oder falsch ist oder erneut „User not found“.

    „Das erlaubte einen zuverlässigen Brute-Force-Angriff“, schreibt Swinnen in seinem Blog. Der Angriff sei zudem durch fehlende Sicherheitsmaßnahmen wie eine standortbasierte Betrugserkennung anhand von IP-Adressen begünstigt worden. Außerdem sei Instagrams Passwortrichtlinie zu schwach und die im Februar angekündigte Anmeldung in zwei Schritten sei immer noch nicht weltweit verfügbar.

    Weiterlesen

    Datenleck bei LinkedIn: Hacker verkaufen 117 Millionen Zugangsdaten

    18. Mai, 2016 Meldungen°

    Im Dark Web wird derzeit eine Datenbank mit 117 Millionen LinkedIn-Zugangsdaten für rund 2200 Dollar angeboten. Das hat Motherboard von einem Hacker namens „Peace“ erfahren. Sicherheitsforscher Troy Hunt konnte verifizieren, dass zumindest manche der Log-in-Passwort-Kombinationen identisch mit denen des Hacks bei LinkedIn im Jahr 2012 sind.

    Insgesamt sind es sogar 167 Millionen Kontonamen, aber nur zu 117 Millionen liegen auch Passwörter vor. Sie sind zwar gehasht, aber nur mit SHA-1 und entsprechend ohne Salt. Die Hacker-Suchmaschine LeakedSoure, der die Daten nach eigenen Angaben ebenfalls vorliegen, konnte rund 90 Prozent der Passwörter innerhalb von Tagen entschlüsseln.

    Nach dem Vorfall von 2012 waren rund 6,5 Millionen Zugangsdaten aufgetaucht. LinkedIn nannte nie endgültige Zahlen und informierte die Betroffenen auch nicht auf direktem Weg. Es untersucht den neuen Datensatz derzeit.

    Weiterlesen

    Microsoft vereinfacht Updates für Windows 7 und 8.1

    18. Mai, 2016 Meldungen°

    Microsoft hat ein „Convenience Rollup Update“ für Windows 7 Service Pack 1 angekündigt. Es enthält alle Sicherheitsupdates und sonstigen Aktualisierungen, die seit dem Service Pack 1 für Windows 7 und bis April 2016 veröffentlicht wurden. Es soll vor allem die Aktualisierung eines frisch installierten Windows 7 SP1 vereinfachen, für das derzeit mehrere Dutzend Patches heruntergeladen und installiert werden müssen. Zudem stehen künftig monatliche Rollups für Windows 7 und Windows 8.1 zur Verfügung.

    „Wir wissen, dass Unternehmen auch noch mit Windows 7 arbeiten und regelmäßig ihre Windows-7-SP1-Images aktualisieren, um die jüngsten Updates zu inkludieren“, schreibt Microsoft-Mitarbeiter Nathan Mercer in einem Blogeintrag. „Installieren Sie dieses Update und Sie benötigen nur neue Updates, die nach April 2016 veröffentlicht wurden.“

    Das Update kann auch in ein Windows-7-Installationsmedium integriert werden. Es unterstützt zudem Windows-7-Images im WIM-Format. Dafür wird das Befehlszeilentool Deployment Image Servicing and Management (DISM) benötigt, dessen Nutzung Microsoft in einem TechNet-Artikel beschreibt.

    Weiterlesen

    Conficker: Acht Jahre alter Wurm führt Malware-Statistik im April an

    18. Mai, 2016 Meldungen°

    Der seit 2008 aktive Wurm Conficker war im April für 17 Prozent aller Angriffe auf Windows-Systeme verantwortlich. Damit führt er den aktuellen Threat Index des Sicherheitsanbieters Check Point an. Für die von Conficker genutzte Schwachstelle im Microsoft-Betriebssystem liegt jedoch schon seit Ende 2008 ein Patch vor.

    Conficker, auch als Downup, Downadup und Kido bekannt, kann sich allerdings auch über Netzwerke und USB-Sticks verbreiten, ohne die fragliche Schwachstelle zu nutzen. Er erlaubt es einem Angreifer, einen infizierten Rechner aus der Ferne zu kontrollieren. Reuters zufolge war Conficker im April auch auf einem Rechner im bayrischen Atomkraftwerk Gundremmingen gefunden worden.

    Die weiteren Plätze in der Statistik belegen der Virus Sality und der Wurm Zeroaccess. Beide erlauben ebenfalls die Fernsteuerung eines Systems und das Nachladen von weiteren Schadprogrammen. Die zehn führenden Malware-Familien für Windows waren Check Point zufolge im April für mehr als die Hälfte der erkannten Angriffe verantwortlich.

    Weiterlesen