Seite 1 von 3

gestopfte und nicht gestopfte Sicherheitslücken

Verfasst: 13. Feb 2014 14:33
von simple_mind
ich mach mal einen neuen Thread auf, in den Fragen-Thread passte es nichts so recht. vielleicht kann man den Thread auch als Sammelthread für Sicherheitslücken aller Art nutzen, wenn mal wieder Internet Explorer, Java oder Flash Player scheunentorweit offen stehen.

heute: Update für Fritz!Boxen

der eine oder andere hat wahrscheinlich eine Fritz!Box als Router und es gibt ein Firmware-Update für die Sicherheitslücke beim Fernzugriff (das auch nicht schaden dürfte falls man den Fernzugriff nicht benutzt).

http://www.computerbase.de/news/2014-02 ... itsluecke/

in der Mitte zum Aufklappen die Liste für welche Fritz!Boxen das Update erhältlich ist.

Re: gestopfte Sicherheitslücken

Verfasst: 13. Feb 2014 19:08
von gun
Afaik besteht der Fehler wirklich nur, wenn die Fernwartungsoption aktiv ist.
Und das ist generell eher unsicher. Selbst ohne Lücke bräuchte man halt nur die Logindaten.

Aber meinst du das jetzt für eher außergewöhnliche Sicherheitslücken oder generell.
Weil wenn generell - ehm.
Dienstag war grade wieder Patchday und für Flash gab es vor kurzem erst ein vorgezogenes Notfallupdate.

Re: gestopfte Sicherheitslücken

Verfasst: 13. Feb 2014 20:28
von simple_mind
gun hat geschrieben:Dienstag war grade wieder Patchday und für Flash gab es vor kurzem erst ein vorgezogenes Notfallupdate.
gut, den Patchday sollte inzwischen jeder kennen, aber genau für solche Sachen wie das Flash-Notfallupdate dachte ich wäre so ein Thread vielleicht hilfreich.

Re: gestopfte Sicherheitslücken

Verfasst: 17. Feb 2014 17:38
von simple_mind
scheint doch ne allgemeine Sicherheitslücke zu sein, Zitat von heise.de:

"Die Analyse von heise Security beweist, dass keineswegs ein freigeschalteter Fernzugang erforderlich ist, um eine Fritzbox komplett zu kapern. Das kann im Prinzip eine einfache Web-Seite. Wer es noch nicht getan hat, sollte also schleunigst updaten"

http://www.heise.de/newsticker/meldung/ ... 15745.html

Re: gestopfte Sicherheitslücken

Verfasst: 20. Feb 2014 11:38
von Despair
Hier gibt's 'ne Übersicht aller Fritzboxen inklusive Update-Status:
http://www.avm.de/de/Sicherheit/liste_update.html

Re: gestopfte Sicherheitslücken

Verfasst: 21. Feb 2014 20:24
von gun
Und es gibt wohl mal wieder ne neue Sicherheitslücke im Flashplayer.
Aktuell ist 12.0.0.70

Re: gestopfte Sicherheitslücken

Verfasst: 23. Feb 2014 14:52
von gun
http://www.spiegel.de/netzwelt/web/goto ... 55154.html

Und die nächste Lücke, diesmal in IOS.
Lösung? Alternativer Browser.

Re: gestopfte Sicherheitslücken

Verfasst: 23. Feb 2014 15:08
von simple_mind
gun hat geschrieben:Und es gibt wohl mal wieder ne neue Sicherheitslücke im Flashplayer.
Aktuell ist 12.0.0.70
yep, habe ich gestern schon gesaugt. :ugly:

Re: gestopfte Sicherheitslücken

Verfasst: 10. Apr 2014 11:58
von gun
http://www.golem.de/news/openssl-wichti ... 05740.html
Ist zwar nicht überall gestopft. Aber man sollte vielleicht in nächster Zeit bei Diensten und Seiten, bei denen man sich in letzter Zeit eingeloggt hat und die OpenSSL verwenden.
Welche das sind und waren? Gute Frage. Web.de und GMX gehören wohl dazu.

Ob noch ein Dienst betroffen ist
http://filippo.io/Heartbleed/
http://possible.lv/tools/hb/

Mehr kann der Nutzer nicht machen.

Re: gestopfte Sicherheitslücken

Verfasst: 29. Apr 2014 14:35
von simple_mind
mal wieder der Adobe Flash Player:
http://www.spiegel.de/netzwelt/web/adob ... 66705.html
ein Update ist vorhanden!

und der IE:
http://www.spiegel.de/netzwelt/web/inte ... 66584.html
bislang kein Update vorhanden!
es wird geraten andere Browser zu benutzen bis sich Patch-mäßig was tut.

Re: gestopfte Sicherheitslücken

Verfasst: 2. Mai 2014 15:47
von simple_mind
Update für den IE ist verfügbar!

Re: gestopfte Sicherheitslücken

Verfasst: 2. Mai 2014 17:32
von Crizzo
Hat jetzt nicht super lang gedauert, aber immerhin eine halbe Woche. Sogar noch für WinXP!

Re: gestopfte Sicherheitslücken

Verfasst: 18. Aug 2014 18:42
von gun
http://www.heise.de/newsticker/meldung/ ... 94179.html

Mal in die andere Richtung.
4 Sicherheitsupdates wurden zurück gezogen und man sollte sie deinstallieren weill sie unter umständen sogar den Abgesicherten Modus verhinden wenn sie das System crashen.
Einzige Stimmen meinen, dass es vor allem im Zusammenhang mit einigen wenigen AV-Programmen steht. Nod scheint schon mal nicht dazu zu gehören :ugly:

Re: gestopfte Sicherheitslücken

Verfasst: 5. Sep 2014 19:07
von simple_mind
schau an, das hatte ich gar nicht mitbekommen, eines der Updates wurde überarbeitet:
http://www.heise.de/newsticker/meldung/ ... 03877.html
hatte mich nur gewundert dass außerplanmäßig ein Update kam.
allerdings habe ich es wohl übersehen dass geraten wird den missglückten Vorgänger vor der Installation zu deinstallieren. sollte ich den (KB2982791) jetzt noch nachträglich deinstallieren oder es lieber so lassen wenn es keine Probleme gibt?

Re: gestopfte Sicherheitslücken

Verfasst: 11. Sep 2014 14:18
von Despair
simple_mind hat geschrieben:allerdings habe ich es wohl übersehen dass geraten wird den missglückten Vorgänger vor der Installation zu deinstallieren. sollte ich den (KB2982791) jetzt noch nachträglich deinstallieren oder es lieber so lassen wenn es keine Probleme gibt?
Ich hab's wieder runtergeschmissen, obwohl es bei mir keine Probleme gemacht hat.

Re: gestopfte Sicherheitslücken

Verfasst: 12. Sep 2014 14:53
von simple_mind
Despair hat geschrieben: Ich hab's wieder runtergeschmissen, obwohl es bei mir keine Probleme gemacht hat.
das habe ich jetzt auch gemacht, besser ist das. :)

Re: gestopfte Sicherheitslücken

Verfasst: 23. Sep 2014 11:55
von gun
http://www.golem.de/news/security-doubl ... 09391.html
Die Last.fm Nutzer und nicht Adblocker sollten vielleicht mal ihren Rechner checken.
Da wurde einige Wochen lang ein Trojaner über die Ads von Google ausgeliefert.

Re: gestopfte Sicherheitslücken

Verfasst: 9. Okt 2014 19:39
von gun
Ich glaube wir sollten es offene und geschlossene Sicherheitslücken nennen.

Es gibt jetzt offiziellen Code für den BadUSB-Angriff. Die Kacke ist also ordentlich am Dampfen.

http://www.golem.de/news/computersicher ... 09726.html

Lösung? Nicht in Sicht.

Re: gestopfte Sicherheitslücken

Verfasst: 9. Okt 2014 19:42
von Crizzo
Das ist das dümmste was ich je gelesen hab. Die beiden Forscher sind ja sowas von clever...wird ja quasi nur alle aktuellen USB-Gerät befallen, wenn das jemand geschickt entwickelt...die Berliner Jungs wussten schon, wieso sie das nicht veröffentlichen wollten. :huh: :vogel:

Und jetzt kann jetzt jeder auf Github den Code mit Anleitung saugen, toll! :autsch:

Re: gestopfte Sicherheitslücken

Verfasst: 9. Okt 2014 19:49
von gun
Es ist "noch" die einfachere Version. Also die wo du dich ein paar Sekunden lang wundern kannst warum der USB-Stick jetzt als Tastatur erkannt wird und warum die CMD aufgeht. EIn Stick ist es aber nicht.

Der Witz an der Sache ist aber, dass schon vor 2 oder 3 Jahren ein funktionierender Angriff präsentiert wurde und seit mehr als einem Jahrzehnt gibt es die Theorie des Angriffs. Du kannst davon ausgehen, dass solche Sachen schon längst laufen. Jetzt leider auch für jedes dumme Scriptkiddy was wirklich nicht sehr schlau ist. Aber die Hersteller haben auch seit Jahren nicht mal den kleinen Finger gerührt. Vielleicht bewegt sich ja jetzt wer. Im Zweifel setze ich mein Geld auf MS...

Muss mal schauen ob man die Install von USB-Geräten bei Win irgendwie mit einem Akzeptieren versehen kann :confused:

Re: gestopfte Sicherheitslücken

Verfasst: 9. Okt 2014 22:02
von Dod
Einfach Windows 10 TP installieren. Das stürzt so oft ab, da hat kein Angreifer Freude mit. ;)

Re: gestopfte Sicherheitslücken

Verfasst: 21. Okt 2014 22:29
von gun
Und weiter geht es mit den großen offenen Sicherheitslücken.
Heute UEFI. Die Referenz von Intel hatte ein großes Loch. Einige haben schon gepacht, einige nicht.

Worüber haben sich die UEFI-Gegner noch mal ausgelassen?...
http://www.heise.de/newsticker/meldung/ ... 29297.html

Abhilfe gibt es für Intel und Lenovo. Wenn auch nur teilweise (kauft doch n neues Gerät oder so...
https://security-center.intel.com/advis ... geid=en-fr (INtel)
http://support.lenovo.com/us/en/product ... /uefi_edk2 (Lenovo)

Ob jemals alle betroffenen Geräte gepacht werden, ich wage es zu bezweifeln...
Ob es eine nachträgliche Säuberung gibt auch.

Re: gestopfte Sicherheitslücken

Verfasst: 22. Okt 2014 20:13
von Crizzo

Re: gestopfte Sicherheitslücken

Verfasst: 3. Nov 2014 14:02
von gun
Für Mensche mit eigenen Webseiten die CSP als Schutz vor bösartigem Javascript, das bei ihnen hochgeladen wird, verwenden
http://www.golem.de/news/cross-site-scr ... 10264.html.

Kurz, das Javascript wird in einer Gif versteckt, was von CSP und vom restlichen Unterbau nicht erkannt wird, wohl aber vom Browser, der es dann auch ausführt.
Lösung auf der 2. Seite.


Edit:
Betroffen sind im Übrigen nur alle Webkitbrowser (Chrome, Safari, Opera) und der IE weil sie ebend Contendsniffing durchführen. Sprich sie versuchen raus zu finden ob mehr in der übertragenen Datei steckt als die Kennung eingentlich sagt. Und das führen sie dann auch aus.

Der Firefox mit Geko ist nicht betroffen da es ihm egal ist was da sonst noch so drin steckt und es verwirft.

Re: gestopfte Sicherheitslücken

Verfasst: 10. Dez 2014 14:22
von gun
http://www.heise.de/newsticker/meldung/ ... 85755.html

Vorsicht mit dem Windowsupdate KB3004394. Scheinbar hat MS was bei dem Rootzertifikatsupdate gehörig verbockt.
Selbst die UAC kann rumspinnen und andere Updates können eventuell nicht mehr installiert werden.