gestopfte und nicht gestopfte Sicherheitslücken

[simple_mind]

ich mach mal einen neuen Thread auf, in den Fragen-Thread passte es nichts so recht. vielleicht kann man den Thread auch als Sammelthread für Sicherheitslücken aller Art nutzen, wenn mal wieder Internet Explorer, Java oder Flash Player scheunentorweit offen stehen.

heute: Update für Fritz!Boxen

der eine oder andere hat wahrscheinlich eine Fritz!Box als Router und es gibt ein Firmware-Update für die Sicherheitslücke beim Fernzugriff (das auch nicht schaden dürfte falls man den Fernzugriff nicht benutzt).

http://www.computerbase.de/news/2014-02 ... itsluecke/

in der Mitte zum Aufklappen die Liste für welche Fritz!Boxen das Update erhältlich ist.

[gun]

Afaik besteht der Fehler wirklich nur, wenn die Fernwartungsoption aktiv ist.
Und das ist generell eher unsicher. Selbst ohne Lücke bräuchte man halt nur die Logindaten.

Aber meinst du das jetzt für eher außergewöhnliche Sicherheitslücken oder generell.
Weil wenn generell - ehm.
Dienstag war grade wieder Patchday und für Flash gab es vor kurzem erst ein vorgezogenes Notfallupdate.

[simple_mind]

Dienstag war grade wieder Patchday und für Flash gab es vor kurzem erst ein vorgezogenes Notfallupdate.

gut, den Patchday sollte inzwischen jeder kennen, aber genau für solche Sachen wie das Flash-Notfallupdate dachte ich wäre so ein Thread vielleicht hilfreich.

[simple_mind]

scheint doch ne allgemeine Sicherheitslücke zu sein, Zitat von heise.de:

"Die Analyse von heise Security beweist, dass keineswegs ein freigeschalteter Fernzugang erforderlich ist, um eine Fritzbox komplett zu kapern. Das kann im Prinzip eine einfache Web-Seite. Wer es noch nicht getan hat, sollte also schleunigst updaten"

http://www.heise.de/newsticker/meldung/ ... 15745.html

[Despair]

Hier gibt's 'ne Übersicht aller Fritzboxen inklusive Update-Status:
http://www.avm.de/de/Sicherheit/liste_update.html

[gun]

Und es gibt wohl mal wieder ne neue Sicherheitslücke im Flashplayer.
Aktuell ist 12.0.0.70

[gun]

http://www.spiegel.de/netzwelt/web/goto ... 55154.html

Und die nächste Lücke, diesmal in IOS.
Lösung? Alternativer Browser.

[simple_mind]

Und es gibt wohl mal wieder ne neue Sicherheitslücke im Flashplayer.
Aktuell ist 12.0.0.70

yep, habe ich gestern schon gesaugt.

[gun]

http://www.golem.de/news/openssl-wichti ... 05740.html
Ist zwar nicht überall gestopft. Aber man sollte vielleicht in nächster Zeit bei Diensten und Seiten, bei denen man sich in letzter Zeit eingeloggt hat und die OpenSSL verwenden.
Welche das sind und waren? Gute Frage. Web.de und GMX gehören wohl dazu.

Ob noch ein Dienst betroffen ist
http://filippo.io/Heartbleed/
http://possible.lv/tools/hb/

Mehr kann der Nutzer nicht machen.

[simple_mind]

mal wieder der Adobe Flash Player:
http://www.spiegel.de/netzwelt/web/adob ... 66705.html
ein Update ist vorhanden!

und der IE:
http://www.spiegel.de/netzwelt/web/inte ... 66584.html
bislang kein Update vorhanden!
es wird geraten andere Browser zu benutzen bis sich Patch-mäßig was tut.

[simple_mind]

Update für den IE ist verfügbar!

[Crizzo]

Hat jetzt nicht super lang gedauert, aber immerhin eine halbe Woche. Sogar noch für WinXP!

[gun]

http://www.heise.de/newsticker/meldung/ ... 94179.html

Mal in die andere Richtung.
4 Sicherheitsupdates wurden zurück gezogen und man sollte sie deinstallieren weill sie unter umständen sogar den Abgesicherten Modus verhinden wenn sie das System crashen.
Einzige Stimmen meinen, dass es vor allem im Zusammenhang mit einigen wenigen AV-Programmen steht. Nod scheint schon mal nicht dazu zu gehören

[simple_mind]

schau an, das hatte ich gar nicht mitbekommen, eines der Updates wurde überarbeitet:
http://www.heise.de/newsticker/meldung/ ... 03877.html
hatte mich nur gewundert dass außerplanmäßig ein Update kam.
allerdings habe ich es wohl übersehen dass geraten wird den missglückten Vorgänger vor der Installation zu deinstallieren. sollte ich den (KB2982791) jetzt noch nachträglich deinstallieren oder es lieber so lassen wenn es keine Probleme gibt?

[Despair]

allerdings habe ich es wohl übersehen dass geraten wird den missglückten Vorgänger vor der Installation zu deinstallieren. sollte ich den (KB2982791) jetzt noch nachträglich deinstallieren oder es lieber so lassen wenn es keine Probleme gibt?

Ich hab's wieder runtergeschmissen, obwohl es bei mir keine Probleme gemacht hat.

[simple_mind]

Ich hab's wieder runtergeschmissen, obwohl es bei mir keine Probleme gemacht hat.

das habe ich jetzt auch gemacht, besser ist das.

[gun]

http://www.golem.de/news/security-doubl ... 09391.html
Die Last.fm Nutzer und nicht Adblocker sollten vielleicht mal ihren Rechner checken.
Da wurde einige Wochen lang ein Trojaner über die Ads von Google ausgeliefert.

[gun]

Ich glaube wir sollten es offene und geschlossene Sicherheitslücken nennen.

Es gibt jetzt offiziellen Code für den BadUSB-Angriff. Die Kacke ist also ordentlich am Dampfen.

http://www.golem.de/news/computersicher ... 09726.html

Lösung? Nicht in Sicht.

[Crizzo]

Das ist das dümmste was ich je gelesen hab. Die beiden Forscher sind ja sowas von clever...wird ja quasi nur alle aktuellen USB-Gerät befallen, wenn das jemand geschickt entwickelt...die Berliner Jungs wussten schon, wieso sie das nicht veröffentlichen wollten.

Und jetzt kann jetzt jeder auf Github den Code mit Anleitung saugen, toll!

[gun]

Es ist "noch" die einfachere Version. Also die wo du dich ein paar Sekunden lang wundern kannst warum der USB-Stick jetzt als Tastatur erkannt wird und warum die CMD aufgeht. EIn Stick ist es aber nicht.

Der Witz an der Sache ist aber, dass schon vor 2 oder 3 Jahren ein funktionierender Angriff präsentiert wurde und seit mehr als einem Jahrzehnt gibt es die Theorie des Angriffs. Du kannst davon ausgehen, dass solche Sachen schon längst laufen. Jetzt leider auch für jedes dumme Scriptkiddy was wirklich nicht sehr schlau ist. Aber die Hersteller haben auch seit Jahren nicht mal den kleinen Finger gerührt. Vielleicht bewegt sich ja jetzt wer. Im Zweifel setze ich mein Geld auf MS...

Muss mal schauen ob man die Install von USB-Geräten bei Win irgendwie mit einem Akzeptieren versehen kann

[Dod]

Einfach Windows 10 TP installieren. Das stürzt so oft ab, da hat kein Angreifer Freude mit.

[gun]

Und weiter geht es mit den großen offenen Sicherheitslücken.
Heute UEFI. Die Referenz von Intel hatte ein großes Loch. Einige haben schon gepacht, einige nicht.

Worüber haben sich die UEFI-Gegner noch mal ausgelassen?...
http://www.heise.de/newsticker/meldung/ ... 29297.html

Abhilfe gibt es für Intel und Lenovo. Wenn auch nur teilweise (kauft doch n neues Gerät oder so...
https://security-center.intel.com/advis ... geid=en-fr (INtel)
http://support.lenovo.com/us/en/product ... /uefi_edk2 (Lenovo)

Ob jemals alle betroffenen Geräte gepacht werden, ich wage es zu bezweifeln...
Ob es eine nachträgliche Säuberung gibt auch.

[Crizzo]

Was zum selbst stopfen: http://www.heise.de/newsticker/meldung/ ... 30145.html

[gun]

Für Mensche mit eigenen Webseiten die CSP als Schutz vor bösartigem Javascript, das bei ihnen hochgeladen wird, verwenden
http://www.golem.de/news/cross-site-scr ... 10264.html.

Kurz, das Javascript wird in einer Gif versteckt, was von CSP und vom restlichen Unterbau nicht erkannt wird, wohl aber vom Browser, der es dann auch ausführt.
Lösung auf der 2. Seite.


Edit:
Betroffen sind im Übrigen nur alle Webkitbrowser (Chrome, Safari, Opera) und der IE weil sie ebend Contendsniffing durchführen. Sprich sie versuchen raus zu finden ob mehr in der übertragenen Datei steckt als die Kennung eingentlich sagt. Und das führen sie dann auch aus.

Der Firefox mit Geko ist nicht betroffen da es ihm egal ist was da sonst noch so drin steckt und es verwirft.

[gun]

http://www.heise.de/newsticker/meldung/ ... 85755.html

Vorsicht mit dem Windowsupdate KB3004394. Scheinbar hat MS was bei dem Rootzertifikatsupdate gehörig verbockt.
Selbst die UAC kann rumspinnen und andere Updates können eventuell nicht mehr installiert werden.