lost+found: Was von der Woche übrig blieb

Heute unter anderem mit: Shellshock, Google hackt Apple, Keylogger von der US-Polizei, Lücken in WordPress und Typo3, einem Handbuch für sichere Web-Apps sowie Bitcoin-Mining ohne Hardware.

In Pocket speichern vorlesen Druckansicht
Lesezeit: 2 Min.
Von
  • Ronald Eikenberg

Zunächst die Shellshock-News: VMware muss fast sein komplettes Portfolio patchen, der Thin-Client-Hersteller Igel Technology hat Updates herausgegeben und von dem NAS-Hersteller Synology gibt es ebenfalls entsprechende Updates. Ferner gibt es jetzt Details über die fünfte und Hinweise auf eine sechste Shellshock-Lücke, vor beiden schützen aber bestimmte Patches

Google beschäftigt seit kurzem professionelle Schwachstellenjäger in seinem Project Zero, um Sicherheitslücken zu entdecken, bevor es die falschen tun. Bei Mac OS X und iOS gelang ihnen gleich mehrfach der Ausbruch aus der Sandbox.

In Amerika bringen Polizeibehörden die vermeintliche Kinderschutz-Software ComputerCOP unters Volk; anscheinend ohne zu wissen was sie da tun. Es handelt sich um einen Keylogger, der die aufgezeichneten Tastatureingaben unverschlüsselt ins Netz schickt, wie die Electronic Frontier Foundation (EFF) herausgefunden hat.

Wer mit dem Content-Management-System (CMS) WordPress zu tun hat, sollte der WPScan Vulnerability Database einen Besuch abstatten. Hier werden Sicherheitslücken in CMS; Plugins und Themes übersichtlich zusammengefasst.

Für eine Lücke in der CoreGraphics-Bibliothek von iOS 7.1.x kursiert angeblich ein Exploit. Wohl dem, der auf iOS 8 upgraden darf.

Schneider Electric, ein Hersteller von Software für Industriesteuerungen, hat eine Directory-Traversal-Lücke geschlossen, die 22 Produkte betrifft.

Sichere Web-Anwendungen sind kein Hexenwerk. Das Open Web Application Security Project (OWASP) beschriebt in der nunmehr vierten Auflage seines Testing Guide (PDF), worauf man achten muss.

Die Sicherheitsfirma Mogwai hat zwei Lücken in der Typo3-Erweiterung dmmjobcontrol entdeckt und liefert auch gleich passende Workarounds. Mit dem Modul kann man eine Jobbörse betreiben, es kommt vielerorts zum Einsatz. Es wird nicht mehr gepflegt, Betroffene müssen also selbst handeln.

Um Bitcoins zu minen, benötigt man nicht unbedingt einen Rechner oder gar teure Spezialhardware – Zettel und Stift genügen. Der Nachteil: Man schafft in Handarbeit lediglich 0,67 Hashes pro Tag, während Profi-Miner schon in TH/s rechnen (TeraHashes pro Sekunde).

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Google Ireland Limited) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

(rei)