lost+found: Was von der Woche übrig blieb
Heute unter anderem mit: Lücken in WordPress-Plug-ins, einer neuen Tails-Version, DoS-Angriffe auf die Smartwatch Pebble, einem Obamacare-Hack, Venen-Scannern und barrierefrreier Verschlüsselung
- Fabian A. Scherschel
Der Blogger Voxel@Night dokumentiert Sicherheitslücken in einer Reihe von WordPress-Plug-ins, die er nach einigen Aussagen mit wenig Aufwand entdeckt hat. Betroffen sind unter anderem Easy Media Gallery, das E-Commerce-System Ready! und das mehr als 2 Millionen Mal heruntergeladene Plug-In Contact Form. Voxel hat die Entwickler nicht über seine Funde benachrichtigt und für einige der Lücken gibt es somit auch noch kein Update.
Das Sicherheits-Update für das Anonymitäts-OS Tails auf Version 1.1.1 schließt unter anderem Lücken im Browser, in Tor, in einer GPG-Bibliothek und im Linux-Kern.
Braucht Apple ein Bug-Bounty-Programm? Entwickler Nils Jünemann ist dieser Meinung und hat sich die Meldungen angeschaut, die Apple hinsichtlich der Bugs in seinen Webservern veröffentlicht hat. Seit 2005 gab es 435 Lücken, die meisten wurden ab 2011 gemeldet.
(Bild: White Hat Pages)
Wenn man mehrere Tausend WhatsApp-Nachrichten in wenigen Sekunden an eine Pebble-Smartwatch schickt, kann man diese zum Absturz bringen. Unter Umständen setzt sich die Uhr dann auf Werkseinstellungen zurück und löscht so die App-Daten. Um diesen Angriff auszuführen braucht man allerdings die Mobilnummer des Pebble-Besitzers und dieser muss WhatsApp-Meldungen auf der Smartwatch aktiviert haben.
Hacker haben einen Test-Server des US-Gesundheitsministeriums geknackt. Der Server ist Teil der Infrastruktur, die es Versicherungsnehmern erlaubt, sich für die staatliche Krankenversicherung "Obamacare" anzumelden. Die Angreifer hätten sich theoretisch von dort auf kritischere Server weiter hangeln können, es gibt laut einer internen Untersuchung aber wohl keine Hinweise, dass das passiert ist.
Die englische Großbank Barclays will biometrische Venen-Scanner für Business-Kunden einführen. Die Schutzmaßnahme ist für die Kunden freiwillig.
Rosario Valotta präsentierte auf des SyScan einige neue Ansätze, um mit gezieltem Browser-Fuzzing neue Schwachstellen aufzudecken. Wir sind gespannt, ob der von ihm versprochene Fuzzer eine Welle neuer Browser-Lücken auslöst.
Das Verschlüsselungspaket Gpg4win 2.2.2 aktualisiert vor allem eine Reihe der enthaltenen Software-Pakete. Darüber hinaus ist die Zertifikatsverwaltung Kleopatra nun besser mit einem Screenreader zu bedienen und somit barrierefrei bedienbar. (fab)
