Beiträge von Mark Vogelsberger

Insecurity Bulletin

In dem beliebten Content-Management-System Joomle wurde zwei Schwachstellen entdeckt. Das erste Problem tritt beim Schreiben von Session-Werten in die Datenbank auf. Dadurch kann ein entfernter Angreifer eigenen Code in das System enschleusen, da entsprechende Filterfunktionen nicht richtig...

Insecurity Bulletin

Das OpenSSL-Team hat neue Versionen der OpenSSL-Bibliothek bereitgestellt. In den den Versionen 0.9.8zh, 1.0.0.0t, 1.0.0.1q und 1.0.2e wurden fünf Schwachstellen korrigiert. Zwei davon wurden als harmlos eingestuft, aber die anderen drei als potenziell gefährlich. Die erste dieser drei...

Know-how

Manche Apps machen hinter dem Rücken ihres Anwenders Dinge, auf die der nicht gefasst ist. Besonders dreist geht ein chinesisches SDK zu Werke, das SMS-Nachrichten nach Hause weiterleitet.

Insecurity Bulletin

In der Libpng-Bibliothek wurde eine Schwachstelle entdeckt. Die Bibliothek wird von verschiedenen Anwendungen verwendet, um PNG-Bilddatein zu verarbeiten. Das nun entdeckte Problem hat zur Folge, dass ein entfernter Angreifer Befehle mit den Rechten des Anwenders ausführen kann. Der...

Insecurity Bulletin

In LibreOffice wurden gleich mehrere Schwachstellen entdeckt, die es einem entfernten Angreifer erlauben Befehle mit den Rechten des Anwenders auszuführen. Ein Fehler kann durch spezielle ODF-Dateien ausgelöst werden. Enthält eine solche Datei bestimmte PrinterSetup-Daten, so werden die vom...

Insecurity Bulletin

In dem unzip-Tool wurden zwei Sicherheitslücken entdeckt. Diese haben zur Folge, dass ein entfernter Angreifer Befehle ausführen kann oder unzip zum Absturz bringen können.  Die Atacke ist mit Hilfe einer geschickt konstruierten zip-Datei möglich. Dabei muss es sich um ein...

Insecurity Bulletin

App-Entwickler versuchen auf verschiedenen Wegen Umsatz mit ihren Programmen zu genieren. Sehr beliebt sind hier Werbeeinblendungen und In-App-Käufe. Zahlreiche Android Apps verwenden das Toamike SDK, um diese Werbefunktionen oder In-App-Kauf-Funktionalität einzubauen. Palo Alto Networks fand...

Insecurity Bulletin

In der PostgreSQL-Datenbankanwendung wurden zwei Sicherheitslücken entdeckt. Sie erlauben es einem entferntern Angreifer das System zum Absturz zu bringen oder aber bestimmte Bereiche des Speichers unberechtigt auszulesen. Die erste Attacke ist durch das Senden spezieller Json- oder Jsonb-Daten...

Softwareentwicklung

Für Python existiert ein umfangreicher Satz an Modulen für verschiedenste Anwendungsbereiche. Wer als Julia-Programmierer davon profitieren möchte, installiert sich das Pycall-Paket. Damit lassen sich beliebige Python-Module laden und deren Funktionen nutzen.

Insecurity Bulletin

Eine Sicherheitslücke in Bugzilla hat zur Folge, dass sich ein entfernter Angreifer unerlaubt auf Bugzilla-Systemen registrieren kann. Ursache hierfür ist eine Schwachstelle in dem E-Mail-basieten Registrierungsprozess. Dieser Prozess setzt voraus, dass der Anwender einen vom System generierten...

Insecurity Bulletin

 In dem QEMU virtuellen Maschine wurden zwei Sicherheitsluecken entdeckt (hier und hier). Ein entfernter Angreifer ist dadurch in der Lage Befehle und Denial-of-Service-Attacken auszufuehren. Die erste Schwachstelle befindet sich in der »ne2000_receive()«-Funktion und fuehrt zum Absturz...

Insecurity Bulletin

Eine Sicherheitslücke in dem Open-LDAP-Server-Daemon hat zur Folge, dass ein entfernter Angreifer Denial-of-Service-Attacken ausführen kann. Die Sicherheitslücke befindet sich in dem »slapd«-Daemon und kann von einem nicht angemeldeten Angreifer verwendet werden, um den Dienst zum Absturz zu...

Insecurity Bulletin

Eine kürzlich entdeckte Schwachstelle in BitTorrent hat zur Folge, dass ein entfernter Angreifer Distributed-Reflective-Denial-of-Service-Attacken durchführen kann. Anders als bei einfachen Denial-of-Service- oder Distributed-Denial-of-Service-Attacken werden bei dieser Art Angriff mehrere...

Insecurity Bulletin

Seit Version 5.9 verwendet OpenSSH zwei verschiedene Programmprozesse, um die Interaktion mit Benutzern abzuwickeln: einen unpriviligierten Child-Prozess und einen priviligierten Monitor-Prozess. Der Child-Prozess erledigt dabei die meiste Arbeit. Insbesondere kümmert er sich um das Verarbeiten...

Nach oben