Patchday Dezember
Dezember 13, 2017
Prozessor Sicherheits-Lücke
Januar 8, 2018
Mein Wunsch für 2018? Mehr Sicherheit und weniger Updates! Klingt nach einem Scherz. Sieht man sich so die neusten Meldungen an, wird schnell klar, dass es wie im alten Jahr weitergeht.
Prozessor-Sicherheitslücke
Da wäre die neuste Sicherheitslücke, die vor allem Prozessoren von Intel aber auch von AMD und ARM betrifft. Die Lücke wurde wohl vom Google Project Zero entdeckt. Im Prinzip handelt es sich bei der Schwachstelle um die Möglichkeit, Speicherinhalte aus dem Prozessor auszulesen. Das können z.B. Passwörter sein. Microsoft hat übrigens heute Nacht ein Sicherheitsupdate veröffentlicht, um die Schwachstelle zu beheben. Aber Achtung: Noch sind nicht alle Antivirenprogramme mit dem Update kompatibel! MacOS wurde bereits partiell gepatcht, mit einem nächsten Update werden noch restliche Fixes geliefert. Android wurde mit dem Security Update vom 2. Januar abgesichert und bei Linux werden wohl auch in Kürze Updates erscheinen.
WordPress Plugins
Wie vom Entwickler von Wordfence mitgeteilt wurde, sind in diversen Plugins heimliche Backdoors vorhanden:
- Duplicate Page and Post
- No Follow All External Links
- WP No External Links
- Captcha
- Animated Weather (Keine Backdoor, jedoch heimliches Cryptomining)
Die hier aufgelisteten Plugins sollte man nicht mehr verwenden. Diese Herbst wurde übrigens ebenfalls von Wordfence mitgeteilt, dass es massive Brute Force Attacken gegen WordPress Seiten gab. Hier gilt: Den User „Admin“ vermeiden und ein starkes Passwort wählen.
Chaos Communication Congress (34c3)
Ende Jahr fanden sich um die 15’000 Besucher in der Leipziger Messe zum Kongress des Chaos Computer Clubs ein. Hacker präsentierten unter anderem verschiedene Sicherheitslücken:
- Sicherheitslücken bei Stromtankstellen
- Im Online Banking
- Bei Staubsaugerrobotern
- Bei der Nintendo Switch
- Abhören von 4G-Mobilfunk
Nebst der Sicherheit wurden noch weitere Themen wie Netzneutralität oder der Datenschutz behandelt.
Data Breach Eos-Inkasso
Beim schweizerischen Zweig der Eos-Inkassogruppe wurden grosse Mengen sensibler Daten von Schuldner entwendet. Die Angreifer haben dabei eine Sicherheitslücke im Webserver-Framework Apache Struts ausgenutzt.
Update 08.01.2018
Weiter sind Updates für Android, Redaxo CMS, Western Digital My Cluud, Dell EMC Data Protection Suite, Xerox Altos sowie natürlich Updates für die Prozessor Schwachstelle verfügbar.
Ausserdem ein wichtiges Update für den Adobe Flash Player
