Eine Reihe von in dem Content-Management-System Drupal gefundenen Lücken ermöglicht Codeausführung und Diebstahl von in Datenbanken vorgehaltenen Identitäten. Die Anfälligkeiten befinden sich laut Fernando Arnaboldi von IOActive im Aktualisierungsprozess von Drupal. Sie sind grundsätzlicher Natur und betreffen alle Versionen. Threatpost hat den Bericht aufgegriffen.
Für eine solche Attacke muss sich der Angreifer im gleichen Netz wie sein Opfer befinden, beispielsweise einem öffentlichen WLAN oder durch eine separate Attacke. Als Teil des Aktualisierungsprozesses lädt Drupal eine XML-Datei im Textformat; laut Arnaboldi könnte sie auf eine beliebige präparierte Version des CMS mit einer Hintertür verweisen, auf einem beliebigen Server. Sein Proof-of-Concept lädt beispielsweise ein Update „7.41 mit Hintertür“.
Das Webinar “Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert” informiert Sie über die Vorteile einer Unified Communications & Collaboration-Lösung (UCC) und skizziert die technischen Grundlagen, die für die erfolgreiche Implementierung nötig sind. Jetzt registrieren und die aufgezeichnete Fassung des Webinars ansehen.
IOActive hat das Open-Source-Projekt Drupal im November über die Schwachstellen informiert. Daraufhin beschloss man, die Frage der Verschlüsselung von Updates öffentlich zu diskutieren. Dazu wurde in den Drupal-Foren ein einschlägiger Diskussionsfaden von 2012 wieder geöffnet. Gegen eine Bekanntmachung der anderen Lücken hatte Drupal laut Arnaboldi nichts. Nach Eindruck des Forschers ist kurzfristig kein Patch geplant.
Drupal 8 stammt von Mitte November. Arnaboldi hatte schon für dieses große Update mit einer Korrektur für die Lücken gerechnet. Diese Woche erschien Drupal 8.0.2 – weiter ungepatcht.
Die Sicherheitsfirma IOActive konnte zuletzt Sicherheitslücken prominenter Software aufdecken. So gelang es einem ihrer Mitarbeiter im vergangenen Jahr, einen fahrenden Chrysler Jeep Cherokee zu entführen. Der Sicherheitsforscher wurde später von Uber abgeworben. IOActive spürte aber auch Sicherheitslücken in den Update-Systemen von LG und Lenovo auf.
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Zwei Use-after-free-Bugs stecken in Picture In Picture und der WebGPU-Implementierung Dawn. Betroffen sind Chrome für…
Die durchschnittliche Lösegeldzahlung liegt bei 2,5 Millionen Dollar. Acht Prozent der Befragten zählten 2023 mehr…
Eine neue Analyse der EU-Kommission sieht vor allem eine hohe Verbreitung von iPadOS bei Business-Nutzern.…
Das operative Ergebnis wächst um fast 6 Billionen Won auf 6,64 Billionen Won. Die Gewinne…
Ab Werk blockiert Chrome Cookies von Dritten nun frühestens ab Anfang 2025. Unter anderem gibt…
Die Vorfreude steigt, denn BAUMLINK wird als Partner und Aussteller bei der Tech Show 2024…