Sicherheitsforscher veröffentlicht Zero-Day-Lücke in vBulletin

von Stefan Beiersmann

Er liefert zudem Beispielcode für einen Exploit. Der umgeht einen bereits im September veröffentlichten Patch für eine kritische Sicherheitslücke, die eine Remotecodeausführung erlaubt. Inzwischen steht ein neuer Patch zum Download bereit. weiter

Zoom patcht Zero-Day-Schwachstelle

von Dr. Jakob Jung

Die Videokonferenz-Software Zoom arbeitet an einem Patch einer Zero-Day-Schwachstelle, die gestern in einem Blog-Beitrag des Cyber-Sicherheitsunternehmens ACROS Security beschrieben wurde. weiter

Hacker nutzen Zero-Day-Lücke in Sophos-Firewall aus

von Stefan Beiersmann

Unbekannte stehlen Dateien mit Anmeldedaten von Firewall-Administratoren und lokalen Nutzern. Sophos findet keinen Hinweis auf einen Missbrauch dieser Daten. Inzwischen steht ein Notfall-Update für die Schwachstelle zur Verfügung. weiter

April-Patchday: Microsoft schließt drei Zero-Day-Lücken

von Stefan Beiersmann

Die stecken in der Adobe Type Manager Library sowie im Windows Kernel. Insgesamt bringt der Patchday Fixes für 113 Schwachstellen. Außerdem verlängert Microsoft den Support für Windows 10 Version 1809 um sechs Monate. weiter

Microsoft warnt vor neuer Zero-Day-Lücke in Internet Explorer

von Stefan Beiersmann

Betroffen sind die Versionen IE 9, 10 und 11 unter Windows 10 und Windows Server. Ein Angreifer kann aus der Ferne Schadcode einschleusen und ausführen. Microsoft rät Betroffenen, den Zugriff auf eine alte Version der Scripting Engine jscript.dll einzuschränken. weiter

Google Project Zero macht Schwachstellen generell nach 90 Tagen öffentlich

von Stefan Beiersmann

Eine frühere Bereitstellung eines Patches führt nicht mehr automatisch zu Offenlegung einer Sicherheitslücke. Hersteller sollen mehr Zeit für die Verteilung von Patches erhalten. Google zufolge werden inzwischen fast 98 Prozent aller Anfälligkeiten innerhalb der Frist beseitigt. weiter

Qu1ckR00t: Beispielcode für Android-Zero-Day-Lücke veröffentlicht

von Stefan Beiersmann

Ein Sicherheitsforscher entwickelt den Proof-of-Concept für das Pixel 2. Er geht weit über die Funktion des bisher von Google bereitgestellten Beispielcodes hinaus. Angreifer sind nun in der Lage, schädliche Apps zu entwickeln, die einen Root-Zugriff herstellen. weiter

Zero-Day-Lücke in vBulletin betrifft Zehntausende Internet-Foren

von Stefan Beiersmann

Die Schwachstelle erlaubt eine Remotecodeausführung ohne vorherige Authentifizierung. Ein Angreifer kann Shell-Befehle auf einem Server ausführen. Ein unbekannter Sicherheitsforscher macht alle Details der Sicherheitslücke anonym auf einer Mailing-Liste öffentlich. weiter

Neue Zero-Day-Lücke in Windows 10 erlaubt Rechteausweitung

von Stefan Beiersmann

SandboxEscaper findet eine weitere Möglichkeit, einen im April veröffentlichten Patch zu umgehen. In einem Video zeigt sie, wie sich ihr Beispielcode nutzen lässt, um Systemdateien zu löschen. In den kommenden Tagen will sie einen weiteren Bug enthüllen. weiter

Exploit Code für Zero-Day-Lücke in Windows 10 veröffentlicht

von Stefan Beiersmann

Betroffen ist mindestens Windows 10 32-Bit. Angeblich lässt sich der auf GitHub verfügbare Exploit Code auch gegen andere Windows-Versionen einsetzen. Der Entdecker der Schwachstelle macht schon zum fünften Mal eine Anfälligkeit in Windows öffentlich, ohne Microsoft vorab zu informieren. weiter

Pwn2Own 2019: Hacker knacken Apple Safari VirtualBox und VMware

von Stefan Beiersmann

Neue kritische Schwachstellen legen die Teilnehmer auch in Edge, Windows und Firefox offen. An den ersten beiden Tagen schütten die Veranstalter Prämien in Höhe von 510.000 Dollar aus. Mehrfach übernehmen die Hacker die vollständige Kontrolle über ein System und führen Code sogar außerhalb einer virtuellen Maschine aus. weiter

Google macht Zero-Day-Lücke in Windows 7 öffentlich

von Stefan Beiersmann

Hacker nutzen sie zusammen mit der kürzlich geschlossenen Zero-Day-Lücke in Chrome für zielgerichtete Angriffe. Google schließt nicht aus, dass sich der Windows-Bug auch mit Lücken in Browsern anderer Hersteller kombinieren lässt. Der Fehler steckt im Kerneltreiber Win32k.sys. weiter

Chrome 72.0.3626.121: Google schließt Zero-Day-Lücke

von Bernd Kling

Der Use-after-Free-Bug in Chromes FileReader-API kann die Ausführung von bösartigem Code erlauben. Die als kritisch eingestufte Schwachstelle wurde bereits für Attacken genutzt. Der Chrome-Sicherheitschef rät dringend zum sofortigen Update. weiter