Wissen
- Home /
- Wissen
Mehrere Schwachstellen im RIOT Betriebssystem gefährden IoT-Geräte
Im Realzeit Betriebssystem RIOT, das häufig auf IoT-Geräten verwendet wird, wurden mehrere kritische Sicherheitslücken entdeckt. Diese Entdeckung wurde von HN Security am 7. Mai 2024 veröffentlicht und umfasst Schwachstellen, die als hoch bis kritisch eingestuft werden.
Read MoreZugangskarten Cloning Schwachstelle bei ICT entdeckt
In einem Security Advisory warnt der Zutrittkontrollsystem Hersteller ICT vor einer Schwachstelle in seinen Zutrittssicherungssystemen der Protege-Reihen. Es besteht eine hohe Sicherheitsgefahr durch eine Schwachstelle in den ICT MIFARE und DESFire Karten und Tags/Fobs. Die betroffenen Komponenten speichern Verschlüsselungsschlüssel unsicher im Firmware-Binary, was es Angreifern ermöglicht, Zugangsberechtigungen für jede Kartennummer und jeden Standortcode zu klonen, die die Standard-ICT-Verschlüsselung verwenden.
Read MoreLockBit 3.0: angeblicher Angriff auf Deutsche Telekom
Die Deutsche Telekom ist einem Bericht auf Twitter zufolge vermutlich Opfer eines Cyberangriffs der Ransomware-Gruppe LockBit 3.0 geworden. Der Post wurde am Morgen des 7. Mai 2024 öffentlich gemacht. Die Angreifer haben ein Lösegeld festgesetzt, das bis zum 21. Mai 2024 gezahlt werden soll, um die verschlüsselten Daten wieder freizugeben. Die genauen Details des Angriffs und das Ausmaß des Schadens sind noch nicht vollständig bekannt. Die Gruppe LockBit 3.0 gilt eigentlich als zerschlagen, auch gab es nach aktuellem Stand keine Bestätigung seitens Telekom, ob es tatsächlich zu einem Vorfall kam.
Read MoreTunnelVision Schwachstelle enttarnt VPN User
In einer Veröffentlichung von Leviathan Security vom 6. Mai 2024 wurde eine neue Netzwerktechnik vorgestellt, die die VPN-Encapsulation umgeht. Diese Technik ermöglicht es einem Angreifer, den Datenverkehr eines Zielbenutzers aus seinem VPN-Tunnel zu zwingen, indem er eingebaute Funktionen des DHCP (Dynamic Host Configuration Protocol) nutzt. Das Ergebnis ist, dass der Benutzer Pakete sendet, die niemals durch ein VPN verschlüsselt werden, was es einem Angreifer ermöglicht, diesen Verkehr abzuhören. Dieser Effekt wird als “Enttarnen” bezeichnet. Besonders wichtig ist, dass der VPN-Kontrollkanal aufrechterhalten wird, sodass Funktionen wie Kill-Switches nie ausgelöst werden und Benutzer weiterhin als mit einem VPN verbunden angezeigt werden.
Read MoreSicherheitslücke in Yoast SEO-Plugin ermöglicht Cross-Site Scripting
Eine kritische Sicherheitslücke wurde in allen Versionen des Yoast SEO Plugins für WordPress bis einschließlich Version 22.5 entdeckt. Die Schwachstelle CVE-2024-4041 ermöglicht reflektiertes Cross-Site Scripting (XSS) durch unsachgemäße Bereinigung von Eingaben und unzureichende Ausgabe-Eskapierung. Dies könnte es nicht authentifizierten Angreifern ermöglichen, willkürlich Web-Skripte in Seiten einzuschleusen, wenn sie einen Nutzer dazu bringen können, eine manipulierte Aktion wie das Klicken auf einen Link auszuführen.
Read MoreCodeschmuggel Schwachstelle in Trend Micro Antivirus One entdeckt
Trend Micro hat am 06. Mai 2024 ein wichtiges Update für seine Antivirus-Software “Antivirus One” veröffentlicht, das eine kritische Sicherheitslücke adressiert. Die Schwachstelle CVE-2024-34456 betrifft frühere Versionen der Software auf MacOS und ermöglicht das Einschleusen einer benutzerdefinierten dynamischen Bibliothek (dylib). Dies erlaubt Angreifern, schädlichen Code innerhalb des Anwendungskontexts von Antivirus One auszuführen. Trend Micro empfiehlt Nutzern dringend, ihre Software auf die neueste Version 3.10.4 zu aktualisieren, um sich vor dieser Sicherheitslücke zu schützen.
Read MoreSchwere Sicherheitslücke im Werkzeug-Debugger ermöglicht Codeausführung
Eine kritische Sicherheitslücke wurde im Debugger der Entwicklungssoftware Werkzeug entdeckt, die es Angreifern ermöglichen kann, unter bestimmten Umständen Code auf dem Rechner eines Entwicklers auszuführen. Die Schwachstelle, die unter der Kennung CVE-2024-34069 geführt wird, betrifft Versionen von Werkzeug vor 3.0.3.
Read MoreOut-Of-Bounds Memory Read Schwachstelle in Citrix NetScaler entdeckt
Das Sicherheitsunternehmen Bishop Fox hat ein Advisory zu einer kritische Sicherheitslücke in den Citrix NetScaler ADC- und Gateway-Komponenten der Version 13.1-50.23 herausgebracht. Die Schwachstelle, die unautorisierten Zugriff auf sensible Informationen ermöglicht, betrifft speziell die Komponenten, die für Authentifizierung, Autorisierung und Auditierung (AAA) sowie den Fernzugriff genutzt werden. Diese Produkte sind zentraler Bestandteil vieler Unternehmensnetzwerke, die auf Citrix-Lösungen setzen.
Read MoreSicherheitslücke in GitHub legt Umgebungsvariablen offen
Am 6. Mai 2024 berichtete Starlabs in einem Artikel auf GitHub.com über eine entdeckte Sicherheitslücke, die sowohl die Offenlegung aller Umgebungsvariablen eines Produktionscontainers auf GitHub.com als auch die Ausführung von Remote-Code auf GitHub Enterprise Servers (GHES) ermöglicht. Diese Entdeckung, die ursprünglich als geringfügig eingeschätzt wurde, stellte sich als eine der bedeutendsten Sicherheitslücken in der Geschichte von GitHub heraus.
Read MoreSachsen und Berlin überwachen Verkehr mit biometrischer Gesichtserkennung
Laut einem Bericht von Netzpolitik.org nutzt die sächsische Polizei ein Gesichtserkennungssystem, das in der Lage ist, Gesichter in Echtzeit zu erkennen und zu verarbeiten. Dieses System wird auch in Berlin eingesetzt, wo der Senat erstmals technische Details öffentlich gemacht hat. Die Überwachungstechnik, die sowohl stationär als auch in parkenden Fahrzeugen eingesetzt werden kann, soll die Identifikation von verdächtigen Personen ermöglichen. Kritik gibt es hinsichtlich der rechtlichen Grundlagen und des Eingriffs in die Persönlichkeitsrechte unbeteiligter Personen.
Read MoreCategories
Tags
- .Burkina Faso
- Active Directory
- AI
- Anleitungen
- Apache HTTP Server
- Bafin
- Bfdi
- Browser-Sicherheit
- Browser-Update
- BSI
- CERT-Bund
- Chrome
- CISA
- Compliance
- Container
- Container Security
- Container-Sicherheit
- Cosign
- CVE
- CVE-2026
- Cyberangriff
- Cybersecurity
- Dateimanipulation
- Datenbankensicherheit
- Datenpanne
- Datenschutz
- DDoS
- Denial of Service
- Deutschland
- DFN-CERT
- DIN ISO 37002
- EASM
- Eu
- Fatf
- Firewall
- Forensik
- Fortinet
- Foxit
- Geldwäsche
- Geldwäscheschutz
- Germany
- Gesetze
- Gesundheitswesen
- Go-Schwachstellen
- Graue Liste
- Graylist
- Hacking
- Helm
- Hinweisgeberschutz
- Incident Response
- ISMS
- ISO 27001
- ISO Norm
- IT Security
- IT-Sicherheit
- Java
- KI
- Konfigurationsmanagement
- Kubernetes
- LDAP
- Libaom
- Linux
- Linux-Sicherheit
- Log4cxx
- Log4j
- Malware Protection Engine
- Messenger
- Microsoft Edge
- Microsoft Windows
- Mittleres Risiko
- Money Laundry
- Mosambik
- Netty
- Netzwerksicherheit
- NGINX
- NIS 2
- NIST CSF
- OpenSSL
- Palo Alto
- PAN-OS
- Patch-Management
- Pentest
- PostgreSQL
- Privilegieeskalation
- Privilegieneskalation
- Python
- Remote Access
- Remote Code Execution
- Remote-Codeausführung
- Salt
- Salt Bundle
- Schulung
- Schwachstelle
- Schwachstellen
- Schwachstellenmanagement
- Server
- Server-Sicherheit
- Serversicherheit
- Sicherheitsadvisory
- Sicherheitslücke
- Sicherheitspatch
- Sicherheitsupdate
- SIEM
- SLES 15
- SOC2
- Social Media
- SSSD
- SUSE
- SUSE Linux
- SUSE Manager
- Südafrika
- Ubuntu
- Updates
- Verfügbarkeit
- Verschlüsselung
- Vulnerabilities
- Web-Sicherheit
- Webmail
- Webserver
- Webserver-Sicherheit
- Windows
- Windows Defender
- Windows Security
- Windows Server
- Windows Update
- X.Org
- XSS
- Xwayland