Alle PHP-Versionen vor 5.2.6 enthalten einen Bug, der es Angreifern erlaubt, beliebigen Code auszuführen. Darauf weist das US-CERT in einer Vulnerability Note hin.
Aufgrund eines Bugs in der Path-Translation, die dazu verwendet wird, eine URL in den nativen Dateinamen des Webservers zu wandeln, sind alle PHP-Applikationen betroffen, die Dateinamen als Input akzeptieren. Das ist unter anderem bei Web-Facing-Anwendungen der Fall.
Problematisch ist diese Lücke vor allem deswegen, da Cyberkriminelle immer mehr dazu übergehen, Lücken in normalen Webangeboten auszunutzen, um Websites für kriminelle Zwecke zu nutzen. Durch das gestiegene Sicherheitsbewusstsein der Nutzer können Kriminelle Anwender nur noch schwer auf eigene Seiten locken.
Betreibern von PHP-Webseiten empfiehlt das US-CERT, möglichst rasch auf die am 1. Mai erschienene PHP-Version 5.2.6 zu aktualisieren. Besonders gefährdet sind Betreiber von kommerziellen Webangeboten, die Kreditkartenkartenzahlungen erlauben. Kreditkartendaten gelten als extrem beliebte Beute von kriminellen Datenjägern.
Meist machen die Datenjäger kleine Unternehmen zu Opfern. Dass "Bob’s Bike Shop" leichter zu hacken ist als Amazon, wüssten die Kriminellen sehr gut, sagt Ken Rutsky, Vice President des Enterprise-Gateway-Sicherheitsunternehmens Secure Computing.
Die EU-Kommission kritisiert die Verknüpfung von Facebook und dem hauseigenen Online-Kleinanzeigendienst. Sie sieht darin einen…
Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…
Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.
In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…
Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.
Eine schwerwiegende Anfälligkeit hebelt die Sicherheitsfunktion Seitenisolierung auf. Betroffen sind Chrome für Windows, macOS und…