Eine Reihe von in dem Content-Management-System Drupal gefundenen Lücken ermöglicht Codeausführung und Diebstahl von in Datenbanken vorgehaltenen Identitäten. Die Anfälligkeiten befinden sich laut Fernando Arnaboldi von IOActive im Aktualisierungsprozess von Drupal. Sie sind grundsätzlicher Natur und betreffen alle Versionen. Threatpost hat den Bericht aufgegriffen.
Für eine solche Attacke muss sich der Angreifer im gleichen Netz wie sein Opfer befinden, beispielsweise einem öffentlichen WLAN oder durch eine separate Attacke. Als Teil des Aktualisierungsprozesses lädt Drupal eine XML-Datei im Textformat; laut Arnaboldi könnte sie auf eine beliebige präparierte Version des CMS mit einer Hintertür verweisen, auf einem beliebigen Server. Sein Proof-of-Concept lädt beispielsweise ein Update „7.41 mit Hintertür“.
Das Webinar “Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert” informiert Sie über die Vorteile einer Unified Communications & Collaboration-Lösung (UCC) und skizziert die technischen Grundlagen, die für die erfolgreiche Implementierung nötig sind. Jetzt registrieren und die aufgezeichnete Fassung des Webinars ansehen.
IOActive hat das Open-Source-Projekt Drupal im November über die Schwachstellen informiert. Daraufhin beschloss man, die Frage der Verschlüsselung von Updates öffentlich zu diskutieren. Dazu wurde in den Drupal-Foren ein einschlägiger Diskussionsfaden von 2012 wieder geöffnet. Gegen eine Bekanntmachung der anderen Lücken hatte Drupal laut Arnaboldi nichts. Nach Eindruck des Forschers ist kurzfristig kein Patch geplant.
Drupal 8 stammt von Mitte November. Arnaboldi hatte schon für dieses große Update mit einer Korrektur für die Lücken gerechnet. Diese Woche erschien Drupal 8.0.2 – weiter ungepatcht.
Die Sicherheitsfirma IOActive konnte zuletzt Sicherheitslücken prominenter Software aufdecken. So gelang es einem ihrer Mitarbeiter im vergangenen Jahr, einen fahrenden Chrysler Jeep Cherokee zu entführen. Der Sicherheitsforscher wurde später von Uber abgeworben. IOActive spürte aber auch Sicherheitslücken in den Update-Systemen von LG und Lenovo auf.
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…
Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.
2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…
Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…
NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.
Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.