Die Mozilla Foundation veröffentlicht im Advisory 2018-09 Sicherheitsupdates für den quelloffenen Maildienst. Drei dieser Updates und damit das gesamte Update stuft die Foundation mit kritisch ein. Zwei werden mit hoch eingestuft und ein weiteres Leck gilt als moderate Sicherheitsbedrohung.
Die Entwickler erklären jedoch, dass diese Sicherheitslecks nicht via E-Mail in Thunderbird ausgenutzt werden können, weil hier das Scripting deaktiviert ist. Dennoch stellten diese Verwundbarkeiten ein potentielles Risiko in Browsern oder Browser-ähnlichen Umgebungen dar.
Mit CVE-2018-5145 beheben die Entwickler der Mozilla-Foundation einen kritischen Memory-Safety-Bug in Firefox ESR und Thunderbird 52.7 sowie Thunderbird 52.6. Über dieses Leck sei es möglich, den Speicher zu korrumpieren und die Entwickler gehen davon aus, dass man bei erfolgreicher Ausnutzung dadurch beliebigen Code auf einem Angegriffenen System ausführen kann.
Gleiches gilt für CVE-2018-5125, bei dem in Firefox 58, Firefox ESR 52.6 und Thunderbird 52.6 ebenfalls befürchten, dass darüber beliebiger Code ausgeführt werden kann.
CVE-2018-5146 wurde laut von Trend Micro entdeckt und bei dem Pwn2Own-Wettbewerb veröffentlicht. Das kritische Leck erlaubt einen out of Bound Write beim Verarbeiten von Vorbis-Audiodateien.
Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.
Der Bufferoverflow CVE-2018-5127 ist mit ‚hoch‘ eingestuft. Er tritt beim Verarbeiten von von SVG- animatedPathSegLists auf. Der darauf folgende Systemabsturz könnte sich durch einen Hacker ausnutzen lassen.
CVE-2018-5129 dagegen entsteht durch eine fehlende Validierung der Paramater von IPC-Messages. Ein Angreifer könnte hier über manipulierte IPC-Nachrichten den Speicher überlisten und so die Sandbox umgehen.
Vor einigen Tagen wurde ein schwerwiegendes Sicherheitsleck in der „Master-Password“-Erweiterung bekannt. Weil dieses Master-Passwort, mit dem sich Nutzer in verschiedenen Diensten anmelden können, nur mit einem einzigen SHA-1-und nur einem zufälligen Salt-Wert geschützt ist, sei es dank moderner Grafikkarten sehr einfach möglich über eine Bruteforce-Attacke auch längere und komplexe Passwörter vergleichsweise schnell zu knacken. Um das zu verhindern, seien mindestens 100.000 Wiederholungen nötig, so Wladimir Palant, der Entwickler der Browser-Erweiterung AdBlock Plus.
Dieses Problem scheint schon seit Jahren bei Mozilla bekannt zu sein. Nun will die Foundation dieses Problem mit dem Projekt Lockbox abstellen, das ein deutlich höheres Sicherheitsniveau für den Master-Passwort-Manager bieten soll. Jedoch können lediglich Personen mit physischen Zugriff auf den Browser den Schutz umgehen und auf die in Firefox gespeicherten Anmeldeinformationen zugreifen. Daher ist auch die von dem Leck ausgehende Gefährdung eher mäßig.
Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!
Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…
Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.
2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…
Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…
NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.
