Was Instagram-Benutzer über die Facebook-Sicherheitsverletzung wissen müssen

Selbst wenn du dich heutzutage nie bei Facebook selbst einloggst, können die anderen Anwendungen und Dienste, die du nutzt, von den neuesten grossen und schlechten Nachrichten von Facebook betroffen sein.

In einem Call am Freitag, in dem bekannt wurde, dass Facebook einen Sicherheitsverletzungen bei mindestens 50 Millionen Konten erlitten hat, stellte das Unternehmen klar, dass die Instagram-Benutzer nicht aus dem Schneider waren – und auch keine anderen Drittanbieterdienste, die Facebook Login nutzten.

Facebook Login ist das Tool, das es Benutzern ermöglicht, sich mit einem Facebook-Konto anstelle von traditionellen Anmeldeinformationen anzumelden, und viele Benutzer wählen es als bequemen Weg, sich bei einer Vielzahl von Anwendungen und Diensten anzumelden.

Mehr Infos & Quelle: https://techcrunch.com

Forscher warnen vor kritischen Fehlern bei PGP und S/MIME

Diejenigen, die PGP und S/MIME verwenden, um sichere E-Mails zu versenden, werden aufgefordert, die Verwendung der Tools mit sofortiger Wirkung einzustellen und zu deaktivieren.

Der Forscher Sebastian Schinzel, Professor für Computersicherheit an der Fachhochschule Münster, behauptet, eine Sicherheitslücke entdeckt zu haben, die „den Klartext von verschlüsselten E-Mails, einschliesslich verschlüsselter E-Mails, die in der Vergangenheit verschickt wurden, aufdecken könnte“.

Einer von acht Forschern von drei europäischen Universitäten, die an der Identifizierung des Problems arbeiten, fügte er hinzu, dass es derzeit keine Lösung gibt.

Die Forschung selbst soll am Dienstag 15.05.2018 um 7:00 Uhr UTC vollständig veröffentlicht werden.

„Unser Ratschlag, der den der Forscher widerspiegelt, ist die sofortige Deaktivierung und/oder Deinstallation von Tools, die automatisch PGP-verschlüsselte E-Mails entschlüsseln. Bis die in dem Papier beschriebenen Fehler besser verstanden und behoben sind, sollten die Benutzer für die Verwendung alternativer Ende-zu-Ende-Sicherheitskanäle wie Signal sorgen und das Senden und vor allem das Lesen von PGP-verschlüsselten E-Mails vorübergehend einstellen“.

Industrieroboter können gehackt werden

An einem konkreten Fall demonstrieren die Sicherheitsforscher von Trend Micro, wie ein Angriff auf einen typischen Industrieroboter, erfolgreich durchgeführt werden kann.

Roboter stellen ein zunehmend kritisches Element der Fertigungsindustrie dar. Damit werden sie zu einem potenziellen Angriffsziel sowohl für finanziell motivierte Cyberkriminelle als auch von Staaten unterstützten Gruppen, deren Ziel eine Betriebsunterbrechung ist. Der Report stellt detailliert verschiedene Bedrohungsszenarien vor, von Unfällen und Sabotage bis zu Ransomware und gar Exfiltrierung vertraulicher Daten aus dem Fabriksnetzwerk.
Es bedarf einer ganzheitlichen Anstrengung von Roboter- und Software-Entwicklern, Betreibern und Sicherheitsexperten, um die sensiblen Robotersysteme zu schützen

Quelle: https://blog.trendmicro.de

Google findet Bug in Antiviren-App

Google findet Bug in Antiviren-App!

Die Sicherheitsforscher von Google, Jason Geffner und Jan Bee fanden den Fehler in ESET’s Endpoint Antivirus 6 für MacOS, die speziell für die Beseitigung aller Arten von Bedrohungen, einschliesslich Viren, Rootkits, Würmer und Spyware.

Laut den Sicherheitsforschern erlaubte der Bug den Angreifern den Zugriff auf ihr Gerät, indem er veraltete XML-Parsing-Bibliotheken ausnutzte.

Um genauer zu sein, kam das Risiko aus der POCO XML-Parser-Bibliothek, die Code aus dem Expat XML Parser enthielt, der unter einer gut dokumentierten Störung litt, die Angreifern erlaubte, „willkürliche Codeausführung über fehlerhafte XML-Inhalte auszuführen“.

Dies machte es letztlich möglich, dass Hacker Anfragen an die Bibliothek abfangen und bösartige XML-Dokumente mit einem selbst signierten HTTPS-Zertifikat abgeben und die Angreifer-Root-Berechtigungen für Ihren Mac gewähren.

Während der Sicherheitsanfälligkeitsbericht ursprünglich im November letzten Jahres (2016) zurückgelegt wurde, gab Google ESET drei Monate, um das Problem zu lösen, bevor er die vollständige Fehlerbehebung früher in dieser Woche am 27. Februar veröffentlicht hatte.

ESET hat seitdem seine Antiviren-App aktualisiert und das Problem behoben. Falls Ihr Mac die betroffene Version des Programms betreibt, können Sie hier die neueste Release (6.4.168.0) der Software erhalten.

Lesen Sie die vollständige Meldung auf dieser Seite.

SQL Injection Vulnerability in NextGEN Gallery für WordPress

Als Teil eines Schwachstellenforschungsprojekts Sucuri haben mehrere Open-Source-Projekte auf der Suche nach Sicherheitsfragen auditiert. Während der Arbeit an der WordPress Plugin NextGEN Gallery, entdeckten sie eine schwere SQL Injection Vulnerability.

Diese Sicherheitsanfälligkeit ermöglicht es einem nicht authentifizierten Benutzer, Daten aus der Website des Opfers zu erfassen, einschliesslich sensibler Benutzerinformationen.

Diese Anfälligkeit kann von Angreifern in mindestens zwei verschiedenen Szenarien ausgenutzt werden:

  1. Wenn Sie eine NextGEN Basic TagCloud Gallery auf Ihrer Website verwenden oder
  2. Wenn Sie Ihren Benutzern erlauben, Beiträge einzureichen, die überprüft werden sollen (Mitwirkende).

Dieses Problem bestand, weil NextGEN Gallery unsachgemäss sanierte Benutzereingaben in einer WordPress vorbereiteten SQL-Abfrage erlaubt hat. Was im Grunde das gleiche ist wie das Hinzufügen von Benutzereingaben in einer Roh-SQL-Abfrage.

Mit diesem Angriffsvektor könnte ein Angreifer gehackte Passwörter und WordPress geheime Schlüssel in bestimmten Konfigurationen auslaufen.

Technische Details

Die goldene Regel ist „niemals vertrauen der Eingang“. Dies führt zu mehr Sicherheit und sicheren Kunden.

In jedem Szenario muss der Entwickler ein paar einfache Fragen stellen:

  • Ist dieser Eingang sicher genug?
  • Ist es saniert?
  • Befolgen wir alle rahmenspezifischen Regeln und Best Practices?

WordPress verwendet die PHP-Vsprintf-Funktion, um SQL-Anweisungen in $ wpdb-> prepare () vorzubereiten; Das bedeutet, dass die SQL-Anweisung einen Formatstring und die Eingabewerte als Argumente verwendet.

Die Schlussfolgerung ist, dass ist nie eine gute Idee, Benutzer-Eingabe in der Format-String zu liefern, weil es nicht gegen Charaktere, die gültige willkürliche Sprintf / printf-Anweisungen erstellen könnte, saniert werden.

Quelle: SQL Injection Vulnerability in NextGEN Gallery for WordPress

Keyless: Leichte Beute für Autodiebe

In Untersuchungen konnten die Experten vom ADAC Autos mit Komfortschliesssystem mittels einer selbst gebauten Funkverlängerung in Sekundenschnelle öffnen und wegfahren.

Dies hinterliess keine sichtbaren Einbruchs- oder Diebstahlspuren.

Bei Keyless-Schliesssystemen muss der Autobesitzer den Schlüssel nur bei sich tragen. Nähert er sich seinem Wagen, öffnet sich die Tür per Funk, ohne dass es einen Tastendruck braucht. Die Tester haben über 20 Modelle unterschiedlicher Hersteller untersucht und festgestellt: Mit Keyless-Systemen ausgestattete Wagen sind deutlich anfälliger für Diebstähle als Fahrzeuge mit normalem Funkschlüssel. Die Experten brauchten dafür nur eine selbst gebaute Funkverlängerung. Damit konnten sie alle Testwagen öffnen.

Quelle: https://www.adac.de