Im Falle schwerwiegender Sicherheitslücken veröffentlicht CERT.at Warnungen, um Betroffene schnellstmöglich zu informieren. Grundsätzlich müssen für eine Warnung folgende Kriterien erfüllt sein:

  1. Die Lücke ist leicht ausnutzbar
  2. Die Betroffenen
    1. sind sehr zahlreich, z.B. Schwachstellen in Webbrowsern
    2. bieten wichtige Dienste für viele andere an, z.B. Schwachstellen in Mail-Servern
  3. Es gibt bereits Updates oder Workarounds, um das Problem zu beheben

Im Einzelfall können auch nur einzelne dieser Voraussetzungen erfüllt sein, wenn dies sinnvoll erscheint.

CERT.at Warnungen können alternativ auch als Feed bzw. E-Mail-Abo bezogen werden.


Sep 25

Update - Kritische Sicherheitslücke in bash

25. September 2014
Update 29. September 2014

In der verbreiteten UNIX/Linux-Shell 'bash' (Bourne Again Shell) wurde ein Fehler in der Methode mit der Umgebungsvariablen verarbeitet werden entdeckt. Durch Ausnutzung dieses Fehler kann beliebiger Code auf betroffenen Systemen ausgeführt werden, ...


Jul 24

"Zero-Day" Sicherheitslücke in Apple Quicktime

24. Juli 2014

Die "Zero-Day-Initiative" der Firma Tipping Point hat ein Advisory veröffentlicht, in dem vor einer "Zero Day"-Lücke (CVE-2014-4979) in Apple Quicktime gewarnt wird:
http://www.zerodayinitiative.com/advisories/ZDI-14-264/


Jun 05

Sicherheitsprobleme mit OpenSSL

5. Juni 2014

Es besteht die Möglichkeit von Remote Code Execution, Denial Of Service und Man-in-the-middle Attacken. Diese können sowohl OpenSSL Clients als auch Server betreffen. ...


May 22

"Zero-Day" Sicherheitslücke in Microsoft Internet Explorer 8

22. Mai 2014

Die "Zero-Day-Initiative" der Firma Tipping Point hat ein Advisory veröffentlicht, in dem vor einer "Zero-Day"-Lücke (CVE-2014-1770) in Microsoft Internet Explorer 8 gewarnt wird:
http://zerodayinitiative.com/advisories/ZDI-14-140/ ...


Apr 28

Update - "Zero-Day" Sicherheitslücke in Microsoft Internet Explorer 6 bis 11

28. April 2014
Update 2. Mai 2014

Der IT-Security-Dienstleister FireEye hat einen Blog-Eintrag veröffentlicht, in denen vor einem "Zero-Day"-Angriff auf Microsoft Internet Explorer 9-11 gewarnt wird:
New Zero-Day Exploit targeting Internet Explorer Versions 9 through 11 Identified ...


Apr 28

Sicherheitslücke in Adobe Flash Player (aktiv ausgenützt, Updates verfügbar)

28. April 2014

Adobe hat neue Versionen des Flash Players ausserhalb des monatlichen Patch-Zyklus veröffentlicht, welche eine bereits aktiv ausgenützte Sicherheitslücke (CVE-2014-0515) schliessen. ...


Apr 08

Update - Schweres Sicherheitsproblem mit OpenSSL ("Heartbleed"-Lücke)

8. April 2014
Update 10. April 2014

Durch einen Fehler in OpenSSL können Angreifer Teile des Hauptspeichers eines betroffenen Systems (in Schritten von 64kB) lesen. Dadurch ist es den Angreifern möglich, an diverse Informationen, unter Umständen inklusive der "Private" Keys/X.509 ...


Mar 25

Schwerwiegende Sicherheitslücke in Microsoft Office - aktiv ausgenützt

25. März 2014

Microsoft hat ein Security Advisory zu einer schwerwiegenden Sicherheitslücke (CVE-2014-1761) in einer Komponente von Microsoft Office ...


Mar 13

Kritische Sicherheitslücke in Adobe Shockwave Player (Update verfügbar)

13. März 2014

Adobe hat eine neue Version des Shockwave Players veröffentlicht, mit der eine kritische Sicherheitslücke geschlossen wird. ...


Feb 24

Sicherheitslücken in Flash Player und Adobe AIR (aktiv ausgenützt, Updates verfügbar)

24. Februar 2014

Adobe hat neue Versionen des Flash Player Plugins sowie von Adobe AIR ausserhalb des monatlichen Patch-Zyklus veröffentlicht, die drei teilweise bereits aktiv ausgenützte Sicherheitslücken schliessen. ...