Im Falle schwerwiegender Sicherheitslücken veröffentlicht CERT.at Warnungen, um Betroffene schnellstmöglich zu informieren. Grundsätzlich müssen für eine Warnung folgende Kriterien erfüllt sein:
- Die Lücke ist leicht ausnutzbar
- Die Betroffenen
- sind sehr zahlreich, z.B. Schwachstellen in Webbrowsern
- bieten wichtige Dienste für viele andere an, z.B. Schwachstellen in Mail-Servern
- Es gibt bereits Updates oder Workarounds, um das Problem zu beheben
Im Einzelfall können auch nur einzelne dieser Voraussetzungen erfüllt sein, wenn dies sinnvoll erscheint.
CERT.at Warnungen können alternativ auch als Feed bzw. E-Mail-Abo bezogen werden.
May 02
Kritische Sicherheitslücke in IBM Lotus Notes
2. Mai 2013Wie cxsecurity meldet, akzeptiert der E-Mail Client von Lotus Notes JavaScript-Code und <applet>-Tags im HTML-Code, wodurch es einem Angreifer ermöglicht wird, JavaScript-Code direkt auszuführen oder Java-Applets von externen Quellen nachzuladen.
Gepaart mit einem ...
Gepaart mit einem ...
Mar 06
Sicherheitslücken in TYPO3
6. März 2013TYPO3 Core enthält Bugs die zu SQL Injection und Open Redirection führen können.
SQL Injection in der Subkomponente Extbase Framework ...
SQL Injection in der Subkomponente Extbase Framework ...
Mar 01
Erneute Schwachstelle in Oracle Java 7 und Java 6 (aktiv ausgenützt)
1. März 2013Wie der Security-Dienstleister FireEye
berichtet, gibt es eine neue Zero-Day-Schwachstelle in den aktuellen Versionen von Oracle Java.
...
Feb 14
Kritische Schwachstellen in Adobe Reader und Acrobat (aktiv ausgenützt)
14. Februar 2013Aktuell wird eine Schwachstelle in Adobe Reader und Acrobat aktiv für
Angriffe ausgenützt.
Adobe hat dazu ein als "kritisch" eingestuftes Security
Bulletin veröffentlicht. ...
Feb 08
Update für Sicherheitslücken in Adobe Flash Player (aktiv ausgenützt)
8. Februar 2013Adobe hat eine neue Version des Flash Player Plugins ausserhalb
des monatlichen Patch-Zyklus veröffentlicht, die bereits aktiv
ausgenützte Sicherheitslücken schliesst.
...
Jan 24
Mehrere kritische Schwachstellen in Barracuda Networks Produkten (SSH Backdoor)
24. Jänner 2013Backdoor Accounts und SSH Backdoor
Auf den betroffenen Systemen (siehe unten) gibt es mehrere undokumentierte Benutzeraccounts mit schwachen Passwörtern, die Zugang zum System verschaffen können.
Diese Accounts können ohne weitere Tricks nicht deaktiviert werden. ...
Jan 18
Erneute Schwachstelle in Oracle Java 7
18. Jänner 2013Nur vier Tage, nachdem Oracle mit Java 7u11 kritische Fehler gefixt hat, wurde die nächste
Schwachstelle in Java 7 bestätigt. Es ist davon auszugehen, dass diese bereits für Angriffe
auf Webbrowser eingesetzt wird. Eine Reaktion von Oracle steht noch aus.
...
Jan 10
Update - Kritische Zero-Day Schwachstelle in Oracle Java 7
10. Jänner 2013
Update: 14. Jänner 2013Wird ein User auf eine speziell präparierte Webseite geleitet, kann sein System durch diese Schwachstelle mit Schadcode infiziert werden. Der Exploit-Code wurde auf Pastebin veröffentlicht und es existieren bereits entsprechende Module ...
Update: 14. Jänner 2013Wird ein User auf eine speziell präparierte Webseite geleitet, kann sein System durch diese Schwachstelle mit Schadcode infiziert werden. Der Exploit-Code wurde auf Pastebin veröffentlicht und es existieren bereits entsprechende Module ...
Dec 20
Lücke in Microsoft Internet Explorer
20. Dezember 2012
Update: 22. Dezember 2012Wie diverse Quellen melden, hat ein Security-Researcher ein Stack Overflow-Problem in aktuellen Versionen von Microsoft Internet Explorer gefunden, welches sich unter Umständen für Remote Code Execution ausnützen lassen könnte.
Update: 22. Dezember 2012Wie diverse Quellen melden, hat ein Security-Researcher ein Stack Overflow-Problem in aktuellen Versionen von Microsoft Internet Explorer gefunden, welches sich unter Umständen für Remote Code Execution ausnützen lassen könnte.
Dec 18
Mehrere kritische Sicherheitslücken in Adobe Shockwave Player
18. Dezember 2012Das US-CERT meldet mehrere Schwachstellen in Adobe Shockwave Player:
* Shockwave Player anfällig für Downgrade-Attacken Wenn eine Webseite nicht angibt, die aktuelle Shockwave-Version 11 zu benötigen, dann wird die alte Version 10 installiert. Diese ...
* Shockwave Player anfällig für Downgrade-Attacken Wenn eine Webseite nicht angibt, die aktuelle Shockwave-Version 11 zu benötigen, dann wird die alte Version 10 installiert. Diese ...