Im Falle schwerwiegender Sicherheitslücken veröffentlicht CERT.at Warnungen, um Betroffene schnellstmöglich zu informieren. Grundsätzlich müssen für eine Warnung folgende Kriterien erfüllt sein:
- Die Lücke ist leicht ausnutzbar
- Die Betroffenen
- sind sehr zahlreich, z.B. Schwachstellen in Webbrowsern
- bieten wichtige Dienste für viele andere an, z.B. Schwachstellen in Mail-Servern
- Es gibt bereits Updates oder Workarounds, um das Problem zu beheben
Im Einzelfall können auch nur einzelne dieser Voraussetzungen erfüllt sein, wenn dies sinnvoll erscheint.
CERT.at Warnungen können alternativ auch als Feed bzw. E-Mail-Abo bezogen werden.
Dec 17
Sicherheitslücke in Adobe Flash Player
17. Dezember 2012Wie cxsecurity berichtet,
gibt es anscheinend einen aktuellen Bug in Adobe Flash Player, mit dem
Memory Corruption ausgelöst werden kann. Dies geschieht über FLV (Flash
Video) Dateien, die sehr weit verbreitet sind, und daher von den üblichen ...
Oct 23
Sicherheitsupdate für Adobe Shockwave Player
23. Oktober 2012Adobe stellt eine neue Version des Shockwave Players zur Verfügung. Da diese Software weit verbreitet ist, ersuchen wir um Beachtung der folgenden Warnung.
...
Sep 17
Update - Zero Day Exploit für Microsoft Internet Explorer
17. September 2012Seit kurzem gibt es, wie unter anderem im Blog von Rapid7
berichtet wird, eine remote ausnützbare
Sicherheitslücke in Internet Explorer 7, 8 und 9. Da bereits ein
Modul für das Metasploit Framework verfügbar ist, und die ...
Sep 13
Schwachstelle in Nameserversoftware BIND 9
13. September 2012Wie das Internet Software Consortium (ISC) bekannt gegeben hat, existiert in der weit verbreiteten Nameserver-Software BIND ein Problem, das zum Absturz des Dienstes "named" führen kann. Es kann nicht ausgeschlossen werden, dass diese Schwachstelle auch zum Einbruch in den ...
Aug 27
Update - Zero-Day Schwachstelle in Oracle Java 7
27. August 2012
Update: 30. August 2012Wird ein User auf eine speziell präparierte Webseite geleitet, kann sein System durch diese Schwachstelle mit Schadcode infiziert werden. Anfangs wurden nur gezielte Angriffe festgestellt, mittlerweile existiert auch ein ensprechendes Modul für ...
Update: 30. August 2012Wird ein User auf eine speziell präparierte Webseite geleitet, kann sein System durch diese Schwachstelle mit Schadcode infiziert werden. Anfangs wurden nur gezielte Angriffe festgestellt, mittlerweile existiert auch ein ensprechendes Modul für ...
Aug 23
Remote-Code-Execution in Cisco's AnyConnect Secure Mobility Client
23. August 2012Mittels Umlenken eines Users auf eine speziell präparierte Webseite, ist es für einen Angreifer möglich, beim Benutzer Active-X oder Java Komponenten zu starten, welche eigentlich für die Weblaunch-Funktionalität des Cisco AnyConnect Secure Mobility Client ...
Aug 22
Cross-Site-Scripting Schwachstelle in e-Learning Plattform Moodle
22. August 2012Wie z.B. auch SecurityFocus berichtet, wurde eine Sicherheitslücke in der e-Learning Plattform Moodle entdeckt, welche zumindest in der Version 2.2.1 existiert. Es handelt sich um eine Cross-Site-Scripting (XSS) Schwachstelle, welche u.a. zum Stehlen von Cookies genützt ...
Jun 27
Kritische Schwachstelle in Zend Framework
27. Juni 2012Durch eine Lücke im XML-RPC Paket ist das ZEND-Framework anfällig auf XML eXternal Entity Injections (XXE), diese Schwachstelle betrifft sowohl Clients als auch Server. Durch unsicheres Parsen mittels SimpleXML PHP-Erweiterung können spezielle DOCTYPE-Elemente via XML-RPC ...
Jun 20
Cross-Site-Scripting Schwachstelle in Forensoftware vBulletin
20. Juni 2012In der Kalenderfunktion der Forensoftware vBulletin, zumindest in der aktuellen Version 4.2.0, kann eine Cross-Site-Scripting (XSS) Schwachstelle ausgenutzt werden, die u.a. zum Stehlen von Cookies führen kann.
Jun 13
Kritische Sicherheitslücke in Microsoft Windows
13. Juni 2012Microsoft hat ein Security Advisory veröffentlicht, das vor einer
Schwachstelle in allen aktuell unterstützten Microsoft Windows Versionen warnt. Eine kritische Lücke in den Microsoft XML Core Services, die sich via Internet Explorer und Office-Dokumenten ausnutzen lässt, ...