End-of-Day report
Timeframe: Dienstag 15-01-2019 18:00 - Mittwoch 16-01-2019 18:00
Handler: Robert Waldner
Co-Handler: Stephan Richter
News
Fortnite Hacked Via Insecure Single Sign-On
Leaky Fortnite single sign-on mechanism could have allowed hackers to access game accounts.
https://threatpost.com/fortnite-hacked-via-insecure-single-sign-on/140913/
OWASP Top 10 Security Risks - Part V
To bring awareness to what threatens the integrity of websites, we are continuing a series of posts on the OWASP top 10 security risks.
https://blog.sucuri.net/2019/01/owasp-top-10-security-risks-part-v.html
Critical Patch Update: Oracle startet das Jahr mit 284 Sicherheitsupdates
In seinem Quartalsupdate veröffentlicht Oracle quer durch sein Software-Portfolio abgesicherte Versionen. Viele Lücken gelten als kritisch.
http://heise.de/-4277705
IDenticard PremiSys: Gebäude-Überwachungssystem mit eingebauten Hintertüren
Zero-Day-Lücken in einer verbreiteten Software für Gebäude-Sicherheit erlauben es Einbrechern, sich eigene Zugangskarten auszustellen.
http://heise.de/-4277935
Warnung vor Maxi Size Gel
Im Internet findet sich Werbung für das Penisvergrößerungsmittel Maxi Size Gel. Interessenten können es auf the-maxisizeelb.com bestellen. Von einer Bestellung des Maxi Size Gels raten wir ab, denn es ist fraglich, welche Wirkung das Mittel hat und unklar, wie die unbekannten Vertreiber/innen mit den persönlichen Daten ihrer Kunden umgehen. Beides birgt ein hohes Risko
https://www.watchlist-internet.at/news/warnung-vor-maxi-size-gel/
iPhones nicht auf iPhoneIMEI.net entsperren!
iphoneimei.net verspricht, iPhones aller Generationen freischalten zu können und somit für alle Netze zu öffnen. Verlangt werden dafür 28 US-Dollar. iPhoneuser, die Dienste von iphoneimei.net in Anspruch nehmen wollen, werden enttäuscht, denn statt freigeschalteter iPhones erhalten sie weitere Zahlungsaufforderungen. Die versprochene Leistung erfolgt nie.
https://www.watchlist-internet.at/news/iphones-nicht-auf-iphoneimeinet-entsperren/
Advertising network compromised to deliver credit card stealing code
Hundreds of online stores confirmed to be impacted, thousands of more under investigation.
https://www.zdnet.com/article/advertising-network-compromised-to-deliver-credit-card-stealing-code/
Vulnerabilities
Security updates for Wednesday
Security updates have been issued by Debian (systemd and wireshark), Fedora (openssh, php-horde-Horde-Form, and unrtf), Mageia (aria2, libvncserver, x11vnc, and nss), Oracle (kernel and libvncserver), Scientific Linux (libvncserver), SUSE (kernel, soundtouch, webkit2gtk3, and wget), and Ubuntu (libcaca and policykit-1).
https://lwn.net/Articles/776894/
Synology-SA-19:05 Moments
A vulnerability allows remote authenticated users to upload arbitrary files via a susceptible version of Moments.
https://www.synology.com/en-global/support/security/Synology_SA_19_05
Security Advisory - Race Condition Vulnerability on Several Smartphones
http://www.huawei.com/en/psirt/security-advisories/2019/huawei-sa-20190116-01-smartphone-en
Microsoft Skype for Business: Schwachstelle ermöglicht Cross-Site Scripting
http://www.cert-bund.de/advisoryshort/CB-K19-0059
Microsoft Team Foundation Server: Mehrere Schwachstellen
http://www.cert-bund.de/advisoryshort/CB-K19-0055
SCP in mehreren Produkten: Mehrere Schwachstellen
http://www.cert-bund.de/advisoryshort/CB-K19-0058
IBM Security Bulletin: WAS traditional and liberty vulnerable to CVE-2014-7810
https://www.ibm.com/blogs/psirt/ibm-security-bulletin-was-traditional-and-liberty-vulnerable-to-cve-2014-7810/
IBM Security Bulletin: IBM Netcool Agile Service Manager is affected by Eclipse Jetty vulnerabilities
https://www.ibm.com/blogs/psirt/ibm-security-bulletin-ibm-netcool-agile-service-manager-is-affected-by-eclipse-jetty-vulnerabilities/