#secuthursday WK 16: Lücken in OS X, TP-Link Routern, X.org

Header-Logo Sicherheit am Donnerstag

Heute gibt es wieder ein buntes Potpourri an Sicherheitslücken aus den letzten 7 Tagen (und vergangenen Jahren). Für jeden ist etwas dabei: Mac OS X, TP-Link Router, LibX11 und Windows.

Sicherheitslücke in OS X ermöglicht Admin-Rechte

Änderungen ohne das dazugehörige Administratorpasswort vorzunehmen, ist für bestimmte Aufgaben unumgänglich. So sollte das Verstellen der Uhr nicht in einem Anruf bei der IT-Abteilung münden müssen. Eine API in Mac OS X, die diese Aufgaben übernimmt, ist nur ungenügend abgesichert und stellt damit ein Einfallstor für die unberechtigte Erlangung von Administrationsrechten dar. Der schwedische Forscher Emil Kvarnhammar konnte die Sicherheitslücke in den OS X-Versionen der letzten vier Jahre nachweisen. Apple hat diese Lücke in Yosemite mit dem Update auf Version 10.10.3 geschlossen, sieht aber derzeit davon ab, diese Aktualisierung auch für frühere Versionen bereitzustellen.

Auf einer Sicherheitskonferenz in Stockholm am 28. Mai will Kvarnhammar weitere Details zu dieser Sicherheitslücke vorstellen.

 

Alte X.org-Lücke in aktuellen Programmen

Linux-Programme die den Xlibint.h-Header unter libX11 nutzen, sollten dringend einer Überprüfung unterzogen werden. Die dazugehörige Sicherheitslücke aus dem Jahr 2013 wurde zwar mit der libX11 Version 1.6.0 geschlossen, dennoch ergab eine neuerliche Überprüfung, dass noch immer eine große Zahl an Programmen auf die unsichere Headerversion setzen.

Betroffen sind alles Programme, die MakeBigReq() or SetReqLen()-Makros nutzen. Es wird empfohlen diese Software mit dem aktualisierten Header neu zu kompilieren. X.org stellt in ihrer Meldung eine Übersicht betroffener Programme zu Verfügung, merkt aber an, dass nur die Suche im eigenen Code zweifelsfreie Ergebnisse bringen wird.

 

TP-Link Router: Firmwarepatch gegen Datenleck

Das SEC Consult Vulnerability Lab in Wien veröffentlichte Informationen, nachdem WLAN-Router von TP-Link eine Sicherheitslücke aufweisen, bei der Angreifer sicherheitskritische Dateien ohne vorherige Authentifizierung lesen können. Dazu gehören auch die Konfigurationsdateien, welche Informationen wie Administrator- und Netzwerkpasswörter enthalten.

TP-Link hat für viele Produkte aktualisierte Firmwareversionen bereitgestellt. Nutzern wird geraten, diese umgehend zu installieren.

 

Wie mit solchen Problemen nicht umgegangen werden sollte, beweist D-Link in unserer Rubrik:

Sicherheit in Kürze – Artikel die Sie lesen sollten.

D-Link schließt Lücke in Routerfirmware mit neuer Lücke | via devttys0.com

OrangeHRM: XSS-Lücken und Blind SQL Injection möglich | via seclists.org

Safari iOS/OS X/Windows cookie access vulnerability | via seclists.org

Weiterleitung auf SMB-Freigabe petzt Passwort-Hash | via heise security

Neues Update für Flash Player schließt kritische Lücken | via Adobe Security Bulletin

Microsoft Patchday: Pachtes für kritische Sicherheitslücken in IIS und Office | via Microsoft Security tech Center

———————————————————–

Haben Sie Neuigkeiten für uns? Twittern Sie unter dem Hashtag #secuthursday.

Haben Sie ein Problem festgestellt? Wissen Sie nicht, wie es um die Sicherheit ihrer Server steht? Nehmen Sie mit uns Kontakt auf, wir helfen Ihnen gerne bei der Beseitigung und der Administration Ihrer Server.

secu-ring

About secu-ring

Secu-ring ist Ihr Webdienstleister aus Berlin. Wir bieten Ihnen eine umfangreiche Servicepalette, um Ihre Idee erfolgreich im Internet umzusetzen: Konzeption und Planung, Webentwicklung, Serverbetreuung sowie Softwarewartung. Wir programmieren stabile und skalierbare Lösungen für Ihre Anforderungen und sorgen für einen problemlosen Betrieb. Konzentrieren Sie sich auf Ihr Geschäft, wir kümmern uns um den Rest.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.