AlertFreies Admin-Panel: Codeschmuggel durch Cross-Site-Scripting in Froxlor Dank schludriger Eingabefilterung können Angreifer ohne Anmeldung Javascript im Browser des Server-Admins ausführen. Ein Patch steht bereit.
iX-Workshop: OWASP® Top 10 – Sicherheitsrisiken für Webanwendungen verstehenLernen Sie die wichtigsten Sicherheitslücken in Web-Anwendungen kennen und erfahren Sie, wie Sie sich erfolgreich schützen können. (10% Rabatt bis 15.04.)
heise+ Aktionsangebot 1 Jahr heise+ zum Aktionspreis: Jetzt heise+ für nur 1,90 € pro Woche lesen und 1 Jahr lang geballtes, brandaktuelles IT- und Tech-Wissen sichern. Unbegrenzter Zugriff auf alle heise+ Beiträge inklusive der Inhalte aller Heise-Magazine. Nur bis zum 31. Mai!
AlertCross-Site Scripting: Sicherheitslücken in pfSense ermöglichen Admin-CookieklauDie Open-Source-Firewall pfSense hat mehrere Löcher, durch die Angreifer eigenen Javascript-Code einschleusen können. Updates sind verfügbar.
iX-Workshop: OWASP® Top 10 – Sicherheitsrisiken für Webanwendungen verstehenLernen Sie die wichtigsten Sicherheitslücken in Web-Anwendungen kennen und erfahren Sie, wie Sie sich erfolgreich schützen können. (10% Rabatt bis 15.04.)
KI fixt Schwachstellen automatisch: GitHub startet Code Scanning Autofix Kunden von GitHub Advanced Security erhalten automatische Vorschläge zum Beheben von Schwachstellen. Grundlage sind Copilot und die Analyse-Engine CodeQL.
iX-Workshop: OWASP Top 10 – Sicherheitsrisiken für Webanwendungen vermeidenLernen Sie die wichtigsten Sicherheitslücken in Web-Anwendungen kennen und erfahren Sie, wie Sie sich erfolgreich schützen können. (10% Rabatt bis 12.02.)
UpdateInformationsleck in "Counter-Strike 2": Manipulierte Namen erlaubten IP-AbgriffWer seinen Spielernamen in "Counter-Strike 2" zu einem HTML-Tag änderte, konnte mittels eines Webservers die IP-Adressen der Mitspieler abgreifen.
AlertEntwicklungsplattform: Neue GitLab-Versionen beheben zehn Sicherheitslücken Neben Cross-Site-Scripting und Rechteproblemen beheben die neuen Versionen der Versionsverwaltung auch DoS-Lücken. Das GitLab-Team empfiehlt ein Update.
AlertSicherheitsforscher finden kritische Fehler in KI-Werkzeugen Ray, MLflow und H2ODie beliebten Werkzeuge für KI-Anwendungen leiden unter Codeschmuggel, illegitimen Dateimanipulationen und anderen Bugs. Nicht immer sind Updates verfügbar.
AlertCode-Schmuggel: Neue Splunk-Versionen beheben SicherheitslückenUnsichere XML-Verarbeitung und ungenügende Prüfung von Logeinträgen ermöglichten Angreifern, eigenen Code in Splunk-Produkte zu schleusen.
Netzwerk-Monitoring: Zabbix behebt schwere SicherheitslückenIn verschiedenen Komponenten der Monitoringsoftware Zabbix klafften kritische Sicherheitslücken, die Angreifern die Ausführung eigenen Codes ermöglichen.
AlertFediverse: Kritische Sicherheitslücken in Mastodon-Software abgedichtetBetreiber von Mastodon-Instanzen müssen die Server aktualisieren. Ältere Versionen bringen kritische Sicherheitslücken mit, die etwa Codeschmuggel erlauben.
AlertCMS Typo3: Hochriskante XSS-Lücke ermöglicht Unterschieben von schädlichem HTMLIm Content-Management-System Typo3 könnten Angreifer eine Cross-Site-Scripting-Lücke ausnutzen, um schädlichen HTML-Code einzuschleusen. Updates stehen bereit.
Datenleck im Shopsystem von Tuxedo ComputersDer Onlineshop wies eine Reihe von Problemen auf. Der Computerhersteller hat schon reagiert, andere Nutzer des Shopsystems H.H.G. Multistore müssen warten.
AlertUpdateGezielte Angriffe auf Zero-Day-Lücke in ZimbraÜber eine bislang unbekannte Lücke in Zimbra stehlen Angreifer Mails ausgewählter Opfer, warnt eine Sicherheitsfirma. Einen Patch gibt es bislang nicht.
Kurztests: Googles Hackertraining, Co-Working-Spaces der Bahn, Facetime für alleBeim XSS-Game von Google greift man Webseiten an, in den Co-Working-Spaces der Bahn lässt sich Minutenweise arbeiten und Apples Facetime läuft auf Fremdgeräten.
AirTags als Echtwelt-Trojaner: Apple lässt XSS-Lücke über Monate offenEin weiterer Sicherheitsforscher hat wegen Verärgerung über Apples zugeknöpftes Bug-Bounty-Programm eine Zero-Day-Schwachstelle veröffentlicht.
AlertMehrere Linux-Appstores & Pling-Store-App via Cross-Site-Scripting angreifbarEine XSS-Lücke in Pling-basierten Stores wie dem KDE-Store könnte zur Manipulation gelisteter Apps missbraucht werden. Auch die Plingstore-App ist verwundbar.
AlertDrupal: Update schließt Cross-Site-Scripting-Lücke in mehreren CMS-VersionenDie Programmbibliothek CKEditor, die vom Drupal-Core verwendet wird, barg unter bestimmten Umständen Angriffsmöglichkeiten. Für Core & Library gibt es Updates.
heise devSec: Der dritte Thementag dreht sich um Security für Web-ApplikationenWer seine Webanwendungen vor Angriffen schützen möchte, sollte am 1. Juli den Thementag der Heise-Konferenz zu Web-Application-Security besuchen.
l+f: Wenn der Firmenname zum Sicherheitsrisiko wirdEine britische Firma musste ihren Namen ändern, da er Cross-Site-Scripting-Angriffe ermöglichte.
c’t deckt auf: Sicherheitslücke bei Vodafone mit großem SchadenspotenzialBei Vodafone klaffte eine kleine Sicherheitslücke mit fataler Wirkung: Angreifer konnten Kundendaten einsehen, Rechnungen in die Höhe treiben und mehr.