Sicherheitslücken in Google Chrome Browser

Vor ein paar Tagen ist ein Notfall-Sicherheitsupdate für Google Chrome erschienen.

In der Regel sollte euer Chrome-Browser das Update automatisch herunterladen. Falls dies nicht der Fall ist, solltet ihr das Chrome Menü über die drei Punkte rechts oben aufrufen. Dort klickt ihr auf "Hilfe" und dann auf "Über Google Chrome".

Falls dort steht, dass ihr die Chrome Version 94.0.4606.61 habt, seid ihr auf der sicheren Seite. Ansonsten wird euch dort das neue Update zum Installieren angeboten. Die Aktualisierung ist sowohl für die Windows- als auch für die Mac- und Linux-Variante des Browsers verfügbar. Ob auch die mobilen Apps von Google Chrome betroffen sind. (Quelle: netzwerk.de)

Attacken auf Googles Chrome reißen jedoch nicht ab

In einer gegen derzeit stattfindende Attacken abgesicherten Version haben die Chrome-Entwickler drei Lücken geschlossen.

Der Webbrowser Chrome kommt seit Monaten nicht aus den Negativ-Schlagzeilen raus: Angreifer haben es nun erneut auf den Browser abgesehen und nutzen zwei Sicherheitslücken aus. Wer mit Chrome surft, sollte daher zeitnah die aktuelle Version installieren.

Wie aus einer Warnmeldung hervorgeht, hat Google die gegen die Attacken abgesicherte Version 94.0.4606.71 für Linux, macOS und Windows veröffentlicht. Welche Systeme im Fokus der Angreifer stehen, ist zurzeit nicht bekannt. (Quelle: heise.de)

Kritische Sicherheitslücke in Pulse Connect Secure - Workaround verfügbar

Pulse Secure hat ein Out-Of-Cycle Advisory zu einer kritischen Sicherheitslücke in Pulse Connect Secure veröffentlicht, die das Ausführen von beliebigem Code ermöglicht. Die Sicherheitslücke ermöglicht entfernten AngreiferInnen potentiell das Ausführen von Schadcode über derzeit nicht näher spezifizierte Angriffsvektoren und wird aktuell aktiv ausgenützt.

Betroffen sind laut Pulse Secure die folgenden Versionen:

  * Pulse Connect Secure 9.0R3 und höher

Abhilfe:

Deaktivieren von Windows File Share Browser und Pulse Secure Collaboration mittels Importieren der von Pulse Secure bereitgestellten XML-Datei (siehe Advisory). Für die Versionen 9.0R1 - 9.0R4.1 bzw. 9.1R1-9.1R2 ist zuvor ein Update auf eine höhere Version notwendig.

Ein Update (Version 9.1R.11.4), welches die Lücke schließen soll, wird für Anfang Mai erwartet. Ein genaues Datum ist derzeit nicht bekannt.

cert.at

Kritische Sicherheitslücken in SonicWall Email Security

SonicWall hat Updates für drei kritische Schwachstellen in SonicWall Email Security veröffentlicht, die es AngreiferInnen ermöglichen, einen Account mit Administrationsrechten zu erstellen und anschließend beliebige Dateien auf dem System zu lesen und zu schreiben. Dadurch ist es auch möglich, ausführbare Dateien hochzuladen und auf diesem Weg beliebigen Code auszuführen.

Die Lücken werden bereits aktiv ausgenützt, d.h. auch nach Einspielen der Updates empfiehlt es sich, nach Spuren erfolgter Angriffe zu suchen.

CVE-Nummern:

   * CVE-2021-20021 (CVSS Base Score: 9.8): Unauthentifizierte Erstellung eines Accounts mit Administrationsrechten über das Netzwerk

   * CVE-2021-20022 (CVSS Base Score: 7.2): Hochladen beliebiger Dateien nach erfolgreicher Authentifizierung

   * CVE-2021-20023 (CVSS Base Score: N/A): Auslesen beliebiger Dateien nach erfolgreicher Authentifizierung

sonicwall.com

Kritische Sicherheitslücken in Microsoft Exchange Server

Microsoft hat außerhalb des üblichen Update-Zyklus' mehrere Patches für Microsoft Exchange zur Verfügung gestellt. Einige der darin behobenen Sicherheitslücken werden nach Angaben von Microsoft und der IT-Sicherheits-Firma Volexity bereits aktiv ausgenutzt. Es gibt bereits öffentlich verfügbare Skripte, mit denen aus dem öffentlichen Internet erreichbare Exchange Server von außen auf Verwundbarkeit geprüft werden können. Öffentlich verfügbare Exploits zum Ausnutzen der Schwachstellen sind noch nicht bekannt.

Cert.at

Sieben kritische Sicherheitslücken in Acrobat Reader

Die Angriffe können meist über eine manipulierte PDF-Datei ausgeführt werden, die den Opfern etwa per E-Mail zu geschickt wird. Um sich gegen solche Angriffe abzusichern, sollten Nutzer deshalb das gerade veröffentlichte Update installieren. Endverbraucher können das Update über die Updatefunktion des Acrobat Readers selbst anstoßen unter dem Menüpunkt "Hilfe" -> "Nach Updates suchen".
Adobe Security Bulletin

Kritische Sicherheitslücke in Microsoft Exchange Server!

Microsoft hat zum Patch Tuesday ein Advisory zu einer kritischen Sicherheitslücke in Microsoft Exchange Server veröffentlicht, bei der unter bestimmten Voraussetzungen das Ausführen von beliebigem Code ermöglicht wird. Proof-of-Concept-Code wurde bereits veröffentlicht. Eine unzureichende Validierung im New-DlpPolicy cmdlet von MS Exchange Server erlaubt aktiven User-Accounts mit der Rolle "Data Loss Prevention" das Erstellen von potentiell bösartigen Policy-Templates. Diese ermöglichen entfernten, authentifizierten AngreiferInnen potentiell das Ausführen von beliebigem Code mit System-Rechten und dadurch die vollständige Übernahme des Systems.
Microsoft Advisory cert.at

Wichtiges Chrome-Update fixt Sicherheitslücke

Der Hersteller hat ein wichtiges Update für die beliebte Browser-Software Google Chrome bereit gestellt. Es soll eine Sicherheitslücke schließen, die von Google als "kritisch" eingestuft wird. Laut heise.de können Angreifer die Schwachstelle im Browser ausnutzen, um beliebigen Code auf dem Gerät auszuführen. Sowohl die Windows-Betriebssysteme als auch MacOS und Linux sind von dem Problem betroffen. Daher empfiehlt sich allen Nutzern eine baldige Aktualisierung. Die neue Chrome-Version trägt die Nummer 88.0.4324.150 und steht seit Donnerstag zum Download bereit.
heise.de

Kritische Sicherheitslücke in Microsoft Windows DNS Server!

Microsoft hat zum Patch Tuesday zeitgleich mit den zugehörigen Patches ein Advisory zu einer kritischen Sicherheitslücke in Microsoft Windows DNS Server veröffentlicht, bei der DNS-Anfragen fehlerhaft verarbeitet werden. Ein erfolgreicher Angriff ermöglicht AngreiferInnen potentiell das Ausführen von beliebigem Code mit System-Rechten und kann möglicherweise zu einer vollständigen Kompromittierung des betroffenen Systems führen. Die Sicherheitslücke wird als wurmfähig eingestuft und es besteht die Möglichkeit, dass sich Schadsoftware von einem kompromittierten Server ohne weitere Benutzerinteraktion verbreitet.
cert.at | Microsoft Advisory

Kritische Sicherheitslücke bedroht SAP-Kunden!

Eine schwerwiegende Sicherheitslücke in SAP NetWeaver Application Server bedroht verschiedene SAP-Produkte. Diese Sicherheitslücke betrifft potentiell alle SAP-Anwendungen die auf SAP NetWeaver Java AS Version 7.3 bis einschließlich Version 7.5 laufen. Einspielen der entsprechenden Updates/Patches, auch Systeme welche nicht aus öffentlichen Netzwerken erreichbar sind sollten gepatcht werden.
CISA Alert AA20-195A | heise.de | SAP Security Patch Day Notes

Kritische Sicherheitslücke - BigIP

Der Hersteller F5 hat ein Security Advisory zu einer kritischen Lücke im Traffic Management User Interface (TMUI/Configuration Utility) seines Produkts BIG-IP veröffentlicht. Durch Ausnützen der Lücke kann laut F5 ein Angreifer mit Zugriff auf das TMUI beliebige Systembefehle sowie Java-Code ausführen, Dateien erstellen oder löschen und Services deaktivieren. Ein erfolgreicher Angriff kann zu einer vollständigen Kompromittierung des Systems führen.
Es wird das Anwenden der Workarounds und das Einspielen der entsprechenden Updates/Patches empfohlen.
F5 Security Advisory K5214525

Der Support für Windows 7 endete am 14. Januar 2020

Microsoft hat sich verpflichtet, 10 Jahre Produktsupport für Windows 7 bereitzustellen, das am 22. Oktober 2009 veröffentlicht wurde. Diese 10-Jahres-Periode ist nun beendet, und Microsoft hat die Unterstützung von Windows 7 eingestellt, so dass wir unsere Investitionen auf die Unterstützung neuerer Technologien und Anwendungen konzentrieren können. Das Datum für den Ablauf des Supports für Windows 7 war der 14. Januar 2020. Technische Unterstützung und Software-Updates von Windows Update, die zum Schutz Ihres PCs beitragen, sind für das Produkt nicht mehr verfügbar. Microsoft empfiehlt, auf Windows 10 umzusteigen, um zu vermeiden, dass Sie einen Service oder Support benötigen, der nicht mehr verfügbar ist.
Support Microsoft

Adobe hat ein neues Update veröffentlicht um kritische Sicherheitslücken zu schließen. Durch Ausnützen mancher dieser Lücken kann ein Angreifer laut Adobe beliebigen Code mit den Rechten des angemeldeten Benutzers ausführen. Damit sind alle Daten auf diesen Systemen, sowie alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und Systeme gefährdet.
Adobe Security Bulletin

Durch eine kürzlich entdeckte Sicherheitslücke im Internet Explorer kann ein Angreifer laut Microsoft beliebigen Code auf betroffenen Systemen ausführen (mit den Rechten des angemeldeten Benutzers). Damit sind alle Daten auf diesen Systemen, sowie alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und Systeme gefährdet. Betroffen sind Systeme mit der Internet Explorer Version 9,10 und 11. Abhilfe schafft ein Update des Internet Explorers.
Support-Artikel zum Sicherheitsupdate

Derzeit sind schädliche Emails (Spoofing) unter Ihnen bekannte Absenderadressen mit einer Anlage (Worddokument: "Dok.doc") im Umlauf. Überprüfen Sie bitte die Emailadresse, ob diese mit dem Absendernamen zusammen passt. Falls nicht, empfehlen wir diese Emails ungeöffnet sofort zu löschen.

Der Support für Windows 7 endet am 14. Januar 2020. Anschließend sind weder technische Unterstützung noch Softwareupdates über Windows Update zum Schutz des PCs verfügbar. Microsoft empfiehlt dringend, vor Januar 2020 zu Windows 10 zu wechseln, um Situationen zu vermeiden, in denen Sie Service oder Support benötigen, der nicht mehr verfügbar ist. Was bedeutet der Ablauf des Supports für Sie?! Nach dem 14. Januar 2020 werden PCs unter Windows 7 keine Sicherheitsupdates mehr erhalten. Daher ist es wichtig, auf das letzt aktuelle Betriebssystem zu wechseln, für das die neuesten Sicherheitsupdates bereitgestellt werden, die Sie und Ihre Daten schützen. Zudem wird der Microsoft-Kundendienst nicht mehr zur Verfügung stehen, um technischen Support für Windows 7 bereitzustellen.