News und Updates


Kritische Sicherheitslücke in Apple Mail App (MobileMail/Maild) für iOS

23. April 2020 Beschreibung Das IT-Security Unternehmen ZecOps hat Informationen zu Schwachstellen in der Standard Mail App für Apple iOS (IPhone, IPad etc.) veröffentlicht, für die es noch keine breit verfügbaren Patches gibt. Die Schwachstellen werden zumindest in gezielten Angriffen bereits seit 2018 aktiv ausgenützt. Auswirkungen Durch erfolgreiches Ausnützen der Schwachstelle ist es Angreifern prinzipiell […]


Kritische Sicherheitslücke in Microsoft Windows (Adobe Type Manager Library) – Workarounds verfügbar

24. März 2020 Beschreibung Microsoft hat außerhalb des monatlichen Patch-Zyklus ein Security Advisory für eine kritische Sicherheitslücke in der Adobe Type Manager Library veröffentlicht.Laut Microsoft und CERT/CC wird die Schwachstelle bereits aktiv ausgenutzt, an einem Patch, der rechtzeitig zum „Patch Tuesday“ am 14. April bereit sein soll wird gearbeitet – ein Out-of-Band-Patch ist derzeit nicht […]


Kritische Sicherheitslücke in Microsoft SMBv3 – Workarounds verfügbar

03. März 2020 Beschreibung Microsoft hat außerhalb des monatlichen Patch-Zyklus ein Security Advisory mit Workarounds für eine kritische Sicherheitslücke in Microsoft Server Message Block 3.1.1 (SMBv3) veröffentlicht. CVE-Nummern: CVE-2020-0796 CVSS Base Score: 10.0 (laut CERT/CC) Auswirkungen Die Lücke kann über das Netzwerk ausgenützt werden und ermöglicht die Ausführung von beliebigen Befehlen mit SYSTEM Rechten. Außerdem […]


Kritische Sicherheitslücke in Microsoft Internet Explorer – aktiv ausgenützt, Workarounds verfügbar

20. Jänner 2020 Beschreibung Microsoft hat ausserhalb des monatlichen Patch-Zyklus ein Security Advisory mit Workarounds für eine kritische Sicherheitslücke in der Scripting Engine des Internet Explorers veröffentlicht. Diese Schwachstelle soll bereits aktiv ausgenützt werden. CVE-Nummer: CVE-2020-0674 CVSS Base Score: 7.5 (laut CERT/CC) Auswirkungen Durch Ausnützen der kritischen Lücke kann ein Angreifer laut Microsoft beliebigen Code […]


Kritische Sicherheitslücken in Adobe Acrobat und Reader – Patches verfügbar

15. Oktober 2019 Beschreibung Adobe hat ausserhalb des monatlichen Patch-Zyklus Updates für Acrobat und Reader veröffentlicht, mit denen kritische Sicherheitslücken geschlossen werden. CVE-Nummern: CVE-2019-8064, CVE-2019-8160 bis CVE-2019-8226 Auswirkungen Durch Ausnützen mancher dieser Lücken kann ein Angreifer laut Adobe beliebigen Code mit den Rechten des angemeldeten Benutzers ausführen. Damit sind alle Daten auf diesen Systemen, sowie […]


Kritische Sicherheitslücke in Internet Explorer – aktiv ausgenützt, Patches verfügbar

24. September 2019 Beschreibung Microsoft hat ausserhalb des monatlichen Patch-Zyklus Updates für den Internet Explorer veröffentlicht, mit denen eine kritische Sicherheitslücke geschlossen wird. Diese Schwachstelle soll bereits aktiv ausgenützt werden. CVE-Nummer: CVE-2019-1367 Auswirkungen Durch Ausnützen der kritischen Lücke kann ein Angreifer laut Microsoft beliebigen Code auf betroffenen Systemen ausführen (mit den Rechten des angemeldeten Benutzers). […]


Kritische Sicherheitslücke in Mailserver-Software Exim – Patches verfügbar

6. September 2019 Beschreibung Das Exim-Projekt hat Informationen zu einer schwerwiegenden Sicherheitslücke veröffentlicht. Details Wenn ein verwundbarer Exim-Mailserver TLS-verschüsselte Verbindungen akzeptiert, kann ein Angreifer beliebige Kommandos mit root-Rechten ausführen. CVE-Nummer dazu: CVE-2019-15846 Auswirkungen Ein Angreifer kann potentiell vollen Zugriff auf ein betroffenes System erlangen, daher sind alle Daten auf diesen Systemen, sowie alle durch diese […]


Kritische Sicherheitslücken in Adobe Acrobat und Reader – Patches verfügbar

Kritische Sicherheitslücken in Adobe Acrobat und Reader – Patches verfügbar 15. Oktober 2019 Beschreibung Adobe hat ausserhalb des monatlichen Patch-Zyklus Updates für Acrobat und Reader veröffentlicht, mit denen kritische Sicherheitslücken geschlossen werden. CVE-Nummern: CVE-2019-8064, CVE-2019-8160 bis CVE-2019-8226 Auswirkungen Durch Ausnützen mancher dieser Lücken kann ein Angreifer laut Adobe beliebigen Code mit den Rechten des angemeldeten […]


Kritische RCE Schwachstelle in Oracle WebLogic Server

19. Juni 2019 Beschreibung Mehrere Versionen des Oracle WebLogic Servers weisen eine Deserialization Schwachstelle in ihrem XML Decoder auf, die eine Remote Code Execution ermöglicht. Der Angriff kann ohne Authentifikation und über das Netzwerk erfolgen. Ob es dabei irgendwelche Einschränkungen gibt, ist aus dem von Oracle ver/öffentlichten Advisory nicht erkennbar. CVSS3 Score: 9.8 (laut Oracle) […]


Kritische Schwachstelle im Linux Kernel (CVE-2019-11477)

18. Juni 2019 Beschreibung Netflix hat eine kritische Schwachstelle im Zusammenspiel von TCP Selective Acknowledgement (SACK) und der TCP Minimum Segment Size (MSS) im Linux Kernel gefunden. Durch das Senden einer spezifischen Abfolge von TCP SACK Paketen mit niedriger MSS kann es zu einem Integer-Overflow kommen, der eine Kernel-Panic auslöst. Es handelt sich also um […]