Sicherheitslücken in LibreOffice haben zur Folge, dass entfernte Angreifer Makros ausführen können und auf verschlüsselte Passwörter zugreifen können.  Insgesamt liegen drei verschiedene Schwachstelle vor (CVE-2022-26305, CVE-2022-26306, CVE-2022-26307) deren Bedrohungsgrad das Bundesamt für Sicherheit in der Informationstechnik (BSI) CERT Bund als hoch einstuft.

Besonders kritisch ist ein Fehler bei der Behandlung von Makros. Normalerweise führt LibreOffice lediglich signierte Makros in Dokumenten aus. Eine der LibreOffice-Schwachstellen hat nun allerdings zur Folge, dass die Zertifikatsprüfungen nicht ordnungsgemäß durchgeführt werden.  Hierdurch kann der Angreifer auch nicht signierte Makros in Dokumenten ausführen.

Die Fehler wurden kürzlich in der Versionen 7.2.7 und 7.3.3 korrigiert.

Der Beitrag LibreOffice: Ausführen von Makros erschien zuerst auf Linux-Magazin.

Insgesamt elf Sicherheitslücken in dem Chrome Browser haben unter anderem zur Folge, dass ein entfernter Angreifer Fehler im Speichermanagement provozieren und ausnutzen kann. Mehrere der elf Schwachstellen werden mit dem Bedrohungsgrad hoch eingestuft.

Bei einigen der Probleme handelt es sich um Fehler im Speichermanagement einiger Komponenten des Browsers. So kann ein Angreifer bei einigen Schwachstellen Use-After-Free-Fehler ausnutzen. Dabei wird auf Speicherbereiche zugegriffen, die vom Programmcode bereits freigegeben wurden. Der Angreifer kann dadurch die Anwendungen zum Absturz bringen oder eventuell auch Schadcode auf dem System ausführen. Letzteres wurde allerdings in dem offiziellen Advisory nicht bestätigt. Unter anderem sind die Guest-View und PDF-Komponenten des Browsers von derartigen Problemen betroffen.

Die Sicherheitslücken des Browsers wurden nun in der Version 103.0.5060.134 geschlossen.

Der Beitrag Google Chrome: Mehrere Sicherheitslecks korrigiert erschien zuerst auf Linux-Magazin.

Der IT-Sicherheitsexperte Maxime Ingrao hat eine neue Android-Malware entdeckt, die sich in insgesamt 8 Apps in Google Play versteckt hat. Die Autoclyos genannte Schadsoftware bringt es auf circa drei Millionen Installationen auf Android-Geräten. Google hat die betroffenen Apps bereits aus Google Play entfernt. Unter anderem meldet die Schadsoftware die Anwender bei Premium-Diensten an. Die Schadsoftware kann nur schwierig entdeckt werden, da sie nicht auf Webview angewiesen ist. Die Kommunikation mit dem Command-and-Control-Server wird via http-Anfragen abgewickelt.

Der Beitrag Autoclyos Android-Schadsoftware erschien zuerst auf Linux-Magazin.

Google hat am Patchday im Juli die Android Version 10, 11, 12 und 12L gegen diverse Attacken abgesichert. Eine der nun korrigierte Sicherheitslücken gilt dabei als besonders kritisch. Sie betrifft die Android-System-Komponente und erlaubt dem Angreifer das Ausführen von Befehlen auf dem Android-Gerät. Der Report nennt keine genauen Details, aber die Attacke soll von dem Angreifer ohne weitere Rechte ausgenutzt werden können.

Zusätzlich wurden noch zwei weitere Schwachstellen (CVE-2022-20222, CVE-2022-20229) als kritisch bewertet.

Der Beitrag Android Patchday: Kritische Schwachstelle korrigiert erschien zuerst auf Linux-Magazin.

Eine Schwachstelle in der Jira Applikation hat zur Folge, dass ein Angreifer Full-Read-Server-Side-Request-Forgery-Attacken durchführen kann. Damit kann der Angreifer unter anderen an Zugangsdaten von Benutzern gelangen. Die Attacke kann allerdings nur von Angreifern ausgenutzt werden, die sich am System anmelden können. Die eigentliche Sicherheitslücke befinden sich in dem Mobile Plug-in für Jira.

Server-Side-Request-Forgery-Attacken erlauben dem Angreifern, durch eine HTTP-Umleitung auf eigentlich nicht zugängliche Systeme zuzugreifen. Laut Atlassian hat eine Jira-Installation in einer AWS-Umgebung damit zur Folge, dass ein Angreifer an Zugangsdaten gelangen kann.

Von der Sicherheitslücke sind Jira Server und Data Center vor 8.13.22, von 8.14.0 bis 8.20.9 und von 8.21.0 bis 8.22.3 betroffen. Des Weiteren sind der Jira Service Management Server und Data Center vor 4.13.22, von 4.14.0 bis 4.20.9 und von 4.21.0 bis 4.22.3 ebenfalls anfällig.

Der Beitrag Jira: Zugriff auf Zugangsdaten erschien zuerst auf Linux-Magazin.

Splunk ist eine Log-, Monitoring- und Reporting-Plattform, die Daten aus verschiedenen Quellen für Benutzer zugänglich und nutzbar macht. Splunk durchsucht hierzu Logs, Metriken und weitere Daten von Applikationen, Servern und Netzwerkgeräten und indiziert sie in einem durchsuchbaren Repository.

Im Security Information and Event Management-System (SIEM) Splunk wurden mehrere Sicherheitslücken entdeckt und kürzlich korrigiert. Unter den insgesamt 8 Sicherheitslücken findet sich auch eine kritische Schwachstelle.

Die kritische Sicherheitslücke betrifft den Splunk Enterprise Deployment Server. Das Problem tritt auf, wenn Clients ‘Forwarder Bundles’ an andere Clients ausliefern. Ein entfernter Angreifer kann dadurch Befehle auf den betroffenen Systemen ausführen. Weitere Schwachstellen mit hohem Risiko betreffen insbesondere den Umgang mit TLS-Zertifikaten.

Die Fehler wurden in der Version 9.0 korrigiert.

Der Beitrag Fehler in Sicherheits-Management von Splunk erschien zuerst auf Linux-Magazin.

Amazon hat kürzlich für Cloud-Kunden einen Hotpatch für die log4j-Sicherheitslücke bereitgestellt. Allerdings enthält das Skript des Hotpatchs selbst eine Schwachstelle, die es lokalen Angreifern erlaubt höhere Rechte auf dem System zu erlangen.

Die Aufgabe des Hotpatch-Skripts besteht darin, für die log4j-Schwachstelle anfällige Java-VMs zu finden und die Sicherheitslücke zu stopfen. In das Skript hat sich allerdings ein Race Condition-Fehler eingeschlichen. Dadurch kann ein Angreifer eine Binärdatei mit erhöhten Rechten auszuführen.

Anwendern wird dringend empfohlen die aktuelle Version des Hotfix via

yum update log4j-cve-2021-44228-hotpatch

zu laden.

Der Beitrag Amazon: log4j-Hotpatch fehlerhaft erschien zuerst auf Linux-Magazin.

Eine Sicherheitslücke in dem Linux Kernel hat zur Folge, dass ein lokaler Angreifer Root-Rechte auf dem System erlangen kann. Das Problem betrifft den Firewall-Code des Kernels und tritt durch einen Use-After-Free-Fehler auf. Dabei wird bereits freigegebener Speicher wiederverwendet. Die Schwachstelle betrifft die meisten Linux-Systeme, die NFTables verwenden. Zum Ausführen der Attacke muss der Angreifer in der Lage seine eigene NFTables-Namespaces zu erzeugen. Auf Ubuntu-Systemen ist dies beispielsweise die Standardeinstellung. Für Ubuntu-Systeme wurde auch ein Exploit-Code veröffentlicht, der dem Angreifer direkt Root-Rechte auf dem System gibt.

Die Sicherheitslücke wurde Ende Mai im Kernel-Code korrigiert.

Der Beitrag Linux Kernel: Root-Rechte durch Fehler im Firewall-Code erschien zuerst auf Linux-Magazin.

Eine Sicherheitslücke in Atlassian Confluence hat zur Folge, dass ein entfernter Angreifer Befehle ausführen kann. Anschließend kann er dann eine Backdoor auf dem System installieren und so Zugriff auf das System erlangen. Die Attacke kann ohne vorherige Authentifikation durchgeführt werden. Die Sicherheitslücke wird aktuell vermehrt ausgenutzt. Als Backdoor verwenden Angreifer vorwiegend die Webshell China Chopper. Damit erhält der Angreifer vollen Zugriff auf das System.

Der Beitrag Atlassian Confluence: Backdoor erschien zuerst auf Linux-Magazin.

Vier Sicherheitslücken in der Zoom-Software haben unter anderem zur Folge, dass ein Angreifer Zoom-Chats abhören kann. Des Weiteren können Angreifer auch Schadcode ausführen. Alle Schwachstellen betreffen die Chat-Funktion der Applikation.  Verantwortlich für die Sicherheitslücken sind fehlende Eingabekontrollen beim Parsing.  Dadurch können Angreifer Attacken mit Hilfe spezieller Chat-Nachrichten ausführen. Der Angreifer muss lediglich in der Lage seine Nachrichten über das XMPP-Protokoll zu versenden.

Die Schwachstellen wurden kürzlich in einer neuen Zoom-Version korrigiert.

Der Beitrag Zoom: Angreifer können Chats abhören erschien zuerst auf Linux-Magazin.

Verschiedene Linux-Treiber für GPU-Karten von Nvidia enthalten Schwachstellen, die es einem Angreifer erlauben Befehle auf dem betroffenen System mit höheren Rechten auszuführen. Die Attacken sind mit Hilfe manipulierter Shader möglich.  Hierdurch werden Fehler im Speichermanagement des Treibers ausgelöst. Neben Denial-of-Service-Attacken kann ein Angreifer so auch beliebigen Programmcode ausführen lassen.

Unter Linux wurden die folgenden Treiber nun entsprechend korrigiert:  390.151 (RTX/Quadro, NVS), 450.191.01 (Tesla R450), 470.129.06 (Tesla R510, RTX/Quadro, NVS) und 510.73.05 (GeForce, RTX/Quadro, NVS).

Der Beitrag Sicherheitslücken in GPU-Treibern von Nvidia erschien zuerst auf Linux-Magazin.

Microsoft warnt in einer aktuellen Twitter-Mitteilung vor einer neuen Variante des Sysrv-Botnets.  Das Sysrv-Botnet nutzt bekannte Schwachstellen in Web-Applikationen und Datenbanken, um Krypto-Miner auf Windows- und Linux-Systemen zu installieren.  Die neue Version verfolgt die gleichen Ziele, verwendet hierfür allerdings weitere Sicherheitslücken und Exploits. Des Weiteren kann die neue Variante auch die Kontrolle über Webserver gewinnen. Zur Verbreitung scannt Sysrv-K Server des Internets, um ausnutzbare Schwachstellen zu finden
und sich darüber auf dem System einzunisten.

Der Beitrag Sysrv-K: Neue Version des Sysrv-Botnets erschien zuerst auf Linux-Magazin.

Der Patch der Log4j-Schwachstelle für die Amazon Webservices (AWS) führt eine neue Sicherhehtslücke in das System ein. AWS-Anwender sollten aus diesem Grund den aktuellen Hotpatch gegen die Java-Lücke Log4j installieren. Durch die ursprüngliche Sicherheitslücke konnten entfernte Angreifer Schadcode auf dem System ausführen. Aufgrund des Patch hat sich eine neue Schwachstelle eingeschlichen. Damit können Angreifer aus Containern ausbrechen
und sich höhere Nutzerrechte bis zu Root-Rechten aneignen.

Der Fehler des ersten Patches liegt darin, dass er jeden Prozess, der eine Binärdatei mit “java” im Namen hat, patcht. Hierbei werden höhere Rechte für diesen Vorgang verwendet. So kann Schadcode mit “java” im Namen aus Containern des Systems ausbrechen.

Der Beitrag AWS Log4j-Schwachstellen erschien zuerst auf Linux-Magazin.