y0o.de · GNU/Linux Nachrichten u.Ä.

🔒
❌ Über y0o.de
Es gibt neue verfügbare Artikel. Klicken Sie, um die Seite zu aktualisieren.
Heute — 18. Juni 2021Haupt-Feeds

Neue Lücke mit Exploit in Chrome

18. Juni 2021 um 10:47

Googel hat erneut vor Sicherheitslücken in seinem Browser Chrome gewarnt und stellt im stable Channel ein Update zur Verfügung. Auch für eine dieser Lücken gibt es einen Exploit.

Google Chrome 91.0.4472.114 für Linux, Mac und Windows schließt vier Sicherheitslücken. Alle vier sind von ihrem Bedrohungslevel als Hoch eingestuft und alle vier seien von externen Sicherheitsexperten entdeckt worden, heißt es seitens Google von Srinivas Sista, dem technischen Programm-Manager von Chrome.

Für eine der Lücke (CVE-2021-30554) sei bereits ein Exploit im Umlauf, so Sista weiter. Es handle sich bei der Lücke um ein Use after free-Problem in WebGL. Mehr Details zu Art des Speicherfehlers in WebGL nennt der Manager nicht.

Auch die drei weiteren Probleme basieren auf Speicherfehlern in unterschiedlichen Komponenten des Browsers. genannt sind die Bereiche Sharing, WebAudio und TabGroups.

Google hatte bereits vor einigen Tagen vor Sicherheitsproblemen in Chrome gewarnt, für die bereits Exploits im Umlauf sind. Das Update für Chrome, das die Lücken schließt, sei im stable Channel verfügbar und werde nun ausgerollt.

Der Beitrag Neue Lücke mit Exploit in Chrome erschien zuerst auf Linux-Magazin.

Ältere BeiträgeHaupt-Feeds

Google warnt vor Chrome-Exploit

10. Juni 2021 um 12:19

Google schließt mit einem Update seines Chrome-Browsers diverse Sicherheitslücken. Für eine davon sei ein Exploit unterwegs.

Wie gewohnt ist Google bei der Ankündigung seiner Browser-Aktualisierungen sparsam mit Informationen. Die Chrome-Version 91.0.4472.101 schließe 14 Sicherheitslücken, heißt es in der Ankündigung. Eine davon, CVE-2021-30551, wird bereits über einen Exploit ausgenutzt, so Google. Der mit der Qualifizierung „high“eingestufte Bug steckt in der Javascript-Engine V8 des Chrome-Browsers. Angreifer können damit eine Type-Confusion auslösen, so Google in der Meldung zum Update. Weitere Details verrät Google nicht, vermutlich lässt sich über diesen Speicherfehler dann aber Code ausführen.

Ein Update des Browsers ist also dringend nötig, auch weil es weitere Sicherheitslücken mit hohem und kritischem Risiko geschlossen werden.

Der Beitrag Google warnt vor Chrome-Exploit erschien zuerst auf Linux-Magazin.

Webmin hat gefährliche Backdoors und braucht ein Update

22. August 2019 um 15:44

In der Version 1.890 des webbasierte Systemadmin-Tool Webmin steckt seit über einem Jahr eine Backdoor, die das Ausführen von Kommandos als Root erlaubt. Die Version Webmin 1.930 ist von diesem Schadcode befreit. Nutzer sollten unbedingt ein Update machen.

Auch die Ausgaben 1.900 und 1.920 seien infiziert, heißt es in der Mitteilung bei Webmin. Dort allerdings sei ein Ausnutzen der Lücke in der Standard-Installation nicht möglich, schreiben die Webmin-Macher. Hat der Admin allerdings in den Einstellungen das Ändern von abgelaufenen Passwörtern erlaubt, so die Entwickler, sei es auch in diesen Versionen möglich.

Die Backdoor steckt nach den Recherchen des Teams bereits über ein Jahr in der Software. Im April 2018 habe es einen erfolgreichen Angriff auf den Entwicklungsserver gegeben. Über den Exploit sei Schadcode in das password_change.cgi-Skript eingeschleust worden. Den Angreifern sei es gelungen, ihr Vorgehen durch Ändern der Zeitstempel zu vertuschen. In den Git-Diffs sei kein Anzeichen davon aufgetaucht, heißt es in der Mitteilung.

Die betroffene Datei sei dann zwar durch eine Version von Github ersetzt worden, es habe im Juli 2018 aber einen neuerlichen Angriff gegeben, der der Version 1.900 galt. Dieser sei mit den genannten Einschränkungen erfolgt, dass es einer Änderung in den Einstellungen bedarf. Im September sei der Entwicklunsgserver zwar durch einen neu installierten ersetzt worden, die modifizierte Datei sei aber über ein Backup erneut eingespielt worden. Erst am 17. August sei man informiert worden, dass es einen Zero-Day-Exploit gebe, der die Lücke ausnutzt und man habe die saubere Version 1.930 veröffentlicht.

Der Beitrag Webmin hat gefährliche Backdoors und braucht ein Update erschien zuerst auf Linux-Magazin.

❌