:quality(80)/images.vogel.de/vogelonline/bdb/1819600/1819656/original.jpg "Zum Patchday im April 2021 schließt Microsoft viele kritische und wichtige Sicherheitslücken. Hauptsächlich betroffen sind wieder Exchange-Server. Aber auch Windows und Windows-Server sowie Hyper-V sollte dringend abgesichert werden.")
:quality(80)/images.vogel.de/vogelonline/bdb/1818100/1818144/original.jpg "Damit Berechtigungen bei Endpoints nicht zum Einfallstor für Hacker werden, ein Interview von Oliver Schonschek, Insider Research, mit Stefan Schweizer von Thycotic.")
:quality(80)/images.vogel.de/vogelonline/bdb/1818000/1818034/original.jpg "Das FBI hat bereits im Dezember eine Warnung über aufkommende Betrugsversuche im Zusammenhang mit Covid-19-Impfstoffen herausgegeben.")
:quality(80)/images.vogel.de/vogelonline/bdb/1818100/1818134/original.jpg "Cyberkriminelle nutzen künstliche Intelligenz immer mehr für Angriffe. Deepfakes werden dabei auf lange Sicht wahrscheinlich das Mittel der Wahl sein.")
:quality(80)/images.vogel.de/vogelonline/bdb/1817800/1817811/original.jpg "Chief Information Officer haben die Aufgabe, die sicherste und effektivste Lösung für den Fernzugriff auf das Unternehmensnetzwerk auszuwählen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1804100/1804188/original.jpg "Asvin will IoT-Geräte durch regelmäßige Updates zuverlässig schützen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1804100/1804194/original.jpg "Für die Erfolgreiche Einführung von Secure Access Service Edge (SASE) braucht man Geduld, einen Plan und ein Team! Was genau das bedeutet, erläutert Mike Spanbauer von Juniper.")
:quality(80)/images.vogel.de/vogelonline/bdb/1818100/1818131/original.jpg "Die VM-Verschlüsselung in vSphere unterstützt KMIP-konforme (Key Management Interoperability Protocol) Key-Management-Server.")
:quality(80)/images.vogel.de/vogelonline/bdb/1818400/1818475/original.jpg "Sowohl vom 13. bis 15. April wie auch vom 15. bis 17. Juni 2021 finden auf der Plattform der it-sa 365 Vorträge zur IT-Sicherheit statt.")
:quality(80)/images.vogel.de/vogelonline/bdb/1804100/1804110/original.jpg "Ungebetenen Besuch während einer Videokonferenz möchte niemand bekommen; die digitale Kommunikation auf der Arbeit, in der Schule oder zu Hause lässt sich aber schützen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1806300/1806367/original.jpg "Collaboration-Tools entwickeln sich ständig weiter, dementsprechend müssen die Sicherheitspraktiken agil sein, um hier Schritt zu halten.")
:quality(80)/images.vogel.de/vogelonline/bdb/1806200/1806223/original.jpg "Einer neuen Studie von Vectra AI zufolge machen Cyberangreifer sich Microsoft Office 365-Tools zunutze, um an fremde Daten zu gelangen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1806800/1806802/original.jpg "Das BSI hat per Post Briefe an die Geschäftsführer von über 9.000 KMU verschickt.")
:quality(80)/images.vogel.de/vogelonline/bdb/1817900/1817929/original.jpg "Die aus dem Web bekannte 2-Faktor-Authentifizierung lässt sich mit vorgefertigten Lösungen auch in eigene Projekte einbinden.")
:quality(80)/images.vogel.de/vogelonline/bdb/1812500/1812567/original.jpg "Wenn die entsprechenden Nutzungsszenarien bekannt sind und ein klares Werteversprechen durch ihren Einsatz formuliert werden kann, sollten sich CIOs zeitnah mit eSignaturen befassen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1807700/1807753/original.jpg "Mit der Powershell können Administratoren die Kennwortrichtlinien in ihrem Active Directory automatisiert verwalten.")
:quality(80)/images.vogel.de/vogelonline/bdb/1806300/1806320/original.jpg)
:quality(80)/images.vogel.de/vogelonline/bdb/1774100/1774110/original.jpg "SIEM-Lösungen geben Unternehmen den dringend benötigten Überblick über die ihre aktuelle Bedrohungslage - oft sogar in Echtzeit!")
:quality(80)/images.vogel.de/vogelonline/bdb/1774000/1774099/original.jpg "Der Schutz von Benutzer- und Zugangsdaten ist für Unternehmen extrem wichtig, denn fast alle Datendiebstähle geschehen durch den Mißbrauch von Zugangsdaten.")
:quality(80)/images.vogel.de/vogelonline/bdb/1773700/1773780/original.jpg "Unternehmen müssen Security Awareness als Sicherheitsgewinn und fortlaufende Komponente ihrer Security-Strategie sehen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1817900/1817918/original.jpg "Bei den Cookies wird die Bedeutung des Grundrechts auf informationelle Selbstbestimmung einerseits und der Wert von Daten für Wirtschaftsprozesse andererseits deutlich.")
:quality(80)/images.vogel.de/vogelonline/bdb/1814400/1814436/original.jpg "Das eBook \"Security Awareness Trainings\" zeigt, wie man die Human Firewall mit wenig Aufwand stärkt.")
:quality(80)/images.vogel.de/vogelonline/bdb/1817800/1817817/original.jpg "Das IT-Sicherheitsgesetz 2.0 fordert von „Unternehmen im besonderen öffentlichem Interesse“ mehr Aktivität in Sachen IT-Sicherheit. Ist das eine sinnvolle Neuerung oder nur Mehraufwand ohne Nutzen?")
:quality(80)/images.vogel.de/vogelonline/bdb/1797500/1797540/original.jpg "Jetzt ist die Zeit für Netzwerk-Planer, sich auf die Nach-Corona-Zeit vorzubereiten, sagt Sascha Giese von SolarWinds.")
:quality(80)/images.vogel.de/vogelonline/bdb/1790800/1790803/original.jpg "Um IT-Sicherheit in einem SOC zu zentralisieren braucht es nicht zwingend einen „War-Room“ und es muss auch nicht in jedem Fall ein eigenes Team auf die Beine gestellt werden.")
:quality(80)/images.vogel.de/vogelonline/bdb/1791300/1791306/original.jpg "Unter Remote Work versteht man flexibles, mobiles Arbeiten von beliebigen Orten aus.")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig.")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig.")
Summer of Pwnage findet Schwachstellen in Erweiterungen und Themes 24 Lücken in populären Wordpress-Plugins
Sicherheitsexperten haben sich populäre Plugins und Themes für Wordpress vorgenommen und diese im Rahmen des Summer of Pwnage auf Schwachstellen abgeklopft. Dabei wurden sie schnell fünding. In 24 Erweiterungen stecken Fehler, einige erlauben sogar den Zugriff auf die Wordpress-Installation.
Firma zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5e/af/5eaffc9135b35/se-insider-logo-2019.png "SE_Insider-Logo_2019.png"){kind=logo}
(Bild: Wordpress)
Die Sicherheitsexperten der Bug-Suche „Summer of Pwnage“ haben sich Wordpress, dessen populäre Plugins und Themes vorgenommen. Wie immer wenn diese Experten auf Systeme losgehen, ist das Ergebnis ernüchtern. Insgesamt 24 Schwachstellen wurden gefunden, betroffen sind Themes und populäre Plugins.
Übersicht über Schwachstellen
Ein Großteil der Schwachstellen entstehen durch Cross-Site-Scripting-Lücken. Darüber können die Angreifer auf die internen Funktionen des Plugins oder Themes zugreifen. Um Ihnen einen schnelleren Überblick zu geben, haben wir alle Schwachstellen in einer Tabelle zusammengestellt:
| Betroffen | Sicherheitslücke | Auswirkung | Link |
|---|---|---|---|
| Contact Form Manager - Plugin | CSRF / CSS | Ändern von Einstellungen | Details |
| User Login Log - Plugin | CSS | Zugriff auf Daten | Details |
| Adminer - Plugin | Datenbankzugriff | Zugriff auf Wordpress-Datenbank | Details |
| VaultPress - Plugin | Man in the Middle | Ausführen von Code | Details |
| Alpine PhotoTile - Plugin | CSS | Zugriff auf Daten | Details |
| Charitas Lite - Theme | CSS | Zugriff auf Daten | Details |
| Google Analytics Dashboard - Plugin | CSS | Zugriff auf Daten | Details |
| Popup by Supsystic - Plugin | CSRF | Zugriff auf Daten | Details |
| Formbuilder - Plugin | CSS | Zugriff auf Daten | Details |
| Atahualpa - Theme | CSS | Zugriff auf Daten | Details |
| Atahualpa - Theme | CSRF | Zugriff auf Daten | Details |
| Wordpress Download Manager - Plugin | CSRF | Zugriff auf Daten | Details |
| WP-SpamFree Anti-Spam - Plugin | CSS | Zugriff auf Daten | Details |
| WP-Filebase Download Manager - Plugin | CSS | Zugriff auf Daten | Details |
| TrustForm - Plugin | CSS | Zugriff auf Daten | Details |
| Admin Custom Login - Plugin | CSS | Zugriff auf Daten | Details |
| Admin Custom Login - Plugin | CSS | Zugriff auf Daten | Details |
| Analytics Stats Counter Statistics - Plugin | PHP Object Injection | Einspeisen von Code | Details |
| nBill Lite - Plugin | PHP Object Injection | Einspeisen von Code | Details |
| Tribulant Slideshow Galleries - Plugin | CSS | Zugriff auf Daten | Details |
| Doctors - Theme | CSS | Zugriff auf Daten | Details |
| Simple Ads Manager - Plugin | PHP Object Injection | Ausführen von Code (unbestätigt) | Details |
| Global Content Blocks - Plugin | CSRF | Ausführen von Code | Details |
| File Manager - Plugin | CSRF | Hochladen von Dateien | Details |
Updates noch nicht verfügbar
Aktuell gibt es noch keine Aktualisierungen für die verschiedenen Schwachstellen. Problematisch ist, dass die Informationen bereits in der Öffentlichkeit sind. Wer eins oder mehrere dieser Plugins oder Themes verwendet, sollte die Zugriffe auf sein Blog genau überprüfen. Sobald die Updates verfügbar sind, sollten sie schnellstmöglich installiert werden. Als nächstes wollen sich die Experten rund um den Summer of Pwnage übrigens das Internet of Things vonehmen. Wenn diese Untersuchung ähnlich ausfällt, dürften einige Hersteller bereits jetzt zittern.
(ID:44550806)
:quality(80)/p7i.vogel.de/dXohz47slg0CTmw_LOnViHk8Ey4=/500x500/wcms/d1/5d/d15df103667038/profile-image.jpg "Moritz Jäger")
:quality(80)/images.vogel.de/vogelonline/bdb/1266600/1266666/original.jpg "Auf Reisen gibt man sich in die Hände von Fremden - vor allem der Datenschutz leidet. Unsere Tipps helfen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1383800/1383837/original.jpg "Kali Linux bietet zahlreiche Werkzeuge, mit denen sich Speichermedien und Daten forensisch untersuchen lassen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1374900/1374960/original.jpg "Mit Kali Linux lassen sich potentielle Lücken in Servern schnell aufspüren.")
:quality(80)/images.vogel.de/vogelonline/bdb/1674800/1674863/original.jpg "In diesem Tool-Tipp zeigen wir, wie man mit dem Open-Source-Tool DevAudit die IT-Sicherheit von gemischten Netzwerkumgebungen kontrolliert.")
:quality(80)/images.vogel.de/vogelonline/bdb/1724000/1724080/original.jpg "Die Evolution der Applikationssicherheit")