Im Falle schwerwiegender Sicherheitslücken veröffentlicht CERT.at Warnungen, um Betroffene schnellstmöglich zu informieren. Grundsätzlich müssen für eine Warnung folgende Kriterien erfüllt sein:

  1. Die Lücke ist leicht ausnutzbar
  2. Die Betroffenen
    1. sind sehr zahlreich, z.B. Schwachstellen in Webbrowsern
    2. bieten wichtige Dienste für viele andere an, z.B. Schwachstellen in Mail-Servern
  3. Es gibt bereits Updates oder Workarounds, um das Problem zu beheben

Im Einzelfall können auch nur einzelne dieser Voraussetzungen erfüllt sein, wenn dies sinnvoll erscheint.

CERT.at Warnungen können alternativ auch als Feed bzw. E-Mail-Abo bezogen werden.

Feb 19

Sicherheitslücke in TYPO3

19. Februar 2015

TYPO3 Core enthält einen Bug in Zusammenhang mit der rsaauth Komponente, der dazu führen kann, dass sich ein Angreifer ohne gültige Credentials (Username/Passwort) im Frontend Bereich (nicht im Backend) einloggen kann.

Weiterlesen
Feb 02

3. Update - "Zero-Day"-Sicherheitslücke in Adobe Flash Player (aktiv ausgenützt) - Patches jetzt verfügbar

2. Februar 2015

Wie Adobe in seinem Security Bulletin berichtet (https://helpx.adobe.com/security/products/flash-player/apsa15-02.html), scheint es eine neue, noch ungepatchte Sicherheitslücke im Adobe Flash Player zu geben, die bereits aktiv ausgenützt wird. ...

Weiterlesen
Jan 28

Update - Schwerwiegendes Sicherheitsproblem in GNU libc/eglibc (sog. "GHOST"-Lücke)

28. Jänner 2015
Update 29. Jänner 2015

In der glibc-Funktion __nss_hostname_digits_dots(), die wiederum von gethostbyname-Funktionen benutzt wird, gibt es einen Fehler. Dieser wurde bereits 2013 behoben, damals aber nicht als sicherheitsrelevant eingestuft.

Weiterlesen
Jan 22

2. Update - "Zero-Day"-Sicherheitslücke in Adobe Flash Player (aktiv ausgenützt) - Patches jetzt verfügbar

22. Jänner 2015
Update 23. Jänner 2015
Update 26. Jänner 2015

Wie der bekannte Sicherheitsforscher "Kafeine" in seinem Blog berichtet (http://malware.dontneedcoffee.com/2015/01/unpatched-vulnerability-0day-in-flash.html), scheint es eine neue, noch ungepatchte Sicherheitslücke ...

Weiterlesen
Dez 05

"Zero-Day" Sicherheitslücke in Microsoft Internet Explorer

5. Dezember 2014

Die "Zero-Day-Initiative" der Firma Tipping Point hat ein Advisory veröffentlicht, in dem vor einer "Zero-Day"-Lücke (CVE-2014-8967) in Microsoft Internet Explorer gewarnt wird:
http://zerodayinitiative.com/advisories/ZDI-14-403/ ...

Weiterlesen
Nov 27

Update: Kritische Sicherheitslücken in Cisco OpenH264 Library - Mozilla Firefox doch nicht betroffen

27. November 2014
Update 28. November 2014

Cisco hat zwei Warnungen bezüglich ihrer OpenH264 Library veröffentlicht, die Remote Code Execution in Applikationen, die diese Library verwenden, ermöglichen.
Dies scheint unter anderem aktuelle Versionen von Mozilla Firefox zu betreffen. ...

Weiterlesen
Nov 26

"Out-of-Band"-Update für Adobe Flash Player

26. November 2014

Adobe hat neue Versionen des Flash Players ausserhalb des monatlichen Patch-Zyklus veröffentlicht.
Adobe gibt an, dass durch dieses Update zusätzlicher Schutz zu den im ...

Weiterlesen
Nov 21

Sicherheitslücken in WordPress (Updates verfügbar)

21. November 2014

Das WordPress-Projekt hat eine Reihe von Updates herausgegeben, die teilweise kritische Sicherheitslücken schliessen.

Weiterlesen
Nov 19

Schwerwiegende Sicherheitslücke in Microsoft Windows Kerberos KDC (aktiv ausgenützt, Updates verfügbar)

19. November 2014

Microsoft hat ein "Out-of-Band" Update herausgegeben, das einen Fehler im Kerberos KDC in allen Windows Server Versionen korrigiert, der bereits aktiv ausgenutzt wird. ...

Weiterlesen
Nov 12

Schwerwiegende Sicherheitslücke in Microsoft Windows "Schannel"-Komponente

12. November 2014

In der "Schannel" (Secure Channel) Komponente von Microsoft Windows, die für TLS/SSL-Verbindungen benutzt wird, wurde ein Fehler entdeckt, der von Microsoft als "kritisch" eingestuft wird.

Weiterlesen