Alter Stand
Kategorie-Datenstand: 31.03.2018 um 09:45 Uhr
Seitencache-Datum: 21.05.2018 04:24:26 TSecurity News Portal
 
  1. Startseite

ArabicEnglishFrenchGermanGreekItalianJapaneseKoreanPersianPolishPortugueseRussianSpanishTurkishVietnamese
Anzeige

Neuen Team Security Inhalt hinzufügen

Übergeordnete News Kategorie
News Überschrift*
Einsender / Author*
Authoren Webseite
Email-Adresse*
Nachrichtentext eingeben*

Webseiten News

News vom: 14.04.2018 um 14:11 Uhr

Hallo alle zusammen,

In den letzten Tagen wurde tsecurity.de umgestellt auf PHP 7.2.x :-)

Weitere News Beiträge ansehen: Webseiten News (28)

Startseite und alle Kategorien


Suchen

Archäologie: Ein 15-Jähriger und die verschollene Maya-Stadt

Nachrichten vom 11.05.2016 um 07:16 Uhr | Quelle google.com
Ein kanadischer Schüler studiert die Maya-Sternbilder und will mit ihrer Hilfe eine verschollene Stadt gefunden haben. Satellitenbilder scheinen seine Theorie zu belegen. Doch es gibt auch Zweifel. Zur Startseite. 4 ...

Weiterlesen Artikel ansehen

l+f: Alu-Hut? Alu-Hoodie!

IT Security Nachrichten vom 11.05.2016 um 07:00 Uhr | Quelle heise.de
Neues aus unserer Rubrik: "Nur weil die paranoid bist, heißt das noch lange nicht, dass sie nicht hinter dir her sind"

Weiterlesen Artikel ansehen

Joomla Event Manager 2.x Cross Site Scripting

PoC vom 11.05.2016 um 06:46 Uhr | Quelle packetstormsecurity.com
Joomla Event Manager component version 2.x suffers from a cross site scripting vulnerability.

Weiterlesen Artikel ansehen

Mit Videos Geld verdienen: Amazon launcht seine YouTube-Alternative „Video Direct“

Nachrichten vom 11.05.2016 um 06:40 Uhr | Quelle google.com
Amazon will mit seinem Videoangebot nicht nur Netflix herausfordern, sondern auch YouTube. Mit „Amazon Video Direct“ (AVD) stellte der Konzern am Dienstag eine neue Plattform vor, auf der Nutzer ihre eigenen Inhalte hochladen und vertreiben können.

Weiterlesen Artikel ansehen

Alles aus Docker, CoreOS & Co. herausholen

Nachrichten vom 11.05.2016 um 06:04 Uhr | Quelle google.com
Simon verantwortet auf Computerwoche online redaktionell leitend überwiegend alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz. Er entwickelt darüber hinaus innovative Darstellungsformate, beschäftigt sich besonders ...

Weiterlesen Artikel ansehen

Einsteins Relativitätstheorie: Der Beginn einer neuen Ära in der Astronomie

Nachrichten vom 11.05.2016 um 06:00 Uhr | Quelle google.com
Der Schattenriss eines Wissenschaftlers ist auf einer Visualisierung von Gravitationswellen in Hannover zu sehen. Foto: Julian Stratenschulte. Von Till Mundzeck. Wer heute sein Navi einschaltet, findet auch mit Hilfe von Albert Einstein zum Ziel. Erst ...

Weiterlesen Artikel ansehen

Software-Defined Shared Storage mit VMware Virtual SAN

Nachrichten vom 11.05.2016 um 05:43 Uhr | Quelle zdnet.de
VMware vSAN bietet die Möglichkeit, den lokalen Plattenplatz der vSphere-Hosts zu einem virtuellen Speicher zusammenzufassen. Virtual SAN bietet ab Version 6.2 auch Enterprise-Funktionen wie Deduplizierung und Datenkomprimierung.

Weiterlesen Artikel ansehen

Wordpress BulletProof Security 53.3 Cross Site Scripting

PoC vom 11.05.2016 um 05:13 Uhr | Quelle packetstormsecurity.com
Wordpress BulletProof Security version 53.3 suffers from a cross site scripting vulnerability.

Weiterlesen Artikel ansehen

Cipher Block Chaining (CBC)

IT Security Nachrichten vom 11.05.2016 um 02:00 Uhr | Quelle searchsecurity.de
Beim CBC oder Cipher Block Chaining wird jeder Block in Abhängigkeit vom vorangegangenen Block verschlüsselt. Die Reihenfolge ist entscheidend.

Weiterlesen Artikel ansehen

CVE-2016-4497

Exploits vom 11.05.2016 um 02:00 Uhr | Quelle cvedetails.com
Panasonic FPWIN Pro 5.x through 7.x before 7.130 allows local users to cause a denial of service or possibly have unspecified other impact via vectors that leverage "type confusion." (CVSS:0.0) (Last Update:2016-05-11)

Weiterlesen Artikel ansehen

CVE-2016-4115

Exploits vom 11.05.2016 um 02:00 Uhr | Quelle cvedetails.com
Unspecified vulnerability in Adobe Flash Player 21.0.0.213 and earlier, as used in the Adobe Flash libraries in Microsoft Internet Explorer 10 and 11 and Microsoft Edge, has unknown impact and attack vectors, a different vulnerability than other CVEs listed in MS16-064. (CVSS:0.0) (Last Update:2016-05-11)

Weiterlesen Artikel ansehen

CVE-2016-4499

Exploits vom 11.05.2016 um 02:00 Uhr | Quelle cvedetails.com
Heap-based buffer overflow in Panasonic FPWIN Pro 5.x through 7.x before 7.130 allows local users to cause a denial of service (application crash) via unspecified vectors. (CVSS:0.0) (Last Update:2016-05-11)

Weiterlesen Artikel ansehen

CVE-2016-4496

Exploits vom 11.05.2016 um 02:00 Uhr | Quelle cvedetails.com
Panasonic FPWIN Pro 5.x through 7.x before 7.130 allows local users to cause a denial of service (out-of-bounds write) or possibly have unspecified other impact by triggering a crafted index value, as demonstrated by an integer overflow. (CVSS:0.0) (Last Update:2016-05-11)

Weiterlesen Artikel ansehen

CVE-2016-4112

Exploits vom 11.05.2016 um 02:00 Uhr | Quelle cvedetails.com
Unspecified vulnerability in Adobe Flash Player 21.0.0.213 and earlier, as used in the Adobe Flash libraries in Microsoft Internet Explorer 10 and 11 and Microsoft Edge, has unknown impact and attack vectors, a different vulnerability than other CVEs listed in MS16-064. (CVSS:0.0) (Last Update:2016-05-11)

Weiterlesen Artikel ansehen

CVE-2016-4114

Exploits vom 11.05.2016 um 02:00 Uhr | Quelle cvedetails.com
Unspecified vulnerability in Adobe Flash Player 21.0.0.213 and earlier, as used in the Adobe Flash libraries in Microsoft Internet Explorer 10 and 11 and Microsoft Edge, has unknown impact and attack vectors, a different vulnerability than other CVEs listed in MS16-064. (CVSS:0.0) (Last Update:2016-05-11)

Weiterlesen Artikel ansehen

CVE-2016-4116

Exploits vom 11.05.2016 um 02:00 Uhr | Quelle cvedetails.com
Unspecified vulnerability in Adobe Flash Player 21.0.0.213 and earlier, as used in the Adobe Flash libraries in Microsoft Internet Explorer 10 and 11 and Microsoft Edge, has unknown impact and attack vectors, a different vulnerability than other CVEs listed in MS16-064. (CVSS:0.0) (Last Update:2016-05-11)

Weiterlesen Artikel ansehen

CVE-2016-4113

Exploits vom 11.05.2016 um 02:00 Uhr | Quelle cvedetails.com
Unspecified vulnerability in Adobe Flash Player 21.0.0.213 and earlier, as used in the Adobe Flash libraries in Microsoft Internet Explorer 10 and 11 and Microsoft Edge, has unknown impact and attack vectors, a different vulnerability than other CVEs listed in MS16-064. (CVSS:0.0) (Last Update:2016-05-11)

Weiterlesen Artikel ansehen

Adobe ColdFusion bis 10 Update 18/11 Update 7/2016 Apache Commons Collections Library erweiterte Rechte

Exploits vom 11.05.2016 um 02:00 Uhr | Quelle vuldb.com

In Adobe ColdFusion bis 10 Update 18/11 Update 7/2016 wurde eine Schwachstelle ausgemacht. Sie wurde als kritisch eingestuft. Betroffen ist eine unbekannte Funktion der Komponente Apache Commons Collections Library. Durch Manipulieren mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Mit Auswirkungen muss man rechnen für Vertraulichkeit, Integrität und Verfügbarkeit.

Die Schwachstelle wurde am 11.05.2016 an die Öffentlichkeit getragen. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2016-1114 vorgenommen. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt.

Die Schwachstelle lässt sich durch das Einspielen des Patches 10 Update 18/11 Update 8/2016 Update 1 beheben.

Schwachstellen ähnlicher Art sind dokumentiert unter 87171 und 87173.


CVSS
Base Score: 6.0 (CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:P) [?]
Temp Score: 5.2 (CVSS2#E:ND/RL:OF/RC:ND) [?]

CPE

Exploiting
Klasse: Erweiterte Rechte
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $2k-$5k (0-day) / $1k-$2k (Heute)

Gegenmassnahmen
Empfehlung: Patch
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden

Patch: 10 Update 18/11 Update 8/2016 Update 1

Timeline
11.05.2016Advisory veröffentlicht
11.05.2016VulDB Eintrag erstellt
11.05.2016VulDB Eintrag aktualisiert

Quellen

CVE: CVE-2016-1114 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 87171 , 87173

Eintrag
Erstellt: 11.05.2016
Eintrag: 70.7% komplett

Weiterlesen Artikel ansehen

Adobe Flash Player bis 21.0.0.226 Pufferüberlauf [CVE-2016-4117]

Exploits vom 11.05.2016 um 02:00 Uhr | Quelle vuldb.com

Es wurde eine kritische Schwachstelle in Adobe Flash Player bis 21.0.0.226 entdeckt. Betroffen hiervon ist eine unbekannte Funktion. Durch Beeinflussen mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Auswirkungen sind zu beobachten für Vertraulichkeit, Integrität und Verfügbarkeit.

Die Schwachstelle wurde am 11.05.2016 publik gemacht. Die Verwundbarkeit wird unter CVE-2016-4117 geführt. Die Schwachstelle ist relativ beliebt, und dies trotz ihrer hohen Komplexität. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind zwar keine technische Details, jedoch ein privater Exploit zur Schwachstelle bekannt.

Er wird als hoch funktional gehandelt.

Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.


CVSS
Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P) [?]
Temp Score: 6.8 (CVSS2#E:H/RL:ND/RC:ND) [?]

CPE

Exploiting
Klasse: Pufferüberlauf
Lokal: Nein
Remote: Ja

Verfügbarkeit: Ja
Zugang: Privat
Status: Hoch funktional

Aktuelle Preisschätzung: $25k-$50k (0-day) / $25k-$50k (Heute)

Gegenmassnahmen
Empfehlung: keine Massnahme bekannt
0-Day Time: 0 Tage seit gefunden

Timeline
11.05.2016Advisory veröffentlicht
11.05.2016VulDB Eintrag erstellt
11.05.2016VulDB Eintrag aktualisiert

Quellen

CVE: CVE-2016-4117 (mitre.org) (nvd.nist.org) (cvedetails.com)

Eintrag
Erstellt: 11.05.2016
Eintrag: 72.2% komplett

Weiterlesen Artikel ansehen

Adobe ColdFusion bis 10 Update 18/11 Update 7/2016 X.509 Certificate Handler Wildcard Spoofing

Exploits vom 11.05.2016 um 02:00 Uhr | Quelle vuldb.com

Eine Schwachstelle wurde in Adobe ColdFusion bis 10 Update 18/11 Update 7/2016 ausgemacht. Sie wurde als kritisch eingestuft. Betroffen davon ist eine unbekannte Funktion der Komponente X.509 Certificate Handler. Durch das Beeinflussen durch Wildcard kann eine Spoofing-Schwachstelle ausgenutzt werden. Auswirkungen hat dies auf Vertraulichkeit und Integrität.

Die Schwachstelle wurde am 11.05.2016 herausgegeben. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2016-1115 gehandelt. Umgesetzt werden kann der Angriff über das Netzwerk. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar.

Die Schwachstelle lässt sich durch das Einspielen des Patches 10 Update 18/11 Update 8/2016 Update 1 lösen.

Mit dieser Schwachstelle verwandte Einträge finden sich unter 87171 und 87172.


CVSS
Base Score: 4.9 (CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:N) [?]
Temp Score: 4.3 (CVSS2#E:ND/RL:OF/RC:ND) [?]

CPE

Exploiting
Klasse: Spoofing
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $1k-$2k (0-day) / $0-$1k (Heute)

Gegenmassnahmen
Empfehlung: Patch
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden

Patch: 10 Update 18/11 Update 8/2016 Update 1

Timeline
11.05.2016Advisory veröffentlicht
11.05.2016VulDB Eintrag erstellt
11.05.2016VulDB Eintrag aktualisiert

Quellen

CVE: CVE-2016-1115 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 87171 , 87172

Eintrag
Erstellt: 11.05.2016
Eintrag: 71.7% komplett

Weiterlesen Artikel ansehen

Adobe ColdFusion bis 10 Update 18/11 Update 7/2016 Cross Site Scripting

Exploits vom 11.05.2016 um 02:00 Uhr | Quelle vuldb.com

Es wurde eine Schwachstelle in Adobe ColdFusion bis 10 Update 18/11 Update 7/2016 ausgemacht. Sie wurde als problematisch eingestuft. Hiervon betroffen ist eine unbekannte Funktion. Durch das Manipulieren mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Die Auswirkungen sind bekannt für die Integrität.

Die Schwachstelle wurde am 11.05.2016 publiziert. Die Identifikation der Schwachstelle wird mit CVE-2016-1113 vorgenommen. Sie gilt als leicht auszunutzen. Der Angriff kann über das Netzwerk erfolgen. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden.

Die Schwachstelle lässt sich durch das Einspielen des Patches 10 Update 18/11 Update 8/2016 Update 1 lösen.

Von weiterem Interesse können die folgenden Einträge sein: 87172 und 87173.


CVSS
Base Score: 4.0 (CVSS2#AV:N/AC:L/Au:S/C:N/I:P/A:N) [?]
Temp Score: 3.5 (CVSS2#E:ND/RL:OF/RC:ND) [?]

CPE

Exploiting
Klasse: Cross Site Scripting
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $1k-$2k (0-day) / $0-$1k (Heute)

Gegenmassnahmen
Empfehlung: Patch
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden

Patch: 10 Update 18/11 Update 8/2016 Update 1

Timeline
11.05.2016Advisory veröffentlicht
11.05.2016VulDB Eintrag erstellt
11.05.2016VulDB Eintrag aktualisiert

Quellen

CVE: CVE-2016-1113 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 87172 , 87173

Eintrag
Erstellt: 11.05.2016
Eintrag: 70.7% komplett

Weiterlesen Artikel ansehen

Google Chrome 50 v8 Pufferüberlauf

Exploits vom 11.05.2016 um 02:00 Uhr | Quelle vuldb.com

Es wurde eine kritische Schwachstelle in Google Chrome 50 entdeckt. Es betrifft eine unbekannte Funktion der Komponente v8. Durch Manipulation mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Mit Auswirkungen muss man rechnen für Vertraulichkeit, Integrität und Verfügbarkeit.

Die Schwachstelle wurde am 11.05.2016 durch Choongwoo Han als Stable Channel Update, May 2016 in Form eines bestätigten Release Notess (Blogspot) publik gemacht. Das Advisory kann von googlechromereleases.blogspot.com heruntergeladen werden. Die Verwundbarkeit wird unter CVE-2016-1669 geführt. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt.

Ein Upgrade auf die Version 50.0.2661.102 vermag dieses Problem zu beheben. Eine neue Version kann von chrome.google.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Google hat unmittelbar reagiert.

Schwachstellen ähnlicher Art sind dokumentiert unter 87298, 87299, 87301 und 87302.


CVSS
Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P) [?]
Temp Score: 5.9 (CVSS2#E:ND/RL:OF/RC:C) [?]

CPE

Exploiting
Klasse: Pufferüberlauf
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $50k-$100k (0-day) / $25k-$50k (Heute)

Gegenmassnahmen
Empfehlung: Upgrade
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt

Upgrade: Chrome 50.0.2661.102

Timeline
11.05.2016Advisory veröffentlicht
11.05.2016Gegenmassnahme veröffentlicht
12.05.2016VulDB Eintrag erstellt
12.05.2016VulDB Eintrag aktualisiert

Quellen
Advisory: Stable Channel Update, May 2016
Person: Choongwoo Han
Status: Bestätigt

CVE: CVE-2016-1669 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 87298, 87299, 87301 , 87302

Eintrag
Erstellt: 12.05.2016
Eintrag: 76.8% komplett

Weiterlesen Artikel ansehen

Google Chrome 50 auf Android File Scheme Handler Directory Traversal

Exploits vom 11.05.2016 um 02:00 Uhr | Quelle vuldb.com

In Google Chrome 50 auf Android wurde eine kritische Schwachstelle entdeckt. Das betrifft eine unbekannte Funktion der Komponente File Scheme Handler. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine Directory Traversal-Schwachstelle ausgenutzt werden. Auswirkungen hat dies auf Vertraulichkeit, Integrität und Verfügbarkeit.

Die Schwachstelle wurde am 11.05.2016 durch Jann Horn als Stable Channel Update, May 2016 in Form eines bestätigten Release Notess (Blogspot) öffentlich gemacht. Bereitgestellt wird das Advisory unter googlechromereleases.blogspot.com. Die Verwundbarkeit wird als CVE-2016-1671 geführt. Der Angriff kann über das Netzwerk angegangen werden. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar.

Ein Aktualisieren auf die Version 50.0.2661.102 vermag dieses Problem zu lösen. Eine neue Version kann von chrome.google.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Google hat demnach unmittelbar gehandelt.

Mit dieser Schwachstelle verwandte Einträge finden sich unter 87298, 87299, 87300 und 87302.


CVSS
Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P) [?]
Temp Score: 5.9 (CVSS2#E:ND/RL:OF/RC:C) [?]

CPE

Exploiting
Klasse: Directory Traversal
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $50k-$100k (0-day) / $10k-$25k (Heute)

Gegenmassnahmen
Empfehlung: Upgrade
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt

Upgrade: Chrome 50.0.2661.102

Timeline
11.05.2016Advisory veröffentlicht
11.05.2016Gegenmassnahme veröffentlicht
12.05.2016VulDB Eintrag erstellt
12.05.2016VulDB Eintrag aktualisiert

Quellen
Advisory: Stable Channel Update, May 2016
Person: Jann Horn
Status: Bestätigt

CVE: CVE-2016-1671 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 87298, 87299, 87300 , 87302

Eintrag
Erstellt: 12.05.2016
Eintrag: 77.3% komplett

Weiterlesen Artikel ansehen

Google Chrome 50 Blink V8 Binding Same-Origin Policy erweiterte Rechte

Exploits vom 11.05.2016 um 02:00 Uhr | Quelle vuldb.com

Eine Schwachstelle wurde in Google Chrome 50 ausgemacht. Sie wurde als kritisch eingestuft. Hierbei geht es um eine unbekannte Funktion der Komponente Blink V8 Binding. Durch die Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle (Same-Origin Policy) ausgenutzt werden. Die Auswirkungen sind bekannt für Vertraulichkeit, Integrität und Verfügbarkeit.

Die Schwachstelle wurde am 11.05.2016 durch Mariusz Mlynski als Stable Channel Update, May 2016 in Form eines bestätigten Release Notess (Blogspot) herausgegeben. Auf googlechromereleases.blogspot.com kann das Advisory eingesehen werden. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2016-1668 gehandelt. Umgesetzt werden kann der Angriff über das Netzwerk. Das Ausnutzen erfordert keine spezifische Authentisierung. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden.

Ein Aktualisieren auf die Version 50.0.2661.102 vermag dieses Problem zu lösen. Eine neue Version kann von chrome.google.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Google hat demzufolge unmittelbar gehandelt.

Von weiterem Interesse können die folgenden Einträge sein: 87298, 87300, 87301 und 87302.


CVSS
Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P) [?]
Temp Score: 5.9 (CVSS2#E:ND/RL:OF/RC:C) [?]

CPE

Exploiting
Klasse: Erweiterte Rechte
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $50k-$100k (0-day) / $10k-$25k (Heute)

Gegenmassnahmen
Empfehlung: Upgrade
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt

Upgrade: Chrome 50.0.2661.102

Timeline
11.05.2016Advisory veröffentlicht
11.05.2016Gegenmassnahme veröffentlicht
12.05.2016VulDB Eintrag erstellt
12.05.2016VulDB Eintrag aktualisiert

Quellen
Advisory: Stable Channel Update, May 2016
Person: Mariusz Mlynski
Status: Bestätigt

CVE: CVE-2016-1668 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 87298, 87300, 87301 , 87302

Eintrag
Erstellt: 12.05.2016
Eintrag: 76.8% komplett

Weiterlesen Artikel ansehen

Google Chrome 50 DOM Same-Origin Policy erweiterte Rechte

Exploits vom 11.05.2016 um 02:00 Uhr | Quelle vuldb.com

In Google Chrome 50 wurde eine Schwachstelle ausgemacht. Sie wurde als kritisch eingestuft. Dabei geht es um eine unbekannte Funktion der Komponente DOM. Mit der Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle (Same-Origin Policy) ausgenutzt werden. Dies wirkt sich aus auf Vertraulichkeit, Integrität und Verfügbarkeit.

Die Schwachstelle wurde am 11.05.2016 durch Mariusz Mlynski als Stable Channel Update, May 2016 in Form eines bestätigten Release Notess (Blogspot) an die Öffentlichkeit getragen. Bereitgestellt wird das Advisory unter googlechromereleases.blogspot.com. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2016-1667 vorgenommen. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle.

Ein Upgrade auf die Version 50.0.2661.102 vermag dieses Problem zu beheben. Eine neue Version kann von chrome.google.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Google hat folglich unmittelbar reagiert.

Die Einträge 87299, 87300, 87301 und 87302 sind sehr ähnlich.


CVSS
Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P) [?]
Temp Score: 5.9 (CVSS2#E:ND/RL:OF/RC:C) [?]

CPE

Exploiting
Klasse: Erweiterte Rechte
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $50k-$100k (0-day) / $10k-$25k (Heute)

Gegenmassnahmen
Empfehlung: Upgrade
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt

Upgrade: Chrome 50.0.2661.102

Timeline
11.05.2016Advisory veröffentlicht
11.05.2016Gegenmassnahme veröffentlicht
12.05.2016VulDB Eintrag erstellt
12.05.2016VulDB Eintrag aktualisiert

Quellen
Advisory: Stable Channel Update, May 2016
Person: Mariusz Mlynski
Status: Bestätigt

CVE: CVE-2016-1667 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 87299, 87300, 87301 , 87302

Eintrag
Erstellt: 12.05.2016
Eintrag: 76.8% komplett

Weiterlesen Artikel ansehen

Google Chrome 50 Loader Race Condition

Exploits vom 11.05.2016 um 02:00 Uhr | Quelle vuldb.com

Eine kritische Schwachstelle wurde in Google Chrome 50 entdeckt. Dies betrifft eine unbekannte Funktion der Komponente Loader. Mittels Manipulieren mit einer unbekannten Eingabe kann eine Race Condition-Schwachstelle ausgenutzt werden. Auswirkungen sind zu beobachten für Vertraulichkeit, Integrität und Verfügbarkeit.

Die Schwachstelle wurde am 11.05.2016 als Stable Channel Update, May 2016 in Form eines bestätigten Release Notess (Blogspot) veröffentlicht. Auf googlechromereleases.blogspot.com kann das Advisory eingesehen werden. Die Identifikation der Schwachstelle findet seit dem 12.01.2016 als CVE-2016-1670 statt. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle.

Ein Upgrade auf die Version 50.0.2661.102 vermag dieses Problem zu beheben. Eine neue Version kann von chrome.google.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Google hat entsprechend unmittelbar reagiert.

Die Einträge 87298, 87299, 87300 und 87301 sind sehr ähnlich.


CVSS
Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P) [?]
Temp Score: 5.9 (CVSS2#E:ND/RL:OF/RC:C) [?]

CPE

Exploiting
Klasse: Race Condition
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $25k-$50k (0-day) / $5k-$10k (Heute)

Gegenmassnahmen
Empfehlung: Upgrade
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt

Upgrade: Chrome 50.0.2661.102

Timeline
12.01.2016CVE zugewiesen
11.05.2016Advisory veröffentlicht
11.05.2016Gegenmassnahme veröffentlicht
12.05.2016VulDB Eintrag erstellt
12.05.2016VulDB Eintrag aktualisiert

Quellen
Advisory: Stable Channel Update, May 2016
Status: Bestätigt

CVE: CVE-2016-1670 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 87298, 87299, 87300 , 87301

Eintrag
Erstellt: 12.05.2016
Eintrag: 76.8% komplett

Weiterlesen Artikel ansehen

[dos] - Android Broadcom Wi-Fi Driver - Memory Corruption

PoC vom 11.05.2016 um 02:00 Uhr | Quelle exploit-db.com
Android Broadcom Wi-Fi Driver - Memory Corruption

Weiterlesen Artikel ansehen

[dos] - CIScan 1.00 - Hostname/IP Field SEH Overwrite PoC

PoC vom 11.05.2016 um 02:00 Uhr | Quelle exploit-db.com
CIScan 1.00 - Hostname/IP Field SEH Overwrite PoC

Weiterlesen Artikel ansehen

[local] - FileZilla FTP Client 3.17.0.0 - Unquoted Path Privilege Escalation

PoC vom 11.05.2016 um 02:00 Uhr | Quelle exploit-db.com
FileZilla FTP Client 3.17.0.0 - Unquoted Path Privilege Escalation

Weiterlesen Artikel ansehen

[local] - Intuit QuickBooks Desktop 2007 - 2016 - Arbitrary Code Execution

PoC vom 11.05.2016 um 02:00 Uhr | Quelle exploit-db.com
Intuit QuickBooks Desktop 2007 - 2016 - Arbitrary Code Execution

Weiterlesen Artikel ansehen

Linux Kernel sound/core/timer.c Information Disclosure

Exploits vom 11.05.2016 um 02:00 Uhr | Quelle vuldb.com

In Linux Kernel - eine genaue Versionsangabe ist nicht möglich - , ein Betriebssystem, wurde eine problematische Schwachstelle gefunden. Hierbei betrifft es eine unbekannte Funktion der Datei sound/core/timer.c. Durch Manipulieren mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle ausgenutzt werden. Das hat Auswirkungen auf die Vertraulichkeit.

Die Schwachstelle wurde am 11.05.2016 in Form eines bestätigten Mailinglist Posts (oss-sec) an die Öffentlichkeit getragen. Bereitgestellt wird das Advisory unter seclists.org. Eine eindeutige Identifikation der Schwachstelle wird seit dem 11.05.2016 mit CVE-2016-4578 vorgenommen. Sie gilt als leicht auszunutzen. Die Umsetzung des Angriffs hat dabei lokal zu erfolgen. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht. Der folgende Code generiert das Problem:

if (p == dest_master || IS_MNT_MARKED(p)) {
   while (last_dest->mnt_master != p) {
      last_source = last_source->mnt_master;
      last_dest = last_source->mnt_parent;
   }
   if (!peers(n, last_dest)) {
      last_source = last_source->mnt_master;
      last_dest = last_source->mnt_parent;
   }
}

Die Schwachstelle lässt sich durch das Einspielen eines Patches beheben. Dieser kann von git.kernel.org bezogen werden.

Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von X-Force (113158) dokumentiert. Schwachstellen ähnlicher Art sind dokumentiert unter 87305.


CVSS
Base Score: 2.1 (CVSS2#AV:L/AC:L/Au:N/C:P/I:N/A:N) [?]
Temp Score: 1.6 (CVSS2#E:U/RL:OF/RC:C) [?]

CPE

Exploiting
Klasse: Information Disclosure
Lokal: Ja
Remote: Nein

Verfügbarkeit: Nein
Status: Unbewiesen

Aktuelle Preisschätzung: $2k-$5k (0-day) / $1k-$2k (Heute)

Gegenmassnahmen
Empfehlung: Patch
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden

Patch: git.kernel.org

Timeline
11.05.2016 Advisory veröffentlicht
11.05.2016 CVE zugewiesen
13.05.2016 VulDB Eintrag erstellt
13.05.2016 VulDB Eintrag aktualisiert

Quellen
Advisory: seclists.org
Status: Bestätigt

CVE: CVE-2016-4578 (mitre.org) (nvd.nist.org) (cvedetails.com)

X-Force: 113158 - Linux Kernel sound/core/timer.c information disclosure

Siehe auch: 87305

Eintrag
Erstellt: 13.05.2016
Eintrag: 77.3% komplett

Weiterlesen Artikel ansehen

7-zip 15.14 ExtractZlibFile() Pufferüberlauf

Exploits vom 11.05.2016 um 02:00 Uhr | Quelle vuldb.com

In 7-zip 15.14 wurde eine kritische Schwachstelle ausgemacht. Betroffen ist die Funktion NArchive::NHfs::CHandler::ExtractZlibFile(). Dank der Manipulation mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Die Auswirkungen sind bekannt für Vertraulichkeit, Integrität und Verfügbarkeit.

Die Schwachstelle wurde am 11.05.2016 in Form eines bestätigten Advisories (Website) öffentlich gemacht. Bereitgestellt wird das Advisory unter talosintel.com. Die Verwundbarkeit wird seit dem 12.02.2016 als CVE-2016-2334 geführt. Die Schwachstelle ist relativ beliebt, was mitunter auf ihre geringe Komplexität zurückzuführen ist. Der Angriff kann über das Netzwerk angegangen werden. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht.

Ein Aktualisieren auf die Version 16.00 vermag dieses Problem zu lösen.

Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von X-Force (113161) dokumentiert. Von weiterem Interesse können die folgenden Einträge sein: 87306.


CVSS
Base Score: 7.5 (CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P) [?]
Temp Score: 5.5 (CVSS2#E:U/RL:OF/RC:C) [?]

CPE

Exploiting
Klasse: Pufferüberlauf
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein
Status: Unbewiesen

Aktuelle Preisschätzung: $10k-$25k (0-day) / $5k-$10k (Heute)

Gegenmassnahmen
Empfehlung: Upgrade
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden

Upgrade: 7-zip 16.00

Timeline
12.02.2016 CVE zugewiesen
11.05.2016 Advisory veröffentlicht
13.05.2016 VulDB Eintrag erstellt
13.05.2016 VulDB Eintrag aktualisiert

Quellen
Advisory: talosintel.com
Status: Bestätigt

CVE: CVE-2016-2334 (mitre.org) (nvd.nist.org) (cvedetails.com)

X-Force: 113161 - 7-Zip NArchive::NHfs::CHandler::ExtractZlibFile buffer overflow

Siehe auch: 87306

Eintrag
Erstellt: 13.05.2016
Eintrag: 75.8% komplett

Weiterlesen Artikel ansehen

Linux Kernel Porpagated Copy Handler Denial of Service [CVE-2016-4581]

Exploits vom 11.05.2016 um 02:00 Uhr | Quelle vuldb.com

Eine problematische Schwachstelle wurde in Linux Kernel - eine genaue Versionsangabe steht aus - , ein Betriebssystem, gefunden. Davon betroffen ist eine unbekannte Funktion der Komponente Porpagated Copy Handler. Durch das Beeinflussen mit einer unbekannten Eingabe kann eine Denial of Service-Schwachstelle ausgenutzt werden. Dies hat Einfluss auf die Verfügbarkeit.

Die Schwachstelle wurde am 11.05.2016 in Form eines bestätigten Mailinglist Posts (oss-sec) herausgegeben. Auf seclists.org kann das Advisory eingesehen werden. Die Verwundbarkeit wird seit dem 11.05.2016 mit der eindeutigen Identifikation CVE-2016-4581 gehandelt. Sie gilt als leicht ausnutzbar. Umgesetzt werden muss der Angriff lokal. Das Ausnutzen erfordert keine spezifische Authentisierung. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar. Der folgende Code ist die Ursache des Problems:

if (p == dest_master || IS_MNT_MARKED(p)) {
   while (last_dest->mnt_master != p) {
      last_source = last_source->mnt_master;
      last_dest = last_source->mnt_parent;
   }
   if (!peers(n, last_dest)) {
      last_source = last_source->mnt_master;
      last_dest = last_source->mnt_parent;
   }
}

Die Schwachstelle lässt sich durch das Einspielen eines Patches lösen. Dieser kann von git.kernel.org bezogen werden.

Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von X-Force (113159) dokumentiert. Mit dieser Schwachstelle verwandte Einträge finden sich unter 87304.


CVSS
Base Score: 4.9 (CVSS2#AV:L/AC:L/Au:N/C:N/I:N/A:C) [?]
Temp Score: 3.6 (CVSS2#E:U/RL:OF/RC:C) [?]

CPE

Exploiting
Klasse: Denial of Service
Lokal: Ja
Remote: Nein

Verfügbarkeit: Nein
Status: Unbewiesen

Aktuelle Preisschätzung: $2k-$5k (0-day) / $0-$1k (Heute)

Gegenmassnahmen
Empfehlung: Patch
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden

Patch: git.kernel.org

Timeline
11.05.2016 Advisory veröffentlicht
11.05.2016 CVE zugewiesen
13.05.2016 VulDB Eintrag erstellt
13.05.2016 VulDB Eintrag aktualisiert

Quellen
Advisory: seclists.org
Status: Bestätigt

CVE: CVE-2016-4581 (mitre.org) (nvd.nist.org) (cvedetails.com)

X-Force: 113159 - Linux Kernel propagated copy denial of service

Siehe auch: 87304

Eintrag
Erstellt: 13.05.2016
Eintrag: 76.8% komplett

Weiterlesen Artikel ansehen

WebSVN Name Handler revision.php Cross Site Scripting

Exploits vom 11.05.2016 um 02:00 Uhr | Quelle vuldb.com

Es wurde eine problematische Schwachstelle in WebSVN - die betroffene Version ist unbekannt - entdeckt. Betroffen hiervon ist eine unbekannte Funktion der Datei revision.php der Komponente Name Handler. Dank Manipulation mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Das hat Auswirkungen auf die Integrität.

Die Schwachstelle wurde am 11.05.2016 publik gemacht. Die Verwundbarkeit wird unter CVE-2016-1236 geführt. Sie ist leicht ausnutzbar. Der Angriff kann über das Netzwerk erfolgen. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt.

Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.


CVSS
Base Score: 4.0 (CVSS2#AV:N/AC:L/Au:S/C:N/I:P/A:N) [?]
Temp Score: 4.0 (CVSS2#E:ND/RL:ND/RC:ND) [?]

CPE

Exploiting
Klasse: Cross Site Scripting
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $1k-$2k (0-day) / $0-$1k (Heute)

Gegenmassnahmen
Empfehlung: keine Massnahme bekannt
0-Day Time: 0 Tage seit gefunden

Timeline
11.05.2016Advisory veröffentlicht
12.05.2016VulDB Eintrag erstellt
12.05.2016VulDB Eintrag aktualisiert

Quellen

CVE: CVE-2016-1236 (mitre.org) (nvd.nist.org) (cvedetails.com)

Eintrag
Erstellt: 12.05.2016
Eintrag: 69.2% komplett

Weiterlesen Artikel ansehen

CVE-2016-4498

Exploits vom 11.05.2016 um 02:00 Uhr | Quelle cvedetails.com
Panasonic FPWIN Pro 5.x through 7.x before 7.130 accesses an uninitialized pointer, which allows local users to cause a denial of service or possibly have unspecified other impact via unknown vectors. (CVSS:0.0) (Last Update:2016-05-11)

Weiterlesen Artikel ansehen

Seitennavigation

Seite 7609 von 8.975 Seiten (Bei Beitrag 266280 - 266315)
314.094x Beiträge in dieser Kategorie

Auf Seite 7608 zurück | Nächste 7610 Seite | Letzte Seite
[ 7604 ] [ 7605 ] [ 7606 ] [ 7607 ] [ 7608 ] [7609] [ 7610 ] [ 7611 ] [ 7612 ] [ 7613 ] [ 7614 ] [ 7615 ] [ 7616 ] [ 7617 ] [ 7618 ] [ 7619 ]

Folge uns auf Twitter um einen Echtzeit-Stream zu erhalten. Updates alle 5 Minuten!

Die Webseite benutzt einen Cache von 10-15 Minuten