Schlagwort-Archive: Java

CVE-2017-5638: Apache Struts 2-Lücke erlaubt Code-Ausführung

Originalartikel von Suraj Sahu, Vulnerability Research Engineer

Apache Struts ist ein kostenloses quelloffenes Framework für die Erstellung von Java Webapplikationen. Die Sicherheitsforscher von Trend Micro fanden bei der Analyse vergangener Remote Code Execution (RCE)-Lücken in Apache Struts heraus, dass die meisten Angreifer Object Graph Navigation Language (OGNL) Expressions verwendet hatten. Mit OGNL ist es einfach, aus der Ferne beliebigen Code auszuführen, weil das Framework die Sprache in den meisten Prozessen verwendet. Ein Forscher fand im Zuge des Einsatzes von OGNL in Apache Struts 2 auch eine neue Sicherheitslücke, CVE-2017-5638. Dazu gibt es Reports zufolge bereits einen Exploit.
Weiterlesen

Erste Hälfte 2015 zeigt OS X Zero Days im Anmarsch

Originalbeitrag von Weimin Wu, Threat Analyst

2015 war für Sicherheitsforscher bislang ein sehr arbeitsreiches Jahr. Die durchgesickerten Daten von Hacking Team schockierten viele. Das lag einerseits and der hohen Zahl von Zero-Days, die daraus zutage gefördert wurden, und andererseits an E-Mails, in denen der skrupellose Handel mit Exploits und „Tools” diskutiert wurde. Deshalb ist es ein guter Zeitpunkt, um einen Rückblick auf die durch diese Sicherheitslücken entstandenen Änderungen in der Bedrohungslandschaft zu wagen.
Weiterlesen

Pawn Storm mit neuem Java Zero-Day-Exploit

Originalbeitrag von Trend Micro

Während der fortlaufenden Recherche und des Monitorings der gezielten Angriffskampagne Operation Pawn Storm fanden die Sicherheitsforscher vedächtige URLs, die einen neuen Zero-Day-Exploit in Java hosteten. Es war nach zwei Jahren die erste neu entdeckte Java Zero-Day-Lücke. Dieser Exploit gehört nicht zu der Reihe der Sicherheitslücken in Zusammenhang mit der Veröffentlichung der Hacking Team-Daten.
Weiterlesen

Lehren aus den Schwachstellen in 2014

Originalartikel von Pawan Kinger, Director Deep Security Labs

Vor den Planungen für 2015 ist es sinnvoll, sich die Schwachstellen des letzten Jahres in Erinnerung zu rufen und eventuell Lehren daraus zu ziehen. In jedem Jahr gibt es einige Zero-Day-Lücken und viele nicht veröffentlichte Schwachstellen, die die Softwareanbieter schließen. Im abgelaufenen Jahr war das ein bisschen anders.
Weiterlesen

2014 haben sich Exploit Kits weiterentwickelt

Originalartikel von Brooks Li, Threats Analyst

Etwa um diese Zeit im letzten Jahr kam das Ende des am weitesten verbreiteten Exploit Kits, dem Blackhole Exploit Kit, nachdem dessen Autor Paunch verhaftet worden war. Seither ist eine Vielfalt an neuen Exploit Kits von Cyberkriminellen eingesetzt worden, die technisch unterschiedlich sind.
Weiterlesen