Evernote Web Clipper: Kritische Schwachstelle in beliebtem Chrome-Add-on
#Chrome #Evernote #Sicherheitslücken #XSS

Nutzer der Chrome-Extension Web Clipper sollten überprüfen, ob sie Version 7.1.11 nutzen. Denn die vorherige gab unter Umständen vertrauliche Daten preis.

Teilen 👉 @DerNewsBot ho3795

​​​c't deckt auf: Webmail-Oberfläche von All-Inkl․com angreifbar
#AllInkl #Hosting #JavaScript #Webmail #Webmailer #XSS

Die Webmail-Oberflächen von All-Inkl․com waren über eingeschleustes JavaScript angreifbar․ Nach einem Hinweis von c't wurden die Lücken jetzt geschlossen․

​​​Hacker unternahmen Großangriff auf 900․000 WordPress-Seiten
#Hacking #Wordfence #Wordpress #XSS

Eine groß angelegte Hacking-Kampagne versursachte einen Anstieg in einer Angriffsstatistik um das 30-fache des normalen Volumens․

​​​​​Bundesamt für Wirtschaft und Ausfuhrkontrolle: Website war via XSS manipulierbar
#BAFA #Hacking #Sicherheitslücken #XSS

Die Website des BAFA wies eine Cross-Site-Scripting-Lücke auf: Angreifer hätten eigenen Code injizieren können․ Nach unserem Hinweis wurde die Lücke gefixt․

​​​​​Nach Cross-Site-Scripting-Lücken: BaFa will BSI mit Website-Check beauftragen
#BAFA #Hacking #PenetrationTesting #Sicherheitslücken #XSS

Nachdem heisec-Leser kurz hintereinander zwei Lücken in der Website des Bundesamts für Wirtschaft und Ausfuhrkontrolle fanden, will dieses rundum nachbessern․

​​​​​Rocket․Chat: Lücke erlaubte Remote Code Execution durch präparierte Nachrichten
#Chat #RocketChat #Sicherheitslücken #XSS

Die aktuellen Client- und Server-Versionen von Rocket․Chat beseitigen eine Sicherheitslücke, die schlimmstenfalls eine Remote-Codeausführung ermöglicht hätte․

​​​​​c’t deckt auf: Sicherheitslücke bei Vodafone mit großem Schadenspotenzial
#Provider #Sicherheitslücken #Vodafone #XSS

Bei Vodafone klaffte eine kleine Sicherheitslücke mit fataler Wirkung: Angreifer konnten Kundendaten einsehen, Rechnungen in die Höhe treiben und mehr․

​​​​​l+f: Wenn der Firmenname zum Sicherheitsrisiko wird
#Internet #Sicherheit #Sicherheitslücken #XSS #lf #lostfound

Eine britische Firma musste ihren Namen ändern, da er Cross-Site-Scripting-Angriffe ermöglichte․

​​​​​heise-Angebot: heise devSec: Der dritte Thementag dreht sich um Security für Web-Applikationen
#OAuth #OWASP #Sicherheit #Webanwendungen #XSS

Wer seine Webanwendungen vor Angriffen schützen möchte, sollte am 1․ Juli den Thementag der Heise-Konferenz zu Web-Application-Security besuchen․

​​​​​Drupal: Update schließt Cross-Site-Scripting-Lücke in mehreren CMS-Versionen
#CMS #ContentManagement #Drupal #Sicherheitslücke #Updates #XSS

Die Programmbibliothek CKEditor, die vom Drupal-Core verwendet wird, barg unter bestimmten Umständen Angriffsmöglichkeiten․ Für Core & Library gibt es Updates․

​​​​​Mehrere Linux-Appstores & Pling-Store-App via Cross-Site-Scripting angreifbar
#Computerwurm #LinuxundOpenSource #Malware #Pling #PlingStore #Sicherheitslücke #XSS

Eine XSS-Lücke in Pling-basierten Stores wie dem KDE-Store könnte zur Manipulation gelisteter Apps missbraucht werden․ Auch die Plingstore-App ist verwundbar․

​​​​​AirTags als Echtwelt-Trojaner: Apple lässt XSS-Lücke über Monate offen
#AirTag #AirTags #Apple #Phishing #Tracker #XSS

Ein weiterer Sicherheitsforscher hat wegen Verärgerung über Apples zugeknöpftes Bug-Bounty-Programm eine Zero-Day-Schwachstelle veröffentlicht․

​​​​​heise+ | Kurztests: Googles Hackertraining, Co-Working-Spaces der Bahn, Facetime für alle
#Android #Apple #Browserspiel #CoWorking #CoWorkingSpaces #FaceTime #Google #Hackertraining #Hacking #LinuxundOpenSource #Videochatprogramm #Windows #XSS #XSSSpiel #everyworks

Beim XSS-Game von Google greift man Webseiten an, in den Co-Working-Spaces der Bahn lässt sich Minutenweise arbeiten und Apples Facetime läuft auf Fremdgeräten․

​​​​​Gezielte Angriffe auf Zero-Day-Lücke in Zimbra
#Exploit #Sicherheit #XSS #Zimbra

Über eine bislang unbekannte Lücke in Zimbra stehlen Angreifer Mails ausgewählter Opfer, warnt eine Sicherheitsfirma․ Einen Patch gibt es bislang nicht․

​​​​​Datenleck im Shopsystem von Tuxedo Computers
#Datenklau #Hash #MD5 #OnlineShops #Passwortklau #Salt #Sicherheit #Sicherheitslücke #Tuxedo #WhiteHat #XSS

Der Onlineshop wies eine Reihe von Problemen auf․ Der Computerhersteller hat schon reagiert, andere Nutzer des Shopsystems H․H․G․ Multistore müssen warten․

​​​​​CMS: Typo3-Schwachstelle ermöglicht Cross-Site-Scripting
#CMS #LinuxundOpenSource #Security #Sicherheitslücken #Sicherheitsupdates #Typo3 #XSS

Im Content-Management-System Typo3 könnten Angreifer eine Cross-Site-Scripting-Lücke angreifen, um schädlichen HTML-Code einzuschleusen․ Updates stehen bereit․

​​​​​Fediverse: Kritische Sicherheitslücken in Mastodon-Software abgedichtet
#Codeschmuggel #DoSSchwachstelle #Mastodon #Security #Sicherheitslücken #Sicherheitsupdates #XSS

Betreiber von Mastodon-Instanzen müssen die Server aktualisieren․ Ältere Versionen bringen kritische Sicherheitslücken mit, die etwa Codeschmuggel erlauben․

​​​​​Schwere Sicherheitslücken in Monitoring-Software Zabbix behoben
#BufferOverflow #CodeInjection #Monitoring #Security #XSS #Zabbix

In verschiedenen Komponenten der Monitoringsoftware Zabbix klafften kritische Sicherheitslücken, die Angreifern die Ausführung eigenen Codes ermöglichen․

​​​​​Code-Schmuggel: Neue Splunk-Versionen beheben Sicherheitslücken
#Codeschmuggel #Security #Splunk #XSS

Unsichere XML-Verarbeitung und ungenügende Prüfung von Logeinträgen ermöglichten Angreifern, eigenen Code in Splunk-Produkte zu schleusen․

​​​​​Sicherheitsforscher finden kritische Fehler in KI-Werkzeugen Ray, MLflow und H2O
#CrossSite #KünstlicheIntelligenz #MachineLearning #RemoteCodeExecution #Security #XSS

Die beliebten Werkzeuge für KI-Anwendungen leiden unter Codeschmuggel, illegitimen Dateimanipulationen und anderen Bugs․ Nicht immer sind Updates verfügbar․