Gerde eben wurde auf wordpress-Deutschland eine neue Sicherheitslücke veröffentlicht – betroffen sind alle aktuellen Wordpress Versionen.
Über eine leicht geänderte URL soll es auch normalen Abonnenten möglich sein, Einstellungen im Style sowie der Plugins vorzunehmen.
Es wird angeraten die Registrierung zu deaktivieren und alle User zu löschen.
… die selbst programmierten Sachen sind einfach besser, wobei ich hier nicht anmaßend sein möchte – wordpress ist ein klasse CMS, aber es gibt halt einiges zu beachten, wenn man sich solchen “public stuff” antut.
Nachdem ich das neue Werbescript auf hoohost gehauen habe, ist mir heute auf der Arbeit eine gravierende Sicherheitslücke aufgefallen.
Das Adminpanel lässt sich mit wenigen “Handgriffen” komplett übernehmen.
Bis die Lücke gefixt ist, gibt es erst einmal keinen Zugriff zum Statistik Panel.
Mal sehen wann ich Zeit finde das Problem anzugehen (vielleicht erhalte ich ja ein wenig Unterstützung von dem Einen oder Anderen).
Zitat:
Windows-Hacking TrueCrypt Verschlüsselung umgangen
Der österreichische Hacker Peter Kleissner hat ein Bootkit mit dem Namen “Stoned” entwickelt, welches die TrueCrypt-Verschlüsselung auf 32-Bit-Windows-Systemen aushebelt.
Auf der Blackhat-Konferenz hat der Peter Kleissner ein sogenanntes “Bootkit” vorgestellt. Dabei handelt es sich um ein “Rootkit”, welches im Bootsektor der Harddisk ausgeführt wird und von hier aus, das gesamte System manipulieren kann. Hier ist auch die Schwachstelle an der TrueCrypt-Festplattenverschlüsselung, beziehungsweise den Windows-Systemen zu finden: Der Bootsektor der Festplatte wird nicht verschlüsselt. “Stoned” ist also in der Lage, die vollständige Partitions- und Systemverschlüsselung einfach auszuhebeln.Betroffen sind alle gängigen 32-Bit-Windows-Systeme, also konkret von Windows 2000 bis zu Windows Vista und selbst die aktuellste Version von Window 7. Malware-Phisher könnten so Rechner infizieren und völlig unbemerkt von Anti-Viren-Software innerhalb des Systems agieren. Peter Kleissner sagt, dass aus seiner Sicht drei mögliche Gruppen von “Stoned” profitieren können: zum einen Black-Hat-Hacker, zum anderen Ermittlungsbehörden, da sie beispielsweise unbemerkt das System ausspähen oder die Verschlüsselung einer Festplatte aushebeln können.
Und zum dritten: Microsoft.
Als wäre das nicht schon genug des potenziellen Ärgers, so will Peter Kleissner “Stoned” in kürze als Open-Source Framework veröffentlichen. Über eine Plug-In-Schnittstelle soll es ein leichtes sein, Anwendungen für das Rootkit zu entwickeln, welche bekanntermaßen vom Betriebssystem unbemerkt bleiben würden. “Stoned” könnte so zum Beispiel als Grundlage für einen “Bundestrojaner” dienen. Die Schwachstelle ist bei allen Windows-Betriebssystemen, dass der Master Boot Sektor unverschlüsselt bleibt.
Quelle –> klick
Die Möglichkeiten Trucrypt per “infizierten Bootloader” zu komprimitieren, haben wir hier bereits vor einiger Zeit schon behandelt.
Schön dass sich Einige die Mühe machten, die Lücken der Allgemeinheit offen zu legen.
