Anonymer Sicherheitsforscher veröffentlicht zwei Dutzend Zero-Days

Mornsgrans

Help-Desk
Teammitglied
Themenstarter
Registriert
20 Apr. 2007
Beiträge
79.255
Interessanter Heise-Artikel:

Betroffen ist mindestens ein Teil aktuellster Software, wie z.B. FireFox 152.0.2. Nur eines der Pakete hat eine CVE-Kennung.
Auch AnyDesk, RustDesk und wieder einmal 7-Zip sind betroffen:
  • 7-Zip 26.01 (Windows)
  • AnyDesk 9.7.6 (Windows)
  • c-ares
  • Docker Engine 29.6.0
  • FFmpeg: RASC-Decoder
  • Firefox 152.0.2 (Windows)
  • Floci 1.5.27 API Gateway
  • Flowise 3.1.2 / flowise-components 3.1.2
  • Ghidra 12.1.2
  • Gitea
  • ImageMagick 7.1.2-25 mit Ghostscript 10.07.1 (Windows)
  • libssh2 (PoC für CVE-2026-55200 sowie für neue Lücke unter Windows)
  • Lunar Client
  • MyBB 1.8.40
  • nghttp2 1.69.0
  • nmap
  • objdump
  • OpenVPN 3.11.3 sowie OpenVPN Connect für Windows 3.8.0
  • PHP 8.5.7
  • RustDesk
  • SystemInformer 4.0.26162.539 (Windows)
  • VLC 3.0.23 (Windows)
Mal sehen, wie lange wir mit den Sicherheitslücken leben müssen.
 
Bisschen unfair ist das schon, dass nur quelloffene Software durchleuchtet werden kann. Das suggeriert der Öffentlichkeit dass diese inherent anfällig und vulnerabel ist. Tragisch-ironisch deswegen aber auch weil das gerade die Stärke ist von Open Source ist. Ich zitier mal Torvalds:

With enough eyes all Bugs are shallow.
 
Zuletzt bearbeitet:
Hauptargumente für Open-Source/Linux
Deswegen ja:

Tragisch-ironisch

Bugs allgemeiner Art sind hiervon nicht betroffen ;)
Ja doch. Auch Bugs können potenzielle Angriffsvektoren für Exploits und Zero Days bieten. Im Falle von gewerblich gehandelten Exploits (von Bundestrojanern bis hin zu Firmen die nicht namentlich genannt werden sollen, die an Regierungen mit fragwürdigen Rechtsverständnissen verkaufen) sind dann solche Bugs bekannterweise Features.
 
Hoffentlich ist die Schwemme an einfach KI-findbaren Lücken irgendwann over und wir haben was daraus gelernt. Wäre mal interessant wenn man die ganze Liste solcher Sicherheitslücken auf gemeinsame Nenner überprüft.
 
Hoffentlich ist die Schwemme an einfach KI-findbaren Lücken irgendwann over und wir haben was daraus gelernt. Wäre mal interessant wenn man die ganze Liste solcher Sicherheitslücken auf gemeinsame Nenner überprüft.
Hi Schwartz

Was die Eliminierung von Lücken in Softwareprodukten angeht, stimme ich Dir zu. Nur ob danach wirklich allesentdeckt wurde, denke ich eher nicht. Daraus lernen, ja, solange dann der Pool an frei verfügbaren SW Libraries usw. und deren Quellen (z.B. Git Hub) auch sauber ist.
Selbstredend sollten (müssen !) die Betreiber solcher Plattformen Sorge tragen, daß keine schadhaft belastete SW wieder alles zunichte macht.

Gruß
TS
 
  • ok1.de
  • thinkstore24.de
  • ok2.de - Notebook Computer Server
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben