Tech News

Gemäss einem Beitrag des Swiss IT Magazine vom 16.05.2021 bestehen in den oben genannten Wordpress Versionen Sicherheitslücken. Im PHPMailer kann der Angreifer via Object Injection eigenen Code einschleusen. Das Leck entsteht wenn die Benutzereingaben nicht "bereinigt" werden, ehe sie an unserialize() übergeben werden. Die Deserialisierung kann dazu führen, dass Code geladen und ausgeführt wird und das kann eben ausgenutzt werden. Behoben wird die Lücke mit der neusten Version 5.7.2.

Der Plattform meineimpfungen.ch werden grobe Mängel nachgesagt, wie in der Republik nachzulesen war. Applikatorisch wurden u.a. folgende Mängel publik: Die Validierung als medizinische Fachperson kann über die Passwort-Vergessen Funktion unterlaufen werden. Wodurch der Zugriff auf Patientendaten möglich wird. Und die ID des jeweiligen Patienten sei weder komplex noch zufallsgeneriert. Ergänzt man diese ID in der URL, hat man Einsicht in den Impfstatus. Wir von webstyle sind nicht der Lage, die Sicherheit von Applikationen zu beurteilen. Jedoch sehr wohl die Massnahmen für den sicheren Betrieb sensibler Daten zu ergreifen.

Vom 17. - 19. März findet online das World Ethical Data Forum statt. Welche Faktoren nebst der Profitabilität kann/soll man sich beim Engineering einer Software und im Umgang mit Daten überlegen? Spannende Diskussionen an während drei Tagen. Alle Referate in Englisch.

Zumindest Google testet nach Angaben eines Berichts den Aufruf von https als "Standard" für Websites. Das bedeutet, das beim Aufruf einer Website nicht mehr wie bisher zuerst die http-Version aufgerufen wird. Noch ist es ein Experiment. Durch das fehlende "Fall-back" auf http würden Websites ohne SSL-Zertifikat nicht mehr funktionieren.

Ende Jahr ist Schluss mit Flash Animationen. Die verschiedenen Browser werden Animationen nicht mehr unterstützen. Und dennoch gibt es sie noch auf zahlreichen Websites von Schweizer KMUs. Für ein Update ist nun definivit höchste Zeit. Alle weitere Informationen dazu direkt auf der Website von Adobe.

Offenbar gelangen bereits gelöschte E-Mails wieder als ungelesene Nachrichten im Posteingang. Diese Information betrifft nur Kunden, die outlook.com und Zimbra verwenden. Im Beitrag von Microsoft wird erklärt, wie das Problem mit einem (komplizierten) Workaround gelöst werden kann.

Diese Erkenntnis ist nicht für alle Entwickler neu aber ein übersichtlicher Einstieg in die häufigsten Sicherheitslücken der Webapplikationen (in Englisch).

Wiederum betrifft es Drupal. Mit der aktuellen Sicherheitslücke kann Schadcode auf dem Server ausgeführt werden. Drupal selber stuft das als "kritisch" ein. Überprüft deshalb bei eurer Drupal Instanz, ob die im verlinkten Beitrag genannten Drupal-Versionen eingespielt sind.

Wie die Drupal Entwickler in einer Mitteilung schreiben, ist im Drupal Modul SVG Image eine kritische Sicherheitslücke entdeckt worden. Eine Aktualisierung ist notwendig.

Glaubt man der Plattform https://securityaffairs.co planen Hacker eine Kampagne die auf Wordpress Seiten mit Schwachstellen abzielen. Weiter seien, so im Beitrag zu lesen, etliche Wordpress Plugins unsicher. Beispiele für im Januar und Februar entdeckte Schwachstellen sind im Artikel angeführt.