[CERT-daily] Tageszusammenfassung - Donnerstag 7-08-2014

Thu Aug 7 18:12:06 CEST 2014

=======================
= End-of-Shift report =
=======================

Timeframe:   Mittwoch 06-08-2014 18:00 − Donnerstag 07-08-2014 18:00
Handler:     Robert Waldner
Co-Handler:  Stephan Richter


*** Cisco IOS Software and Cisco IOS XE Software EnergyWise Crafted Packet Denial of Service Vulnerability ***
---------------------------------------------
cisco-sa-20140806-energywise
---------------------------------------------
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140806-energywise


*** Security expert calls home routers a clear and present danger ***
---------------------------------------------
In Black Hat Q&A, In-Q-Tel CISO says home routers are "critical infrastructure."
---------------------------------------------
http://feeds.arstechnica.com/~r/arstechnica/security/~3/iXnyWy8k6JU/


*** Black Hat 2014: Netzbetreiber-Software zum Fernsteuern von Mobilgeräten erlaubt Missbrauch ***
---------------------------------------------
Auf zwei Milliarden Mobilfunkgeräten läuft eine verwundbare Software, die Netzbetreibern zum Kontrollieren der Geräte dient. Mit geringem Aufwand können Angreifer die Geräte unbemerkt aus der Ferne manipulieren und so beispielsweise Datenverkehr mitschneiden.
---------------------------------------------
http://www.heise.de/security/meldung/Black-Hat-2014-Netzbetreiber-Software-zum-Fernsteuern-von-Mobilgeraeten-erlaubt-Missbrauch-2287821.html


*** Internet Explorer begins blocking out-of-date ActiveX controls ***
---------------------------------------------
As part of our ongoing commitment to delivering a more secure browser, starting August 12th Internet Explorer will block out-of-date ActiveX controls. ActiveX controls are small apps that let Web sites provide content, like videos and games, and let you interact with content like toolbars. Unfortunately, because many ActiveX controls aren't automatically updated, they can become outdated as new versions are released.
---------------------------------------------
http://blogs.msdn.com/b/ie/archive/2014/08/06/internet-explorer-begins-blocking-out-of-date-activex-controls.aspx


*** Cisco 2014 Midyear Security Report: Exposing Weak Links to Strengthen the Security Chain ***
---------------------------------------------
You may be thinking, "What could have possibly changed since January?" True to form, the attacker community continues to evolve, innovate, and think up new ways to discover and exploit weak links in the security chain. Also true to form, they sometimes simply use tried and true methods to exploit some of the same old vulnerabilities that continue to present themselves.
---------------------------------------------
https://blogs.cisco.com/security/cisco-2014-midyear-security-report-exposing-weak-links-to-strengthen-the-security-chain/


*** Securing VoIP systems ***
---------------------------------------------
Countermeasures for these security issues are given below in greater detail: - Encryption - Firewalls - Traffic Analysis - Improved network Security - Authentication mechanisms - Apply appropriate patches - Turn off unnecessary protocols...
---------------------------------------------
http://resources.infosecinstitute.com/securing-voip-systems/


*** Jetzt updaten: Ältere Synology NAS-Geräte anfällig für Ransomware ***
---------------------------------------------
Der NAS-Hersteller Synology hat Details zu der Lücke bekannt gegeben, die der Erpressungs-Trojaner SynoLocker ausnutzt, um die Daten seiner Opfer zu verschlüsseln. Nach Informationen des Herstellers betrifft das Sicherheitsproblem nur ältere Firmware-Versionen und wurde im Dezember 2013 behoben. Die DiskStation-Manager-Software (DSM) Version 4.3-3810 oder älter soll betroffen sein, ein Update auf DSM 5.0 soll Abhilfe schaffen.
---------------------------------------------
http://www.heise.de/newsticker/meldung/Jetzt-updaten-Aeltere-Synology-NAS-Geraete-anfaellig-fuer-Ransomware-2287427.html?wt_mc=rss.ho.beitrag.rdf


*** OpenSSL-Updates - diesmal nicht ganz so schlimm ***
---------------------------------------------
Die OpenSSL-Entwickler beseitigen neun Sicherheitslücken, die meisten von Google-Forschern entdeckt. Allerdings ist diesmal nichts wirklich dramatisches dabei.
---------------------------------------------
http://www.heise.de/newsticker/meldung/OpenSSL-Updates-diesmal-nicht-ganz-so-schlimm-2288164.html/from/rss09?wt_mc=rss.ho.beitrag.rdf


*** Hintergrund: Politische Lösungen für eine sichere Zukunft der Kommunikation ***
---------------------------------------------
Nach den Snowden-Enthüllungen steht eine Diskussion an, was wir zukünftig besser machen können, um Spionage und großflächige Massenüberwachung zu verhindern. Neben der besserer Technik braucht es da auch neue politische Ansätze, meint Linus Neumann.
---------------------------------------------
http://www.heise.de/security/artikel/Politische-Loesungen-fuer-eine-sichere-Zukunft-der-Kommunikation-2288274.html


*** Security Notice-Statement on 9 OpenSSL Vulnerabilities ***
---------------------------------------------
Aug 07, 2014 20:29
---------------------------------------------
http://www.huawei.com/en/security/psirt/security-bulletins/security-notices/hw-360750.htm