[CERT-daily] Tageszusammenfassung - 25.06.2018

Mon Jun 25 18:06:21 CEST 2018

=====================
= End-of-Day report =
=====================

Timeframe:   Freitag 22-06-2018 18:00 − Montag 25-06-2018 18:00
Handler:     Robert Waldner
Co-Handler:  n/a

=====================
=       News        =
=====================

∗∗∗ Changes in WebAssembly Could Render Meltdown and Spectre Browser Patches Useless ∗∗∗
---------------------------------------------
"Once Wasm gets support for threads with shared memory (which is already on the Wasm roadmap), very accurate [JavaScript] timers can be created," Bergbom says, "that may render browser mitigations of certain CPU side channel attacks non-working."
---------------------------------------------
https://www.bleepingcomputer.com/news/security/changes-in-webassembly-could-render-meltdown-and-spectre-browser-patches-useless/


∗∗∗ ST18-001: Securing Network Infrastructure Devices ∗∗∗
---------------------------------------------
Network infrastructure devices are ideal targets for malicious cyber actors. Most or all organizational and customer traffic must traverse these critical devices.An attacker with presence on an organization’s gateway router can monitor, modify, and deny traffic to and from the organization.An attacker with presence on an organization’s internal routing and switching infrastructure can monitor, modify, and deny traffic to and from key
---------------------------------------------
https://www.us-cert.gov/ncas/tips/ST18-001


∗∗∗ iOS: Verwirrung um Brute-Force-Hack der Gerätesperre ∗∗∗
---------------------------------------------
Ein Sicherheitsforscher behauptet, einen Trick gefunden zu haben, mit dem sich iPhone und iPad knacken lassen. Apple widerspricht dem.
---------------------------------------------
http://heise.de/-4090901


∗∗∗ Offene Firebase-Datenbanken: Tausende Apps leaken Passwörter, Nutzerdaten etc. ∗∗∗
---------------------------------------------
Dritte könnten mit vergleichsweise wenig Aufwand private Daten von Millionen App-Nutzern einsehen, warnen Sicherheitsforscher.
---------------------------------------------
http://heise.de/-4090963


∗∗∗ Leck in Intel-Prozessoren: TLBleed-Lücke verrät geheime Schlüssel ∗∗∗
---------------------------------------------
Forscher nutzen Hyper-Threading und den Transaction Lookaside Buffer (TLB) von Intel-Prozessoren, um geschützte Informationen per Seitenkanal abzuschöpfen.
---------------------------------------------
http://heise.de/-4091114


∗∗∗ Aufgepasst: Phishing-Mails schüren WannaCry-Panik ∗∗∗
---------------------------------------------
Aktuell gehen E-Mails um, die behaupten, der Rechner des Empfängers sei mit einem Verschlüsselungstrojaner infiziert.
---------------------------------------------
http://heise.de/-4091746


∗∗∗ Gefälschte Pichler Werkzeug GmbH-Rechnung verbreitet Schadsoftware ∗∗∗
---------------------------------------------
Unternehmen erhalten per E-Mail eine gefälschte Bestellbestätigung der Pichler Werkzeug GmbH aus Innsbruck. Darin heißt es, dass sie ein unterzeichnetes Formular zurück an die Absenderin retournieren sollen. Das Formular befindet sich angeblich in einer GZ-Datei. In Wahrheit verbirgt sie Schadsoftware. Empfänger/innen dürfen den Dateianhang nicht öffnen.
---------------------------------------------
https://www.watchlist-internet.at/news/gefaelschte-pichler-werkzeug-gmbh-rechnung-verbreitet-schadsoftware/


=====================
=  Vulnerabilities  =
=====================

∗∗∗ [20180507] - Core - Session deletion race condition ∗∗∗
---------------------------------------------
CVE Number: CVE-2018-11324
A long running background process, such as remote checks for core or extension updates, could create a race condition where a session which was expected to be destroyed would be recreated.
Affected Installs: Joomla! CMS versions 3.0.0 through 3.8.7
Solution: Upgrade to version 3.8.8
---------------------------------------------
https://developer.joomla.org/security-centre/735-20180507-core-session-deletion-race-condition.html


∗∗∗ Bluetooth-Lücke: Patch für "smartes" Vorhängeschloss Tapplock ∗∗∗
---------------------------------------------
Sicherheitsforscher knacken das Schloss Tapplock über Bluetooth in wenigen Sekunden. Auch rohe Gewalt kann das Schloss unter Umständen öffnen.
---------------------------------------------
http://heise.de/-4091406


∗∗∗ Security updates for Monday ∗∗∗
---------------------------------------------
Security updates have been issued by CentOS (git), Debian (bouncycastle and lava-server), Fedora (ansible, epiphany, kernel, kernel-tools, matrix-synapse, mingw-podofo, pass, podofo, python-prometheus_client, redis, rubygem-sinatra, and thunderbird-enigmail), Gentoo (file and pnp4nagios), Mageia (file, glibc, kernel, librsvg, and libvorbis), openSUSE (go1.9, mariadb, phpMyAdmin, and redis), and SUSE (firefox, kernel modules packages, and python).
---------------------------------------------
https://lwn.net/Articles/758211/


∗∗∗ Synology-SA-18:33 DSM ∗∗∗
---------------------------------------------
Multiple vulnerabilities allow remote authenticated users to execute arbitrary OS commands or obtain sensitive information via a susceptible version of Synology Diskstation Manager (DSM).
---------------------------------------------
https://www.synology.com/en-global/support/security/Synology_SA_18_33


∗∗∗ FortiOS SSL VPN webportal user credentials present in plain text in client side javascript file ∗∗∗
---------------------------------------------
https://fortiguard.com/psirt/%20FG-IR-18-027

-- 
CERT.at Daily mailing list
Listinfo: https://lists.cert.at/cgi-bin/mailman/listinfo/daily