[CERT-daily] Tageszusammenfassung - 24.11.2017
Daily end-of-shift report
team at cert.at
Fri Nov 24 18:14:05 CET 2017
=====================
= End-of-Day report =
=====================
Timeframe: Donnerstag 23-11-2017 18:00 − Freitag 24-11-2017 18:00
Handler: Robert Waldner
Co-Handler: n/a
=====================
= News =
=====================
∗∗∗ Treat infosec fails like plane crashes – but hopefully with less death and twisted metal ∗∗∗
---------------------------------------------
We never learn from incidents, says Europol security adviser The world has never been so dependent on computers, networks and software so ensuring the security and availability of those systems is critical.…
---------------------------------------------
http://go.theregister.com/feed/www.theregister.co.uk/2017/11/24/infosec_disasters_learning_op/
∗∗∗ VB2017 video: FinFisher: New techniques and infection vectors revealed ∗∗∗
---------------------------------------------
Today, we publish the video of the VB2017 presentation by ESET researcher Filip Kafka, who looked at recent changes in the FinFisher government malware, including its infection vectors.
---------------------------------------------
https://www.virusbulletin.com:443/blog/2017/11/vb2017-video-finfisher-new-techniques-and-infection-vectors-revealed/
∗∗∗ 31 lückenhafte Banking-Apps: Forscher entlarven App-TAN-Verfahren abermals als unsicher ∗∗∗
---------------------------------------------
Sicherheitsforscher zeigen eine nicht ganz triviale Methode auf, über die Angreifer Online-Banking-Apps manipulieren könnten. Auch in Deutschland sind Banken betroffen.
---------------------------------------------
https://heise.de/-3900945
∗∗∗ Gefälschte BAWAG PSK-Sicherheits-App im Umlauf ∗∗∗
---------------------------------------------
Kriminelle versenden eine gefälschte BAWAG PSK-E-Mail. Darin fordern sie von Kund/innen, dass diese eine Sicherheits-App installieren. Sie ist Schadsoftware und ermöglicht es den Betrüger/innen, Zugriff auf das OnlineBanking-Konto ihrer Opfer zu erlangen. Kund/innen dürfen die angebliche Sicherheits-App nicht installieren.
---------------------------------------------
https://www.watchlist-internet.at/phishing/gefaelschte-bawag-psk-sicherheits-app-im-umlauf/
=====================
= Vulnerabilities =
=====================
∗∗∗ Lancom: Wichtiges LCOS-Update stopft Sicherheitslücke ∗∗∗
---------------------------------------------
Die aktuelle Version von Lancoms Betriebssoftware für Router, Access Points und Switches beseitigt eine Sicherheitslücke, die Angreifern bei bestimmten Firmware-Versionen Zugriff auf Verwaltungsfunktionen ermöglicht.
---------------------------------------------
https://www.heise.de/newsticker/meldung/Lancom-Wichtiges-LCOS-Update-stopft-Sicherheitsluecke-3898215.html
∗∗∗ FortiOS: Updates schützen unter anderem vor Cross-Site-Scripting ∗∗∗
---------------------------------------------
Fortinet warnt vor einer Lücke in seinem Betriebssystem FortiOS für FortiGate-Produkte. Einige Updates stehen schon bereit; weitere folgen in Kürze.
---------------------------------------------
https://heise.de/-3901201
∗∗∗ DFN-CERT-2017-2115/">OTRS: Zwei Schwachstellen ermöglichen u.a. die Ausführung beliebiger Kommandozeilenbefehle ∗∗∗
---------------------------------------------
https://portal.cert.dfn.de/adv/DFN-CERT-2017-2115/
∗∗∗ DFN-CERT-2017-2119/">FortiGate: Eine Schwachstelle ermöglicht u.a. einen Cross-Site-Scripting-Angriff ∗∗∗
---------------------------------------------
https://portal.cert.dfn.de/adv/DFN-CERT-2017-2119/
∗∗∗ IBM Security Bulletin: OpenSSL command line utility in IBM Workload Scheduler can run with elevated priviliges (CVE-2017-1716) ∗∗∗
---------------------------------------------
http://www.ibm.com/support/docview.wss?uid=swg22010947
∗∗∗ SSA-346262 (Last Update 2017-11-23): Denial-of-Service in Industrial Products ∗∗∗
---------------------------------------------
https://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-346262.pdf
--
CERT.at Daily mailing list
Listinfo: https://lists.cert.at/cgi-bin/mailman/listinfo/daily
More information about the Daily
mailing list