[CERT-daily] Tageszusammenfassung - 16.01.2019

[Daily end-of-shift report]

=====================
= End-of-Day report =
=====================

Timeframe:   Dienstag 15-01-2019 18:00 − Mittwoch 16-01-2019 18:00
Handler:     Robert Waldner
Co-Handler:  Stephan Richter

=====================
=       News        =
=====================

∗∗∗ Fortnite Hacked Via Insecure Single Sign-On ∗∗∗
---------------------------------------------
Leaky Fortnite single sign-on mechanism could have allowed hackers to access game accounts.
---------------------------------------------
https://threatpost.com/fortnite-hacked-via-insecure-single-sign-on/140913/


∗∗∗ OWASP Top 10 Security Risks – Part V ∗∗∗
---------------------------------------------
To bring awareness to what threatens the integrity of websites, we are continuing a series of posts on the OWASP top 10 security risks.
---------------------------------------------
https://blog.sucuri.net/2019/01/owasp-top-10-security-risks-part-v.html


∗∗∗ Critical Patch Update: Oracle startet das Jahr mit 284 Sicherheitsupdates ∗∗∗
---------------------------------------------
In seinem Quartalsupdate veröffentlicht Oracle quer durch sein Software-Portfolio abgesicherte Versionen. Viele Lücken gelten als kritisch.
---------------------------------------------
http://heise.de/-4277705


∗∗∗ IDenticard PremiSys: Gebäude-Überwachungssystem mit eingebauten Hintertüren ∗∗∗
---------------------------------------------
Zero-Day-Lücken in einer verbreiteten Software für Gebäude-Sicherheit erlauben es Einbrechern, sich eigene Zugangskarten auszustellen.
---------------------------------------------
http://heise.de/-4277935


∗∗∗ Warnung vor Maxi Size Gel ∗∗∗
---------------------------------------------
Im Internet findet sich Werbung für das Penisvergrößerungsmittel Maxi Size Gel. Interessenten können es auf the-maxisizeelb.com bestellen. Von einer Bestellung des Maxi Size Gels raten wir ab, denn es ist fraglich, welche Wirkung das Mittel hat und unklar, wie die unbekannten Vertreiber/innen mit den persönlichen Daten ihrer Kunden umgehen. Beides birgt ein hohes Risko
---------------------------------------------
https://www.watchlist-internet.at/news/warnung-vor-maxi-size-gel/


∗∗∗ iPhones nicht auf iPhoneIMEI.net entsperren! ∗∗∗
---------------------------------------------
iphoneimei.net verspricht, iPhones aller Generationen freischalten zu können und somit für alle Netze zu öffnen. Verlangt werden dafür 28 US-Dollar. iPhoneuser, die Dienste von iphoneimei.net in Anspruch nehmen wollen, werden enttäuscht, denn statt freigeschalteter iPhones erhalten sie weitere Zahlungsaufforderungen. Die versprochene Leistung erfolgt nie.
---------------------------------------------
https://www.watchlist-internet.at/news/iphones-nicht-auf-iphoneimeinet-entsperren/


∗∗∗ Advertising network compromised to deliver credit card stealing code ∗∗∗
---------------------------------------------
Hundreds of online stores confirmed to be impacted, thousands of more under investigation.
---------------------------------------------
https://www.zdnet.com/article/advertising-network-compromised-to-deliver-credit-card-stealing-code/



=====================
=  Vulnerabilities  =
=====================

∗∗∗ Security updates for Wednesday ∗∗∗
---------------------------------------------
Security updates have been issued by Debian (systemd and wireshark), Fedora (openssh, php-horde-Horde-Form, and unrtf), Mageia (aria2, libvncserver, x11vnc, and nss), Oracle (kernel and libvncserver), Scientific Linux (libvncserver), SUSE (kernel, soundtouch, webkit2gtk3, and wget), and Ubuntu (libcaca and policykit-1).
---------------------------------------------
https://lwn.net/Articles/776894/


∗∗∗ Synology-SA-19:05 Moments ∗∗∗
---------------------------------------------
A vulnerability allows remote authenticated users to upload arbitrary files via a susceptible version of Moments.
---------------------------------------------
https://www.synology.com/en-global/support/security/Synology_SA_19_05


∗∗∗ Security Advisory - Race Condition Vulnerability on Several Smartphones ∗∗∗
---------------------------------------------
http://www.huawei.com/en/psirt/security-advisories/2019/huawei-sa-20190116-01-smartphone-en


∗∗∗ Microsoft Skype for Business: Schwachstelle ermöglicht Cross-Site Scripting ∗∗∗
---------------------------------------------
http://www.cert-bund.de/advisoryshort/CB-K19-0059


∗∗∗ Microsoft Team Foundation Server: Mehrere Schwachstellen ∗∗∗
---------------------------------------------
http://www.cert-bund.de/advisoryshort/CB-K19-0055


∗∗∗ SCP in mehreren Produkten: Mehrere Schwachstellen ∗∗∗
---------------------------------------------
http://www.cert-bund.de/advisoryshort/CB-K19-0058


∗∗∗ IBM Security Bulletin: WAS traditional and liberty vulnerable to CVE-2014-7810 ∗∗∗
---------------------------------------------
https://www.ibm.com/blogs/psirt/ibm-security-bulletin-was-traditional-and-liberty-vulnerable-to-cve-2014-7810/


∗∗∗ IBM Security Bulletin: IBM Netcool Agile Service Manager is affected by Eclipse Jetty vulnerabilities ∗∗∗
---------------------------------------------
https://www.ibm.com/blogs/psirt/ibm-security-bulletin-ibm-netcool-agile-service-manager-is-affected-by-eclipse-jetty-vulnerabilities/

-- 
CERT.at Daily mailing list
Listinfo: https://lists.cert.at/cgi-bin/mailman/listinfo/daily