Kritische Lücken bei Windows und WordPressHandeln dringend erforderlich
26. August 2024
Zwei sehr kritische Sicherheitslücken erfordern gerade sofortige Aufmerksamkeit. Eine davon, mit einem CVE-Höchstwert von 10, betrifft ein WordPress-Plugin, die andere (CVE 9.8) betrifft Microsoft Windows. Aktuelle Updates müssen sofort installiert werden, um die Lücken zu schließen.
Microsoft Windows hat eine schwere Sicherheitslücke im IPv6-Netzwerkstack. Diese Schwachstelle betrifft alle Windows-Versionen, mutmaßlich rückwirkend bis Windows Vista. Diese Sicherheitslücke erlaubt es einem Angreifer, ein System nur durch das Übersenden eines präparierten Datenpaketes über das Netzwerk zu übernehmen und beliebigen Code darauf auszuführen.
Dazu ist anders als bei anderen Sicherheitslücken keine Interaktion durch den Anwender erforderlich. Fachleute sprechen hier von einer „Zero Click“-Lücke. Diese gehört zu den gefährlichsten Sicherheitslücken, die es gibt.
„Zum aktuellen Zeitpunkt gibt es keinen Workaround, abgesehen vom Deaktivieren von IPv6“, sagt Tim Berghoff, Security Evangelist bei der G DATA CyberDefense AG. „Eine Lösung ist das jedoch auch nicht. Diese besteht ausschließlich in der Installation eines Patches.“
GiveWP maximal angreifbar
Im WordPress-Plugin „GiveWP“ ermöglicht eine Sicherheitslücke, sowohl beliebigen Code auf dem Serversystem auszuführen als auch Daten beliebig zu löschen. Diese Sicherheitslücke hat den Höchstwert von 10 auf der CVE-Kritikalitätsskala. Wenn ein Angreifer diese Sicherheitslücke nutzt, kann er die Webseite nach Belieben vom Netz nehmen, verändern und auch persönliche Daten exponieren.
Auch hier ist keine Interaktion eines WordPress-Administrators erforderlich; das Ausnutzen der Schwachstelle ist ohne Authentifizierung möglich. Ein Update, das die Sicherheitslücke schließt, steht zur Verfügung und sollte schnellstmöglich installiert werden. (rhh)
