25.01.2011
Sicherheit
Anwaltssoftware Datev mit kritischer Lücke
Autor: Dorothee Chlumsky
Die Rechnungswesen-Software Datev hat eine Sicherheitslücke, die es Angreifern möglich macht, schädlichen Code in ein System zu schleusen. Das ist besonders kritisch, da Berufsgruppen die Software nutzen, die mit vertraulichen Daten arbeiten: Anwälte, Steuerberater, Wirtschaftsprüfer und die öffentliche Hand.
Die Datev-Software kommt überall dort zum Einsatz, wo auch persönliche Daten von Kunden, Klienten oder Bürgern verwaltet werden. Der Sicherheitsexperte Nikolas Sotiriu weist nun darauf hin, dass die die Datev-Softwarekomponente "Grundpaket Basis" unter einer altbekannten Sicherheitslücke leidet, die viele andere Programme ebenfalls betrifft: Die Art und Weise, wie die Software Bibliotheken nachlädt, die ihr nicht auf Anhieb zur Verfügung stehen. Unter bestimmten Bedingungen greift sie bei der Suche nach einer fehlenden Bibliothek (etwa DVBSKNLANG101.dll oder DvZediTermSrvInfo004.dll) auch auf ein .smb- oder Webdav-Laufwerk zu. Ein Angreifer kann sich dieses Verhalten zunutze machen und dem System einen Schädling unterschieben, der sich als die gesuchte Bibliothek ausgibt.
Sotiriu hatte den Fehler bereits im August 2010 gefunden und Datev auf das Problem aufmerksam gemacht. Auf Wunsch des Unternehmens hatte er die Veröffentlichung der Sicherheitslücke mehrfach verschoben, bis er das Problem am 20. Januar bekannt machte.
Das Unternehmen hat den Fehler mit der neuen Programm-DVD 25.0 behoben, die seit Mitte Januar erhältlich ist. Wenn Sie Datev nutzen, sollten Sie schnellstmöglich auf die aktuelle Version umsteigen.
Identity First
Strategien gegen Identitätsdiebe
Digitale Identitäten stehen mittlerweile im Fokus der meisten Cyberattacken. Identity Threat Detection and Response (ITDR) soll davor schützen.
>>
Swisscom
Neue Cyberbedrohungen auf dem Radar
Der neue Cyber Security Threat Radar von Swisscom zeigt die Angriffsmethoden und das Vorgehen von Cyberkriminellen. Er beleuchtet neu auch die Entwicklungen in den Bereichen "Disinformation & Destabilisation", "Manipulated Generative AI" und "Unsecure IoT/OT-Devices".
>>
Zum Welt-Passwort-Tag
"95 % der Cyber-Sicherheitsprobleme sind auf menschliche Fehler zurückzuführen"
Am 2. Mai ist Welt-Passwort-Tag. Ein guter Anlass für den Frühlingsputz bei alten Logins und ein grundsätzliches Überdenken der eigenen Cybersecurity. Miro Mitrovic von Proofpoint gibt dazu einige konkrete Tipps.
>>
Künstliche Intelligenz
Memary - Langzeitgedächtnis für autonome Agenten
Das Hauptziel ist es, autonomen Agenten die Möglichkeit zu geben, ihr Wissen über einen längeren Zeitraum hinweg zu speichern und abzurufen.
>>