05.10.2012
Sicherheit
Kritische Lücke im Trend Micro Control Manager
Autor: Thorsten Eggeling
Der Trend Micro Control Manager ist anfällig für SQL-Injektionen. Über eine Sicherheitslücke können Angreifer Schadcode in das zentralisierte Sicherheitsmanagement einschleusen. Es gibt aber bereits ein Update.
Der Trend Micro Control Manager ist ein Standort- und Plattform-übergreifendes Tool, über das die installierten Antiviren-Produkte von Trend Micro per Konsole verwaltet werden können. Aufgrund einer Sicherheitslücke in Zusammenhang mit der SQL-Datenbank können Angreifer SQL-Injektionen ausführen und so durch gezielte Abfragen Schadcode einschleusen. In diesem Fall beschreibt CWE-89 (Common Waekness Enumeration) eine unsachgemäße Neutralisation von speziellen Elementen in einem SQL-Befehl. Im Gegensatz zu einer herkömmlichen SQL-Injektion wird bei diesem Angriff nicht die Bedeutung einer Abfrage, sondern lediglich der Inhalt verändert. Ziel der Angreifer ist es, Daten auszuspähen, sie zu verändern, Denial-of-Service-Angriffe auszuführen oder den Server unter Kontrolle zu bekommen.
Laut US-CERT sind die Trend Micro Control Manager 5.5 und 6.0 anfällig. Für beide Produkte hat das Unternehmen bereits Sicherheits-Updates bereitgestellt.
So schützen Sie sich
Anwender von Trend Micro Control Manager Version 5.5 und 6.0 wird empfohlen, das Sicherheitsupdate zeitnah einzuspielen.
Anwender von Trend Micro Control Manager Version 5.5 und 6.0 wird empfohlen, das Sicherheitsupdate zeitnah einzuspielen.
Grundsätzlich ist eine Sicherheit nur über vertrauenswürdige Hosts und Netzwerke gewährleistet. Beachten Sie, dass eine Zugangsbeschränkung keine XSS-, CSRF- oder SQLI-Angriffe verhindern kann, wenn der Angriff als HTTP-Anfrage von einem legitimen Benutzer-Host kommt. Durch die Beschränkung des Zugangs wird einem Angreifer mit gestohlenen Anmeldedaten der Zugriff auf den Speicher des Trend Micro Control Managers Web-Interface verweigert.
Datenverarbeitung
Data Wrangler in Visual Studio Code - neues Tool zur Datenbearbeitung
Data Wrangler bietet Entwicklern und Datenanalysten fortschrittliche Möglichkeiten zur Datenansicht und -bereinigung direkt in der Entwicklungsumgebung.
>>
GigaTV Home Sound
Vodafone bringt eine TV-Box mit integrierten Lautsprechern
Bisher gab es bei Vodafone getrennte TV-Boxen für Kabel- und IPTV-Kunden. Die neue Generation von GigaTV bietet beide Zugänge, dazu kommt eine Version mit integrierten Lautsprechern.
>>
Identity First
Strategien gegen Identitätsdiebe
Digitale Identitäten stehen mittlerweile im Fokus der meisten Cyberattacken. Identity Threat Detection and Response (ITDR) soll davor schützen.
>>
MagentaTV One
Die Telekom erneuert ihre TV-Box
Die Telekom bringt die zweite Generation ihrer Box für das Streaming: Die MagentaTV One bietet mehr Leistung und eine überarbeitete Fernbedienung.
>>