Sicherheitsforscher veröffentlicht zwei Dutzend Zero-Days

1lluminate23

Lt. Commander
Registriert
Aug. 2018
Beiträge
1.602
Guten Morgen,

für interesierte, ein Anonymer Sicherheitsforscher veröffentlicht zwei Dutzend Zero-Days - so titelt es Heise-Security

Betroffen sollrn laut Heise folgendes sein:

Code:
7Zip 26.01 (Windows)
AnyDesk 9.7.6 (Windows)
c-ares
Docker Engine 29.6.0
FFmpeg: RASC-Decoder
Firefox 152.0.2 (Windows)
Floci 1.5.27 API Gateway
Flowise 3.1.2 / flowise-components 3.1.2
Ghidra 12.1.2
Gitea
ImageMagick 7.1.2-25 mit Ghostscript 10.07.1 (Windows)
libssh2 (PoC für CVE-2026-55200 sowie für neue Lücke unter Windows)
Lunar Client
MyBB 1.8.40
nghttp2 1.69.0
nmap
objdump
OpenVPN 3.11.3 sowie OpenVPN Connect für Windows 3.8.0
PHP 8.5.7
RustDesk
SystemInformer 4.0.26162.539 (Windows)
VLC 3.0.23 (Windows)
 
  • Gefällt mir
Reaktionen: CountSero, MoonTower und cosmo45
Löblich :) Da ich täglich auch Heise konsumiere war das schon registriert.

Davon abgesehen täglich: winget update ^^
 
  • Gefällt mir
Reaktionen: aragorn92 und 1lluminate23
Sicherheits'forscher'
 
Ich habe in der Meldung nichts gesehen, was den Begriff 'zero day' rechtfertigt.

Ein zero day ist das doch nur, wenn der Exploit bereits ausgenutzt wird...
 
Die aktuelle Version von Firefox ist aber nicht 152.0.2. Besteht die Lücke auch in den neueren Versionen?

Sehe ich jetzt erst mal als AI Slop zumal im Artikel steht, dass er selbst schreibt, manche sind eher Mist.
 
Auf solche Meldungen von einem "anonymen Sicherheitsforscher" ist wieviel verlass ?
 
Rickmer schrieb:
Ein zero day ist das doch nur, wenn der Exploit bereits ausgenutzt wird...
ohne jetzt zu googlen ist mein Verständnis, dass es einen Exploit gibt bevor es einen Patch für die Schwachstelle gibt. Ob jemand diesen Exploit nutzt oder nicht, sollte irrelevant für die Definition sein.

Und in dem Fall wurden wohl die Hersteller nicht vorher informiert.
 
  • Gefällt mir
Reaktionen: FJazzi
Ich schätze responsible disclosure wird langfristig an Bedeutung verlieren. Das Vorgehen des Unbekannten hier ist auch nichts neues sondern als Full Disclosure bekannt. Allein die Menge der Lücken macht es zu einer Meldung.

Responsible Disclosure war auch schon vor LLMs nicht unumstritten, einige Experten vertreten die Meinung dass das dazu führt dass der Anbieter/Entwickler/Hersteller sehr viel langsamer reagiert und Sicherheitslücken dadurch oft viele Monate länger bestehen bleiben als sie müssten.

Full Disclosure zu machen ist auch nicht verwerflich. Schließlich kriegt jeder gleichzeitig Zugriff auf die Information dass ein Problem existiert, auch betroffene Betreiber der Dienste. Böse wäre es die Lücke zu verheimlichen, nur in geschlossenen Foren/Discords/etc. zu verbreiten oder gar auf Marktplätzen zu verkaufen. Aber nach den Mitteilungswünschen des Entwicklers zu tanzen dazu ist keiner verpflichtet. Nett wäre es nur wenn man Workarounds um sich zu schützen (z.B. Konfigurationsänderungen) oder auch einen Patch gleich mit dazu veröffentlicht.

Beim Linux Kernel werden mit KI gefundene Sicherheitslücken auch sofort als öffentlich bekannt angesehen und entsprechend hält man Details/Patches nicht unter Embargo. Der Grund ist dass wenn einer die Lücke mit KI finden konnte, dann können andere das auch. Außerdem behalten einige KI-Anbieter auch die Chatlogs und werten diese aus. Wie viele Mitarbeiter da mitlesen und so von der Lücke erfahren weiß niemand.

Es nützt auch nichts nur eine Beschreibung der Lücke ohne Exploit zu veröffentlichen. Jede Beschreibung die präzise genug ist um den Fehler im Code zu beheben (oder gleich ein Patch der das tut) liefert 99% der Informationen die man braucht um die Lücke zu exploiten. Ein Exploit PoC kann dann sowieso jeder in Sekunden bis Minuten mit einem LLM generieren.

Außerdem sieht es so aus als ob der Unbekannte die Lücken zwar mit KI findet, die Ergebnisse aber von Hand auf GitHub pushed. Mutmaßlich findet da also schon noch eine Bewertung des Schweregrades statt. Vom schnellen Durchschauen würde ich auch sagen dass viele der Bugs nicht kritisch sind, oder sehr begrenzt in der Anwendbarkeit. Die richtige Apokalypse bleibt erstmal aus.

R4ID schrieb:
Auf solche Meldungen von einem "anonymen Sicherheitsforscher" ist wieviel verlass ?
Hä? Auf was muss man sich da verlassen? Der veröffentlicht direkt den Exploit Code für die Sicherheitslücken. Du kannst jetzt sofort die Scripte von ihm benutzen um entsprechende Dienste anzugreifen. Das ist ja genau der Aufhänger, dass er die Bugs eben an niemanden vorher meldet, sondern direkt Exploits veröffentlicht.
 
Marco01_809 schrieb:
Full Disclosure zu machen ist auch nicht verwerflich. Schließlich kriegt jeder gleichzeitig Zugriff auf die Information dass ein Problem existiert, auch betroffene Betreiber der Dienste.
Genau das ist ja das Problem. Der Personenkreis mit Kenntnis ist mit einem Schlag deutlichst erhöht und damit auch die Wahrscheinlichkeit von Angriffen.
Und nicht auf jedem Bug kann man zeitnah reagieren bzw. kriegt es auch nicht unbedingt mit. Lieschen Müller die keine IT-Nachrichten verfolgt und auch nicht das Know-How hat etwaige Workarounds umzusetzen, ist dadurch erst mal gefährdet.

Marco01_809 schrieb:
Responsible Disclosure war auch schon vor LLMs nicht unumstritten
Nicht unumstritten heißt aber eben auch umgekehrt, das es eben auch Argumente gibt, die dafür sprechen.

Marco01_809 schrieb:
einige Experten vertreten die Meinung dass das dazu führt dass der Anbieter/Entwickler/Hersteller sehr viel langsamer reagiert und Sicherheitslücken dadurch oft viele Monate länger bestehen bleiben als sie müssten.
Man muss meiner Meinung nach schon differenzieren.
Also klar gibts Hersteller die das ausnutzen. Nichtsdestotrotz lassen sich Patches ja nicht unbedingt immer zeitnah erstellen und verteilen.
Außerdem würde ich auch noch mal unterscheiden, ob es bei der Software um einen großen, finanzstarken Hersteller geht, dem man unterstellen kann gewisse Ressourcen zu haben (und den man ja sogar noch viel eher vorhalten kann den Fehler überhaupt erst eingebaut zu haben) oder ob man gerade dabei ist, nen kleinen, gutmeinenden Open-Source-Entwickler vor den Bus zu werfen.

Also ich finde auch, das man Responsible Disclosure kritisch gegenüber stehen kann und das nicht als so hoch gehalten werden sollte, wie das immer gemacht wird. Aber wenn man da schon drauf guckt, sollte man das dann doch differenzierter machen.
 
Zurück
Oben