Security Alert: Kritische Lücken bei Windows und WordPress

Sofortiges Handeln erforderlich

Microsoft Windows hat eine schwere Sicherheitslücke im IPv6-Netzwerkstack. Diese Schwachstelle betrifft alle Windows-Versionen, mutmaßlich rückwirkend bis Windows Vista. Diese Sicherheitslücke erlaubt es einem Angreifer, ein System nur durch das Übersenden eines präparierten Datenpaketes über das Netzwerk zu übernehmen und beliebigen Code darauf auszuführen. Dazu ist anders als bei anderen Sicherheitslücken keine Interaktion durch den Anwender erforderlich. Fachleute sprechen hier von einer „Zero Click“-Lücke. Diese gehört zu den gefährlichsten Sicherheitslücken, die es gibt. 

„Zum aktuellen Zeitpunkt gibt es keinen Workaround, abgesehen vom Deaktivieren von IPv6“, sagt Tim Berghoff, Security Evangelist bei der G DATA CyberDefense AG. „Eine Lösung ist das jedoch auch nicht. Diese besteht ausschließlich in der Installation eines Patches.“ 

GiveWP maximal angreifbar
Im Wordpress-Plugin „GiveWP“ ermöglicht eine Sicherheitslücke, sowohl beliebigen Code auf dem Serversystem auszuführen als auch Daten beliebig zu löschen. Diese Sicherheitslücke hat den Höchstwert von 10 auf der CVE-Kritikalitätsskala. Wenn ein Angreifer diese Sicherheitslücke nutzt, kann er die Webseite nach Belieben vom Netz nehmen, verändern und auch persönliche Daten exponieren. Auch hier ist keine Interaktion eines Wordpress-Administrators erforderlich; das Ausnutzen der Schwachstelle ist ohne Authentifizierung möglich. Ein Update, das die Sicherheitslücke schließt, steht zur Verfügung und sollte schnellstmöglich installiert werden. 

Weitere Informationen finden Sie hier im G DATA Security Blog.