Das Plug-in "ScoutNet Kalender" für WordPress bindet Termine aus dem ScoutNet-Kalender ein. Dabei werden eingebundene Inhalte im Standard-Template nicht bereinigt, sodass hier ein Cross-Site Scripting möglich ist.
SySS IT-Sicherheitsexperte Matthias Deeg fand im Rahmen eines Forschungsprojekts neben Schwachstellen in drahtlosen Eingabegeräten wie Funktastaturen, Funkmäusen und Wireless Presentern auch eine Sicherheitsschwachstelle in einem weiteren Gerätetyp, nämlich einem drahtlosen Barcode-Scanner mit proprietärer 2,4 GHz-Funkkommunikation.
SySS IT-Sicherheitsexperte Matthias Deeg fand im Rahmen eines Forschungsprojekts zu drahtlosen Eingabegeräten (siehe auch 1 und 2) drei Sicherheitsschwachstellen im Fujitsu Wireless Keyboard Set LX390.
Im Jira-Plug-in "In-App & Desktop Notification" wurden mehrere Sicherheitslücken identifiziert. Nutzer dieses Plug-ins sollten die vom Hersteller bereitgestellten Updates installieren.
Bei einer Sicherheitsanalyse der drei Bluetooth-Eingabegeräte Microsoft Designer Bluetooth Desktop, Microsoft Surface Keyboard (WS2-00005) und Microsoft Surface Mouse (WS3-00002) stellte SySS IT-Sicherheitsexperte Matthias Deeg fest, dass ein Angreifer mit kurzzeitigem physischen Zugriff auf diese Eingabegeräte den Flash-Speicher des verwendeten Bluetooth System-on-a-Chip (SoC) nRF51822 sowohl lesen als auch schreiben kann, da dieser nur unzureichend vor einem solchen unautorisierten Zugriff geschützt ist.
Bei der Untersuchung eines homee Brain Cubes v2 der Stuttgarter Firma homee GmbH stellte sich heraus, dass der Bootloader nicht gegen unberechtigte Zugriffe geschützt ist.
Im Rahmen von weiteren Untersuchungen der ABUS Secvest Funkalarmanlage (siehe auch Neue Schwachstellen in ABUS Secvest Funkalarmanlage [SYSS-2018-034, SYSS-2018-035, SYSS-2018-036] und Weitere Schwachstelle in ABUS Secvest Funkalarmanlage [SYSS-2019-005]) stellte Thomas Detert fest, dass sich die Funkübertragung zwischen der Zentraleinheit und verschiedenen Komponenten wie Sensoren oder Funkfernbedienungen durch einen Angreifer stören lässt, ohne dass die entsprechende Sicherheitsfunktion zur Erkennung solcher Angriffe (Jamming Detection) ausgelöst wird.
Der Remote Admin-Webserver des FANUC Robotics Virtual Robot Controller kann missbraucht werden, um über das Netzwerk bösartigen Code auf dem Serversystem auszuführen oder Dateiinhalte preiszugeben.
Bei der Analyse eines WolfVision Cynap-Systems für Präsentationen und Zusammenarbeit fand SySS IT-Sicherheitsexperte Manuel Stotz eine Sicherheitsschwachstelle, welche die "Passwort vergessen"-Funktion für den administrativen Zugang der Webschnittstelle betrifft.
Bei der Untersuchung von VoIP-Telefonen des deutschen Herstellers innovaphone AG entdeckte IT Security Consultant Moritz Abrell eine Schwachstelle bei der Authentifizierung von kritischen Funktionen.
09.08.2022
Secu7: Phishing Awareness
11.08.2022
- 14.08.2022
SySS auf der DEF CON in Las Vegas
13.09.2022
- 15.09.2022
Hack3: Angriffe auf Windows-basierte Netzwerke
14.09.2022
Secu6: IT-Sicherheit kennenlernen
Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de | IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99
Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer
Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de
IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99
Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer
Direkter Kontakt
+49 (0)7071 - 40 78 56-0 oder anfrage@syss.de
IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN
+49 (0)7071 - 40 78 56-99
Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer