Es geht weiter mit der Beschreibung der gefährlichsten Schwachstellen in den
Geräten des IoT. Auf der Liste der
Top IoT Vulnerabilities
von OWASP steht auf Platz 1 das
"Insecure Web Interface".
Die ersten dort aufgeführten Schwachstellen werden auf der Liste der OWASP
Top 10 der Webschwachstellen unter dem Punkt
A1, Injection
zusammengefasst. Einen Teil davon habe ich bereits im
ersten Teil
behandelt: SQL Injection, LDAP Injection und XPath Injection. In dieser
Folge geht es um die fehlenden Schwachstellen bzw. Angriffe.
Zur Zeit laufen Angriffe mit einem
0-Day-Exploit
auf die Windows-Version des TorBrowsers, die auch gegen den ihm zu Grunde
liegenden Firefox funktionieren. Die Firefox-Entwickler
kennen
die
Schwachstelle
mit der CVE-ID
CVE-2016-9079
seit dem
29. November,
und inzwischen wurden Updates für
Firefox
und
TorBrowser
veröffentlicht.
Sie sollten die Updates schnellstmöglich installieren, bevor die
Cyberkriminellen anfangen, den Exploit im großen Maßstab
für Drive-by-Infektionen einzusetzen.