Aktuelles, Experten - geschrieben von cp am Montag, August 15, 2011 22:37 - noch keine Kommentare
Veraltete osCommerce-Versionen mit Sicherheitslücken: BSI warnt vor Angriffen auf Online-Shops
Sicherheitslücken vom Hersteller im November 2010 geschlossen – Update dringend empfohlen
[datensicherheit.de, 15.08.2011] Beobachtungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) zufolge nutzten Angreifer derzeit verstärkt mehrere Sicherheitslücken in veralteten Versionen des Online-Shop-Systems „osCommerce“ aus, um auf diesem System basierende Web-Präsenzen zu manipulieren:
Die Angreifer fügten demnach unter Ausnutzung der Sicherheitslücken schädlichen Code auf dem Shop-Server ein, welcher auf sogenannte „Drive-by-Exploits“ verweise. Beim Besuch eines so manipulierten Online-Shops werde automatisiert versucht, verschiedene Schwachstellen im Web-Browser, im Betriebssystem oder anderer auf dem PC des Besuchers der Website installierter Anwendungssoftware auszunutzen, um unbemerkt ein Schadprogramm auf dem PC des Nutzers zu installieren.
Nach Erkenntnissen des BSI seien inzwischen mehrere tausend Online-Shops weltweit betroffen, darunter auch viele deutschsprachige. Die von den Angreifern für die Manipulationen ausgenutzten Sicherheitslücken seien bereits in der vom Hersteller im November 2010 veröffentlichten Version „osCommerce 2.3“ geschlossen worden – viele Online-Shops setzten jedoch immer noch ältere Versionen ein. In der Fachpresse wurde bereits Ende Juli 2011 über diese Angriffe berichtet. Beobachtungen des BSI zufolge hätten Betreiber von Online-Shops bislang jedoch nur teilweise reagiert und Manipulationen behoben sowie ein Update der eingesetzten „osCommerce“-Software durchgeführt. Das BSI weist daher aus diesem Anlass auf den akuten Handlungsbedarf hin – Anbieter sollten ihr Shop-System überprüfen und aktualisieren.
Das BSI rät konkret Betreibern von Online-Shops auf Basis von „osCommerce“, den Versionsstand der eingesetzten Shop-Software zu überprüfen und ggf. ein Update auf die aktuellen Versionen 2.3.1 bzw. 3.0.2 durchzuführen. Die aktuellen Versionen stehen auf der „osCommerce“-Website online zum Download bereit. Anwender älterer Versionen sollten den Shop-Server dringend auf mögliche Manipulationen überprüfen, rät das BSI. Internet-Nutzern empfiehlt das BSI zudem, zum Schutz vor Infektionen ihres Rechners mit Schadprogrammen über „Drive-by-Exploits“ auf die regelmäßige Aktualisierung der Signaturen des eingesetzten Antiviren-Schutzprogrammes zu achten und zeitnah alle jeweils verfügbaren Sicherheitsupdates für das Betriebssystem und Anwendungssoftware zu installieren.
Weitere Informationen zum Thema:
Aktuelles, Experten, Veranstaltungen - Jul 27, 2024 0:58 - noch keine Kommentare
ULD-Sommerakademie 2024 in Kiel: Digitale Datenräume und Archive im Fokus
weitere Beiträge in Experten
- NIS-2-Umsetzungsfrist bis 18. Oktober 2024: eco warnt vor unzureichender Vorbereitung deutscher Unternehmen
- KI-Verordnung tritt am 1. August 2024 in Kraft
- Cyber-Resilienz – potenzielle Bedrohungen proaktiv erkennen und IT-Notfallplan vorbereiten
- CrowdStrike: Ein IT-Update und es wackelt die ganze Welt
- IT-Sicherheitsupdate sorgt für Chaos: eco kommentiert weltweite technische Probleme vom 19. Juli 2024
Aktuelles, Branche, Veranstaltungen - Jul 27, 2024 0:46 - noch keine Kommentare
Schutz persönlicher Daten: SOPHOS lädt zu Web-Seminar mit der Ethischen Hackerin Rachel Tobac ein
weitere Beiträge in Branche
- Job-Betrug in Sozialen Medien: Tipps zum Erkennen auf den ersten Blick
- Robuste Sicherheitspraktiken notwendig: CrowdStrike-Vorfall hat IT-Schwachstellen enthüllt
- Warnung von Kaspersky: Botnets bereits ab 99 US-Dollar im Darknet erhältlich
- Melissa Bischoping benennt Lehren aus dem CrowdStrike-Ausfall
- Crowdstrike-Vorfall als Weckruf für ganzheitliche digitale Sicherheit
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren