32 Sicherheitslücken in Chromium gefixt

Posted on by

Kleine Abschweifung in RHEL:

32 Sicherheitslücken in Chromium-Browser gefixt

Wie man einem Update aus dem RHEL Security Newsletter entnehmen kann, wurden im Chromiumbrowser 32 Sicherheitslücken in einem Rutsch gefixt. Da einige davon Pufferüberläufe waren, sollte man umgehend updaten, auch wenn man nicht bei RHEL ist, da hier typischerweise RCE Lücken schlummern können, sprich:  Jemand kann aus der Ferne Code ausführen. Das bedeutet nicht, daß es so ist, aber i.d.R.  ist das eine Grundvoraussetzung dafür.  Für drei habe ich die Bewertung mal rausgesucht, wer selbst mehr wissen will, kann die  CVE Nummer einfach bei Google eingeben und landet dann hier:

https://nvd.nist.gov/vuln/detail/CVE-2020-6513

Einfach die Nummer am Ende mit der gewünschten ersetzen und man bekommt auch diese Info.

Security Fix(es):

* chromium-browser: Heap buffer overflow in background fetch (CVE-2020-6510) (Score: 7.8 )
* chromium-browser: Side-channel information leakage in content security policy (CVE-2020-6511) (Score: 6.5)
* chromium-browser: Type Confusion in V8 (CVE-2020-6512)
* chromium-browser: Heap buffer overflow in PDFium (CVE-2020-6513) (Score: 8.8)
* chromium-browser: Inappropriate implementation in WebRTC (CVE-2020-6514)
* chromium-browser: Use after free in tab strip (CVE-2020-6515)
* chromium-browser: Policy bypass in CORS (CVE-2020-6516)
* chromium-browser: Heap buffer overflow in history (CVE-2020-6517)
* chromium-browser: Use after free in SCTP (CVE-2020-6532)
* chromium-browser: Type Confusion in V8 (CVE-2020-6537)
* chromium-browser: Inappropriate implementation in WebView (CVE-2020-6538)
* chromium-browser: Use after free in CSS (CVE-2020-6539)
* chromium-browser: Heap buffer overflow in Skia (CVE-2020-6540)
* chromium-browser: Use after free in WebUSB (CVE-2020-6541)
* chromium-browser: Use after free in developer tools (CVE-2020-6518)
* chromium-browser: Policy bypass in CSP (CVE-2020-6519)
* chromium-browser: Heap buffer overflow in Skia (CVE-2020-6520)
* chromium-browser: Side-channel information leakage in autofill (CVE-2020-6521)
* chromium-browser: Inappropriate implementation in external protocol handlers (CVE-2020-6522)
* chromium-browser: Out of bounds write in Skia (CVE-2020-6523)
* chromium-browser: Heap buffer overflow in WebAudio (CVE-2020-6524)
* chromium-browser: Heap buffer overflow in Skia (CVE-2020-6525)
* chromium-browser: Inappropriate implementation in iframe sandbox (CVE-2020-6526)
* chromium-browser: Insufficient policy enforcement in CSP (CVE-2020-6527)
* chromium-browser: Incorrect security UI in basic auth (CVE-2020-6528)
* chromium-browser: Inappropriate implementation in WebRTC (CVE-2020-6529)
* chromium-browser: Out of bounds memory access in developer tools (CVE-2020-6530)
* chromium-browser: Side-channel information leakage in scroll to text (CVE-2020-6531)
* chromium-browser: Type Confusion in V8 (CVE-2020-6533)
* chromium-browser: Heap buffer overflow in WebRTC (CVE-2020-6534)
* chromium-browser: Insufficient data validation in WebUI (CVE-2020-6535)
* chromium-browser: Incorrect security UI in PWAs (CVE-2020-6536)

Für Fedora steht dieses Update leider noch aus, da Chromium-Freeworld von RPMFusion kommt und „chromium“, was aus dem Fedora Repo kommt, vom Maintainer noch nicht gebaut wurde. Ich hab die mal beide angestupst, mal sehen was passiert 😉

Spam: „Der Administrator hat Ihnen „…

Posted on by

Wer diese Betreffzeile in seiner Post sieht, kann gleich auf Löschen klicken:

„Der Administrator hat Ihnen Zugriff auf die Site gewährt. Ihr Login qscfCR…“

Geschickt wird z.Z. dieser Spam:

Steigende Marktpreise bedeuten, dass Sie jetzt eine große Chance haben, Geld zu verdienen,
aber stellen Sie sicher, dass Sie schnell investieren, um nichts zu verpassen.

Klicken Sie hier und registrieren Sie sich, um noch heute mit dem Handel zu beginnen.

Worauf warten Sie noch? Investieren und verdienen Sie noch heute.

Mit freundlichen Grüßen und Hoffnung auf eine fruchtbare Zusammenarbeit,
Amrei Winzer

derzeit von gehackten Servern bei OVH. Einfach weg damit. Die Links in der Spam habe ich natürlich entfernt, nicht das da noch wer unabsichtlich draufklickt 😉

Einfach weg damit“ ist übrigens auch genau das Motto für Emails, die angeblich von Roundcube kommen und dreist nach Username und Kennwort fragen, so geschehen mit „info@ssl-roundcube.tk“ . Roundcube ist das Problem bekannt, aber da Roundcube nur die Programme, nicht aber die Konten zur Verfügung stellt, ist es also zu 100% sicher, angebliche Mails von Roundcube Domains direkt zu löschen.

CoronaChroniken: Wieso hört man nicht auf die Experten?

Posted on by

Liebe Maskierte,

wieso hören Leute eigentlich lieber auf Politiker und Verschwörungshansel, als auf die Experten und deren nackte Tatsachen?

CoronaChroniken: Wieso hört man nicht auf die Experten?

Wir suchen doch alle nach Wahrheiten, daher lasst uns doch die nehmen, die wir unumstößlich zur Hand haben:

Die Medizinproduktüberwacher sagen: Masken sind nicht sicher (nutzen im Zweifel nichts).
Die Arbeitsmediziner können sich „denken“, daß Masken helfen könnten.
Das RKI meldet eine stagnierende Verstorbenenanzahl ( auch wenn die überzogen ist ).
Forscher melden nahezu jeden Tag Durchbrüche bei Impfstoffen.

Falls es noch einer weiteren Aussage einer Bundesbehörde bedarf, dann lassen wir jetzt das Statistische Bundesamt mal zu Wort kommen:

7. August 2020 – Um die Frage zu beantworten, ob COVID-19 zu einer Übersterblichkeit führt, beobachten wir anhand einer Sonderauswertung die vorläufigen Sterbefallzahlen in Deutschland. Im Moment sind die Zahlen bis zum 12. Juli 2020 darstellbar. Im März 2020 ist bei einer monatsweisen Betrachtung kein auffälliger Anstieg der Sterbefallzahlen im Vergleich zu den Vorjahren erkennbar. Im April lagen die Sterbefallzahlen allerdings deutlich über dem Durchschnitt der Vorjahre; seit Anfang Mai bewegen sich die Sterbefallzahlen wieder etwa im Durchschnitt.

Quelle: http://www.destatis.de – Kontextinformationen Gesellschaft

und wie sieht das aus? So :

Beim Vergleich mit bekannten Grafiken denkt bitte daran, oben ist nur der 1.4. – 12.7. zusehen:

Probleme beim Einordnen der Grafiken?

Ok, dann meine Interpretation davon:

Mitte Juni hatten wir den Tönnies Ausbruch mit ~2.400 Infizierten und trotzdem fallen die Sterbezahlen zwei Wochen später weiter ab. Da wir aus der Lancetstudie wissen, das nach dem Ausbruch bei einem schweren Verlauf die Patienten bis zum Tod im Schnitt 12,8 Tage im Krankenhaus leben, bedeutet das IMHO, daß beim Tönnieszwischenfall nicht mehr Menschen gestorben sind, also sowieso in der Zeit gestorben wären.

Das war auch gar nicht zu erwarten, weil die Stadt Krefeld dazu geschrieben hat, daß von den ~2.400 getesteten nur 34 überhaupt ins Krankenhaus mußten und davon 8 auf der Intensivstation lagen. Bei 20% Mortabilität von Intensivpatienten bei Infektionskrankheiten wären das 1,6 Menschen gewesen, halbe Menschen gehen nicht, also 2. Die zwei würde man in der Statistik nicht bemerken, weil die im Grundrauschen der Sterbefälle der Bundesrepublik (oben) untergehen.

Warum ist das wichtig?

Weil Grundrauschen meint, daß es nichts auffälliges gibt. Nichts auffälliges meint, keine Gefahr für die Allgemeinheit. Es gibt also keinen Grund mehr für weitere Schutzmaßnahmen, das Gegenteil ist der Fall, wir können erst einmal beruhigt aufatmen. Mehr Infizierte meint eben nicht automatisch auch mehr Tote wie man oben sehen kann!