Details zur neuen PHP-Lücke
Stefan Esser hat einen Fehlerbericht zu der vergangene Woche gemeldeten Lücke in PHP veröffentlicht, der weitere Details enthält. Demnach lässt sich der Integer Overflow in der Funktion ecalloc() der ZendEngine1 über bestimmte Nutzerdaten provozieren, die mit der PHP-Funktion unserialize() verarbeitet werden. Unter anderem nutzen PHP-Applikationen wie phpBB2, Invision Board, vBulletin, Serendipity diese Funktion, da sie Cookies über diese Funktion in ein eigenes Format übertragen. Ein Angreifer könnte etwa mit präparierten Cookies seinen Code einschleusen und mit den Rechten der Anwendung ausführen. Esser hat nach eigenen Angaben einen Proof-of-Concept-Exploit entwickelt, der eingeschleusten Shellcode startet. Eine ähnliche Lücke in unserialize() gab es bereits Ende 2004.
Kurze URL:
Das könnte Dich auch interessieren:
Ein Cyberkrimineller hat rund 49 Millionen Kundendatensätze von Dell abgegriffen. Möglich gewesen ist ihm dies über eine unzureichend geschützte API eines Partnerportals.
Nachdem etliche Besitzer ihrer Cybertrucks beschossen und angezündet haben, zerlegt jetzt einer das Elektroauto komplett.
Ähnliche News:
Samsung Galaxy S23 FE: Details zum günstigen Spitzengerät geleakt
Neue Details zu Samsung Galaxy S24 Ultra
Apple: Neue Beta von Vision OS verrät Details zu Optic ID
Leaks verraten Details zu Apples kommenden M3-Prozessoren
Alle Details zu Samsung Galaxy Fold 5 und Flip 5 geleakt
Leak verrät alle Details zum Pixel Fold vor I/O
Netflix veröffentlicht Details zum kommenden Passwort-Sharing-Verbot
UFO-Bericht des Pentagon: Neue Details zur berühmten Tic-Tac-Sichtung
Größe und Akku: Dokumente verraten Details zu Samsung Galaxy S23
Blizzard nennt Details zum Start von Diablo 4
Neue Details zu Samsung Galaxy S24 Ultra
Apple: Neue Beta von Vision OS verrät Details zu Optic ID
Leaks verraten Details zu Apples kommenden M3-Prozessoren
Alle Details zu Samsung Galaxy Fold 5 und Flip 5 geleakt
Leak verrät alle Details zum Pixel Fold vor I/O
Netflix veröffentlicht Details zum kommenden Passwort-Sharing-Verbot
UFO-Bericht des Pentagon: Neue Details zur berühmten Tic-Tac-Sichtung
Größe und Akku: Dokumente verraten Details zu Samsung Galaxy S23
Blizzard nennt Details zum Start von Diablo 4
Weitere News:
HVO100: Klimaschonender Diesel geht in Deutschland an den Start
Gaming-Router Archer C5400X von TP-Link anfällig für Schadcodeausführung
Die RTX 5090 soll zum Titan-Ersatz werden
Update entfernt Cortana-App und WordPad App, die seit 30 Jahren Teil von Windows war
EU-Pläne: Bestellen auf Temu und Shein soll ab 2025 teurer werden
Neues Material ist lichtdurchlässiger als Glas, aber nicht durchsichtig
Copilot-Plus-PC: Microsoft Recall läuft auch ohne NPU
Cyberangriff kostet Kyivstar bisher rund 83 Millionen Euro
MSI zeigt Desktop-Mainboard mit CAMM2
Studie: ChatGPT 4 schlägt professionelle Finanzanalysten
Gaming-Router Archer C5400X von TP-Link anfällig für Schadcodeausführung
Die RTX 5090 soll zum Titan-Ersatz werden
Update entfernt Cortana-App und WordPad App, die seit 30 Jahren Teil von Windows war
EU-Pläne: Bestellen auf Temu und Shein soll ab 2025 teurer werden
Neues Material ist lichtdurchlässiger als Glas, aber nicht durchsichtig
Copilot-Plus-PC: Microsoft Recall läuft auch ohne NPU
Cyberangriff kostet Kyivstar bisher rund 83 Millionen Euro
MSI zeigt Desktop-Mainboard mit CAMM2
Studie: ChatGPT 4 schlägt professionelle Finanzanalysten
Einen Kommentar schreiben
Kommentare
Bitte bleibe sachlich und fair in deinen Äußerungen. Sollte dein Kommentar nicht sofort erscheinen, ist er in der Warteschlange gelandet und wird meist zeitnah freigeschaltet.
(0)
Bitte bleibe sachlich und fair in deinen Äußerungen. Sollte dein Kommentar nicht sofort erscheinen, ist er in der Warteschlange gelandet und wird meist zeitnah freigeschaltet.
Kommentare:
Du hast bereits für diesen
Kommentar angestimmt...
;-)
© by Ress Design Group, 2001 - 2024