Eine vor rund fünf Monaten entdeckte und vom Hersteller bestätigte Lücke im Online-Shop-System Magento ist nach wie vor ungepatcht. Der Sicherheitsforscher Bosko Stankovic von DefenseCode hat die Lücke im November 2016 entdeckt und an den Hersteller gemeldet. Der hatte sie daraufhin zwar bestätigt, aber nichts unternommen. Auf abermalige Nachfrage rührte sich Magento gar nicht mehr, daher hat Stankovic ein Advisory veröffentlicht, in dem er die Lücke sowie einen Workaround beschreibt (siehe ct.de/ygvg).

Auf weitere Anfragen von Kaspersky und PCWorld hat Magento inzwischen reagiert und versprochen, die Lücke mit dem nächsten Patch zu schließen. Wann der erscheinen soll, hat der Hersteller allerdings wiederum nicht verraten.

In der Standardkonfiguration ist die Lücke nur für Angreifer offen, die schon Zugriff auf das Shopsystem haben. Kritischer wird es, wenn Admins die Option „Secret Key zu URLs hinzufügen“ abschalten: Das macht Magento für Cross-Site-Request-Forgeries anfällig; der Angreifer muss dann bloß eingeloggte Besucher auf eine präparierte Webseite locken. (ghi@ct.de)

Brandschutz spielt in großen Unternehmen eine Rolle, oft aber nicht in kleinen Firmen: Hier steht der Server nicht im klimatisierten und überwachten Rechenzentrum, sondern meist einfach in einer Ecke. Für solche Anwendungsfälle baut der amerikanische Hersteller ioSafe das Servergehäuse Server 5, das die Daten vor Feuer und Überschwemmung schützen soll. Im Ernstfall beschützt das Gehäuse zumindest die Festplatten eine halbe Stunde lang vor Temperaturen bis zu 840 °C und 36 Stunden bei einer drei Meter hohen Überschwemmung. ioSafe empfiehlt deshalb, für den Notfall ein baugleiches Barebone einsatzbereit zu halten.

Der Server 5 arbeitet mit einem Intel-Xeon-Prozessor D-1520/1521 und 16 bis 128 GByte RAM; das Gehäuse fasst fünf 3,5-Zoll-Festplatten, die über einen RAID-Controller angesteuert werden. Für den Kontakt zum Netz stehen zwei 10-GBit-Ethernet-Ports bereit.

In der Grundkonfiguration ohne Festplatten mit 16 GByte kostet der Server 9500 Euro; für den Maximalausbau mit 128 GByte RAM, 30 TByte Festplattenplatz und Windows Server 2012 werden 18.000 Euro fällig. (ll@ct.de)

Mit dem Patchday vom 12. April hat Microsoft nicht nur wie üblich diverse Verwundbarkeiten in Windows, Edge & Co. behoben, sondern auch eine kritische Lücke in seinen Office-Produkten geschlossen, die bereits aktiv ausgenutzt wurde. Kurz zuvor tauchten gehäuft Word-Dokumente in Spam-Mails auf, deren bloßes Öffnen bereits Schadcode ausführen konnte.

Laut Sicherheitsforschern von McAfee wurden dabei nicht wie sonst üblich Makros ausgeführt, sondern Fehler in der OLE-Schnittstelle (Object Linking and Embedding) ausgenutzt. Mit ihr lassen sich etwa in Textdokumenten eingebettete Tabellen per Klick in Excel bearbeiten; in diesem Fall wird die Schnittstelle jedoch verwendet, um über ein HTML-Applikationsdokument (.hta) ein Visual-Basic-Skript auszuführen.

Betroffen sind laut Microsoft alle Office-Versionen; Sicherheits-Patches für die zur Zeit unterstützten Versionen (alles ab Office 2007) stehen via Windows Update bereit. Office-Nutzer sollten in den Windows-Update-Einstellungen sicherstellen, dass ihr Windows auf den Bezug von Updates für andere Microsoft-Produkte eingestellt ist. (des@ct.de)