Details zur neuen PHP-Lücke
Stefan Esser hat einen Fehlerbericht zu der vergangene Woche gemeldeten Lücke in PHP veröffentlicht, der weitere Details enthält. Demnach lässt sich der Integer Overflow in der Funktion ecalloc() der ZendEngine1 über bestimmte Nutzerdaten provozieren, die mit der PHP-Funktion unserialize() verarbeitet werden. Unter anderem nutzen PHP-Applikationen wie phpBB2, Invision Board, vBulletin, Serendipity diese Funktion, da sie Cookies über diese Funktion in ein eigenes Format übertragen. Ein Angreifer könnte etwa mit präparierten Cookies seinen Code einschleusen und mit den Rechten der Anwendung ausführen. Esser hat nach eigenen Angaben einen Proof-of-Concept-Exploit entwickelt, der eingeschleusten Shellcode startet. Eine ähnliche Lücke in unserialize() gab es bereits Ende 2004.
Kurze URL:
Das könnte Dich auch interessieren:
Nachdem etliche Besitzer ihrer Cybertrucks beschossen und angezündet haben, zerlegt jetzt einer das Elektroauto komplett.
Die anstehende "Fan Edition" soll ein Kompromiss zwischen Mittelklasse und High-End-Gerät werden.
Ähnliche News:
Neue Details zu Samsung Galaxy S24 Ultra
Apple: Neue Beta von Vision OS verrät Details zu Optic ID
Leaks verraten Details zu Apples kommenden M3-Prozessoren
Alle Details zu Samsung Galaxy Fold 5 und Flip 5 geleakt
Leak verrät alle Details zum Pixel Fold vor I/O
Netflix veröffentlicht Details zum kommenden Passwort-Sharing-Verbot
UFO-Bericht des Pentagon: Neue Details zur berühmten Tic-Tac-Sichtung
Größe und Akku: Dokumente verraten Details zu Samsung Galaxy S23
Blizzard nennt Details zum Start von Diablo 4
Samsung Galaxy S23: Details zu Launch-Event verraten
Apple: Neue Beta von Vision OS verrät Details zu Optic ID
Leaks verraten Details zu Apples kommenden M3-Prozessoren
Alle Details zu Samsung Galaxy Fold 5 und Flip 5 geleakt
Leak verrät alle Details zum Pixel Fold vor I/O
Netflix veröffentlicht Details zum kommenden Passwort-Sharing-Verbot
UFO-Bericht des Pentagon: Neue Details zur berühmten Tic-Tac-Sichtung
Größe und Akku: Dokumente verraten Details zu Samsung Galaxy S23
Blizzard nennt Details zum Start von Diablo 4
Samsung Galaxy S23: Details zu Launch-Event verraten
Weitere News:
Nächster Boeing-Whistleblower berichtet über schwere Mängel
Apple soll kurz vor Vereinbarung mit OpenAI stehen
Paypal: Betrüger nutzen Hilfsbereitschaft aus
OpenAI will Erstellung von KI-Pornografie prüfen
Apple entschuldigt sich für Werbespot
Microsoft will KI-Prompts mit Copilot-Update vereinfachen
Neuralink räumt Problem mit implantiertem Gehirn-Chip ein
Dell markiert Beschäftigte farblich nach ihrer Anwesenheit
So formuliert man einen guten Prompt für KI-Chatbots
Das 25 Jahre alte Nokia 3210 ist zurück
Apple soll kurz vor Vereinbarung mit OpenAI stehen
Paypal: Betrüger nutzen Hilfsbereitschaft aus
OpenAI will Erstellung von KI-Pornografie prüfen
Apple entschuldigt sich für Werbespot
Microsoft will KI-Prompts mit Copilot-Update vereinfachen
Neuralink räumt Problem mit implantiertem Gehirn-Chip ein
Dell markiert Beschäftigte farblich nach ihrer Anwesenheit
So formuliert man einen guten Prompt für KI-Chatbots
Das 25 Jahre alte Nokia 3210 ist zurück
Einen Kommentar schreiben
Kommentare
Bitte bleibe sachlich und fair in deinen Äußerungen. Sollte dein Kommentar nicht sofort erscheinen, ist er in der Warteschlange gelandet und wird meist zeitnah freigeschaltet.
(0)
Bitte bleibe sachlich und fair in deinen Äußerungen. Sollte dein Kommentar nicht sofort erscheinen, ist er in der Warteschlange gelandet und wird meist zeitnah freigeschaltet.
Kommentare:
Du hast bereits für diesen
Kommentar angestimmt...
;-)
© by Ress Design Group, 2001 - 2024