Schwachstellen in populären Anwendungen entdeckt
secuvera GmbH

Schwachstellen in populären Anwendungen entdeckt

ID: 2117356

Studie zeigt Klartextspeicherung sensibler Daten



(PresseBox) - In einer aktuellen Studie, die im Rahmen der internen Labdays von secuvera GmbH durchgeführt wurde, haben Sicherheitsexperten eine schwerwiegende Schwachstelle in verschiedenen sicherheitsrelevanten Anwendungen identifiziert. Die Untersuchung ergab, dass sensible Informationen wie Passwörter und Anmeldeinformationen auch nach dem Abmelden von Benutzern weiterhin im Klartext im Prozessspeicher verbleiben und somit für potentielle Angreifer leicht zugänglich sind.

Diese Schwachstelle, klassifiziert als CWE-316: Cleartext Storage of Sensitive Information in Memory, betrifft eine Vielzahl von Anwendungen, darunter VPN-Clients und Passwortmanager. Besonders kritisch ist die Entdeckung in Anwendungen, die explizit zum Schutz von Benutzerinformationen entwickelt wurden.

Ergebnisse der Untersuchung

Im Rahmen der Studie wurden verschiedene Anwendungen unter realistischen Bedingungen getestet. Zu den getesteten Programmen gehörten unter anderem OpenVPN, CyberGhost VPN, Mullvad, 1Password und BitWarden. Dabei wurde analysiert, ob sensible Informationen wie Passwörter und andere Anmeldeinformationen nach der Abmeldung eines Benutzers weiterhin im Prozessspeicher vorhanden waren. Ein Anbieter - bei dem besonders viele kritische Informationen auffindbar waren - verbot die Veröffentlichung des Namens oder Details.

Die Ergebnisse sind spannend: In vielen der getesteten Anwendungen wurden nach dem Abmelden immer noch Klartextdaten im Speicher gefunden, die von Malware oder einem lokalen Angreifer ausgelesen werden könnten. Besonders überraschend ist die Tatsache, dass selbst in Passwortmanagern, die eigentlich dazu dienen, Passwörter sicher zu speichern, Informationen wie Masterpasswörter und gespeicherte Passwörter im Klartext verbleiben.

Details finden Sie in unserem Blogartikel.

Reaktion der Hersteller

Die betroffenen Hersteller wurden umgehend über die Ergebnisse der Studie informiert. Während einige Hersteller, wie CyberGhost VPN, die Schwachstellen anerkannt haben und bereits Sicherheitsupdates veröffentlicht haben, blieben andere Hersteller bisher untätig oder lehnten es ab, die Schwachstellen zu beheben.



Verantwortungsvolle Offenlegung

In Übereinstimmung mit der Responsible Disclosure Policy der secuvera GmbH wurden alle Schwachstellen den Herstellern mitgeteilt, um ihnen die Möglichkeit zu geben, die Probleme zu beheben, bevor sie öffentlich gemacht werden. Für einige Produkte stehen bereits Patches zur Verfügung, während andere noch in der Entwicklung sind.

secuvera bietet Informationssicherheitsexpertise in den drei Feldern

- Informationssicherheitsmanagementsysteme (BSI-Grundschutz/ISO 27001),

- Penetrationstests und Webanwendungsanalysen sowie

- Produktprüfungen nach Common Criteria und IEC 62443 (Industrial Security).

secuvera ist vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizierter IT-Sicherheitsdienstleister für IS-Revision/Grundschutz und Penetrationstests, sowie BSI-Prüfstelle.

Weitere Infos zu dieser Pressemeldung:
https://www.pressebox.de/newsroom/secuvera-gmbh

Unternehmensinformation / Kurzprofil:

secuvera bietet Informationssicherheitsexpertise in den drei Feldern
- Informationssicherheitsmanagementsysteme (BSI-Grundschutz/ISO 27001),
- Penetrationstests und Webanwendungsanalysen sowie
- Produktprüfungen nach Common Criteria und IEC 62443 (Industrial Security).
secuvera ist vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizierter IT-Sicherheitsdienstleister für IS-Revision/Grundschutz und Penetrationstests, sowie BSI-Prüfstelle.



drucken  als PDF  Domainhacks mit Ad-Domains So funktioniert der digitale Personalausweis - Verbraucherinformation der ERGO Versicherung
Bereitgestellt von Benutzer: PresseBox
Datum: 12.08.2024 - 06:05 Uhr
Sprache: Deutsch
News-ID 2117356
Anzahl Zeichen: 3236

Kontakt-Informationen:
Ansprechpartner: Tobias Glemser
Stadt:

Gäufelden/Stuttgart


Telefon: 07032/9758-15

Kategorie:

New Media & Software



Diese Pressemitteilung wurde bisher 280 mal aufgerufen.

Juristisches zu dieser Pressemitteilung

Die Pressemitteilung mit dem Titel:
"Schwachstellen in populären Anwendungen entdeckt"
steht unter der journalistisch-redaktionellen Verantwortung von

secuvera GmbH (Nachricht senden)

Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).

PresseMitteilung löschen Pressemitteilung ändern PresseMitteilung beanstanden
Weitere Mitteilungen von secuvera GmbH
MB connect line erhält ISO-27001-Zertifizierung – secuvera begleitet Einführung des ISMS und den Zertifizierungsprozess ...
Die MB connect line GmbH, Anbieter von Lösungen für die sichere Fernwartung industrieller Anlagen, hat ihr Informationssicherheitsmanagementsystem (ISMS) erfolgreich nach ISO/IEC 27001 zertifizieren lassen. Bei der Einführung des ISMS und im Zertifizierungsprozess wurde das Unternehmen durch die

Medizinprodukt„WundFit“ erfolgreich nach BSI TR-03161 zertifiziert – Sicherheitsprüfung durch secuvera ...
Die noch beim BfArM zuzulassende Digitale Gesundheitsanwendung (DiGA) „WundFit“ zur Unterstützung der chronischen Wundversorgung wurde erfolgreich nach der Technischen Richtlinie BSI TR-03161 zertifiziert. Hersteller der Anwendung ist die 4L Health GmbH. Die technische Umsetzung verantwortete d

BSI-TR-03161-Zertifizierung für DiGA „kontina“ – Sicherheitsprüfung durch secuvera ...
Die digitale Gesundheitsanwendung (DiGA) „kontina“ hat die Zertifizierung nach BSI TR-03161 erhalten. Die sicherheitstechnische Evaluierung erfolgte durch die secuvera GmbH als vom Bundesamt für Sicherheit in der Informationstechnik (BSI) anerkannte Prüfstelle. Die Anwendung wird von der APOGE


Weitere Mitteilungen von secuvera GmbH


Aktuelle Mitteilungen aus der Kategorie: New Media & Software
Domainhacks mit Ad-Domains ...
Domainhacks sind eine besonders kreative Methode, um einprägsame und attraktive Domainnamen zu erstellen. Dabei wird die Endung der Domain als Bestandteil eines Namens oder Begriffs genutzt. Die TLD .ad, ursprünglich für Andorra gedacht, eignet sich hervorragend für solche Hacks, insbesondere in

Checkmarx-Studie: 99% der Entwickler-Teams nutzen KI, um Code zu generieren, 80% befürchten, dass KI-generierter Code ein Sicherheitsrisiko darstellt ...
PARAMUS, N.J. - 6. August 2024 - Checkmarx, der Marktführer im Bereich Cloud-native Application Security für Unternehmen, hat den neuen Report Sieben Schritte zur sicheren Nutzung generativer KI in der Application Security veröffentlicht. Der Bericht analysiert die wichtigsten Bedenken, die Verwe

WORTMANN AG begrüßt 28 neue Auszubildende ...
Mit insgesamt 97 Azubis in sieben Ausbildungsberufen ist die WORTMANN AG ein Unternehmen mit einer deutschlandweit beispielhaften Ausbildungsquote von rund 20 Prozent. Der IT-Hersteller begrüßte am 1. August diesen Jahres 28 neue Auszubildende. „Wir setzen weiterhin auf eine qualitativ hochwerti

Warum KI-Projekte nicht über den Start hinausgehen ...
Viele Unternehmen beschäftigen sich bereits mit generativer KI (Gen-AI) und versuchen, damit die Produktivität zu steigern und die Benutzererfahrung zu verbessern. Fast drei Viertel der Unternehmen haben laut Accenture Künstliche Intelligenz zu ihrer obersten digitalen Investitionspriorität für


 

Werbung



Sponsoren

foodir.org The food directory für Deutschland
News zu Snacks finden Sie auf Snackeo.
Informationen für Feinsnacker finden Sie hier.

Firmenverzeichniss

Firmen die firmenpresse für ihre Pressearbeit erfolgreich nutzen
1 2 3 4 5 6 7 8 9 A B C D E F G H I J K L M N O P Q R S T U V W X Y Z