Mastodon: zwei hoch gefährliche Schwachstellen entdeckt 

B2B Cyber Security ShortNews

Beitrag teilen

In seiner Reihe „Codeanalyse von Open Source Software“ (kurz CAOS) hat das BSI Software auf ihre Sicherheit untersucht. Bei der Twitter bzw. X-Alternative Mastodon hat sie zwei hoch gefährliche Schwachstellen entdeckt.

Das BSI hat bereit 2021 das Projekt „Codeanalyse von Open Source Software“ (kurz CAOS) ins Leben gerufen. Ziel des Projekts ist es, verschiedene Open Source Software einer Codeanalyse zu unterziehen. Dabei wird der Fokus auf Anwendersoftware gelegt, die vermehrt durch Behörden oder die Gesellschaft genutzt wird. Die Codeanalyse soll das Vertrauen in die Sicherheitseigenschaften des Produkts stärken und etwaige Zweifel an der Korrektheit der Funktionsbeschreibungen ausräumen.

Anzeige

Schwachstellen in Mastodon

In der Vergangenheit ist offenbar geworden, wie wichtig in der heutigen Zeit Kurznachrichtendienste sind. Viele Informationen werden über diese Schnittstelle zuerst verbreitet und erreichen unter Umständen eine sehr schnelle und hohe Verbreitung. Im Rahmen des Projektes CAOS 2.0 wurde daher Mastodon untersucht. Für das untersuchte System wurden Schwachstellen unterschiedlicher Kritikalität auf der Webseite https://cve.mitre.org veröffentlicht. Außerdem wurden während der Codeanalyse in Absprache mit den Entwicklern kritische CVEs bearbeitet und publiziert.

Die Anwendung weist zwei als hoch eingestufte Sicherheitslücken auf, mit denen ein Angreifer gezielt Benutzer und die Anwendung kompromittieren kann. In beiden Fällen geht es um Cross-Site-Scripting-Schwachstellen und die Möglichkeit für einen Angreifer, aus der Ferne über eine manipulierte Nutzlast vertrauliche Informationen zu erhalten. Es wurden dafür bereits zwei CVEs (Common Vulnerability Enumeration) registriert (CVE-2023-46950 und CVE-2023-46951) sowie nach den Regeln der „Responsible Disclosure“ Kontakt mit dem Entwicklungsteam aufgenommen. Diese werden dann bzw. haben schon die passenden Updates bereitgestellt.

Direkt zum PDF bei BSI.bund.de

 


Über das Bundesamt für Sicherheit in der Informationstechnik (BSI)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die Cyber-Sicherheitsbehörde des Bundes und Gestalter einer sicheren Digitalisierung in Deutschland. Das Leitbild: Das BSI als die Cyber-Sicherheitsbehörde des Bundes gestaltet Informationssicherheit in der Digitalisierung durch Prävention, Detektion und Reaktion für Staat, Wirtschaft und Gesellschaft.


 

Passende Artikel zum Thema

Eine Einschätzung zu DeepSeek

Da DeepSeek auf Open-Source aufbaut, kann es sowohl von kriminell motivierten Personen als auch neutralen Enthusiasten sondiert und erforscht werden. ➡ Weiterlesen

Endpoint-Security für Office-PCs mit Windows 10

Noch sind sie massenhaft in Unternehmen zu finden: Office-PCs mit Windows 10. Das AV-TEST Institut hat in seiner Windows-Testreihe nun ➡ Weiterlesen

Microsoft Patchday: Über 1.000 Sicherheitsupdates im Februar 2025  

Vom 6. bis 11. Februar hat Microsoft zum Patchday 1.212 Hinweise und Sicherheitsupdates für seine Services und Systeme bereitgestellt. Darunter ➡ Weiterlesen

Backdoor in Überwachungsmonitor als Schwachstelle eingestuft

Am 30. Januar veröffentlichte die US-amerikanische Cybersicherheitsbehörde CISA eine Warnung zu einer Backdoor in medizinischen Überwachungsmonitoren, die durch eine Benachrichtigung ➡ Weiterlesen

ENISA-Bericht: DoS-und DDoS-Angriffe auf Platz eins

ENISA, die Agentur für Cybersicherheit der EU, hat Cybervorfälle von 2023 bis 2024 analysiert. DDoS-Angriffe gehören mit über 40 Prozent ➡ Weiterlesen

Endpoint: Unternehmenslösungen im Test gegen Ransomware

Das AV-TEST Institut hat 8 Security-Lösungen für Unternehmen in einem erweiterten Test untersucht. Dabei stand nicht die massenhafte Erkennung von ➡ Weiterlesen

Cyberkriminelle: Skepsis gegenüber KI – Hoffnung bei DeepSeek

Eine Untersuchung von Sophos X-Ops in ausgewählten Cybercrime-Foren ergab, dass Bedrohungsakteure die KI nach wie vor nicht intensiv für ihre ➡ Weiterlesen

Report: Gemini wird von staatlichen Hackergruppen missbraucht 

Die Google Threat Intelligence Group (GTIG) zeigt in einem Bericht, dass besonders iranische, chinesische, nordkoreanische und russische Hackergruppen auf die ➡ Weiterlesen