Mehrere Sicherheitsspezialisten berichten von einem Sicherheitsproblem in Opera. Mit einer falschen Angabe in einem HTTP-Header können Angreifer einen Pufferüberlauf hervorrufen, mit dem sie beliebigen Code auf dem betroffenen System ausführen können. Bestätigt ist die Lücke laut Secunia für die neueste Version von Opera, 10.50 unter Windows. Außerdem könnten laut Secunia auch andere Versionen des Browsers betroffen sein.
quelle : heise.de, Hier klicken um den ganzen Artikel zu lesen.
Am Dienstag findet der allmonatliche Microsoft Patch-Day statt. Nachdem im vergangenen Monat 26 Schwachstellen aus der Welt geschafft wurden, wird der Softwarekonzern in diesem Monat lediglich zwei Sicherheitslücken schließen.
Zwei Updates für Microsoft Office und Windows werden am nächsten Dienstag erscheinen. Die Microsoft-Entwickler stufen diese Schwachstellen als “wichtig” ein. Beim Patch-Day in diesem Monat wird keine als “kritisch” eingestufte Lücke geschlossen.
….
Eine Anfang dieser Woche bekannt gewordene Schwachstelle im Internet Explorer wird im Zuge dieses Patch-Days noch nicht geschlossen.
quelle : winfuture.de
Microsoft hat eine Sicherheitslücke im Internet Explorer unter Windows XP bestätigt, durch die Angreifer ein System kompromittieren können. Die Lücke beruht laut Bericht auf der Möglichkeit der VBScript-Funktion MsgBox, beliebige Hilfe-Dateien (.hlp) von Netzwerkfreigaben nachzuladen und mit darin enthaltenen Makros beliebige Befehle auszuführen. Allerdings ist ein wenig Nutzerinteraktion notwendig: Der Anwender muss zur Bestätigung die F1-Taste drücken. Ob dies im Zweifel einen Anwender in der Praxis vor einer Infektion seines PCs bewahrt, ist fraglich – der Text der kleinen Message-Box könnte ihn durchaus dazu verleiten.
In einem kurzen Test der heise-Security-Redaktion öffnete ein Demo-Exploit auf einem vollständig gepatchten “Windows XP SP3″-System mit Internet Explorer 8 den Taschenrechner. Kriminelle könnten mit anderen Befehlen Schadcode nachladen und starten.
quelle : heise.de
Adobe warnt vor einer kritischen Sicherheitslücke in den Anwendungen Flash Player und Reader. Für das bekannte Browser-Plug-In steht bereits eine aktualisierte Version zur Verfügung, der Patch für den Reader erscheint nächste Woche.
Laut dem Security Bulletin APSB10-06 sind von der Flash-Lücke alle Versionen bis einschließlich 10.0.42.34 betroffen. Man empfiehlt allen Nutzern umgehend die Installation des Flash-Players 10.0.45.2. Auch in Adobe AIR ist das Problem aufgetaucht. Hier sollte die neue Version 1.5.3.1930 so schnell wie möglich installiert werden.
quelle : winfuture.de, Hier klicken um den vollen Artikel zu lesen.
Am kommenden Dienstag ist wieder Patch-Day bei Microsoft. Stolze 26 Sicherheitslücken will der Konzern aus Redmond an diesem Tag schließen, darunter auch ein 17 Jahre altes Problem unter Windows.
Insgesamt 13 Security Bulletins sind geplant, von denen fünf als kritisch eingestuft werden. 11 davon adressieren Probleme in Windows, die restlichen zwei beschäftigen sich mit Office. Dabei sind allerdings nur ältere Versionen betroffen. Das aktuelle Office 2007 sowie Office 2008 für den Mac werden kein Update erhalten.
Auch die im Januar entdeckte Sicherheitslücke in allen 32Bit-Versionen von Windows, die bereits seit 17 Jahren existiert, wird gestopft. Die Sicherheitslücke befindet sich in der 1993 eingeführten Virtual DOS Machine (VDM), mit der 16Bit-Anwendungen ausgeführt werden können.
achdem Microsoft in der letzten Woche eine kritische Sicherheitslücke im Internet Explorer außerplanmäßig gepatcht hat, steht bereits das nächste Problem an. Ein Sicherheitsexperte hat neue Lücken entdeckt, die für Angriffe ausgenutzt werden können.
Die Sicherheitsexperten von Core Security Technologies haben bekannt gegeben, dass sie eine Reihe von Sicherheitslücken entdeckt haben, die kombiniert werden können, um aus der Ferne Zugriff auf einen Rechner zu erhalten. “Es gibt drei oder vier Wege diese Attacke auszuführen”, sagte Jorge Luis Alvarez Medina von Core Security gegenüber ‘Reuters’.
quelle : winfuture.de, Hier klicken um den vollen Artikel zu lesen.
Bei dem Notfall-Update für den Internet Explorer handelt es sich um einen Sammel-Patch, der insgesamt gleich acht verschiedene Sicherheitslücken entschärfen soll. Die sicherlich wichtigste ist der Fehler in der Speicherverwaltung, der für gezielte Einbrüche bei Firmen wie Google ausgenutzt wurde und zu dem passender Exploit-Code auch bereits im Internet kursiert.
Darüber hinaus behebt Microsoft mindestens vier weitere Probleme, für die demnächst wohl Schadcode auftauchen wird.
Die Sicherheitsprobleme betreffen alle Versionen des Internet Explorer auf allen Windows-Versionen, einschließlich Internet Explorer 8 auf Windows 7.
quelle : heise.de, Hier klicken um den vollen Artikel zu lesen.
Während noch alle Welt von Lücken im Internet Explorer und Flash redet, beseitigt Adobe schnell mal eben und ohne Vorwarnung zwei kritische Sicherheitslücken in Shockwave, über die Angreifer Code einschleusen und ausführen könnten. Betroffen sind sowohl die Windows als auch die Mac-Versionen von Shockwave bis einschließlich 11.5.2.602.
Die Fehler wurden offenbar von Sicherheitsexperten bei Secunia entdeckt , die das Problem als “höchst kritisch” einstufen. Als Update-Prozedur empfiehlt der Hersteller, zunächst die alte Version zu deinstallieren, den Rechner neu zu starten und dann erst die neue Version 11.5.6.606 einzuspielen.
quelle : heise.de, Hier klicken um den vollen Artikel zu lesen.
Die Typo3-Entwicker haben die Versionen 4.3.1 und 4.2.11 ihrer quelloffenen CMS-Software veröffentlicht, die zahlreiche Fehler korrigieren. In Version 4.3.1 haben die Entwickler zudem eine Sicherheitslücke in der OpenID -Erweiterung geschlossen, die in Standard-Installationen jedoch deaktiviert ist.
Durch die Lücke kann ein Angreifer die Authentifizierung austricksen und sich mit den Rechten eines anderen Nutzers am CMS anmelden, indem er eine andere Identität vortäuscht.
quelle : heise.de, Hier klicken um den vollen Artikel zu lesen.
Sicherheitsexperten haben bei der Online-Community von Ruf-Jugendreisen ein Datenleck entdeckt, über das personenbezogene Details von etwa 50.000 Benutzerkonten offen zugänglich waren. Entsprechende Hinweise auf mehrere Sicherheitslücken sind den Bloggern von Netzpolitik.org nach eigenen Angaben vor einer Woche zugespielt worden. Der Reiseveranstalter sei daraufhin kontaktiert und mit allen relevanten Informationen zu den ausgemachten Angriffsstellen und einer Datenbank-Kopie versorgt worden.
Das Unternehmen habe sofort reagiert und die mit der Firmen-Homepage verlinkte Community-Seite noch in der Nacht zum Samstag vom Netz genommen. Das Forum ist derzeit noch immer offline. Ruf beklagte gemäß den Bloggern, dass bei den Angriffen “in großem Umfang Daten manipuliert wurden” und der Firma “somit ein nicht unerheblicher wirtschaftlicher Schaden zugefügt wurde”.
quelle : heise.de, Hier klicken um den vollen Artikel zu lesen.
Lade ...
Ban liste fuer Wordpress