Security-Alert

Microsoft hat Patches für sämtliche Windows-Versionen veröffentlicht, die die Root-Zertifikate von Diginotar entfernen. Etliche große Linux-Distributionen stellen entsprechende Updates bereit. Ein Patch für Mac OS X ist noch nicht verfügbar.

Die jüngst bekanntgewordene Sicherheitslücke im Apache-Web-Server ist geschlossen worden. Updates mit entsprechenden Bugfixes stehen zum Download bereit. Allerdings ist das Problem nicht ganz behoben, denn der Fehler betrifft auch das darunterliegende Protokoll.

Adobe hat einen Patch für den Flash Player veröffentlicht, um 13 gefährliche Sicherheitslöcher zu schließen. Angreifer können die Fehler im Flash Player dazu missbrauchen, beliebigen Programmcode auf fremden Systemen auszuführen.

Microsoft hat in diesem Monat 13 Patches veröffentlicht, um insgesamt 22 Sicherheitslücken zu beseitigen. Acht von ihnen können zur Schadcodeausführung missbraucht werden. Allein für die Windows-Plattform wurden acht Patches veröffentlicht.

Jan Schejbal hat erneut auf eine Sicherheitslücke beim elektronischen Personalausweis aufmerksam gemacht. Betrüger können über Webseiten Zugriff auf den ePerso erlangen und sich damit bei anderen Webseiten ausweisen, heißt es.

Ein Sicherheitsexperte hat auf der Black-Hat-Konferenz auf Sicherheitslücken bei Medizintechnik hingewiesen: Er konnte per Funk aus größerer Entfernung die Kontrolle über medizinische Geräte für Diabetespatienten übernehmen.

Im Webkit-Browser von Android befindet sich ein Sicherheitsloch, das für gefährliche Angriffe verwendet werden kann. Angreifer können Android-Anwendungen ohne Wissen des Nutzers installieren.

Auch im August 2011 schließt Microsoft in seinen Produkten 22 Sicherheitslücken. Bereits im Juli 2011 wurden Patches veröffentlicht, um ebenfalls 22 Sicherheitslecks in Microsofts Softwareprodukten zu korrigieren.

Eine Sicherheitslücke in dem Dienstprogramm Timthumb für Wordpress kann genutzt werden, um Wordpress-Blogs zu manipulieren. Der Entdecker der Sicherheitslücke stellt ein Patch zur Verfügung, der Entwickler will den Fehler korrigieren.

Nutzer des Mac-OS-X-Messengers Adium sollten genau hinsehen, wenn ihnen jemand eine Datei mit eigenartigem Namen schicken will. Wie Noptrix herausgefunden hat, kann die Software damit dazu gebracht werden, HTML- und Javascript-Code auszuführen.

Facebook hat nun ebenfalls ein Belohnungssystem für gefundene Sicherheitslücken eingerichtet. Die Konkurrenten StudiVZ und Google sowie die Mozilla Foundation bezahlen bereits seit längerem Prämien für direkt gemeldete Fälle.

ICQ hat über sein integriertes Update-System die kürzlich entdeckte XSS-Sicherheitslücke geschlossen. ICQ bestätigte, dass es sich um die von Levent Kayan beschriebene Schwachstelle handelte.

Die ICQ-Clients bis Version 7.5 können für einen Cross-Site-Scripting-Angriff genutzt werden. Über die Software kann ein Angreifer auf das darunterliegende Windows-System zugreifen.

Apple hat mit iOS 4.3.5 ein weiteres Firmwareupdate freigegeben. Damit wird nur wenige Tage nach dem Update auf iOS 4.3.4 eine weitere Sicherheitslücke geschlossen.

Sicherheitsexperte Charlie Miller hat eine Schwachstelle in Akkus von Apple entdeckt. Darüber ist es möglich, die Akkus in einen defekten Zustand zu versetzen. Die Darstellungen in einigen US-Medien über die Auswirkungen sind jedoch übertrieben, stellt Miller per Twitter klar.

Oracle hat zu seinem Patchday teils kritische Sicherheitslücken in zahlreichen Produkten repariert, darunter in seiner Datenbank Oracle Database und dem Application Server 10.

Der kürzlich erschienene VLC Media Player 1.1.11 beseitigt zwei Sicherheitslücken. Außerdem gab es einige Verbesserungen unter Windows und Mac OS X.

Skype arbeitet an der Beseitigung einer kürzlich in Skype für Windows entdeckten Sicherheitslücke. Mittels der Cross-Site-Scripting-Schwachstelle (XSS) könnten Angreifer Nutzerprofile zum Aufruf von schadhaften Webseiten oder Schadcode verwenden.

Eine offensichtlich in Schleswig-Holstein ansässige Gruppe hat die Webpräsenz des SPD-Landesvorsitzenden Ralf Stegner verändert. Damit wollte sie auf Sicherheitslücken aufmerksam machen.

Eine neue Version von iOS behebt einen Sicherheitsmangel bei Apples Mobilgeräten. Allerdings verschließt sie auch die Möglichkeit zu einem Jailbreak.

Der Bluetooth-Stack in Windows Vista und 7 weist ein gefährliches Sicherheitsloch auf, für das Microsoft nun einen Patch veröffentlicht hat. Darüber hinaus werden mit drei Patches 20 weitere Sicherheitslecks in Windows sowie eine gefährliche Sicherheitslücke in Microsofts Office-Paket beseitigt.

Diesen Monat nimmt sich Microsoft 22 Sicherheitslücken in Windows und Office vor. Drei Patches sind für die Windows-Plattform vorgesehen, einen Patch gibt es für die Office-Suite.

Über eine Sicherheitslücke im FTP-Server Vsftpd erhalten Benutzer Zugriff auf eine Shell. Die Hintertür wurde in den Quellcode von Vsftpd 2.3.4 eingeschleust. Der Benutzername für die Hintertür ist ein Smiley.

Dropbox hat seine AGB verändert: Sie sollen jetzt verständlicher und transparenter sein. An seinen Sicherheitsrichtlinien hat der Dienst aber nichts geändert. Nach wie vor bleibt die Verwaltung der Schlüssel bei Dropbox.

Microsoft kommt in Sachen 3D im Web nicht an WebGL vorbei, sagt Avi Bar-Zeev, der als Principal Architect bei Microsoft arbeitet. Die von Microsoft geäußerten Sicherheitsbedenken zu WebGL müsse Microsoft als Herausforderung annehmen und nicht davor weglaufen.

Bei Dropbox war es für kurze Zeit möglich, sich in beliebige Useraccounts ohne korrektes Passwort einzuloggen. Mittlerweile wurde der Fehler im Authentifizierungssystem beseitigt.

Eine Sicherheitslücke im Internet Explorer wird aktiv ausgenutzt. In dieser Woche hat Microsoft einen Patch für den Internet Explorer veröffentlicht, um diesen und zehn weitere Fehler im Browser zu beseitigen.

Microsoft wird WebGL nicht unterstützen. Der 3D-Standard fürs Web sei nicht sicher und werde sich als Quelle schwer zu schließender Sicherheitslücken entpuppen.

Die Twitter-API gewährt Anwendungen offenbar seit längerem Vollzugriff auf Direktnachrichten. Hingewiesen darauf wurde bisher nirgends. Mit einer veränderten Authentifizierungsseite ändert sich das - und viele Nutzer stellen mit Erschrecken fest, dass ihre Twitter-Tools mehr dürfen als erwartet.

Microsoft hat wie angekündigt 16 Patches veröffentlicht, um insgesamt 34 Sicherheitslecks zu beseitigen. Besonders viele Fehler betreffen die Windows-Plattform Office sowie den Internet Explorer.

Zahlreiche Adobe-Programme auf verschiedenen Plattformen sind jetzt durch ein Sicherheitsupdate gegen mögliche Angriffe gewappnet. Flash-Nutzer sollten eiligst ihren Flash Player aktualisieren. Es gibt bereits Angriffe, die eine Sicherheitslücke ausnutzen.

Ein Sicherheitsexperte hat eine Lücke auf meineschufa.de gefunden. Die Schufa erklärte jedoch, dass personenbezogene Daten nicht betroffen seien.

Diesen Monat muss Microsoft 34 Sicherheitslecks in seinen Softwareprodukten schließen. Sicherheitslücken finden sich in Windows, in Office, im Internet Explorer, in Visual Studio, in Silverlight, im SQL Server sowie im Forefront Threat Management Gateway.

Mozilla wird die Nutzung von Cross-Domain-Texturen in WebGL in Firefox 5 deaktivieren. Texturen können dann aus Sicherheitsgründen nicht mehr von externen Seiten geladen werden.

Die US-Bank Citigroup hat eine Sicherheitslücke bestätigt: Unbekannte haben sich Zugang zu einem System der Bank verschafft und konnten Daten von Kreditkartenkunden einsehen.

Oracles Java Runtime Environment ist in einer neuen Version veröffentlicht worden. Zahlreiche Sicherheitsmängel wurden beseitigt, so dass Anwender möglichst bald die neue Version nutzen sollten.

Eine Sicherheitslücke in der Open-Source-Cloud Eucalyptus lässt die Übernahme fremder Clouds per Soap-Befehlen zu. Die Lücke wurde inzwischen in Eucalyptus 2.0.3 geschlossen.

Auch bei Blizzard passieren Datenpannen: Ein Teaser zur Erweiterung von Starcraft 2 ist offenbar vorzeitig im Internet aufgetaucht. Die gerenderten Sequenzen aus Heart of the Swarn drehen sich in erster Linie um Kerrigan.

Mit Opera 11.11 beseitigt der norwegische Browserhersteller Opera einige Fehler in seinem aktuellen Desktopbrowser. Auch eine kritische Sicherheitslücke wird beseitigt.

Ein bekannter Sicherheitsexperte hat die FTC gebeten, die Sicherheitsversprechen von Dropbox zu überprüfen. Der Onlinespeicherdienst soll die Dateien seiner Kunden nicht so schützen, wie es bis vor kurzem noch versprochen wurde.

Google bestreitet, dass das Sicherheitskonzept von Chrome ausgehebelt wurde. Die Sicherheitsexperten von Vupen hätten lediglich eine Sicherheitslücke im mitgelieferten Flash-Plugin gefunden, teilt Google mit. Vupen widerspricht dem.

Adobe hat seinen Flash Player in der Version 10.3 für Windows, Linux und Mac OS sowie für Android veröffentlicht. Auch eine neue Version des Flash Player Incubator gibt es, eine Vorschau auf kommende Techniken, die in Flash integriert werden.

Die Mac-Version von Microsofts Office-Software erhält mal wieder keinen Patch, so dass die darin gefundenen Sicherheitslücken weiter ausgenutzt werden können. Es gibt keine Informationen dazu, wann der ausstehende Patch erscheinen wird.