Security-Alert

Fehler im Dateibetrachter von Lotus-1-2-3-Dateien. IBM hat einen Sicherheits-Patch für Lotus Notes veröffentlicht, um eine gefährliche Sicherheitslücke zu schließen. Angreifer können über manipulierte Lotus-1-2-3-Dateien beliebigen Programmcode einschleusen und ausführen, um sich so eine umfassende Kontrolle über ein befallenes System zu verschaffen.

Aktuelle Firefox-Version bringt keine neuen Funktionen. Mit einem Update auf die Version 2.0.0.10 von Firefox schließen die Macher drei als wichtig eingestufte Sicherheitslecks in dem Browser. Damit soll die Stabilität und Zuverlässigkeit von Firefox verbessert werden. Neue Funktionen sind in der aktuellen Version nicht zu finden.

Fehler in Windows Shell erlaubt Codeausführung. Zum November-Patch-Day beseitigt Microsoft die so genannte URI-Lücke in Windows XP, die diverse Applikationen wie Firefox und Outlook betrifft und von deren Entwicklern zum Teil notdürftig geflickt wurde, doch der eigentliche Fehler steckt im Betriebssystem. URIs für bestimmte Protokolle wie "mailto:" lassen sich nutzen, um eine Applikation auf dem System des Nutzers zu öffnen, je nach angegebener Datei-Endung.

Zahlreiche Sicherheitslücken geschlossen. Die neue PHP-Version 5.2.5 beseitigt nicht nur Fehler, sondern bringt auch einige kleinere Verbesserungen mit. Insgesamt wurden 60 Bugs beseitigt und damit auch einige Sicherheitslücken geschlossen.

Microsoft kommender Patch-Day am 13. November 2007. Im November 2007 will Microsoft zwei Sicherheits-Patches für Windows veröffentlichen. Während der eine Patch das Ausführen von Schadcode unterbinden soll, kümmert sich der andere Patch um Spoofing-Angriffe. Nähere Details dazu liegen bislang nicht vor.

Probleme können auch andere PDF-Betrachter betreffen. In dem freien PDF-Betrachter Xpdf wurden abermals Sicherheitslücken entdeckt, die Angreifer ausnutzen können, um Programmcode auszuführen. Betroffen sind unter Umständen auch andere Programme, ein Patch für Xpdf ist allerdings schon verfügbar.

Microsoft bestätigt Fehler, Macrovision liefert bereits einen Patch. Vor knapp drei Wochen wurde ein Sicherheitsloch in Windows XP und Windows Server 2003 bekannt, das eigentlich in einem Kopierschutztreiber von Macrovision steckt. Nach mehreren Wochen hat Microsoft die Existenz des Sicherheitslecks bestätigt, Macrovision bietet hingegen bereits einen Patch, der den Fehler korrigiert.

QuickTime 7.3 schließt gefährliche Sicherheitslöcher. Apple hat QuickTime sowie iTunes neu aufgelegt. Während iTunes für den europäischen Marktstart des iPhones bereitgemacht wurde, korrigiert QuickTime 7.3 zahlreiche gefährliche Sicherheitslücken. Außerdem wurde die Zusammenarbeit mit dem iPhone verbessert und es gab noch etliche Fehlerkorrekturen in QuickTime.

Pufferüberlauf in Bibliothek kann Benutzerrechte erhöhen. Ein bisher noch nicht gestopftes Sicherheitsloch kann bei vielen Windows-Installationen zu Problemen führen. Laut Angaben von Symantec existiert für den Fehler bereits ein Exploit, der auch in freier Wildbahn gesichtet worden sei. Betroffen ist jedoch kein Code von Microsoft, der Fehler steckt in einer Datei des Kopierschutzherstellers Macrovision.

Aktuelle Version schließt zahlreiche Sicherheitslecks. Der auf Firefox aufsetzende Browser Camino schließt mit der Version 1.5.2 verschiedene Sicherheitslücken und beseitigt einige Programmfehler. Damit soll der speziell auf MacOS X zugeschnittene Browser zuverlässiger und stabiler zu Werke gehen. Neue Funktionen liefert die aktuelle Version nicht.

Insgesamt beseitigt Firefox 2.0.0.8 acht Sicherheitslöcher. Das Mozilla-Team hat Firefox in der Version 2.0.0.8 veröffentlicht, um insgesamt acht Sicherheitslücken in dem Browser zu beseitigen. Zwei Sicherheitslecks werden als gefährlich eingestuft, weil sich darüber einerseits beliebiger Code ausführen lässt und sich andererseits die Nutzerrechte erweitern lassen.

Neu aufgelegter Patch erhältlich. Der Hacker mit dem Pseudonym KJK::Hyperion hatte einen inoffiziellen Patch veröffentlicht, um ein Sicherheitsleck bei der Verarbeitung von URLs und URIs in Windows zu schließen. Wie der Hacker selbst eingesteht, weist der Patch einen schweren Fehler auf. Ein aktualisierter Patch steht bereits zur Verfügung.

Angreifer können Schadcode ausführen. Der Web-Browser Opera weist verschiedene Sicherheitslecks auf, die mit einer neuen Version nun geschlossen werden. Ein Sicherheitsleck kann zum Ausführen beliebiger Programmcodes missbraucht werden, so dass sich Angreifer eine umfassende Kontrolle über ein fremdes System verschaffen können.

Sicherheitsleck macht Windows-XP-Systeme anfällig für Angriffe. Für das in der vergangenen Woche von Microsoft eingestandene Sicherheitsloch im Internet Explorer 7 steht nun ein inoffizieller Patch bereit. Dieser wurde aber bislang kaum getestet, so dass dieser nicht im Produktiveinsatz verwendet werden sollte. Wann Microsoft das Sicherheitsleck schließen wird, ist nicht bekannt.

Angreifer können schadhaften Code ausführen. Kurz nach dem diesmonatigen Patch-Day weist Microsoft auf ein offenes Sicherheitsloch in Windows hin. Angreifer können über eine manipulierte URL beliebigen Schadcode ausführen und sich so eine umfassende Kontrolle über ein fremdes System verschaffen. Noch gibt es keinen Patch von Microsoft.

Patches für PageMaker, Illustrator und GoLive erschienen. Adobe hat bekannt gegeben, dass PageMaker, Illustrator und GoLive jeweils gefährliche Sicherheitslücken aufweisen, worüber Angreifer beliebigen Programmcode ausführen können. Für alle drei Produkte stehen passende Korrekturen bereit, um diese Sicherheitslöcher zu stopfen.

Auch ein schweres Sicherheitsloch in Word entdeckt. Am Patch-Day für den Monat Oktober 2007 hat Microsoft insgesamt sechs Patches veröffentlicht. Diese korrigieren zwei Fehler in Windows und beseitigen ein Sicherheitsloch in Outlook Express bzw. in Windows Mail. Mit einem Sammel-Patch werden gleich drei Sicherheitslecks im Internet Explorer geschlossen und ein gefährliches Sicherheitsloch steckt in der Textverarbeitung Word.

Microsoft schließt gefährliche Sicherheitslücken. Für den Oktober 2007 hat Microsoft insgesamt sieben Sicherheits-Patches in Aussicht gestellt. Vier davon schließen gefährliche Sicherheitslücken in Windows und Office, worüber Angreifer beliebigen Programmcode ausführen können. Drei weitere Patches für Windows und Office werden als weniger bedrohlich eingestuft.

Drei Sicherheitslücken in Java Runtime Environment. Sun schließt mit einem Update gleich drei Sicherheitslücken im Java Runtime Environment (JRE). Eine der Sicherheitslöcher kann unter bestimmten Umständen zum Ausführen von Programmcode missbraucht werden.

Patch für QuickTime verfügbar. In Apples QuickTime steckt ein Sicherheitsloch, das nur die Windows-Plattform betrifft. Dort können Angreifer beliebigen Programmcode ausführen und sich eine umfassende Kontrolle über ein fremdes System verschaffen.

Python-Code lässt sich in Dom0 ausführen. Eine Sicherheitslücke in der Virtualisierungssoftware Xen ermöglicht dem Root-Nutzer einer virtuellen Maschine, beliebigen Python-Programmcode in der privilegierten Xen-Domäne auszuführen. Da verschiedene kommerzielle Virtualisierungslösungen auf Xen basieren, können diese auch betroffen sein.

Kein Schaden für Nutzer bekannt. Google hat nach eigenen Angaben das jüngst in Gmail alias Google Mail bekannt gewordene Sicherheitsloch geschlossen. Bislang soll das Sicherheitsleck nicht aktiv ausgenutzt worden sein.

Angreifer legen eigene Filterregeln in Google Mail an. In Google Mail alias Gmail wurde ein Sicherheitsleck entdeckt, über das Angreifer beliebige E-Mails mitlesen können. Angreifer schleusen dazu spezielle Filtereinstellungen in Googles E-Mail-Dienst ein, indem Opfer lediglich zum Besuch einer präparierten Webseite verleitet werden müssen, während sie zugleich bei Gmail angemeldet sind.

Angreifer sollen Windows-System kompromittieren können. Der Blogger Petko Petkov will eine kritische Lücke im Adobe Reader entdeckt haben, durch die sich beim Öffnen eines PDF-Dokumentes ein Windows-System kompromittieren lässt. Nähere Details veröffentlichte Petkov jedoch noch nicht.

Großteil der Produktpalette betroffen. VMware hat in seinen Virtualisierungsprogrammen ESX Server, Server, Workstation, ACE und Player kritische Sicherheitslücken geschlossen. Durch die Fehler ist es Angreifern unter anderem möglich, aus der virtuellen Maschine herauszuschlüpfen und Programmcode auf dem Host-System auszuführen.

Zu Grunde liegendes Problem soll schon länger bekannt sein. Eine neue Version des Browsers Firefox schließt die kürzlich entdeckte Sicherheitslücke, die im Zusammenspiel mit QuickTime auftritt. Über eine manipulierte QuickTime-Datei können Angreifer so JavaScript in Firefox ausführen.

Angreifer kann beliebigen Code ausführen. In Firefox wurde eine Sicherheitslücke entdeckt, die sich im Zusammenspiel mit QuickTime bemerkbar macht. Über eine präparierte QuickTime-Datei kann ein Angreifer beliebigen JavaScript-Code innerhalb von Firefox ausführen und sich im schlimmsten Fall eine umfassende Kontrolle über den betreffenden Rechner verschaffen.

Ein Security Bulletin weniger als angekündigt. Aus den fünf angekündigten Security Bulletins für den Patch-Day im September 2007 sind nun nur vier geworden. Microsoft hatte sich kurzfristig entschlossen, eines der fünf Security Bulletins noch nicht zu veröffentlichen. Somit korrigiert Microsoft in diesem Monat Fehler im Windows Live Messenger, in Windows und Visual Studio. Drei der Sicherheitslecks können zur Ausführung von Programmcode missbraucht werden.

Fehler in Windows, Windows Live Messenger und Visual Studio. Im September 2007 veröffentlicht Microsoft am allmonatlichen Patch-Day insgesamt fünf Updates, die mindestens fünf Sicherheitslücken schließen sollen. Drei Patches betreffen Windows, während ein Patch Korrekturen an Visual Studio sowie dem MSN Messenger und dem Windows Live Messenger vornimmt.

Sicherheitslücke im Anti-Spam-Modul des E-Mail-Servers. In dem Anti-Spam-Modul Policyd steckt eine Sicherheitslücke, durch die sich E-Mail-Server lahm legen lassen. Unter Umständen sollen Angreifer so auch Programmcode auf dem Mail Transfer Agent ausführen können. Eine bereinigte Version ist bereits verfügbar.

Neue Version beseitigt rund 120 Fehler. Eine höhere Stabilität soll PHP mit der Version 5.2.4 bringen, die heute erschien. Rund 120 Fehler wurden dabei beseitigt, einige darunter beseitigen Sicherheitslücken in der freien Scriptsprache.

Sicherheitslücke auf Paket-Server entdeckt. Das Gentoo-Projekt hat mehrere Server abgeschaltet, nachdem auf dem Paketserver eine Command-Injection-Sicherheitslücke gefunden wurde. Acht Server werden nun untersucht, die Pakete sollen jedoch nicht verändert worden sein.

Community-Server mussten vom Netz genommen werden. Fünf der acht von Canonical gestifteten Ubuntu-Community-Server mussten abgeschaltet werden, da sie geknackt wurden und aktiv andere Server angriffen. Die Administratoren sollen über einen längeren Zeitraum keine Sicherheits-Updates eingespielt haben.

Opera erlaubt Ausführung von fremdem Code. Mit Hilfe von "Jesse's JavaScript compiler/decompiler fuzzer" konnte der norwegische Entwickler Opera in seinem gleichnamigen Webbrowser einige Fehler aufdecken, die zu einem Absturz führen. Einer der Fehler lässt sich sogar für die Ausführung von fremdem Code ausnutzen.

Updates für Windows, Office (for Mac), VirtualPC und den Windows Media-Player. Sechs "kritische" und drei "wichtige" Sicherheits-Updates hat Microsoft zum August-Patchday veröffentlicht. Beseitigt werden vor allem Fehler in Windows und Office, einschließlich Office for Mac.

Am 14. August 2007 ist Patchday. Für den Patchday am 14. August 2007 kündigte Microsoft jetzt insgesamt neun Security Bulletins an, sechs davon fallen in die Kategorie "kritisch".

Mozilla-Entwickler stopfen URI-Lücke in Browser-Suite. Nachdem die Mozilla-Entwickler die URI-Sicherheitslücke im Zusammenspiel zwischen Firefox bzw. Thunderbird und dem Internet Explorer 7 eingedämmt haben, steht nun auch das entsprechende Update für die Browser-Suite SeaMonkey bereit. Dritte können die Lücke ausnutzen, um Programme auf fremden Rechnern zu starten.

Mozilla-Entwickler stopfen URI-Lücke auch in ihrem E-Mail-Client. Nachdem die Mozilla-Entwickler die URI-Lücke im Zusammenspiel zwischen Firefox und Internet Explorer 7 eindämmten, folgt nun auch ein entsprechendes Update für den E-Mail-Client Thunderbird. Die Sicherheitslücke erlaubt es Dritten, Applikationen auf fremden Rechnern zu starten und ist nicht auf die Mozilla-Produkte beschränkt.

Security Update 2007-007 für MacOS X 10.4.10 veröffentlicht. Apple hat ein erstes Update für sein iPhone veröffentlicht. Dieses schließt allerdings nur einige Sicherheitslücken, neue Funktionen bringt es nicht mit. Gleiches gilt für ein Patch-Paket für MacOS X das ebenfalls erschienen ist. Zudem wurde eine neue Beta-Version des Browsers Safari 3 für MacOS X und Windows veröffentlicht.

Weitere Programme von Fehler betroffen. Der freie PDF-Betrachter Xpdf enthält eine kritische Sicherheitslücke, durch die Angreifer Programmcode auf einem System ausführen können. Da andere Projekte den Xpdf-Code nutzen, sind beispielsweise auch KDE und CUPS von dem Fehler betroffen.

Windows XP mit Internet Explorer 7 gefährdet. Eine Sicherheitslücke die bei Firefox unter Window XP im Zusammenspiel mit dem Internet Explorer 7 auftritt, erlaubt es, fremden Code auf Windows-Rechnern auszuführen. Firefox 2.0.0.6 schränkt die mit dieser Sicherheitslücke zusammenhängende Gefahr ein, schließt aber die Lücke nicht ganz. Auch andere Applikationen als Firefox sind von dem Problem betroffen, denn der Fehler steckt wohl im Verhalten des Windows-Shell-API.

Angreifer können Daten ausspähen. Die Sicherheitsfirma Security Evaluators hat Sicherheitslecks in Apples iPhone entdeckt, das von Angreifern dazu missbraucht werden kann, Daten auszuspionieren. Die Sicherheitsanfälligkeiten treten im iPhone-Browser und im Zusammenspiel mit der WLAN-Funktion des Apple-Handys auf.

Private PCs auf Ethernet-Ebene verbunden, nicht per Internet. In der am Montag, den 23. Juli 2007 erscheinenden Ausgabe berichtet die Zeitschrift c't über Fehlkonfigurationen bei DSL-Providern. Dadurch kann man auf Kosten anderer Nutzer - und mit deren IP-Adresse - mitsurfen, aber unter Umständen auch Windows-Freigaben einsehen. Bereits die Vorab-Berichterstattung sorgte für viel Wirbel und zahlreiche Missverständnisse.