Security-Alert

SeaMonkey in Version 1.0.8 sowie 1.1.1 erschienen. Die auf der Gecko-Engine beruhende Browser-Suite Mozilla steht ab sofort in aktualisierten Versionen bereit. Beide Fassungen schließen einige Sicherheitslücken, um die Sicherheit der Software zu verbessern. Zudem hat SeaMonkey 1.1.1 einige Fehlerkorrekturen erfahren.

Genaue Beschreibung bei Security Focus erschienen. Auf dem 23. "Chaos Communication Congress" (23C3) hat am 30. Dezember 2006 ein maskierter, wortloser Hacker kurz das Ausführen von eigenem Code auf der Xbox 360 demonstriert und versprochen, dass bald Linux und MacOS X auf der Konsole laufen würden. Ein Eintrag auf Security Focus hat nun den Hack bestätigt, allerdings wird es doch erstmal nichts mit neuen Betriebssystemen für die Xbox 360.

Patches für Finder, iChat und Nutzerbenachrichtigung veröffentlicht. Apple hat ein Sicherheits-Update für MacOS X veröffentlicht, um vier Sicherheitslecks im Betriebssystem zu schließen, die im Rahmen des Projekts "Month of Apple Bugs" (MOAB) bekannt wurden. Der "Month of Apple Bugs" wies im Januar 2007 auf offene Sicherheitslücken in MacOS X sowie Mac-Applikationen hin, um darauf hinzuweisen, dass Apple-Systeme per se keineswegs vor Sicherheitslücken gefeit sind.

Nach PHP 5.2.1 schließt auch PHP 4.4.5 Sicherheitslücken. Mit der PHP 5.2.1 haben die PHP-Entwickler einige Sicherheitslücken in PHP 5 geschlossen. Einige davon finden sich auch in PHP 4, für das mit PHP 4.4.5 nun ein entsprechendes Update erschien.

Microsoft bietet keinen Patch an; Sicherheitsloch wird aktiv ausgenutzt. Nur einen Tag, nachdem Microsoft endlich die vier seit Wochen offenen Sicherheitslücken in Word geschlossen hat, muss der Software-Gigant ein weiteres Sicherheitsleck in der Textverarbeitung eingestehen. Das Sicherheitsloch wird bereits aktiv von Schadcode ausgenutzt, so dass es sich auch bei diesem Sicherheitsleck um eine so genannte "Zero Day"-Lücke handelt.

Patch-Day: Schwere Sicherheitslecks in Windows und Internet Explorer. Seit Anfang Dezember 2006 wurden vier offene Sicherheitslücken in Word gemeldet, die bislang alle nicht mit einem Patch bedacht wurden. Am Patch-Day vom Februar 2007 holt Microsoft dies endlich nach und beseitigt auch das Sicherheitsloch in Excel, so dass insgesamt acht Sicherheitslecks in Microsofts Office-Produkten geschlossen werden. Zudem werden neun Sicherheitslücken in Windows beseitigt, davon betreffen vier den Internet Explorer.

Stefan Esser ruft den "Month of PHP bugs" aus. Die PHP-Entwickler schließen mit PHP 5.2.1 einige Sicherheitslücken in der freien Scriptsprache. Zudem wurde die Stabilität verbessert. Derweil ruft Sicherheitsexperte Stefan Esser, der sich Ende 2006 aus dem PHP Security Response Team verabschiedete, für März den "Month of PHP bugs" aus, in dem er jeden Tag eine Sicherheitslücke in PHP veröffentlichen will.

Zwölf Patches aus Redmond, davon neun Fehlerkorrekturen für Windows. Am diesmonatigen Patch-Day plant Microsoft gleich zwölf Patches, wovon sich alleine neun Updates um Windows-Sicherheitslücken kümmern. Zwei Patches sind für Microsofts Office-Paket geplant und ein Patch widmet sich einer Reihe von Antivirenlösungen aus Redmond. Unklar ist noch, ob Microsoft im Februar 2007 endlich alle offenen und bekannten Sicherheitslücken im Office-Paket des Software-Riesen stopft.

Neues Sicherheitsleck erlaubt beliebige Code-Ausführung. In Microsofts Textverarbeitung Word wurden im laufenden Jahr bereits zwei Sicherheitslücken entdeckt. Auch für das neu gefundene Leck befindet sich bereits Schadcode in Umlauf, wie es bei den vier übrigen offenen Word-Lücken der Fall war. Insgesamt weist Word derzeit fünf nicht geschlossene, aber bekannte Sicherheitslücken auf.

Insgesamt vier nicht geschlossene Sicherheitslücken. In Microsofts Textverarbeitung Word wurde ein weiteres Sicherheitsloch entdeckt, für das bereits Schadcode in Umlauf sein soll. Damit weist Word derzeit insgesamt vier nicht geschlossene Sicherheitslücken auf, nachdem Microsoft den Januar-Patch-Day ungenutzt hat verstreichen lassen, drei seit Wochen bekannte Sicherheitslecks in Word zu schließen.

Sicherheitsleck in QuickTime seit 23 Tagen bekannt. Langsam aber sicher endet das Projekt "Month of Apple Bugs" (MOAB), das im laufenden Monat täglich über eine offene Sicherheitslücke in MacOS-X-Produkten berichtet. Nach nunmehr 23 Tagen hat sich Apple erstmals eine der Sicherheitslücken vorgeknöpft, die im Rahmen dieses Projekts aufgedeckt wurden. Daher steht nun ein offizieller Patch für das seit 1. Januar 2007 bekannte Sicherheitsloch in QuickTime bereit.

Microsoft aktualisiert Patch für Excel. Auch im Monat Januar 2007 hat Microsoft kein Glück mit seinem Patch-Day. Im vergangenen Jahr musste Microsoft mehrfach Patches korrigieren, weil diese fehlerhaft waren. Nun betrifft es einen Excel-Patch, der Microsofts Tabellenkalkulation so durcheinander bringt, dass sich Dokumente unter bestimmten Umständen nicht mehr damit öffnen lassen.

"Risk Matrix" hilft bei Beurteilung der Updates. Oracles Patch-Sammlung für den Januar 2007 schließt insgesamt 51 Sicherheitslücken in den Produkten des Herstellers. Eine Risk Matrix soll Administratoren bei der Entscheidung helfen, welche Updates schnell einzuspielen sind.

Version zur Fehlerkorrektur schließt Sicherheitslücken. Während die Minor-Versionen des Linux-Kernels normalerweise nur kleinere Änderungen mit sich bringen, schließt der nun verfügbare Kernel 2.6.19.2 gleich mehrere Sicherheitslücken. Auch ein kritischer Fehler, durch den Daten nicht korrekt auf die Festplatte geschrieben wurden, ist nun behoben.

Auch Sicherheitsloch im Application Enhancer gefunden. Im Rahmen des "Month of Apple Bugs" wurde eine Sicherheitslücke im Finder von MacOS X entdeckt. Das Öffnen einer manipulierten DMG-Image-Datei genügt, damit Angreifer eine Denial-of-Service-Attacke vornehmen oder womöglich sogar schadhaften Programmcode ausführen können. Zudem wurde eine Sicherheitslücke im Application Enhancer gefunden, der für Workaround-Patches für die gefundenen Sicherheitslücken benötigt wird.

Patch-Day schließt fünf Excel-Lecks und drei Outlook-Sicherheitslücken. Die Vermutung hat sich nicht bestätigt, dass Microsoft endlich die drei offenen Sicherheitslücken in Word schließt. Zwar hat der Softwarekonzern drei Patches für sein Office-Paket veröffentlicht, aber keines dieser Korrekturen kümmert sich um die seit Dezember 2006 bekannten Sicherheitslücken, zu denen im Internet bereits Schadcode unterwegs ist. Immerhin wird das im Januar 2007 bekannt gewordene Sicherheitsleck in Excel geschlossen.

Mehrere Funktionen anfällig für Integer Overflows. In dem X-Server von X.org stecken mehrere Sicherheitslücken, die zu Integer Overflows führen können. Ausgenutzt werden können sie zwar nur von einem bereits authentifizierten Client, betroffen sind allerdings alle Versionen seit X.org 6.8.2. Patches stehen bereits zum Download bereit.

Kein Patch von Microsoft verfügbar. In Microsofts Tabellenkalkulation Excel wurde ein Sicherheitsloch gefunden. Angreifer können darüber beliebigen Programmcode ausführen. Opfer müssen lediglich dazu gebracht werden, eine entsprechend manipulierte XLS-Datei zu öffnen.

Sicherheitslöcher erlauben Ausführung beliebigen Codes. Mitte Dezember 2006 erschien Opera in der Version 9.1 mit integriertem Phishing-Schutz. Wie erst jetzt bekannt wurde, korrigiert der aktuelle Browser zwei Sicherheitslücken. Beide Sicherheitslecks können von Angreifern zum Ausführen von Programmcode missbraucht werden. Während das eine Sicherheitsloch bei der Anzeige von jpeg-Bildern zuschlägt, tritt das andere bei der Darstellung von SVG-Daten auf.

Fehler steckt in den PDF-Spezifikationen. Im Rahmen des "Month of Apple Bugs" (MOAB) wurde eine Sicherheitslücke im PDF-Format aufgedeckt. Diese verursacht entweder Programmabstürze, kann aber auch für das Ausführen von Programmcode missbraucht werden. Mehrere Anzeigeapplikationen sind von dem Problem betroffen.

Version 2.0.6 beseitigt einige Probleme der freien Blog-Software. Zwei kritische Fehler in der freien Blog-Software WordPress werden mit der neuen Version 2.0.6 beseitigt. Sicherheitsexperte Stefan Esser hatte auf zwei Fehler in der Software hingewiesen, durch die Dritte evtl. Administrationsrechte über ein entsprechendes Blog erlangen können.

Neue Planung sieht nur noch insgesamt vier Patches vor. Ohne jegliche Begründung hat Microsoft die Menge der Patches für den Patch-Day im Januar 2007 um die Hälfte reduziert. Was den Software-Giganten zu diesem Schritt bewogen hat, bleibt offen, denn es gibt keine Begründung aus Redmond für diesen ungewöhnlichen Schritt.

Weitere Office- und Windows-Lecks werden ausgemerzt. Für den Patch-Day am 9. Januar 2007 wird Microsoft aller Voraussicht nach endlich die offenen Sicherheitslücken in Word schließen. Alle drei in Word gefundenen Sicherheitslecks wurden bereits im Dezember 2006 entdeckt, bisher aber nicht korrigiert. Außerdem stehen Fehlerkorrekturen für Windows, Visual Studio und weitere Office-Komponenten an.

Eingebettete Vektorbilder erlauben Code-Ausführung. In OpenOffice.org 1.1.5 sowie 2.0.x steckt ein Sicherheitsloch, das sich bei der Verarbeitung von WMF- oder EMF-Dateien bemerkbar macht. Angreifer können darüber beliebigen Programmcode ausführen. Für OpenOffice.org 1.1.5 gibt es einen separaten Patch, während Nutzer von OpenOffice.org 2.0.x auf die Version 2.1 wechseln müssen.

Patch umgeht Sicherheitsgefahr in QuickTime 7.1.3. Zumindest für die MacOS-Fassung von QuickTime 7.13 steht ein Workaround-Patch zum Download bereit. Damit soll der gestern berichtete Fehler in QuickTime umgangen werden, worüber Angreifer beliebigen Code ausführen können. Auf der Windows-Plattform bleibt der QuickTime-Fehler weiter bestehen.

Beispiel-Code im Internet zu finden. Der VLC Media Player weist in der Mac- und Windows-Version eine Sicherheitslücke auf, worüber Angreifer beliebigen Programmcode ausführen können. Bereits das Öffnen eines entsprechend präparierten Links kann genügen, um Opfer einer solchen Attacke zu werden. Mittlerweile steht auch ein Patch für den VLC Media Player bereit.

Noch kein Patch zur Abhilfe verfügbar. In Apples QuickTime wurde ein Sicherheitsleck entdeckt, für das bereits Beispiel-Code verfügbar ist. Bei der Verarbeitung des URL-Typs "rtsp" tritt ein Pufferüberlauf auf, worüber ein Angreifer beliebigen Programmcode ausführen kann. Bislang steht kein Patch zur Beseitigung des Fehlers bereit.

SeaMonkey 1.0.7 schließt mehrere Sicherheitslücken. Nachdem zunächst Sicherheits-Updates für Firefox und Thunderbird erschienen sind, steht nun auch eine neue Version von SeaMonkey bereit. Neue Funktionen bringt SeaMonkey 1.0.7 hingegen nicht, weil es hier nur um die Beseitigung von Sicherheitslücken geht.

Sicherheitslücke erlaubt das Ausspähen von Bilddaten. Eine Sicherheitslücke in MacOS X 10.4 erlaubt mit einer präparierten Webseite das Ausspähen von lokalen Informationen über Quicktime für Java und den Quartz Composer. Mit dem aktuellen Sicherheits-Update schließt Apple diese Lücke, die nur MacOS X 10.4.x und die Serverversion des Betriebssystems betrifft.

Neue Versionen von Firefox und Thunderbird erschienen. Der Mozilla-Browser Firefox ist in den Versionen 2.0.0.1 und 1.5.0.9 erschienen, mit denen die Entwickler einige Sicherheitslücken des Browsers schließen. Gleiches gilt auch für den E-Mail-Client Thunderbird 1.5, der von einigen der Lücken ebenfalls betroffen ist.

Zero-Day-Exploit für Windows Vista soll angeblich 50.000,- US-Dollar kosten. Trend Micro hat laut eWeek eine Versteigerungsplattform für Sicherheitslücken entdeckt. Angeblich 50.000,- US-Dollar werden dort für einen so genannten Zero-Day-Exploit für Windows Vista gefordert, also Code, mit dem sich eine noch nicht gepatchte Sicherheitslücke ausnutzen lässt, für die bisher kein Patch existiert.

Sicherheitsexperte verlässt das PHP Security Response Team. Stefan Esser kehrt dem PHP Security Response Team den Rücken. Der Sicherheitsexperte hat genug. Seine Versuche, PHP von innen sicherer zu machen, seien vergeblich gewesen. Künftig werde er Sicherheitslücken in PHP auch dann veröffentlichen, wenn es noch keinen Patch gebe.

Sicherheitslücken in Windows und Outlook Express. Am Patch-Day für den Monat Dezember 2006 korrigiert Microsoft Sicherheitslücken in Windows, im Internet Explorer, in Outlook Express, im Windows Media Player und in Visual Studio. In vielen der Fälle können diese Sicherheitslecks zur Ausführung beliebigen Programmcodes missbraucht werden, so dass sich Fremde eine umfassende Kontrolle über andere Systeme verschaffen können.

Update für Linux-WLAN-Treiber bereits verfügbar. Der Linux-Treiber "Madwifi" für WLAN-Karten mit Atheros-Chip enthält eine Sicherheitslücke, die es Angreifern ermöglicht, über eine drahtlose Verbindung Schadcode einzuschleusen und auf dem betroffenen System im Kernel-Space auszuführen. Verantwortlich dafür sind Buffer Overflows in Funktionen des Treibers. Ein Update steht bereits zur Verfügung.

Sicherheitsleck in Word bleibt weiter offen. Am allmonatlichen Patch-Day korrigiert Microsoft im Dezember 2006 mehrere Sicherheitslücken in Windows und kümmert sich um Visual Studio. Das jüngst bekannt gewordene Sicherheitsleck in Word lässt Redmond hingegen außen vor und veröffentlicht vorerst keinen Patch. Und das, obwohl Schadcode diese Sicherheitslücke bereits aktiv ausnutzt.

Angreifer können beliebigen Code ausführen. In Microsofts Windows Media Player wurde eine Sicherheitslücke entdeckt, über die Angreifer beliebigen Code ausführen können. Dazu muss ein Opfer nur dazu gebracht werden, eine manipulierte ASX-Playlisten-Datei zu öffnen. Bisher gibt es keinen Patch zur Abhilfe.

Studentenportal am Donnerstag wegen eines neuen XSS-Angriffs offline. Die Pannenserie von kleinen und großen Problemen und Sicherheitslücken beim Studentenportal studiVZ reißt nicht ab. Nun verspricht studiVZ eine Belohnung von 256 Euro, wenn jemand Sicherheitslücken im Portal meldet. Parallel zu der Ankündigung ging studiVZ wegen eines erneuten XSS-Angriffs offline.

Mitgliedsstaaten sollten wirksamere Maßnahmen ergreifen. Die Europäische Kommission will den Kampf gegen Computerübel deutlich ausweiten. Sie ruft deshalb die Regierungen der Mitgliedsländer auf, energischer gegen Spam, Späh- und Schadsoftware anzutreten. Zwar sei innerhalb der EU Spam verboten, doch leiden die Anwender immer noch stark an illegalen Online-Aktivitäten aus den Mitgliedsländern und aus dem EU-Ausland.

Angreifer können Zugangsdaten ausspähen. Im Kennwort-Manager von Firefox 2.0 steckt ein Programmfehler, über den Angreifer Zugangsdaten abgreifen können. Entsprechende Angriffe sollen bereits über gefälschte MySpace-Seiten laufen. Der Fehler liegt darin, dass der Kennwort-Manager nicht prüft, ob die Daten das richtige Ziel erreichen.

Microsoft schließt auch Sicherheitslücke in Adobes Flash-Player. Am Patch-Day vom November 2006 beseitigt Microsoft Sicherheitslücken in Windows sowie dem Internet Explorer. Einige der von Redmond der Windows-Plattform zugeschriebenen Sicherheitslücken betreffen aber eher den Browser aus Seattle, weil sich darüber Programmcode ausführen lässt. Zudem korrigiert Microsoft am diesmonatigen Patch-Day mehrere Sicherheitslücken in Adobes Flash-Player.

Sicherheits-Patch für bekanntes Sicherheitsloch angekündigt. Noch in diesem Monat will Microsoft vermutlich das Anfang November 2006 bekannt gewordene Sicherheitsloch in den XML Core Services schließen. Zudem sind für den diesmonatigen Patch-Day fünf Updates für Windows geplant.

Sicherheits-Update für SeaMonkey 1.x verfügbar. Die Arbeiten an der Browser-Suite SeaMonkey 1.1 schreiten voran. Die Entwickler haben nach der Alpha-Version nun eine Beta veröffentlicht, die vor allem Fehlerkorrekturen enthält. Außerdem steht nach Erscheinen von Firefox und Thunderbird 1.5.0.8 nun auch SeaMonkey in der Version 1.0.6 bereit, die einige Sicherheitslücken schließt.

Neue Versionen schließen Sicherheitslücken in Firefox 1.5 und Thunderbird 1.5. Mit Firefox 1.5.0.8 und Thunderbird 1.5.0.8 wurden Sicherheits-Updates für die beiden Mozilla-Applikationen veröffentlicht. Diese schließen eine Reihe von Sicherheitslücken und sollen die Stabilität der Produkte allgemein verbessern. Neue Funktionen gibt es daher nicht.