Security-Alert

Neue Version und Patch bereits erhältlich. Die freie SSL-Implementierung OpenSSL enthält eine Sicherheitslücke, die es Angreifern ermöglicht, Usernamen und Passwörter auszuspionieren. Sowohl Patches als auch neue Versionen von OpenSSL, die das Problem beheben, sind bereits erschienen.

Kritische Sicherheitslücke in PHPs CGI-Modul. Die PHP-Group hat ein Update ihrer freien Scriptsprache veröffentlicht, die eine kritische Sicherheitslücke in der CGI-Anbindung behebt. Andere Änderungen enthält die Version 4.3.1 nicht.

Sicherheitslücke erlaubt die Ausführung von Programmen mit höheren Rechten. Wie Microsoft in einem aktualisierten Security Bulletin berichtet, musste ein Patch für Windows NT 4.0 aktualisiert werden, weil der Mitte Dezember 2002 veröffentlichte Patch offenbar nicht die gewünschte Wirkung zeigt. Die anderen Bugfixes für Windows 2000 und XP sind davon nicht betroffen.

Angreifer können Programmcode ausführen oder System zum Absturz bringen. Windows XP verwendet den Windows Redirector für den Zugriff auf Dateien, egal ob diese lokal auf einer lokalen Festplatte oder auf einem Netzlaufwerk liegen. In dieser Komponente entdeckte Microsoft eine empfindliche Sicherheitslücke, die ein bereitgestellter Patch beseitigen soll.

Sammel-Patch behebt neue Sicherheitslecks im Cross-Domain Security Model. Microsoft bietet ab sofort einen weiteren Sammel-Patch für den Internet Explorer der Versionen 5.x, 5.5x und 6.x für die Windows-Plattform an. Neben bisher bekannten Sicherheitslecks behebt der Patch auch zwei bisher nicht beseitigte Sicherheitslücken, die im Cross-Domain Security Model des Browsers stecken.

Eklat um die Art der Bekanntmachung der Sicherheitslöcher. Einen Tag nachdem das israelische Sicherheitsunternehmen GreyMagic über zahlreiche Sicherheitslücken in den JavaScript-Funktionen der Windows-Version von Opera 7.0 berichtet hat, bieten die Norweger eine korrigierte Version zum Download an.

Opera reagiert einen Tag später; Deaktivieren von JavaScript umgeht Schäden. Die israelische Sicherheitsfirma GreyMagic berichtet über mehrere JavaScript-Sicherheitslecks in dem Windows-Browser Opera 7, die Opera einen Tag später mit einer neuen Version bereinigt hat. Einige der Sicherheitslöcher wurden bereits in den Beta-Versionen entdeckt und an Opera Software weitergeleitet.

Sicherheitslücke steckt im Locator Service der Windows-Systeme. Microsoft gesteht eine Sicherheitslücke in Windows NT 4.0, 2000 und XP ein, die jedoch nur die meist standardmäßig deaktivierte Komponente "Locator Service" betrifft. Der Dienst überträgt die Namen von an einem Netzwerk angemeldeten Rechnern in Netzadressen und kann durch das Leck zur unberechtigten Programmausführung verwendet werden. Microsoft bietet Patches für alle drei Betriebssysteme an.

Angreifer können unter Umständen Root-Rechte erlangen. Eine kritische Sicherheitslücke im Concurrent Versions System (CVS) hat Stefan Esser von der Firma e-matters entdeckt. CVS wird in der Softwareentwicklung zur Verwaltung von Quelltexten eingesetzt und ist insbesondere im Open-Source-Umfeld das dominierende System. CVS bis zur Version 1.11.4 erlaubt es Angreifern unter Umständen eigenen Code auf einem entsprechenden Server auszuführen.

Präparierte MP3-Dateien bzw. ID3v2-Tags können Buffer-Overflow auslösen. Am 18. Dezember vermeldete Foundstone Research Labs eine Sicherheitslücke in Nullsofts MP3-Wiedergabesoftware Winamp, bei der mittels präparierter MP3-Dateien fremder Code ausgeführt werden kann. Nullsoft hat bereits die betroffenen Winamp-Versionen 2.81 und 3.0 überarbeitet.

Angreifer können mit .MP3- oder .WMA-Dateien fremden Code ausführen. Microsoft hat über eine neue kritische Sicherheitslücke in Windows informiert. Sie erlaubt es Angreifern, mit Hilfe modifizierter .MP3- oder .WMA-Dateien beliebigen Code auf einem anfälligen Rechner auszuführen. Schuld ist ein möglicher Buffer-Overflow der Windows-Shell.

Sicherheitsloch erlaubt die Ausführung von Programmen mit höheren Rechten. Für eine von Microsoft als kritisch betrachtete Sicherheitslücke in Windows NT 4.0, 2000 und XP stellt Redmond einen passenden Patch zum Download bereit. Über diese Sicherheitslücke erhält ein Angreifer die volle Kontrolle über ein System, muss dazu aber die Möglichkeit haben, sich an dem betreffenden System anzumelden.

Einspielung des aktuellen Patches dringend empfohlen. Gleich sieben Sicherheitslücken behebt Microsoft in der Java Virtual Machine aus Redmond mit einem passenden Patch. Einige der Lecks geben einem Angreifer sogar die komplette Kontrolle über ein anderes System. Die Virtual Machine (VM) liefert Microsoft in zahlreichen Windows-Versionen und auch mit dem Internet Explorer aus. Der aktuelle Patch behebt auch gleich frühere Sicherheitslücken, weswegen Microsoft die Installation dringend empfiehlt.

Neuer Patch behebt eine weitere neue Sicherheitslücke. Microsoft stellt ab sofort einen weiteren Sammel-Patch für den Internet Explorer in den Versionen 5.5 und 6.0 zum Download bereit. Dieser soll alle bislang einzeln veröffentlichten Sicherheits-Patches enthalten, aber auch eine neue Sicherheitslücke beseitigen. Microsoft empfiehlt dringend die Installation des Patches.

Microsoft stellt Patch für Outlook 2002 zum Download bereit. Microsoft berichtet in einem aktuellen Security Bulletin über einen Programmfehler in dem PIM-Programm Outlook 2002, der das Programm durch einen fehlerhaft formatierten E-Mail-Header zum Absturz bringen kann. Ein passender Patch soll das Problem beheben.

Microsoft bereinigt seit einem Monat bekannte Sicherheitslücken. Microsoft bietet einen Sammel-Patch für den Internet Explorer 5.0, 5.5 und 6.0 an, der sechs Sicherheitslecks beheben und alle bislang einzeln veröffentlichten Patches umfassen soll. Damit bereinigt Microsoft einen Großteil der von GreyMagic vor einem Monat entdeckten Sicherheitslücken, lässt aber drei Lecks weiterhin offen. Microsoft empfiehlt dringlich die Installation des Patches, auch weil sich eine der sechs Sicherheitslücken auf andere Microsoft-Produkte auswirkt.

Sicherheitsleck erlaubt Ausführung beliebiger Applikationen. Wie Microsoft berichtet, steckt eine Sicherheitslücke in einer Datenbank-Komponente, die Bestandteil etlicher Windows-Versionen ist und einem Angreifer gestattet, beliebigen Programmcode auf einem anderen System auszuführen. Einzig Windows XP ist von dem Problem nicht betroffen; für die anderen Windows-Versionen bietet Microsoft einen entsprechenden Patch an.

Besonders Server-Systeme von der Sicherheitslücke betroffen. In einem aktuellen Security Bulletin beschreibt Microsoft eine Sicherheitslücke im PPTP-Service, der für Fernwartungen genutzt wird und Bestandteil von Windows 2000 und XP ist. Dieser Dienst kann auch zusätzlich auf Systemen mit Windows 98, 98SE, Millennium und NT 4.0 verwendet werden, soll da aber nicht von dem Sicherheitsleck betroffen sein. Microsoft bietet einen passenden Patch zum Download an.

Alle bisher bekannten Sicherheitslücken werden damit gestopft. Microsoft bietet ab sofort einen Sammel-Patch für den Internet Information Server (IIS) 4.0, 5.0 sowie 5.1 an, der alle bisherigen Bugfixes enthält und vier neue Sicherheitslücken stopfen soll. Die Mehrzahl der neu entdeckten Sicherheitslöcher stuft Microsoft als moderat ein.

Patches für den Internet Explorer noch nicht verfügbar. Die israelische Sicherheitsfirma GreyMagic Software berichtet über neun Sicherheitslücken im Internet Explorer bei der Ausführung von Active Scripting. Entsprechende Patches bietet Microsoft bislang nicht an. Um sich vor den Risiken zu schützen, sollte man Active Scripting im Internet Explorer deaktivieren.

Passende Patches zum Teil nur in englischer Sprache erhältlich. Zwei aktuelle Security Bulletins behandeln Sicherheitslücken in der Hilfe von Windows XP, der Tabellenkalkulation Excel 2002 sowie der Textverarbeitung Word in etlichen Windows- und MacOS-Fassungen. Microsoft stuft alle Sicherheitslecks als moderat ein. Während die Hilfe in Windows XP es einem Angreifer erlaubt, eine Datei über eine präparierte Webseite oder HTML-E-Mail zu löschen, gestatten die Lücken in Word und Excel das Ausspionieren von Informationen.

Patch stopft bekannte Löcher und ein neues Sicherheitsleck. Ein neuer Sammel-Patch für den SQL-Server 7.0 und 2000 steht ab sofort zum Download bereit. Neben allen bislang veröffentlichten Bugfixes enthält der Patch auch Abhilfe gegen eine neu entdeckte Sicherheitslücke, worüber ein Angreifer unberechtigten Zugriff auf Web-Tasks erhält.

Sicherheits-Bugfixes nur für Trillian 0.74 und Pro-Version erhältlich. Für den Instant Messenger Trillian stehen ab sofort zwei überarbeitete Patches bereit, die jeweils nur für die beiden aktuellen Fassungen Trillian 0.74 sowie die kostenpflichtige Pro-Version Trillian 1.0 angeboten werden. Die Patches mit der Kennung "B" sollen einige Sicherheitslücken und Probleme in dem Programm beheben.

Nun steht nur noch der passende Office-Patch aus. Microsoft stellt nach über vier Wochen endlich einen Patch gegen die SSL-Sicherheitslücke in Outlook Express für die MacOS-Plattform zur Verfügung. Nun fehlt noch ein passender Patch für das Office-Paket, das ebenfalls von dem SSL-Leck betroffen ist.

Zahlreiche Fehler im SQL-Server 7.0 und 2000 werden behoben. Microsoft stellt neue Sammel-Patches für den SQL-Server in den Versionen 7.0 und 2000 zum Download bereit. Dies Bugfix-Sammlungen sollen zahlreiche bisher einzeln veröffentlichte Sicherheitslücken in der Software stopfen sowie drei weitere Sicherheitslecks bereinigen.

Sicherheitslücken erlauben die Ausführung von Programmcode. Wie Microsoft in zwei aktuellen Security Bulletins berichtet, enthalten zahlreiche Windows-Versionen vier Sicherheitslücken, wovon zwei als kritisch betrachtet werden. Zwei der gefährlichen Sicherheitslecks stecken in der HTML-Hilfe, die Bestandteil zahlreicher Windows-Funktionen ist. Die anderen beiden Sicherheitslücken sind Bestandteil der ZIP-Funktionen in einigen Windows-Ausführungen. Die als kritisch eingestuften Lecks erlauben die Kontrolle über ein fremdes System oder die Ausführung von Programmcode.

Apache 1.3.27 und 2.0.43 erschienen. Die Apache Software Foundation bringt mit den Versionen 1.3.27 sowie 2.0.43 ein neues Sicherheits- und Bugfix-Update für den freien Webserver Apache. Die Version 1.3.27 stopft dabei drei mehr oder weniger große Sicherheitslöcher, die es mitunter Angreifern erlauben, Signale mit Root-Rechten an andere Prozesse zu senden.

Sicherheits-Bugfixes nur für Trillian 0.74 und Pro-Version erhältlich. In den vergangenen Tagen wurden im Internet einige Sicherheitslücken im Instant Messenger Trillian bekannt, wofür der Hersteller nun passende Patches anbietet, um diese Sicherheitslecks zu stopfen. Allerdings stehen nur Patches für die beiden aktuellen Versionen von Trillian zum Download bereit.

Neue Versionen für MacOS und MacOS X erhältlich. Microsoft bietet nach über drei Wochen endlich einen Patch gegen die SSL-Sicherheitslücke im Internet Explorer für die MacOS-Plattform an. Dabei steht sowohl ein Patch für die normale MacOS-Version als auch ein Update für den MacOS-X-Browser zum Download bereit. Die Patches sind bereits auch in deutscher Sprache verfügbar. Auf Patches für Outlook Express und das Office-Paket müssen die Anwender weiter warten.

Denial-of-Service-Attacke oder Programmcode-Ausführung möglich. Wie Microsoft in einem aktuellen Security Bulletin mitteilt, enthalten die Frontpage Server Extensions eine kritische Sicherheitslücke, die es Angreifern ermöglicht, je nach verwendeter Software-Version entweder eine Denial-of-Service-(DoS-)Attacke zu starten oder beliebigen Programmcode auszuführen. Für beide Sicherheitslecks stehen bereits deutschsprachige Patches zum Download bereit.

Drei empfindliche Sicherheitslücken in Microsofts Java-Implementierung gefunden. Ein neues Security Bulletin enthüllt, dass Microsofts Java-Implementierung drei Sicherheitslücken enthält, worüber Angreifer entweder Programmcode starten oder sogar beliebige Aktionen auf dem betreffenden System ausführen können. Bereitgestellte Patches sollen die Sicherheitslöcher schließen.

Slapper-Wurm sucht nach veralteten OpenSSL-Versionen. Wie zahlreiche Anbieter von Antiviren-Software berichten, verbreitet sich ein Wurm über Apache-Web-Server mit aktiviertem SSL. Der jüngst entdeckte Apache-Wurm Slapper nutzt eine Sicherheitslücke in OpenSSL, um ein Shell-Skript auf Linux-Systemen mit installiertem Apache zu starten und sich stetig weiter zu verbreiten. Außerdem ist eine Distributed-Denial-of-Service-Attacke denkbar.

MacOS-Software wartet weiter auf Fehlerbereinigung. Das Security Bulletin zur SSL-Sicherheitslücke von Anfang September wurde überarbeitet und bietet nun auch einen Patch für das deutschsprachige Windows 2000 an. Für die ebenfalls betroffene MacOS-Software stehen weiterhin keine Patches bereit.

Angreifer können Dateien auslesen und beliebigen Programmcode ausführen. Der Internet Explorer ab der Version 5.5 besitzt ein Sicherheitsleck bei der Anzeige von frame- und iframe-Elementen, so dass Angreifer diese dazu missbrauchen können, beliebigen Programmcode auszuführen, Webseiten zu verändern oder Dateien auszulesen. Einen Patch bietet Microsoft bislang nicht an.

Erstes Service Pack für Windows XP soll zahlreiche Sicherheitslöcher stopfen. Das für den heutigen 9. September angekündigte Service Pack (SP) 1 für Windows XP steht ab sofort zum Download bereit. Das Service Pack 1 ist neben der englischsprachigen Fassung sogar schon in deutscher Sprache verfügbar.

Auch MacOS von dem Problem betroffen - noch keine Patches verfügbar. Wie Microsoft in einem aktuellen Security Bulletin eingesteht, steckt der Fehler beim Prüfen von SSL-Zertifikaten nicht nur im Windows-System, sondern auch zahlreiche MacOS-Software aus Redmond besitzt diese Fehler. Immerhin bietet Microsoft nun Patches für die meisten Windows-Versionen an, um das Sicherheitsleck zu schließen.

Service Pack 1 soll Raubkopien erkennen und eine Installation verhindern. Wie Microsoft verkündete, will der Software-Gigant das Service Pack (SP) 1 für Windows XP am kommenden Montag, den 9. September 2002, zum Download anbieten. Die Sammlung mit Bugfixes und Patches soll eine erhöhte Sicherheit bescheren, eine bessere Kompatibilität bringen und das System insgesamt stabiler machen.

Leck betrifft Windows NT 4.0, Windows 2000 und Windows XP. In den Desktop- und Server-Versionen von Windows NT 4.0, 2000 sowie XP steckt ein Sicherheitsloch, worüber Angreifer eine Denial-of-Service-(DoS-)Attacke ausführen und das System in die Knie zwingen können. Mit bereitgestellten Patches soll sich das Leck beheben lassen.

Aktueller Patch bereinigt alte und sechs neue Sicherheitslücken. Microsoft stellt einen neuen Sammel-Patch für die Windows-Version des Internet Explorer ab Version 5.01 zum Download zur Verfügung, der alle bislang einzeln erhältlichen Sicherheits-Updates enthält, aber auch sechs neu entdeckte Sicherheitslöcher stopfen soll. Dazu zählt auch ein Sicherheitsleck im Gopher-Protokoll, welches Microsoft bereits seit über drei Monaten bekannt ist.

Fehlerhafte Programmkomponente Bestandteil verschiedener Software-Produkte. Wie Microsoft in einem aktuellen Security Bulletin berichtet, enthalten die Programmkomponenten Office Web Components 2000 und 2002 drei kritische Sicherheitslöcher. Diese Komponenten sind Bestandteil zahlreicher Microsoft-Produkte, darunter auch Office XP, wofür erst gestern das Service Pack 2 erschienen ist, das den aktuellen Patch bereits enthalten soll.

Deutsches SP2 soll Sicherheit und Stabilität des Office-Pakets erhöhen. In den USA stellte Microsoft gestern das Service Pack 2 für Office XP offiziell zum Download bereit, nachdem ein Download-Link seit einigen Tagen durchs Netz geisterte und kürzlich wieder deaktiviert wurde. Neben der englischsprachigen Version steht nun auch offiziell eine deutsche Fassung zum Download bereit.

Angreifer können beliebige Dateien über die Windows-Hilfe löschen. In Windows XP ersetzte Microsoft die bisherige Hilfefunktion des Betriebssystems durch ein so genanntes Hilfe- und Supportcenter. Wie die Mailingliste Bugtraq mitteilt, besitzt dies eine Sicherheitslücke, die es Angreifern erlaubt, beliebige Dateien auf einem fremden System zu löschen, sofern Name und Position der Datei bekannt sind.

Microsoft arbeitet an Bugfixes; keine Terminangabe genannt. Wie das US-Computermagazin Computerworld berichtet, befindet sich das vergangene Woche entdeckte SSL-Sicherheitsloch gar nicht im Internet Explorer, sondern steckt im Windows Quellcode. Darin könnte der Grund liegen, dass sich Microsoft kurze Zeit nach Bekanntwerden des Sicherheitslochs bemühte, das Risiko klein zu reden.