Sicherheitslücke

Werbeaktion für 15-minütigen Freizugang lässt sich missbrauchen. Wer sich an der WLAN-Community FON aktiv beteiligt, stellt anderen seine DSL-Verbindung kostenlos oder auch gegen Entgelt per Funk zur Verfügung - sofern die Gäste eine FON-Kennung haben. Im Rahmen einer Werbeaktion lässt FON jedoch Fremde auch ohne ordentliche Anmeldung und damit im Grunde anonym auf die FON-Hotspots - was deren private Betreiber nicht sonderlich erfreut.

Hacker nutzen Ubisofts PSP-Spiel Lumines, um Code auszuführen. Mit Ubisofts PSP-Spiel Lumines und einem modifizierten Spielstand ist es den Hackern von Noobz in Partnerschaft mit Archaemic gelungen, selbst geschriebene Software ("Homebrew") auf allen PSP-Firmware-Versionen zum Laufen zu bringen. In der Regel läuft vom Hersteller nicht autorisierte Software auch nicht auf Spielekonsolen oder Spielehandhelds - eine Hürde, die Tüftler zu beseitigen versuchen.

Neue Struktur der Security Bulletins. Wie angekündigt, hat Microsoft anlässlich des diesmonatigen Patch-Days die Struktur der zugehörigen Security Bulletins überarbeitet. In diesem Monat schließt Redmond sechs Sicherheitslücken im Internet Explorer, drei Fehler in Windows, vier Sicherheitslecks in Outlook Express bzw. Windows Mail sowie zwei Fehler in der Office-Komponente Visio.

Zahlreiche Sicherheitslöcher in neuem Windows-Browser gefunden. Nur wenige Stunden, nachdem Apple die öffentliche Beta-Version des Safari-Browsers für die Windows-Plattform vorgestellt hat, wurden bereits zahlreiche Sicherheitslecks im Browser gefunden. Angestachelt wurden die Sicherheitsexperten durch das Apple-Versprechen, dass Safari auf der Windows-Plattform von Anfang an hohe Sicherheit liefere. Wie sich zeigt, kann Apple dieses Versprechen nicht einlösen.

Kreative Nutzung von Sicherheitslücken. Das US-Start-up "Intellectual Weapons" hat angekündigt, maßgeschneiderte Patches für "Schwachstellen, technische Fehler oder Sicherheitslücken" entwickeln und patentieren zu wollen. Das Geschäftsmodell sieht vor, von "Softwareherstellern, Sicherheitsanbietern und Wettbewerbern des Softwareherstellers" Lizenzen für die Nutzung der patentierten Patches zu kassieren. Ein Teil der Profite - "typischerweise 50 Prozent" - sollen an den Entdecker der Sicherheitslücke ausgezahlt werden.

Erster Vorab-Patch-Day mit mehr Detail-Informationen. Für den Juni 2007 steht der allmonatliche Patch-Day in Kürze an. Erstmals liefert Microsoft in diesem Monat mehr Vorabinformationen zu den geplanten Patches. Bislang gab der Software-Riese nur an, wie viele Patches für eine Plattform erscheinen und welche maximale Gefährdungsstufe von den zu schließenden Sicherheitslücken ausgeht.

Letzte Updates für Firefox 1.5.x und SeaMonkey 1.0.x. Von den Mozilla-Applikationen Firefox, Thunderbird und SeaMonkey sind neue Versionen verfügbar, die eine Reihe von Sicherheitslücken in den Applikationen schließen. Unter anderem können die Sicherheitslöcher von Angreifern dazu missbraucht werden, schadhaften Programmcode auszuführen.

Zwei Sicherheitslücken betreffen Windows und Mac-Plattform. In QuickTime hat Apple zwei Sicherheitslecks geschlossen. Der nun erhältliche Sicherheits-Patch korrigiert Fehler in den Java-Funktionen von QuickTime. Über entsprechend manipulierte Webseiten kann ein Angreifer im schlimmsten Fall schadhaften Programmcode auf fremde Systeme schleusen.

Kein aktualisierter Patch verfügbar. Der im Mai 2007 erschienene Sammel-Patch für den Internet Explorer macht mit der aktuellen Browser-Version Ärger - jedenfalls unter bestimmten Umständen. Hat der Nutzer des Internet Explorer 7 den Pfad für den Browser-Cache verändert, kommt es beim Programmstart zu einer Fehlermeldung, sobald der Sammel-Patch installiert wurde.

Schwere Sicherheitslecks im Internet Explorer 7 und in Office 2007. Am Patch-Day für den Monat Mai 2007 bringt Microsoft - wie erwartet - einen Patch, der ein Sicherheitsloch im Windows Server schließt. Außerdem beseitigt Redmond fünf schwere Sicherheitslücken im Internet Explorer, sieben gefährliche Sicherheitslücken in Microsofts Office-Paket sowie Fehler im Exchange-Server und in Microsofts CAPICOM.

Free60-Projekt macht Fortschritte, dennoch läuft Linux nur auf älterer Firmware. Das Free60-Projekt hat eine Live-CD mit Linux für Microsofts Xbox 360 veröffentlicht. Damit lässt sich Linux auf der Spielekonsole ausprobieren, ohne dass ein Eingriff in das System notwendig ist.

Winamp mit fehlerhafter Verarbeitung von MP4-Dateien. Mit einem Patch wird ein Sicherheitsloch in Winamp geschlossen, worüber Angreifer beliebigen Programmcode ausführen können. Dazu müssen sie ihre Opfer nur dazu bringen, eine manipulierte MP4-Datei mit der Software zu öffnen.

Insgesamt sieben Security Bulletins für Mai-Patch-Day angekündigt. Auch im Mai 2007 steht wieder ein Patch-Day von Microsoft an. In diesem Monat will der Software-Riese Sicherheitslücken in Windows, Office, im Exchange Server sowie in Capicom und im BizTalk-Server schließen. Mehrere dieser Sicherheitslücken werden von Microsoft als gefährlich eingestuft.

Fehler beim Öffnen von png-Dateien. Sowohl in Adobes Photoshop als auch in Corels Paint Shop Pro wurde ein Sicherheitsloch entdeckt, worüber Angreifer beliebigen Programmcode ausführen können. Opfer müssen lediglich zum Öffnen einer entsprechend präparierten png-Datei verleitet werden. Updates der Hersteller gibt es bislang nicht.

Fehler in AirPort- und ftp-Funktionen. Apple hat ein Sicherheits-Patch für MacOS X veröffentlicht, mit dem zwei Lücken im Betriebssystem geschlossen werden. Von keinem der beiden Sicherheitslücken geht eine größere Gefahr aus, weil eine Ausführung von Programmcode darüber nicht möglich ist.

Fehlerhafte Verarbeitung von MP4-Dateien. In der aktuellen Winamp-Version wurde ein Sicherheitsleck entdeckt, worüber Angreifer beliebigen Programmcode ausführen können. Dazu müssen sie ihre Opfer nur dazu bringen, eine manipulierte MP4-Datei mit der Software zu öffnen.

QuickTime-Patch für MacOS X und Windows. Gut eine Woche, nachdem ein Sicherheitsleck in Apples QuickTime entdeckt wurde, steht ein Patch bereit. Das Sicherheitsleck tritt auf Windows- und Mac-Systemen auf und Angreifer können darüber beliebigen Programmcode einschleusen und ausführen.

Schadhafte Verlinkung war rund zwei Wochen aktiv. Über Googles AdWords wurde zwei Wochen lang Schadcode verteilt, wie der Suchmaschinengigant per Blog-Eintrag nun eingesteht. Ein AdWords-Nutzer hatte Besucher auf Webseiten umgeleitet, die Schadcode verteilt haben und diesen auf den Rechnern der Opfer ausführen wollten. Mittlerweile sollen die betreffenden AdWords-Konten deaktiviert sein.

Google Desktop 5 für verschiedene Sprachen verfügbar. Mit einem Schlag hat Google die Version 5 der Desktop-Suche für Windows in zahlreichen Sprachen veröffentlicht. Die aktuelle Fassung bringt vor allem Verbesserungen an der Sidebar, in der Widget-Funktion sowie bei der Dateisuche. Außerdem sollen verbesserte Sicherheitsfunktionen den Nutzer besser vor Angriffen schützen. Die Mac-Version der Desktopsuche hat nur ein kleines Update erfahren.

Öffnen manipulierter BMP-Dateien führt zur Ausführung von Schadcode. Die Bildbearbeitungssoftware Photoshop von Adobe weist ein Sicherheitsleck auf. Dieses macht sich beim Öffnen von verschiedenen Bitmap-Dateien bemerkbar, weil darüber beliebiger Programmcode ausgeführt werden kann. Bislang gibt es von Adobe keinen Patch zur Abhilfe.

Sicherheitsleck steckt eigentlich in QuickTime. Das gestern gemeldete Sicherheitsleck in Safari steckt eigentlich in QuickTime. Dadurch betrifft das Sicherheitsloch nicht nur Mac-Systeme, sondern auch Windows-Rechner. Als Zwischenlösung muss die Ausführung von Java im Browser deaktiviert werden. Einen Patch gibt es bislang nicht.

Kein Patch zur Abhilfe verfügbar. In Apples Webbrowser Safari steckt ein gefährliches Sicherheitsloch, das Angreifer zum Ausführen von Schadcode missbrauchen können. Bekannt wurde das Sicherheitsleck im Rahmen der Sicherheitskonferenz CanSecWest. Die Teilnehmer waren aufgerufen, ein Mac-System zu hacken und konnten im Gegenzug ein MacBook Pro gewinnen.

Sicherheitslecks erlauben Ausführung von Programmcode. Für MacOS X ist ein Update erschienen, das mit einem Schlag 25 Sicherheitslecks im Betriebssystem schließt. Einige der Sicherheitslücken erlauben die Ausführung beliebigen Programmcodes, andere Sicherheitslöcher lassen sich hingegen nur von lokal angemeldeten Anwendern ausnutzen.

Wurm macht sich RPC-Sicherheitsloch zu Nutze. Das offene Sicherheitsloch im Windows Server wird Microsoft voraussichtlich erst am nächsten geplanten Patch-Day schließen. Seit Anfang der Woche machen sich Würmer das Sicherheitsleck bereits zu Nutze. Dennoch plant Microsoft keinen außerplanmäßigen Patch für den Windows Server 2000, 2003 sowie für den Windows Small Business Server 2000 und 2003.

RPC-Sicherheitsleck erlaubt Ausführung von Programmcode. In der vergangenen Woche hatte Microsoft auf ein nicht geschlossenes Sicherheitsloch im Windows Server hingewiesen. Das Risiko wurde von Redmond als wenig gefährlich klassifiziert. Zu dem Zeitpunkt war bereits Schadcode im Internet entdeckt worden. Wenige Tage später machte ein erster Wurm die Runde, der sich das Sicherheitsloch zu Nutze macht. Einen Patch gibt es bislang nicht.

Lesezeichen-Vorschau in Opera 9.20. Nach Abschluss des Beta-Tests steht Opera 9.20 ab sofort als Final zum Download bereit. Die neue Version bringt eine neue Funktion namens "Speed Dial", die häufig besuchte Webseiten in einer Vorschau anzeigt und einen bequemen Aufruf der Seite erlaubt.

Sicherheitsleck erlaubt Ausführung von Programmcode. Wie in der jüngsten Vergangenheit wiederholt geschehen, ist auch um Microsofts Patch-Day im April 2007 herum Beispielcode für ein nicht geschlossenes Sicherheitsloch in einem Redmondschen Produkt im Internet aufgetaucht. Diesmal betrifft es das Office-Paket von Microsoft, das eine Sicherheitslücke aufweist, über die Angreifer beliebigen Programmcode ausführen können.

Vier Sicherheits-Patches für Windows. Vor einer Woche hat Microsoft bereits einen Sicherheits-Patch veröffentlicht, um eine Sicherheitslücke bei der Darstellung animierter Cursor zu schließen. Am regulären Patch-Day für den Monat April 2007 hat Microsoft sechs Sicherheitslecks in Windows sowie zwei Sicherheitslücken im Content Management Server mit Patches bedacht.

37 Sicherheitslücken werden geschlossen. Oracle hat für Mitte April 2007 die nächste Patch-Sammlung angekündigt, mit der 37 Sicherheitslöcher in den Produkten des Datenbankanbieters geschlossen werden sollen. Darunter auch Fehler, die sich von externen Angreifern ausnutzen lassen. Mit der frühen Übersicht möchte Oracle Administratoren Zeit zur Vorbereitung geben.

Noch keine korrigierte Winamp-Version verfügbar. Im Multimedia-Player Winamp wurden drei Sicherheitslücken entdeckt, die von Angreifern zum Ausführen beliebigen Programmcodes missbraucht werden können. Ein Update zur Beseitigung dieser Sicherheitslecks ist bislang nicht verfügbar.

Patch korrigiert sieben Windows-Fehler. Wie angekündigt, hat Microsoft eine Woche vor dem regulären Patch-Day im April 2007 ein Software-Update für Windows veröffentlicht. Der Sicherheits-Patch korrigiert unter anderem einen Fehler bei der Anzeige animierter Icon-Dateien, der von Angreifern bereits missbraucht wird. Der aktuelle Patch schließt insgesamt sieben Sicherheitslücken in Windows.

Neue Netscape-Version korrigiert nur Sicherheitslücken. AOL hat die Version 8.1.3 von Netscape veröffentlicht und will damit vor allem Sicherheitslücken schließen. Welche Sicherheitslecks darin geschlossen wurden, ist nicht bekannt. Neue Funktionen bringt Netscape 8.1.3 nicht.

Neue Sicherheitslücke wird aktiv ausgenutzt. In der vergangenen Woche hat Microsoft einen Fehler in den animierten Icon-Dateien bestätigt, nun soll bereits diese Woche ein Patch erscheinen. Eigentlich sollte dieser erst am regulären Patch-Day Mitte April 2007 erscheinen. Da das Sicherheitsleck aber bereits durch Schadcode ausgenutzt wird, entschied sich Microsoft zu diesem für den Konzern sehr ungewöhnlichen Schritt.

Animierte Cursor erlauben Ausführung schadhaften Programmcodes. Microsoft hat ein Sicherheitsleck im Internet Explorer bestätigt. Mit Hilfe präparierter ani-Dateien für animierte Cursor lässt sich schadhafter Programmcode auf fremde Rechner schleusen und ausführen. Microsoft arbeitet an der Korrektur des Fehlers und will einen entsprechenden Patch veröffentlichen.

Account-Hacking erfolgte über "Social Engineering". Microsoft hatte vor einigen Tagen nach Berichten über entwendete Accounts technische Sicherheitsprobleme bei Xbox Live ausgeschlossen. Allerdings konnten die Support-Mitarbeiter dazu verleitet werden, Accounts umzuleiten, wie Xbox-Live-Chef Larry "Major Nelson" Hryb in seinem Blog eingestehen musste.

Installation ist nicht trivial. Dass sich Fremdcode auf Microsofts Spielekonsole Xbox 360 ausführen lässt, ist bereits länger bekannt. Nun demonstriert ein Video, wie die Linux-Distribution Ubuntu auf der Xbox 360 gestartet werden kann. Die dafür nötigen Schritte sind allerdings nicht trivial.

Neue Version für die kommende Woche angekündigt. In OpenOffice.org 2.x wurden drei Sicherheitslücken gefunden, die zum Teil zum Ausführen beliebigen Programmcodes missbraucht werden können. Die in Arbeit befindliche Version 2.2 von OpenOffice.org soll die Fehler korrigieren und wird voraussichtlich in der kommenden Woche erscheinen.

Unternehmen widerspricht Meldungen. Derzeit machen Meldungen die Runde, denen zufolge Xbox Live gehackt und die Konten von Xbox-360-Spielern kompromittiert worden sein könnten. Microsoft widersprach dem nun.

Neue Versionen von Firefox erschienen; Marktanteil in Europa gleichbleibend. Das Mozilla-Team hat die Versionen 1.5.0.11 sowie 2.0.0.3 von Firefox veröffentlicht, um darin ein Sicherheitsleck in den ftp-Funktionen zu korrigieren. Auf Grund der Sicherheitslücke können sich Angreifer Informationen über die Netzwerkkonfiguration eines Rechners ergattern, um diese gegen das Opfer einzusetzen.

Update schließt einige nicht näher beschriebene Sicherheitslücken. Mit einem umfangreichen Update für MacOS X beseitigt Apple zahlreiche Fehler in seinem Betriebssystem. MacOS X 10.4.9 könnte die letzte größere Aktualisierung des Betriebssystems vor Erscheinen des Nachfolgers Leopard sein.

Nächster Patch-Day im April 2007. Am 13. März 2007 stünde eigentlich der nächste Patch-Day bei Microsoft an, an dem meist mehrere Sicherheits-Patches für verschiedene Produkte erscheinen. Der Softwarekonzern wird in diesem Monat jedoch keine Sicherheits-Patches veröffentlichen.

Patches können vorerst nicht in den offiziellen Kernel gelangen. Nachdem ein maskierter Hacker auf dem 23. "Chaos Communication Congress" (23C3) im Dezember 2006 schon eigenen Code auf der Xbox 360 ausführte, sind nun Patches für den Linux-Kernel erschienen. Damit soll das Betriebssystem auf Microsofts Spielekonsole laufen. Voraussetzung ist allerdings, dass die zur Code-Ausführung nötige Sicherheitslücke auf der Xbox 360 nicht behoben wurde und es wird ein spezieller Loader benötigt, der separat veröffentlicht werden soll.

Beta-Version von Google Desktop Search 5 erschienen. Mit Google Desktop Search 5 erhält die Desktop-Suche einige Verbesserungen, die sich in der Mehrzahl auf die Sidebar und die Widgets beziehen. Außerdem integriert die Dateisuche nun eine Vorschau gefundener Dokumente und verbesserte Sicherheitsfunktionen haben in die Beta-Version Einzug gehalten.