Sicherheitslücke

Sicherheitsexperte verlässt das PHP Security Response Team. Stefan Esser kehrt dem PHP Security Response Team den Rücken. Der Sicherheitsexperte hat genug. Seine Versuche, PHP von innen sicherer zu machen, seien vergeblich gewesen. Künftig werde er Sicherheitslücken in PHP auch dann veröffentlichen, wenn es noch keinen Patch gebe.

Sicherheitslücken in Windows und Outlook Express. Am Patch-Day für den Monat Dezember 2006 korrigiert Microsoft Sicherheitslücken in Windows, im Internet Explorer, in Outlook Express, im Windows Media Player und in Visual Studio. In vielen der Fälle können diese Sicherheitslecks zur Ausführung beliebigen Programmcodes missbraucht werden, so dass sich Fremde eine umfassende Kontrolle über andere Systeme verschaffen können.

Angreifer können beliebigen Code ausführen. In Microsofts Windows Media Player wurde eine Sicherheitslücke entdeckt, über die Angreifer beliebigen Code ausführen können. Dazu muss ein Opfer nur dazu gebracht werden, eine manipulierte ASX-Playlisten-Datei zu öffnen. Bisher gibt es keinen Patch zur Abhilfe.

Erneut Sicherheitslücke geschlossen. Sony Computer Entertainment hat mit einer neuen PlayStation-Portable-Firmware eine weitere Sicherheitslücke geschlossen, die unter Umständen Hackern das Ausführen von selbst entwickelter Software erlaubt. Mit früherer Firmware konnte das Spiel PaRappa The Rapper abstürzen.

Fehlerhaftes ActiveX-Control erlaubt Ausführung von Programmcode. Im Adobe Reader 7.0.x steckt ein Sicherheitsloch, wenn PDF-Dokumente per ActiveX-Control im Internet Explorer geöffnet werden. Angreifer können darüber Code ausführen und nun hat Adobe eine Abhilfe nachgereicht, nachdem als Überbrückungslösung die Löschung der betreffenden ActiveX-Controls empfohlen wurde.

Noch kein Patch-Termin genannt. Microsoft warnt vor einem Sicherheitsloch in Word, das bereits aktiv von Schadcode ausgenutzt wird. Werden entsprechend präparierte Dateien geöffnet, können Angreifer beliebigen Code ausführen und sich so eine umfassende Kontrolle über ein fremdes System verschaffen. Wann ein Patch erscheint, ist nicht bekannt.

Studentenportal am Donnerstag wegen eines neuen XSS-Angriffs offline. Die Pannenserie von kleinen und großen Problemen und Sicherheitslücken beim Studentenportal studiVZ reißt nicht ab. Nun verspricht studiVZ eine Belohnung von 256 Euro, wenn jemand Sicherheitslücken im Portal meldet. Parallel zu der Ankündigung ging studiVZ wegen eines erneuten XSS-Angriffs offline.

Mitgliedsstaaten sollten wirksamere Maßnahmen ergreifen. Die Europäische Kommission will den Kampf gegen Computerübel deutlich ausweiten. Sie ruft deshalb die Regierungen der Mitgliedsländer auf, energischer gegen Spam, Späh- und Schadsoftware anzutreten. Zwar sei innerhalb der EU Spam verboten, doch leiden die Anwender immer noch stark an illegalen Online-Aktivitäten aus den Mitgliedsländern und aus dem EU-Ausland.

Sicherheits-Patch für bekanntes Sicherheitsloch angekündigt. Noch in diesem Monat will Microsoft vermutlich das Anfang November 2006 bekannt gewordene Sicherheitsloch in den XML Core Services schließen. Zudem sind für den diesmonatigen Patch-Day fünf Updates für Windows geplant.

Sicherheits-Update für SeaMonkey 1.x verfügbar. Die Arbeiten an der Browser-Suite SeaMonkey 1.1 schreiten voran. Die Entwickler haben nach der Alpha-Version nun eine Beta veröffentlicht, die vor allem Fehlerkorrekturen enthält. Außerdem steht nach Erscheinen von Firefox und Thunderbird 1.5.0.8 nun auch SeaMonkey in der Version 1.0.6 bereit, die einige Sicherheitslücken schließt.

Neue Versionen schließen Sicherheitslücken in Firefox 1.5 und Thunderbird 1.5. Mit Firefox 1.5.0.8 und Thunderbird 1.5.0.8 wurden Sicherheits-Updates für die beiden Mozilla-Applikationen veröffentlicht. Diese schließen eine Reihe von Sicherheitslücken und sollen die Stabilität der Produkte allgemein verbessern. Neue Funktionen gibt es daher nicht.

Sicherheitslücke macht Zweckentfremdung möglich. Mit La Fonera stellt der WLAN-Anbieter Fon im Rahmen einer zeitlich begrenzten Aktion einen WLAN-DSL-Router kostenlos gegen das Versprechen zur Verfügung, Dritten die eigene DSL-Leitung zur Nutzung mit anzubieten, um damit letztlich den Telekom-Hotspots Konkurrenz zu machen. Zwei deutsche Studenten haben es nun geschafft, den La Fonera zu hacken - kurz vor der Verlängerung der Fon-Aktion bis zum 8. November 2006.

Sicherheitsleck in Windows-Komponente. In dem ActiveX-Control XMLHTTP steckt ein Sicherheitsloch, das zur Ausführung von Programmcode missbraucht werden kann und bereits durch einen aktiven Angriff verwendet wird. Der Fehler betrifft zahlreiche Windows-Plattformen und kann von Angreifern etwa durch die Bereitstellung einer präparierten Webseite ausgenutzt werden. Noch gibt es keinen Patch zur Abhilfe.

Angreifer kann beliebigen Programmcode ausführen. Im Internet Explorer 6 wurde eine neue Sicherheitslücke gefunden, für die bereits Schadcode im Internet aufgetaucht ist. Angreifer können über das Sicherheitsleck beliebigen Programmcode ausführen, um sich eine umfassende Kontrolle über einen fremden Rechner zu verschaffen. Einen Patch gibt es derzeit nicht, aber der Internet Explorer 7 soll den Fehler nicht mehr aufweisen.

Microsoft plant Patch nach abgeschlossenen Untersuchungen. In einem in Visual Studio 2005 enthaltenen ActiveX-Modul steckt eine Sicherheitslücke, durch die Angreifer über manipulierte Webseiten Code in ein System einschleusen können. Microsoft gibt Anleitungen, wie die Sicherheitslücke vermieden werden kann, ein Patch soll später folgen.

Beispiel-Code im Internet veröffentlicht. Im Internet Explorer wurde ein Sicherheitsloch gefunden, das derzeit von Microsoft untersucht wird. Fest steht bislang, dass der Browser durch einen Programmfehler gezielt zum Absturz gebracht werden kann. Möglicherweise lässt sich über das Sicherheitsloch aber auch Programmcode ausführen, womit sich das Risiko erhöhen würde.

Windows-Patch bringt Dateimanager durcheinander. Für den Windows-Dateimanager Total Commander 6.55 ist ein Update erschienen, um einen Fehler im Zusammenspiel mit einem Windows-Sicherheits-Patch zu korrigieren. Mit Total Commander 6.55 angelegte, selbstentpackende ZIP-Archive ließen sich nicht mehr starten, was die neue Version beheben soll.

Fehler in Firefox seit August 2006 bekannt. Sowohl die Firefox-Macher als auch Microsoft haben für ihre neuen Browser-Versionen verbesserte Sicherheit versprochen. Doch beide Webbrowser weisen längst bekannte Sicherheitslücken auf, die bislang nicht geschlossen wurden. Das Sicherheitsleck in Firefox 2.0 kann zu einem gezielten Browser-Absturz missbraucht werden. Unbestätigt ist, dass darüber auch Programmcode ausgeführt werden kann.

Winamp 5.31 mit zahlreichen Fehlerkorrekturen. Mit einem Update für Winamp werden zwei schwere Sicherheitslücken geschlossen, worüber Angreifer Programmcode ausführen können. Winamp 5.31 schließt die beiden Sicherheitslecks und korrigiert weitere Programmfehler.

Aktualisierter Sicherheits-Patch für Windows 2000. Bereits in den letzten beiden Monaten musste Microsoft Sicherheits-Updates überarbeiten, die am allmonatlichen Patch-Day veröffentlicht wurden. Auch im Oktober 2006 wurde ein Fehler in einem Sicherheits-Patch erst nach Erscheinen bemerkt. Microsoft hat nun einen überarbeiteten Patch für Windows 2000 veröffentlicht.

Sicherheitsleck in Komponente von Outlook Express. Microsoft reagierte auf das einen Tag nach Erscheinen des Internet Explorer 7 gefundene Sicherheitsloch zerknirscht. Nach Aussage aus Redmond stecke das Sicherheitsleck nicht im Internet Explorer 7, sondern in Outlook Express. In Windows Vista sei das Sicherheitsleck bereits korrigiert, in Windows XP werde an einem Patch gearbeitet.

Sicherheitslücke liegt in der Qt-Bibliothek. In der Qt-Bibliothek ist eine Sicherheitslücke aufgetaucht, die Auswirkungen auf den KDE-Browser Konqueror hat. Dieser nutzt Qt so, dass es Angreifern möglich sein soll, beliebigen Programmcode auszuführen. Dazu reicht eine manipulierte Webseite aus.

Sicherheitsloch erlaubt Ausspähen von Daten. Der Internet Explorer 7 ist nicht mal einen Tag alt, da wurde schon eine Sicherheitslücke in Microsofts neuem Browser entdeckt. Das Sicherheitsleck erlaubt Angreifern das Ausspähen von Daten und wird als wenig kritisch eingestuft. Einen Patch zur Abhilfe gibt es bislang nicht.

Netzwerk-Shooter hat Probleme mit Windows-XP-Kernel-Patch. Electronic Arts sorgt erneut für Unmut bei Kunden: Für den futuristischen Netzwerk-Shooter Battlefield 2142 ist seit dieser Woche der erste Patch erhältlich, der unter Windows XP Probleme mit einem wichtigen Kernel-Sicherheitsupdate hat. EA empfiehlt kurzerhand dessen Deinstallation und nimmt in Kauf, dass die Rechner der Kunden damit angreifbarer werden.

Alle Plattformen vom Flash Player betroffen. Adobe berichtet über zwei bislang nicht geschlossene Sicherheitslecks im Flash-Player. Darüber können Angreifer verschiedene Kommandos ausführen, um etwa an vertrauliche Daten zu gelangen. Noch arbeitet der Hersteller an einem Patch, so dass derzeit keine Abhilfe zur Verfügung steht.

"Executive Summeries" bieten mehr Informationen. 101 Sicherheitslücken schließt Oracles Patch-Paket für den Monat Oktober 2006. Die meisten Korrekturen sind für die Datenbank-Produkte.

BSD- und Solaris-Treiber enthalten Sicherheitslücke vermutlich auch. Die Linux-Treiber von Nvidia enthalten eine Sicherheitslücke, durch die sich beliebiger Programmcode mit Root-Rechten ausführen lässt. Ein Angriff soll auch von einem entfernten Rechner aus möglich sein. Unter Umständen sind auch die BSD- und Solaris-Treiber betroffen, wobei Nvidia der Fehler angeblich bereits seit zwei Jahren bekannt ist. Ein Exploit existiert schon.

Zahlreiche Notebooks betroffen, erster Patch verfügbar. In den Treibern der bei vielen Marken-Notebooks verbauten Bluetooth-Module von Toshiba steckt eine schwere Sicherheitslücke. Ein Angreifer kann darüber Code einschleusen und ausführen - oder Windows XP zum Absturz bringen. Von Toshiba selbst gibt es bereits einen Patch.

Viele Sicherheitslücken erlauben Ausführung beliebigen Programmcodes. Am Patch-Day für den Monat Oktober 2006 schließt Microsoft insgesamt neun Sicherheitslücken in Windows und 16 Sicherheitslecks in Microsofts Office-Paket. Viele der geschlossenen Sicherheitslücken werden als gefährlich eingestuft, weil Angreifer darüber beliebigen Programmcode einschleusen können. Zudem wird ein Fehler im .NET Framework 2.0 korrigiert.

Falsches Posting in Googles Blog sorgt für Verwirrung. Google beendet sein "Click-to-Call"-Programm mit dem sich Telefonanrufe aus AdWords-Anzeigen starten lassen, das zumindest stand am Wochenende im Google-Blog. Stand, denn Google will das Programm keineswegs beenden, vielmehr nutzte ein unbekannter einen Fehler in der Blog-Software um einen falschen Beitrag im Google-Blog zu veröffentlichen.

Vorabinformation zu Microsofts Patch-Day am 10. Oktober 2006. Für den Oktober 2006 knöpft sich Microsoft zahlreiche Sicherheitslücken in Windows und Office vor. Während für Windows sechs Sicherheits-Patches geplant sind, sollen vier für Microsofts Office-Paket am Patch-Day für den 10. Oktober 2006 erscheinen.

Hardened-PHP-Projekt weist auf Designfehler hin. Stefan Esser warnt vor einem Fehler in der Scriptsprache PHP, mit der Nutzer auf Shared-Webhosting-Accounts aus ihrem "Verzeichnis-Gefängnis" ausbrechen können. Eigentlich soll über die Einstellung "open_basedir" verhindert werden, dass Nutzer auf solchen Maschinen außerhalb des ihnen zugedachten Verzeichnisses Dateien lesen und schreiben können, doch offenbar gibt es einen einfachen Weg dies zu umgehen.

Firefox-Entwickler rufen Hacker-Team zur Zusammenarbeit auf. Auf einer Hacker-Konferenz im kalifornischen San Diego sorgte die Bekanntgabe einer Sicherheitslücke in Firefox für einen Eklat. Die Hacker haben ein Sicherheitsleck so präsentiert, dass Angreifer den Fehler in der JavaScript-Implementierung des Mozilla-Browsers leicht ausnutzen können, berichtet das IT-Magazin ZDNet.com. Die Firefox-Entwickler zeigen sich wenig begeistert von diesem Vorgehen und riefen die Hacker zur Kooperation auf.

Auch Sicherheitslücken in Komponenten für Browser-Nutzung. Apple hat MacOS X erneut Sicherheits-Patches verpasst, um eine Reihe von Sicherheitslücken in dem Betriebssystem zu schließen. Hierbei geht es auch um Sicherheitslücken, die bei der Verwendung von Apples Safari-Browser auftreten. Einige der Sicherheitslecks gestatten das Ausführen beliebigen Programmcodes.

Neue Version 5.1.2 korrigiert den Fehler. In der freien Groupware PHProjekt ist ein Sicherheitsloch aufgetaucht, durch das Angreifer Skripte ausführen können. Eine neue Version steht bereits zum Download zur Verfügung, in der die Sicherheitslücke geschlossen wurde.

Weitere Angriffe von erleuchteter Bühne. Auch Intels ehemaliger Chief Technology Officer und jetziger Chef der Enterprise-Abteilung Pat Gelsinger ließ sich auf dem IDF dazu hinreißen, in seiner Keynote-Ansprache eine Spitze gegen AMD zu setzen. Zwar war Gelsinger dabei etwas dezenter als zuvor Justin Rattner mit seinem Opteron im Papierkorb, doch auch dieser Gag erscheint überflüssig.

Schadcode im Internet unterwegs; kein Patch verfügbar. Microsoft hat eine Sicherheitslücke in der Präsentationssoftware PowerPoint bestätigt. Das Sicherheitsloch wird bereits von Schadcode ausgenutzt, der im Internet unterwegs ist. Die Ursachen für das Sicherheitsleck in PowerPoint gab Redmond nicht bekannt. Wann der Fehler korrigiert wird, ist ebenfalls unbekannt.

Kein Patch verfügbar. Nur einen Tag nachdem Microsoft ein seit über einer Woche bekanntes Sicherheitsleck im Internet Explorer geschlossen hat, tauchte Schadcode für eine nicht geschlossene Sicherheitslücke in Redmonds Browser im Internet auf. Das Sicherheitsloch erlaubt einem Angreifer die Ausführung beliebigen Programmcodes; ein Patch ist nicht verfügbar.

Fehlerhafter Patch hat Dateien unter Windows 2000 zerstört. Die angekündigte Neuauflage des Kernel-Patches für Windows 2000 ist ab sofort verfügbar. Microsoft hatte im September 2006 einen Patch veröffentlicht, der auf Systemen mit Windows 2000 unter bestimmten Umständen Dateien zerstört, so dass diese nicht mehr lesbar sind. Der aktuelle Patch soll diesen Fehler korrigieren.

VML-Dateien erlauben Ausführung von Programmcode. Überraschend hat Microsoft einen außerplanmäßigen Sicherheits-Patch für den Internet Explorer veröffentlicht. Für das am 20. September 2006 bekannt gewordene Sicherheitsloch in Microsofts Browser hatte ein Drittanbieter bereits einen Patch veröffentlicht. Dieser Schritt dürfte Redmond dazu gebracht haben, den Patch außerplanmäßig zu veröffentlichen. Denn gleichwohl beteuert Microsoft weiterhin, die Gefahr durch das Sicherheitsloch sei nur gering.

Angreifer können beliebigen Programmcode ausführen. In Apples WLAN-Implementierung namens AirPort wurden drei Sicherheitslücken gefunden, die ein Patch beseitigen soll. Über die Sicherheitslecks in dem Treiber kann ein Angreifer beliebigen Programmcode ausführen und sich so eine umfassende Kontrolle über ein fremdes System verschaffen.

Opera 9.02 schließt Sicherheitsleck. Mit Opera 9.02 wird ein Sicherheitsloch in dem Browser geschlossen und die neue Version bringt einige Fehlerkorrekturen. So wurde Hand an die Rendering-Engine gelegt, so dass Webseiten fehlerfrei dargestellt werden sollten.

Noch kein Patch verfügbar. Eine neue Sicherheitslücke im Internet Explorer wird bereits aktiv ausgenutzt und wurde von Microsoft bestätigt. Über das Sicherheitsleck können Angreifer beliebigen Programmcode ausführen, um sich eine umfassende Kontrolle über einen fremden Rechner zu verschaffen. Microsoft beschwichtigt, das reale Risiko sei gering, während Sicherheitsexperten von Secunia und McAfee die Gefahr als hoch einschätzen.