Sicherheitslücke

Sicherheitslücke erlaubt Ausführung von Programmcode; kein Patch verfügbar. Im Internet Explorer 6 wurde ein neues Sicherheitsloch entdeckt, worüber Angreifer beliebigen Programmcode ausführen können. Beispiel-Code illustriert zumindest einen Denial-of-Service-Angriff. Bislang steht kein Patch zur Abhilfe bereit.

Kernel wird als stabile Serie weitergeführt. Der Linux-Entwickler Adrian Bunk hat nun die nächste Version des Linux-Kernels 2.6.16.x veröffentlicht. Wie angekündigt pflegt er diese Version als stabile Serie weiter. Kernel 2.6.16.28 enthält dementsprechend Sicherheits-Updates, aber keine neuen Funktionen.

Sicherheits-Patch für PowerPoint seit August 2006 verfügbar. TrendMicro hatte eine Sicherheitslücke in PowerPoint ausgemacht und diese als bisher unbekannt klassifiziert. Nun rudert der Virenspezialist zurück und gesteht ein, dass für die Sicherheitslücke im August 2006 ein Sicherheits-Patch erschienen ist.

Trojanisches Pferd kommt als PowerPoint-Datei daher. Microsofts Office-Komponente PowerPoint besitzt ein bisher unbekanntes Sicherheitsloch, das bereits von Schadcode ausgenutzt wird. Ein Trojanisches Pferd ist im Umlauf, das sich das Sicherheitsleck zu Nutze macht, berichten die Virenforscher von TrendMicro. Ein Opfer muss lediglich zum Öffnen einer präparierten PowerPoint-Datei gebracht werden.

Updates für die beiden aktuellen PHP-Serien. Mit PHP 5.1.5 und PHP 4.4.4 schließen die Entwickler der freien Scriptsprache einige Sicherheitslücken in ihrer Software. Erst Anfang August wurden mit PHP 4.4.3 Sicherheitslecks beseitigt.

Schädling lässt sich als Bot fernsteuern. Im Internet wurde ein neuer Windows-Wurm gesichtet, der sich eine Sicherheitslücke in Windows zunutze macht. In der vergangenen Woche wurde das Sicherheitsloch durch Erscheinen eines Patches bekannt. Nur wenige Tage später geistert nun Schadcode durch das Internet, der sich bislang aber nicht sonderlich stark verbreitet hat.

Nur Mac-Pro-Systeme und Universal-Server-Variante betroffen. Für Mac-Pro-Syteme mit MacOS X 10.4.7 sowie für den MacOS X Server 10.4.7 in der Universal-Ausführung hat Apple ein Sicherheits-Update veröffentlicht. Damit werden Sicherheitslöcher in den Komponenten ImageIO und OpenSSH des Betriebssystems geschlossen. Über das ImageIO-Leck lässt sich schadhafter Code einschleusen und starten.

12 Patches schließen 23 Sicherheitslücken; Sammel-Patch für Internet Explorer. Insgesamt 23 Sicherheitslücken schließt Microsoft am Patch-Day für den Monat August 2006 mit 12 Patches. Ein Sammel-Patch für den Internet Explorer korrigiert gleich acht Sicherheitslücken, während zwei Patches insgesamt drei Sicherheitslecks in Office beseitigen. Zudem müssen zwölf Sicherheitslücken in Windows geschlossen werden. Ein Großteil der Sicherheitslücken lässt sich für das Ausführen von Programmcode missbrauchen, so dass die Patches möglichst bald eingespielt werden sollten.

Entwickler raten zum Update. Zwei Sicherheitslücken in der schon älteren PHP-Serie 4.4.x schließt die neue Version 4.4.3. Daneben wurden auch einige kleinere Fehler beseitigt.

Exploit auf BlackHat-Konferenz vorgeführt. Die bisher nur auf Windows-Notebooks vorgeführten WLAN-Angriffe auf Fehler im Treiber der drahtlosen Netzwerkkarte funktionieren auch unter MacOS. Auf der derzeit in Las Vegas stattfindenden Sicherheitskonferenz "Black Hat Briefing USA 2006" wurde die Attacke bereits erfolgreich demonstriert.

Aktuelle Opera-Version ohne neue Funktionen. Dem Web-Browser Opera 9 hat der norwegische Browser-Produzent ein Update spendiert. Opera 9.01 korrigiert einige Programmfehler, bringt aber keine Neuerungen. Der Browser-Hersteller empfiehlt die Einspielung der aktuellen Version für alle Desktop-Plattformen.

Intel nennt Lücke "kritisch" und bietet Patches an. Eine bereits im Vorfeld der derzeit in Las Vegas stattfindenden Sicherheitskonferenz "Black Hat Briefing USA 2006" bekannt gewordene Sicherheitslücke in WLAN-Treibern betrifft auch die weit verbreiteten Centrino-Notebooks mit Intel-Komponenten. Nahezu alle WLAN-Module von Intel sind betroffen, es empfiehlt sich dringend, die bereits reparierten Treiber zu installieren.

Zahlreiche gefährliche Sicherheitslücken gefunden. Insgesamt 20 Sicherheitslücken schließt Apple mit einem Sicherheits-Update in den MacOS-Versionen 10.3.9 sowie 10.4.7. Ein Großteil der nun korrigierten Sicherheitslecks kann zur Ausführung von Programmcode missbraucht werden. Zudem hat die Bluetooth-Funktion eine Sicherheitsverbesserung erfahren.

Safari-Sicherheitslücke erlaubt Programmausführung. In Apples Web-Browser Safari 2.x wurde ein Sicherheitsloch entdeckt, worüber Angreifer beliebigen Programmcode ausführen können. Das Sicherheitsleck ließe sich sich im schlimmsten Fall dazu einsetzen, ein fremdes System unter die eigene Kontrolle zu bekommen. Bislang gibt es keinen Patch zur Abhilfe.

Entwickler raten Nutzern dringend zum Upgrade. Mit der Version 2.0.4 schließen die Entwickler der freien Blog-Software Wordpress einige kritische Sicherheitslücken. Darüber hinaus wurden rund 50 weitere Fehler beseitigt.

Michael Ott zeigt XSS-Lücken in 10 Websites auf. Der IT-Sicherheits-Spezialist WhiteHat Security warnt vor neuen Angriffsmethoden auf Unternehmensnetze durch Cross-Site-Scripting-Lücken (XSS) in Webapplikationen. Auf diesem Wege lassen sich beispielsweise Portscans interner Netze durchführen oder Router und Firewalls neu konfigurieren warnt das Unternehmen.

Werbe-E-Mails der Anti-Schwarzkopie-Kampagne erzürnen Anwalt. Der vor allem durch Abmahnungen gegen Schwarzkopierer bekannt gewordene deutsche Anwalt Günter Freiherr von Gravenreuth sieht sich durch die Raubkopierer-sind-Verbrecher-Kampagne der Zukunft Kino Marketing GmbH (ZKM) belästigt. Genauer gesagt durch die elektronischen Postkarten, die von der zur Kampagne gehörenden Hart-aber-gerecht-Website versendet werden können.

Thunderbird 1.5.0.5 schließt elf Sicherheitslöcher. Nachdem kürzlich Sicherheits-Updates für Firefox und SeaMonkey erschienen sind, stehen nun Sicherheitskorrekturen für Thunderbird bereit. Neue Funktionen bietet Thunderbird 1.5.0.5 nicht und in dem E-Mail-Client wurde nur ein schweres Sicherheitsloch gefunden. Die übrigen zehn Sicherheitslücken werden nur als mittelschwer bis ungefährlich eingestuft.

Firefox 1.5.0.5 und SeaMonkey 1.0.3 kostenlos zum Download. Mit Firefox 1.5.0.5 schließt das Mozilla-Team insgesamt zwölf Sicherheitslöcher in dem Browser, um gegen mögliche Angriffe gefeit zu sein. Ansonsten enthält die neue Firefox-Version kleinere Optimierungen, aber keine Neuerungen. Mittlerweile wurde auch ein Sicherheits-Update für die Browser-Suite SeaMonkey veröffentlicht. In Kürze wird auch Thunderbird 1.5.0.5 erwartet, um Sicherheitslücken in dem E-Mail-Client zu schließen.

DoS-Angriff per FTP möglich. Ein Sicherheitsloch im Kernel von Solaris 10 ermöglicht Denial-of-Service-Angriffe. Diese lassen sich von lokalen Nutzern, aber auch über FTP ausführen. Updates für SPARC und x86 sind bereits verfügbar.

Trojanisches Pferd in chinesischer Sprache. In der vergangenen Woche hatte Symantec ein Trojanisches Pferd entdeckt, das eine bis dato unbekannte Sicherheitslücke in PowerPoint ausnutzt. Das Trojanische Pferd Trojan.PPDropper ist vornehmlich im asiatischen Raum zu finden und hat sich bislang nur wenig verbreitet. Nun bestätigte Microsoft das Sicherheitsloch in PowerPoint und will dieses am August-Patch-Day beseitigen.

Sicherheitsloch erlaubt Ausführung von Makro-Befehlen. Für das nicht mehr ganz taufrische OpenOffice.org 1.1.5 wurde ein Patch veröffentlicht, um eine darin entdeckte Sicherheitslücke zu schließen. Das Sicherheitsleck erlaubt einer manipulierten OpenOffice.org-Datei die Ausführung von Basic-Befehlen, ohne vom Anwender eine Bestätigung einzufordern.

Entwickler-Zugang wurde geknackt. Für den Einbruch in den Debian-Entwicklungsrechner "Gluck" wurde ein Fehler im Linux-Kernel ausgenutzt. Der Angreifer knackte einen Entwicklerzugang, über den er dann unter Ausnutzung des Fehlers Root-Rechte erlangte. Schaden richtete er allerdings nicht an.

Angreifer nutzten eventuell Lücke im Linux-Kernel. In den Entwicklungsrechner "Gluck" des Debian-Projektes wurde eingebrochen, weshalb er vorerst vom Netz genommen wurde. Dadurch sind einige Dienste derzeit nicht erreichbar. Wie es zu dem Einbruch kommen konnte, ist noch nicht geklärt, es gibt jedoch Vermutungen, dass eine aktuelle Sicherheitslücke des Linux-Kernels ausgenutzt wurde.

Sicherheitslücke im Installer der Alternate- und Server-CD. Durch einen Fehler im Textinstaller von Ubuntu 6.06 LTS bleibt das Root-Passwort unter Umständen leer. Normalerweise sperrt die Distribution das Passwort, so dass eine Anmeldung als Root nicht möglich ist. Durch den Fehler kann jedoch jeder Nutzer Root-Rechte erlangen und hat somit uneingeschränkten Zugriff auf das System.

Microsoft korrigiert Sicherheitsloch im .NET Framework 2.0. In Windows bzw. Komponenten davon schließt Microsoft am Patch-Day des Monats Juli 2006 insgesamt vier Sicherheitslecks. Ein Teil davon kann zur Ausführung von Programmcode missbraucht werden, womit sich ein Angreifer eine umfassende Kontrolle über ein fremdes System verschaffen könnte.

Allein sieben Sicherheitslecks in Excel gefunden. Sowohl für die Tabellenkalkulation Excel als auch für eine Reihe anderer Office-Applikationen hat Microsoft Sicherheits-Patches veröffentlicht, um insgesamt zwölf Sicherheitslücken zu schließen. Die Sicherheitslücken werden als kritisch eingestuft und erlauben die Ausführung beliebigen Programmcodes.

Kopieren von Filmen soll unterdrückt werden. Kürzlich berichtete die c't davon, dass die Bildschirmfoto-Funktion von WinDVD HD dafür genutzt werden könnte, den Kopierschutz von HD-DVD- und Blu-ray-Spielfilmen zu umgehen. Ein von Intervideo angebotenes Update der WinDVD-Software für Toshibas HD-DVD-Notebook Qosmio G30 unterbindet das mittlerweile.

Angreifer kann beliebigen Programmcode ausführen. In Microsofts Textverarbeitung Word wurde ein Sicherheitsloch entdeckt, worüber sich beliebiger Programmcode auf fremde Systeme schleusen und ausführen lässt. Damit können Angreifer Systeme unbefugt unter ihre Kontrolle bringen. Bislang gibt es keinen Patch zur Abhilfe.

Fachmagazin c't entdeckt Kopierschutzlücke. Aus Sorge der Filmstudios vor digitalen Kopien sollen die DVD-Nachfolger Blu-ray Disc und HD DVD auf ihnen gespeicherte hochauflösende Filme mit komplexem Kopierschutz (AACS) und verschlüsselter Übertragung (HDCP) zum Monitor, Fernseher oder Projektor schützen. Die c't hat nun beim Test der ersten PCs und Notebooks mit Blu-ray- und HD-DVD-Laufwerken festgestellt, dass die Sicherheitskette ein Loch aufweist - unter Windows XP ließen sich per Wiedergabe-Software Screenshots in voller Auflösung anfertigen.

Vorabinformation zu Microsofts Patch-Day am 11. Juli 2006. Sicherheitslücken in Windows und Office nimmt Microsoft am allmonatlichen Patch-Day für den 11. Juli 2006 ins Visier. Während vier Patches für Windows geplant sind, gibt es drei Aktualisierungen für Office. Da Redmond die sieben Sicherheits-Patches als kritisch einstuft, wird eine baldige Einspielung nach Verfügbarkeit empfohlen.

Fehler schon seit Kernel-Version 2.2.16 vorhanden. Ein Tippfehler im CD-ROM-Treiber des Linux-Kernels ist für eine Sicherheitslücke verantwortlich, durch die Angreifer Root-Rechte erlangen können. Der Fehler existiert offensichtlich bereits seit der Kernel-Version 2.2.16.

Updates auf Horde 3.0.11 und 3.1.2. Für das freie Applikations-Framework Horde sind zwei Sicherheits-Updates auf die Versionen 3.0.10 und 3.1.2 erschienen. Beide korrigieren Sicherheitslücken, die alle Versionen ab 3.0 betreffen. Frühere Versionen hingegen enthalten die Fehler nicht.

Sicherheitslücke erlaubt Ausführung von Programmcode; kein Patch verfügbar. Im Internet Explorer wurde ein neues Sicherheitsloch entdeckt, worüber Angreifer beliebigen Programmcode ausführen können. Beispiel-Code illustriert und belegt das Sicherheitsloch, das in den Funktionen für die HTML-Hilfe des Internet Explorer steckt. Bislang steht kein Patch zur Abhilfe bereit.

Apple bringt iTunes 6.0.5 für Windows und MacOS X. Die neue Version 6.0.5 von iTunes schließt ein gefährliches Sicherheitsloch, worüber Angreifer beliebigen Programmcode ausführen könnten. Angreifer könnten so eine umfassende Kontrolle über ein fremdes System erhalten. Das Sicherheitsloch betrifft sowohl die Windows- als auch die Mac-Ausführung von iTunes.

Fanjitas eLoader soll bald darauf angepasst sein. Das Katz-und-Mausspiel um die PlayStation Portable (PSP) geht weiter: Nun haben Hacker eine Sicherheitslücke entdeckt, mit der die Firmware-Versionen 2.50 sowie 2.60 ausgetrickst werden können, um etwa selbstgeschriebene Software ausführen zu können. In einem Video auf YouTube.com ist zudem eine mit Modchip versehene PSP mit der aktuellen Firmware 2.71 in Aktion zu sehen.

Neuer Patch beseitigt Einwahlprobleme. Ein im Juni 2006 erschienener Sicherheits-Patch für die Windows-Plattform steht in einer aktualisierten Ausführung bereit, um mögliche Fehler zu beseitigen. Der bisherige Patch konnte Einwahlverbindungen ins Internet stören, so dass Anwender unter Umständen nicht mehr ins Internet kamen. Microsoft hat bereits Schadcode entdeckt, der diese Sicherheitslücke ausnutzt.

Angreifer können beliebigen Programmcode einschleusen und ausführen. Eine knappe Woche, nachdem Microsoft den Instant-Messaging-Client Windows Live Messenger als Final-Version veröffentlicht hat, wurde bereits ein schweres Sicherheitsloch darin gefunden. Mit einer präparierten Kontaktlistendatei kann ein Angreifer beliebigen Programmcode auf ein fremdes System einschleusen und dort ausführen.

Manipulierte JPEG-Bilder gestatten Code-Ausführung. Erst jetzt wurde bekannt, dass die Version 9 von Opera ein schweres Sicherheitsloch im Browser beseitigt. Bereits die Ansicht manipulierter JPEG-Bilder genügt, damit Angreifer beliebigen Programmcode auf einem fremden System ausführen können. Einen Sicherheits-Patch für Opera 8.x gibt es bislang nicht.

Excel erlaubt Ausführung von Programmcode. Mit Hilfe eines präparierten Excel-Dokuments kann ein weiteres Sicherheitsrisiko in Microsofts Tabellenkalkulation für Angriffe missbraucht werden. Ein Opfer muss lediglich dazu gebracht werden, ein entsprechend modifiziertes Excel-Dokument zu öffnen, damit ein Angreifer beliebigen Programmcode ausführen kann.

Abspielen von MIDI-Dateien erlaubt Programmausführung. Mit Hilfe modifizierter MIDI-Dateien können Angreifer beliebigen Programmcode ausführen, wenn die Klangdateien mit Winamp abgespielt werden. Die aktuelle Winamp-Version korrigiert den Fehler und soll nun gegen derartige Angriffe gefeit sein. Weitere Neuerungen bringt Winamp 5.24 nicht.

Acrobat 7.0.8 für Windows und MacOS X. Adobe stellt ab sofort ein Update auf die Version 7.0.8 von Acrobat für Windows und MacOS X zum Download bereit. Das Update soll Programmfehler bereinigen und verschiedene Sicherheitslücken schließen. Unter anderem wird nun die PDFMaker-Toolbar wieder korrekt in Microsofts Office-Suite integriert und versteht sich auch wieder mit AutoCAD 2002 und 2006.

Beispielcode deckt Sicherheitslücke in hlink.dll auf. Verschiedene US-Medien berichten über ein angebliches zweites in Excel steckendes Sicherheitsloch, das bereits durch Beispielcode missbraucht wird. Dieses Sicherheitsleck steckt allerdings nicht in Excel, sondern in einer Windows-Komponente, betont Microsoft nun. Bereits vor wenigen Tagen wies Redmond auf ein Sicherheitsloch in Excel hin, das ebenfalls durch Schadcode ausgenutzt wird. In beiden Fällen habe sich der Beispielcode bislang nicht verbreitet.