Sicherheitslücke

Windows XP mit Internet Explorer 7 gefährdet. Eine Sicherheitslücke die bei Firefox unter Window XP im Zusammenspiel mit dem Internet Explorer 7 auftritt, erlaubt es, fremden Code auf Windows-Rechnern auszuführen. Firefox 2.0.0.6 schränkt die mit dieser Sicherheitslücke zusammenhängende Gefahr ein, schließt aber die Lücke nicht ganz. Auch andere Applikationen als Firefox sind von dem Problem betroffen, denn der Fehler steckt wohl im Verhalten des Windows-Shell-API.

Angreifer können Daten ausspähen. Die Sicherheitsfirma Security Evaluators hat Sicherheitslecks in Apples iPhone entdeckt, das von Angreifern dazu missbraucht werden kann, Daten auszuspionieren. Die Sicherheitsanfälligkeiten treten im iPhone-Browser und im Zusammenspiel mit der WLAN-Funktion des Apple-Handys auf.

Update schließt Sicherheitslücken und bringt einige Verbesserungen. Der Web-Browser Opera steht ab sofort in der Version 9.22 als Download zur Verfügung. Die neue Version beseitigt unter anderem ein Sicherheitsleck, das für Phishing-Angriffe missbraucht werden kann. Ansonsten hat der Browser Fehlerkorrekturen erfahren und soll insgesamt zuverlässiger agieren.

Übersicht soll bei Beurteilung der Updates helfen. Mit der Patch-Sammlung für Juli 2007 schließt Oracle insgesamt 45 Sicherheitslöcher in seinen Produkten. In einer Risk Matrix gibt Oracle wieder an, wie wichtig die einzelnen Updates einzustufen sind.

Firefox 2.0.0.5 bereits in deutscher Sprache verfügbar. Das Mozilla-Team hat ein Update für Firefox veröffentlicht, das verschiedene Sicherheitslücken schließt. Außerdem behebt Firefox 2.0.0.5 einige kleine Programmfehler und der Browser hat minimale Verbesserungen erhalten.

Angreifer können Telefonate verfolgen oder selbst Anrufe starten. Der Sicherheitsspezialist SPI Labs warnt iPhone-Besitzer davor, über den iPhone-Browser Telefonnummern auf Webseiten anzuwählen. Durch antippen kann eine Rufnummer innerhalb einer Webseite aus dem Browser heraus angerufen werden, indem diese an die Telefonapplikation übergeben wird. Hierbei tritt eine Sicherheitslücke auf, die sich Hacker zunutze machen können, um Schadcode auszuführen.

Neue Version schließt acht gefährliche Sicherheitslücken in QuickTime. Mit der aktuellen Version erhält die Gratis-Version von QuickTime endlich eine Option, um Videos im Vollbildmodus darzustellen. Zudem weist Apples QuickTime acht gefährliche Sicherheitslecks auf, die sowohl die Windows- als auch die Mac-Ausführung betreffen und mit dem Update geschlossen werden sollen. Im Zuge dessen wurde auch iTunes aktualisiert, um einen Fehler beim Zugriff auf die iTunes-Bibliothek zu beseitigen.

Angreifer können fremde Systeme unter ihre Kontrolle bringen. Adobe beseitigt einige Sicherheitslücken in Photoshop CS2 und CS3, mit denen sich Angreifer Kontrolle über entsprechende Systeme verschaffen können. Auch für den Flash-Player wurde ein wichtiges Update veröffentlicht.

Werbeaktion für 15-minütigen Freizugang lässt sich missbrauchen. Wer sich an der WLAN-Community FON aktiv beteiligt, stellt anderen seine DSL-Verbindung kostenlos oder auch gegen Entgelt per Funk zur Verfügung - sofern die Gäste eine FON-Kennung haben. Im Rahmen einer Werbeaktion lässt FON jedoch Fremde auch ohne ordentliche Anmeldung und damit im Grunde anonym auf die FON-Hotspots - was deren private Betreiber nicht sonderlich erfreut.

Hacker nutzen Ubisofts PSP-Spiel Lumines, um Code auszuführen. Mit Ubisofts PSP-Spiel Lumines und einem modifizierten Spielstand ist es den Hackern von Noobz in Partnerschaft mit Archaemic gelungen, selbst geschriebene Software ("Homebrew") auf allen PSP-Firmware-Versionen zum Laufen zu bringen. In der Regel läuft vom Hersteller nicht autorisierte Software auch nicht auf Spielekonsolen oder Spielehandhelds - eine Hürde, die Tüftler zu beseitigen versuchen.

Erweiterte RAW-Unterstützung für neue Digitalkameras. Apple hat die Version 10.4.10 von MacOS X als Update veröffentlicht und korrigiert damit verschiedene Fehler im Betriebssystem. Große Neuerungen hat das Update somit nicht zu bieten, so dass keine neuen Funktionen darin zu finden sind.

Angreifer können beliebigen Programmcode ausführen. In Google Online-Office "Text & Tabellen" befindet sich ein gefährliches Sicherheitsleck, über das Angreifer beliebigen Code ausführen können. Bereits das Öffnen eines entsprechend präparierten Textdokuments genügt, um Opfer eines solchen Angriffs zu werden.

Aktuelle Version schließt zwei Sicherheitslücken. Vor über zwei Wochen wurden eine Reihe von Sicherheitslücken in Firefox, Thunderbird und SeaMonkey geschlossen. Die Version 2.0.0.4 von Thunderbird war damals aber noch nicht fertig. Nun hat das Mozilla-Team das bislang fehlende Sicherheits-Update endlich nachgeliefert. Es korrigiert die gleichen Fehler wie in Thunderbird 1.5.x.

Neue Struktur der Security Bulletins. Wie angekündigt, hat Microsoft anlässlich des diesmonatigen Patch-Days die Struktur der zugehörigen Security Bulletins überarbeitet. In diesem Monat schließt Redmond sechs Sicherheitslücken im Internet Explorer, drei Fehler in Windows, vier Sicherheitslecks in Outlook Express bzw. Windows Mail sowie zwei Fehler in der Office-Komponente Visio.

Zahlreiche Sicherheitslöcher in neuem Windows-Browser gefunden. Nur wenige Stunden, nachdem Apple die öffentliche Beta-Version des Safari-Browsers für die Windows-Plattform vorgestellt hat, wurden bereits zahlreiche Sicherheitslecks im Browser gefunden. Angestachelt wurden die Sicherheitsexperten durch das Apple-Versprechen, dass Safari auf der Windows-Plattform von Anfang an hohe Sicherheit liefere. Wie sich zeigt, kann Apple dieses Versprechen nicht einlösen.

Kreative Nutzung von Sicherheitslücken. Das US-Start-up "Intellectual Weapons" hat angekündigt, maßgeschneiderte Patches für "Schwachstellen, technische Fehler oder Sicherheitslücken" entwickeln und patentieren zu wollen. Das Geschäftsmodell sieht vor, von "Softwareherstellern, Sicherheitsanbietern und Wettbewerbern des Softwareherstellers" Lizenzen für die Nutzung der patentierten Patches zu kassieren. Ein Teil der Profite - "typischerweise 50 Prozent" - sollen an den Entdecker der Sicherheitslücke ausgezahlt werden.

Erster Vorab-Patch-Day mit mehr Detail-Informationen. Für den Juni 2007 steht der allmonatliche Patch-Day in Kürze an. Erstmals liefert Microsoft in diesem Monat mehr Vorabinformationen zu den geplanten Patches. Bislang gab der Software-Riese nur an, wie viele Patches für eine Plattform erscheinen und welche maximale Gefährdungsstufe von den zu schließenden Sicherheitslücken ausgeht.

Letzte Updates für Firefox 1.5.x und SeaMonkey 1.0.x. Von den Mozilla-Applikationen Firefox, Thunderbird und SeaMonkey sind neue Versionen verfügbar, die eine Reihe von Sicherheitslücken in den Applikationen schließen. Unter anderem können die Sicherheitslöcher von Angreifern dazu missbraucht werden, schadhaften Programmcode auszuführen.

Zwei Sicherheitslücken betreffen Windows und Mac-Plattform. In QuickTime hat Apple zwei Sicherheitslecks geschlossen. Der nun erhältliche Sicherheits-Patch korrigiert Fehler in den Java-Funktionen von QuickTime. Über entsprechend manipulierte Webseiten kann ein Angreifer im schlimmsten Fall schadhaften Programmcode auf fremde Systeme schleusen.

Präparierte PDF-Dateien ermöglichen beliebige Code-Ausführung. Apple stopft mit einem neuen Update erneut zahlreiche Sicherheitslücken für sein Client-Betriebssystem MacOS X 10.3 und 10.4 sowie die Servervariante. Darunter sind Fehler beim Umgang mit Aliasen, PDF-Dateien und VPN-Verbindungen.

Entwickler empfehlen sofortiges Update. Eine neue Version der Madwifi-WLAN-Treiber für Linux stopft insgesamt drei Sicherheitslücken, von denen zwei von entfernten Angreifern ausgenutzt werden konnten. Daher empfehlen die Entwickler, ein Update so bald wie möglich durchzuführen.

Sicherheitsloch erlaubt Ausführung von Schadcode. In Opera 9.x wurde eine gefährliche Sicherheitslücke entdeckt, über die Angreifer beliebigen Programmcode einschleusen und ausführen können. Dazu muss ein Opfer nur dazu verleitet werden, eine entsprechend präparierte Datei per BitTorrent zu laden. Mit einem Update soll der Fehler nun korrigiert werden.

Kein aktualisierter Patch verfügbar. Der im Mai 2007 erschienene Sammel-Patch für den Internet Explorer macht mit der aktuellen Browser-Version Ärger - jedenfalls unter bestimmten Umständen. Hat der Nutzer des Internet Explorer 7 den Pfad für den Browser-Cache verändert, kommt es beim Programmstart zu einer Fehlermeldung, sobald der Sammel-Patch installiert wurde.

Schwere Sicherheitslecks im Internet Explorer 7 und in Office 2007. Am Patch-Day für den Monat Mai 2007 bringt Microsoft - wie erwartet - einen Patch, der ein Sicherheitsloch im Windows Server schließt. Außerdem beseitigt Redmond fünf schwere Sicherheitslücken im Internet Explorer, sieben gefährliche Sicherheitslücken in Microsofts Office-Paket sowie Fehler im Exchange-Server und in Microsofts CAPICOM.

Free60-Projekt macht Fortschritte, dennoch läuft Linux nur auf älterer Firmware. Das Free60-Projekt hat eine Live-CD mit Linux für Microsofts Xbox 360 veröffentlicht. Damit lässt sich Linux auf der Spielekonsole ausprobieren, ohne dass ein Eingriff in das System notwendig ist.

Winamp mit fehlerhafter Verarbeitung von MP4-Dateien. Mit einem Patch wird ein Sicherheitsloch in Winamp geschlossen, worüber Angreifer beliebigen Programmcode ausführen können. Dazu müssen sie ihre Opfer nur dazu bringen, eine manipulierte MP4-Datei mit der Software zu öffnen.

Insgesamt sieben Security Bulletins für Mai-Patch-Day angekündigt. Auch im Mai 2007 steht wieder ein Patch-Day von Microsoft an. In diesem Monat will der Software-Riese Sicherheitslücken in Windows, Office, im Exchange Server sowie in Capicom und im BizTalk-Server schließen. Mehrere dieser Sicherheitslücken werden von Microsoft als gefährlich eingestuft.

Fehler beim Öffnen von png-Dateien. Sowohl in Adobes Photoshop als auch in Corels Paint Shop Pro wurde ein Sicherheitsloch entdeckt, worüber Angreifer beliebigen Programmcode ausführen können. Opfer müssen lediglich zum Öffnen einer entsprechend präparierten png-Datei verleitet werden. Updates der Hersteller gibt es bislang nicht.

Fehler in AirPort- und ftp-Funktionen. Apple hat ein Sicherheits-Patch für MacOS X veröffentlicht, mit dem zwei Lücken im Betriebssystem geschlossen werden. Von keinem der beiden Sicherheitslücken geht eine größere Gefahr aus, weil eine Ausführung von Programmcode darüber nicht möglich ist.

Fehlerhafte Verarbeitung von MP4-Dateien. In der aktuellen Winamp-Version wurde ein Sicherheitsleck entdeckt, worüber Angreifer beliebigen Programmcode ausführen können. Dazu müssen sie ihre Opfer nur dazu bringen, eine manipulierte MP4-Datei mit der Software zu öffnen.

QuickTime-Patch für MacOS X und Windows. Gut eine Woche, nachdem ein Sicherheitsleck in Apples QuickTime entdeckt wurde, steht ein Patch bereit. Das Sicherheitsleck tritt auf Windows- und Mac-Systemen auf und Angreifer können darüber beliebigen Programmcode einschleusen und ausführen.

Schadhafte Verlinkung war rund zwei Wochen aktiv. Über Googles AdWords wurde zwei Wochen lang Schadcode verteilt, wie der Suchmaschinengigant per Blog-Eintrag nun eingesteht. Ein AdWords-Nutzer hatte Besucher auf Webseiten umgeleitet, die Schadcode verteilt haben und diesen auf den Rechnern der Opfer ausführen wollten. Mittlerweile sollen die betreffenden AdWords-Konten deaktiviert sein.

Google Desktop 5 für verschiedene Sprachen verfügbar. Mit einem Schlag hat Google die Version 5 der Desktop-Suche für Windows in zahlreichen Sprachen veröffentlicht. Die aktuelle Fassung bringt vor allem Verbesserungen an der Sidebar, in der Widget-Funktion sowie bei der Dateisuche. Außerdem sollen verbesserte Sicherheitsfunktionen den Nutzer besser vor Angriffen schützen. Die Mac-Version der Desktopsuche hat nur ein kleines Update erfahren.

Öffnen manipulierter BMP-Dateien führt zur Ausführung von Schadcode. Die Bildbearbeitungssoftware Photoshop von Adobe weist ein Sicherheitsleck auf. Dieses macht sich beim Öffnen von verschiedenen Bitmap-Dateien bemerkbar, weil darüber beliebiger Programmcode ausgeführt werden kann. Bislang gibt es von Adobe keinen Patch zur Abhilfe.

Sicherheitsleck steckt eigentlich in QuickTime. Das gestern gemeldete Sicherheitsleck in Safari steckt eigentlich in QuickTime. Dadurch betrifft das Sicherheitsloch nicht nur Mac-Systeme, sondern auch Windows-Rechner. Als Zwischenlösung muss die Ausführung von Java im Browser deaktiviert werden. Einen Patch gibt es bislang nicht.

Kein Patch zur Abhilfe verfügbar. In Apples Webbrowser Safari steckt ein gefährliches Sicherheitsloch, das Angreifer zum Ausführen von Schadcode missbrauchen können. Bekannt wurde das Sicherheitsleck im Rahmen der Sicherheitskonferenz CanSecWest. Die Teilnehmer waren aufgerufen, ein Mac-System zu hacken und konnten im Gegenzug ein MacBook Pro gewinnen.

Sicherheitslecks erlauben Ausführung von Programmcode. Für MacOS X ist ein Update erschienen, das mit einem Schlag 25 Sicherheitslecks im Betriebssystem schließt. Einige der Sicherheitslücken erlauben die Ausführung beliebigen Programmcodes, andere Sicherheitslöcher lassen sich hingegen nur von lokal angemeldeten Anwendern ausnutzen.

Wurm macht sich RPC-Sicherheitsloch zu Nutze. Das offene Sicherheitsloch im Windows Server wird Microsoft voraussichtlich erst am nächsten geplanten Patch-Day schließen. Seit Anfang der Woche machen sich Würmer das Sicherheitsleck bereits zu Nutze. Dennoch plant Microsoft keinen außerplanmäßigen Patch für den Windows Server 2000, 2003 sowie für den Windows Small Business Server 2000 und 2003.

RPC-Sicherheitsleck erlaubt Ausführung von Programmcode. In der vergangenen Woche hatte Microsoft auf ein nicht geschlossenes Sicherheitsloch im Windows Server hingewiesen. Das Risiko wurde von Redmond als wenig gefährlich klassifiziert. Zu dem Zeitpunkt war bereits Schadcode im Internet entdeckt worden. Wenige Tage später machte ein erster Wurm die Runde, der sich das Sicherheitsloch zu Nutze macht. Einen Patch gibt es bislang nicht.

Lesezeichen-Vorschau in Opera 9.20. Nach Abschluss des Beta-Tests steht Opera 9.20 ab sofort als Final zum Download bereit. Die neue Version bringt eine neue Funktion namens "Speed Dial", die häufig besuchte Webseiten in einer Vorschau anzeigt und einen bequemen Aufruf der Seite erlaubt.

Sicherheitsleck erlaubt Ausführung von Programmcode. Wie in der jüngsten Vergangenheit wiederholt geschehen, ist auch um Microsofts Patch-Day im April 2007 herum Beispielcode für ein nicht geschlossenes Sicherheitsloch in einem Redmondschen Produkt im Internet aufgetaucht. Diesmal betrifft es das Office-Paket von Microsoft, das eine Sicherheitslücke aufweist, über die Angreifer beliebigen Programmcode ausführen können.

Vier Sicherheits-Patches für Windows. Vor einer Woche hat Microsoft bereits einen Sicherheits-Patch veröffentlicht, um eine Sicherheitslücke bei der Darstellung animierter Cursor zu schließen. Am regulären Patch-Day für den Monat April 2007 hat Microsoft sechs Sicherheitslecks in Windows sowie zwei Sicherheitslücken im Content Management Server mit Patches bedacht.

37 Sicherheitslücken werden geschlossen. Oracle hat für Mitte April 2007 die nächste Patch-Sammlung angekündigt, mit der 37 Sicherheitslöcher in den Produkten des Datenbankanbieters geschlossen werden sollen. Darunter auch Fehler, die sich von externen Angreifern ausnutzen lassen. Mit der frühen Übersicht möchte Oracle Administratoren Zeit zur Vorbereitung geben.