Sicherheitslücke

Angreifer können Daten über Greasemonkey ausspionieren. In der Firefox-Erweiterung Greasemonkey wurde eine Sicherheitslücke entdeckt, worüber Angreifer im schlimmsten Fall den Inhalt von Daten einsehen und sich so Zugriff auf vertrauliche Informationen verschaffen könnten. Derzeit wird an einer Greasemonkey-Version gearbeitet, die das Sicherheitsloch schließt. Vorerst gibt es als Abhilfe nur eine Version der Erweiterung, in der Funktionen abgeschaltet wurden.

Code-Basis soll jetzt gründlich nach Fehlern durchsucht werden. Mit der Version 2.0.17 von phpBB schließen die Entwickler der freien Board-Software eine kritische Sicherheitslücke, die Cross-Site-Scripting-Attacken (XSS) im Internet Explorer ermöglichte. Nach zunehmender Kritik aufgrund wiederholter Sicherheitsprobleme in phpBB wollen die Entwickler sich den schon in die Jahre gekommen Code nun nochmals gründlich vornehmen.

Sicherheitslücken erlauben Ausführung von fremdem Code. Die Mozilla-Entwickler beheben mit dem Sicherheits-Update auf Firefox 1.0.5 zwölf Sicherheitslücken in ihrem Browser. Darunter sind auch zwei als kritisch eingestufte Probleme, die das Ausführen von fremdem Code erlauben.

Ein weiteres kritisches Sicherheitsloch in Microsoft Word. Microsoft stellt am Patch-Day für den Monat Juli 2005 insgesamt drei Patches zur Verfügung, um Sicherheitslücken zu schließen, über die Angreifer beliebigen Programmcode auf fremden Systemen ausführen können, um sich so eine umfassende Kontrolle über andere Rechner zu verschaffen. Zwei der Sicherheitslücken betreffen Windows, während ein Sicherheitsleck in Microsoft Word steckt.

Neue Version beseitigt Speicherfehler. Zwar ist PHP 5 seit geraumer Zeit fertig und bietet zahlreiche Vorteile gegenüber PHP 4, doch die Entwickler der freien Scriptsprache pflegen auch die 4er-Reihe weiter. Allerdings enthält PHP 4.4.0, auch wenn es die Versionsnummer anders vermuten lässt, keine neuen Funktionen.

Wiederholte Sicherheitsprobleme machen der Board-Software zu schaffen. Einige Web-Hoster verbannen die populäre, freie Board-Software phpBB wegen wiederholter Sicherheitsprobleme, berichtet Netcraft. Sicherheitslöcher in der weit verbreiteten Software hatten wiederholt Angriffe nach sich gezogen. Im Dezember hatte der Wurm Santy diverse Webseiten verunstaltet.

Gericht bleibt knapp unter der Forderung der Staatsanwaltschaft. Der Autor der Würmer "Sasser" und "Netsky" wurde zu einer Jugendstrafe von einem Jahr und neun Monaten verurteilt, die zur Bewährung ausgesetzt wird. Damit blieb das Gericht leicht unter dem Antrag der Staatsanwaltschaft, die eine zweijährige Jugendstrafe gefordert hatte, diese aber auch zur Bewährung ausgesetzt sehen wollte.

Vorabinformationen zu Microsofts Patch-Day am 12. Juli 2005. Auch in diesem Monat wird Microsoft am Patch-Day mehrere Sicherheits-Patches veröffentlichen. Gemäß den Vorabinformationen stehen Sicherheits-Patches für Windows und die Office-Suite aus Redmond an. Ein Großteil der zu beseitigenden Sicherheitslöcher wird von Microsoft als kritisch eingestuft.

Vorwurf der Datenveränderung, Computersabotage und Störung öffentlicher Betriebe. Seit 9:00 Uhr am heutigen 5. Juli 2005 verhandelt die 3. große Strafkammer des Landgerichts Verden die Strafsache gegen den Autor der Würmer Sasser und Netsky. Ihm wird Datenveränderung, Computersabotage und Störung öffentlicher Betriebe vorgeworfen.

Exploit-Code für Internet Explorer im Internet aufgetaucht. Im Zusammenspiel mit dem Internet Explorer wurde ein Sicherheitsloch in Microsofts Java Virtual Machine entdeckt, das Angreifern das Ausführen beliebigen Programmcodes erlaubt, was ihnen eine umfassende Kontrolle über ein fremdes System verschafft. Ein erster Exploit-Code dafür kursiert bereits im Internet; Microsoft hat das Sicherheitsloch bestätigt, bietet aber noch keinen Patch an.

Angreifer können Programmcode bei der Wiedergabe von Multimediadateien ausführen. In etlichen Versionen des RealPlayer stecken schwere Sicherheitslöcher, über die Angreifer beliebigen Programmcode auf einem fremden System ausführen können. In zwei Fällen genügt es bereits, ein Opfer dazu zu bewegen, eine manipulierte AVI- oder RealMedia-Datei mit dem Real Player zu öffnen, um ein fremdes System zu kontrollieren. RealNetworks hat einen Patch zur Abhilfe des Problems veröffentlicht.

Emulatoren einfach auf US-PSPs zum Laufen bringen. Die Tüftler-Szene widmet sich weiter Sonys PlayStation Portable: Nachdem Mitte Juni 2005 die erste Möglichkeit gefunden wurde, selbst geschriebene Software auch mit der Firmware-Version 1.50 vom Memory-Stick zu starten, gibt es seit dem 22. Juni eine komfortablere Lösung.

Schwachstelle durch Cross-Site-Scripting ausnutzbar. Im beliebten Webmailer SquirrelMail sind diverse Sicherheitslücken entdeckt worden, die es einem Angreifer ermöglichen könnten, durch eine URL-Manipulation die Session eines legitimen Anwenders zu übernehmen und so Kontrolle über seine Mails und den Webmailer zu erlangen.

Etliche Web-Browser geben Herkunft von JavaScript-Dialogboxen nicht preis. Am gestrigen 21. Juni 2005 wiesen die Sicherheitsspezialisten von Secunia auf eine Spoofing-Sicherheitsanfälligkeit in zahlreichen Web-Browsern hin, die als ungefährlich eingestuft wurde. Aber dennoch bietet Opera bereits seit ein paar Tagen eine aktualisierte Version des Browsers an, um das dahinter stehende Risiko zu minimieren, während Microsoft überhaupt keinen Handlungsbedarf sieht.

MasterCard warnt vor Diebstahl von Kreditkarten-Daten bei CardSystems. In den USA sind wahrscheinlich die Daten von rund 40 Millionen Kreditkarten in die falschen Hände geraten. Bei der Firma CardSystems Solutions, die Kreditkarten-Transaktionen abwickelt, seien die Daten gestohlen worden, so Mastercard.

Erste Final-Version von Opera 8 für MacOS X veröffentlicht. Nachdem bereits vor rund zwei Wochen eine Final-Version von Opera 8.01 auf den ftp-Servern des Herstellers aufgetaucht ist und diese wegen Problemen noch vor einer Ankündigung wieder zurückgezogen wurde, steht die Final-Version nun für alle Desktop-Plattformen zum Download bereit. Mit Opera 8.01 erschien zudem die erste Final-Version des Browsers für MacOS X, denn bisher wurde lediglich eine Beta-Version veröffentlicht.

Sicherheitsloch betrifft Windows- und MacOS-Ausführungen der Adobe-Produkte. Über ein Sicherheitsloch in Acrobat 7 sowie dem Adobe Reader 7 können Angreifer Einsicht in Dateien auf einem fremden Rechner erlangen. Während Adobe für die Windows-Ausführungen der Applikationen bereits Patches zur Abhilfe anbietet, müssen sich Anwender von MacOS X noch gedulden.

Selbstgeschriebene Software erstmals auch auf US-Geräten nutzbar. Sonys PlayStation Portable hat wegen ihrer Leistung einige Tüftler angelockt, die versuchen, eigene Software dafür zu schreiben. Die bereits realisierten Emulatoren für ältere Spiele-Handhelds und Konsolen liefen bisher aber nur auf japanischen PSPs mit der ersten Firmware (Version 1.0) - das "PSP-Dev Team" will dies ändern.

Weiteres Sicherheitsleck im ISA Server 2000 entdeckt. Gleich sechs Sicherheitslücken muss Microsoft am Patch-Day für den Monat Juni 2005 in zahlreichen Windows-Versionen beheben und kümmert sich zudem um ein Sicherheitsloch im ISA Server 2000. Drei der sechs nun bekannt gewordenen Sicherheitslücken werden von Microsoft als gefährlich eingestuft, da sich darüber beliebiger Programmcode auf einem fremden System ausführen lässt, was einem Angreifer eine umfassende Kontrolle über einen anderen Rechner verschafft.

Weiteres Sicherheitsloch im Exchange Server 5.5 gefunden. Allein im Internet Explorer wurden am Patch-Day für den Monat Juni 2005 zwei neue Sicherheitslücken bekannt, worüber sich Programmcode ausführen oder Daten ausspionieren lassen. Zudem kann Programmcode über ein Sicherheitsleck in Outlook Express sowie Exchange Server 5.5 ausgeführt werden. Für alle vier Sicherheitslöcher bietet Microsoft nun Patches zum Download an.

Vorabinformationen zu Microsofts Patch-Day am 14. Juni 2005. Für Microsofts Patch-Day am 14. Juni 2005 plant der Softwaregigant die Veröffentlichung von zehn Security Bulletins, um unter anderem mindestens acht verschiedene Windows-Sicherheitslücken zu schließen. Einige der zu beseitigenden Sicherheitslöcher in Windows werden als kritisch eingestuft.

Patch behebt Sicherheitslecks in MacOS X 10.3.9 sowie MacOS X 10.4.1. Mit einem aktuellen Sicherheits-Update beseitigt Apple eine Reihe von Sicherheitslücken in MacOS X 10.4.1 sowie zwei Sicherheitslecks in MacOS X 10.3.9. Die jeweiligen Sicherheits-Updates betreffen die Desktop- und Server-Ausführungen von MacOS X.

Sicherheitslücke in QuickTime 7 wird geschlossen. Apple hat ein Update für QuickTime 7.0 veröffentlicht, das ein Sicherheitsleck im Quartz Composer Plug-in beseitigt. Über das Sicherheitsloch könnten Angreifer vertrauliche Informationen sammeln und an eine Webseite übertragen. Das Update auf QuickTime 7.0.1 steht ab sofort unter anderem in deutscher Sprache zum Download bereit.

Kernel behebt unter anderem auch eine Sicherheitslücke im ELF-Loader. Gewohnt regelmäßig hat Marcelo Tosatt heute den 2.4.31-Kernel freigegeben, der eine Sicherheitslücke im ELF-Loader schließt, einige andere Probleme beseitigt und Treiber aktualisiert.

Trojanisches Pferd verschlüsselt lokale Dateien und verwehrt Zugriff darauf. Hersteller von Antiviren-Software haben im Internet ein Trojanisches Pferd entdeckt, das nach lokalen Dateien sucht, um diese gezielt zu verschlüsseln. Dadurch wird erreicht, dass ein Nutzer auf zahlreiche seiner Dateien nicht mehr zugreifen kann. Zur Entschlüsselung der Daten verlangt der Unhold Trojan.Pgpcoder ein Lösegeld von 200,- US-Dollar.

Angreifer konnten Zugriff auf vertrauliche Daten erhalten. Wie das Softwareunternehmen Finjan Software mitteilte, habe es ein Sicherheitsleck in Microsofts Webseite zur neuen Xbox www.xbox360.com entdeckt, das mittlerweile geschlossen wurde. Über die Sicherheitslücke hätten demnach Angreifer vertrauliche Daten ausspionieren können.

Sicherheits-Update für MacOS X 10.4 Server erschienen. Einige Tage nachdem ein umfangreiches Sicherheits-Update für MacOS X 10.4 alias Tiger erschienen ist, hat Apple nun auch ein Update für die Server-Ausführung veröffentlicht. Durch dieses Update wird das Sicherheitsleck bei der automatischen Einspielung von Widgets in das Dashboard endgültig geschlossen.

Student entwickelt theoretisches Angriffs-Szenario. Intels HyperThreading-Technologie lässt sich auf einem Server missbrauchen, um Passwörter oder RSA-Keys abzufangen. Dies geht aus einem "Proof-of-Concept" des Angriffs hervor, den ein 23-jähriger Student entwickelt hat. Damit die Attacke funktioniert, muss man jedoch schon vollen Zugriff auf den Server haben.

Aktuelle Mozilla-Version behebt Sicherheitslücken. Nachdem am gestrigen 12. Mai 2005 einige Sicherheitslücken in Firefox und Mozilla behoben wurden, steht nun die Mozilla-Suite in der aktuellen Version 1.7.8 auch in deutscher Sprache für alle Plattformen zum Download bereit. Der aktuelle Firefox 1.0.4 erschien gestern bereits kurz nach der englischsprachigen Version auch in deutscher Ausführung.

Aktuelle Firefox- und Mozilla-Versionen schließen mehrere Sicherheitslücken. Mit Firefox 1.0.4 wurde das bereits angekündigte Sicherheits-Update für den Browser veröffentlicht, womit ein Anfang der Woche entdecktes Sicherheitsloch in der Software beseitigt wird. Darüber hinaus wurden mit der aktuellen Version weitere Sicherheitslücken geschlossen, die auch in Mozilla zu finden sind, so dass für die Browser-Suite ebenfalls ein Update bereitsteht.

Dateivorschau verhilft Angreifern zu umfassender Kontrolle. Am Patch-Day des Monats Mai 2005 beseitigt Microsoft eine vor rund einem Monat bekannt gewordene Sicherheitslücke in Windows 2000. Das in der Web-Ansicht vom Windows Explorer steckende Sicherheitsloch gestattet einem Angreifer die Ausführung von Script-Code, wenn eine präparierte Datei lediglich in der Vorschau angezeigt wird.

Neue iTunes-Version erhielt einige Neuerungen. In Apples iTunes steckt ein Sicherheitsloch bei der Wiedergabe von MPEG4-Daten, worüber sich beliebiger Programmcode ausführen lassen kann. Das Sicherheitsleck betrifft sowohl die Versionen für die Mac- als auch die Windows-Plattform. Mit einer aktuellen iTunes-Version will der Hersteller das Problem beseitigen.

Mozilla-Team arbeitet an Firefox-Update. Im Mozilla-Browser Firefox wurde ein neues Sicherheitsloch entdeckt, das unter bestimmten Umständen das Ausführen beliebigen Programmcodes erlaubt. Das Sicherheitsleck betrifft auch den aktuellen Firefox 1.0.3; ein Patch steht noch nicht bereit.

Vorabinformationen zum Patch-Day am 10. Mai 2005. Im vergangenen Monat hatte Microsoft sich mehrere Windows-Sicherheitslücken sowie weitere Sicherheitslöcher im Internet Explorer sowie anderen Microsoft-Applikationen vorgeknöpft. Am Patch-Day für den Mai 2005 wird es etwas ruhiger, da Microsoft wohl nur eine Windows-Sicherheitslücke schließen will.

Patch soll 20 Sicherheitslücken in MacOS X 10.3.9 beseitigen. Apple berichtet über 20 neue Sicherheitslücken in MacOS X 10.3.9, wovon einige von Angreifern für das Ausführen von Programmcode missbraucht werden können, was diesen eine umfassende Kontrolle über fremde Systeme bringt. Die Mehrzahl der Sicherheitslecks betrifft sowohl die Desktop- als auch die Server-Version von MacOS X 10.3.9. Mit einem Sicherheits-Patch sollen diese Sicherheitslücken nun geschlossen werden.

Sicherheitsloch aus OpenOffice.org steckt auch in StarOffice 7. Das kürzlich in OpenOffice.org entdeckte Sicherheitsloch betrifft auch StarOffice 7, so dass auch Sun einen Patch veröffentlichte, um das Sicherheitsleck zu schließen. Durch das Sicherheitsleck kann die Office-Software über eine manipulierte Word-Datei gezielt zum Absturz gebracht werden.

GIF-Bilder erlauben Ausführung von Programmcode. Ein mit Firefox 1.0.2 behobenes Sicherheitsloch wurde nun auch für den Netscape-Browser bestätigt. Über das Sicherheitsleck können Angreifer präparierte GIF-Dateien dazu missbrauchen, unter bestimmten Umständen beliebigen Programmcode auf einem fremden System auszuführen. Im Unterschied zu Firefox stehen Patches für Netscape derzeit nicht zur Verfügung.

Aktuelle Versionen der Browser-Applikationen beseitigen Sicherheitslücken. Die aktuellen Versionen von Firefox und Mozilla stehen mit deutschsprachiger Oberfläche zum Download bereit. Die aktuellen Versionen beheben vor allem einige Sicherheitslöcher in den Browser-Applikationen, so dass man mit Firefox 1.0.3 und Mozilla 1.7.7 vor möglichen Angriffen geschützt sein sollte.

Vorerst kein Patch von Microsoft verfügbar. Auf Systemen mit Windows 2000 wurde von dem Sicherheitsunternehmen GreyMagic eine Sicherheitslücke im Windows Explorer gefunden, worüber Angreifer beliebigen Script-Code ausführen können. Grund dafür ist ein Fehler in der Web-Ansicht des Explorers, wo Informationen zu Dateien angezeigt werden.

Manipulierte RealAudio-Dateien gestatten Ausführung von Programmcode. In zahlreichen Versionen des RealPlayer steckt eine Sicherheitslücke, worüber Angreifer beliebigen Programmcode auf einem fremden System ausführen können. Das Sicherheitsloch steckt in den RealPlayer-Versionen für Windows, Linux sowie MacOS X, für die passende Patches zum Download bereitstehen.

Auch Sammel-Update für MacOS X 10.3 verfügbar. Apple hat ein Update auf MacOS X 10.3.9 für alle Systeme mit MacOS X 10.3 und neuer bereitgestellt, das gleich sieben Sicherheitslecks im Kernel des Betriebssystems beseitigt und eine Sicherheitslücke im Safari-Browser schließt. Das Update steht für die Desktop- und Server-Version von MacOS X zur Verfügung.

Bugfix-Update für Mozilla-Browser steht zum Download bereit. Nach diversen Release-Candidates sind jetzt Firefox und Mozilla in neuen Versionen erschienen. Die Fertigstellung des Bugfix-Update hat länger gedauert als geplant, schon Anfang April 2005 waren erste Release-Candidates zum Testen freigegeben worden, doch wiederholt gab es einige kleine Probleme.

Patches für alle betroffenen Versionen verfügbar. Für die Office-Suite OpenOffice.org wurde ein Patch veröffentlicht, der ein jüngst bekannt gewordenes Sicherheitsloch in der Office-Suite schließt. Durch das Sicherheitsleck kann die Office-Software über eine manipulierte Word-Datei gezielt zum Absturz gebracht werden. Die Patches stehen sowohl für die betroffenen Final-Versionen von OpenOffice.org 1.1.x als auch für die Beta-Version 2.x für alle Plattformen bereit.