Sicherheitslücke

Firefox-Entwickler rufen Hacker-Team zur Zusammenarbeit auf. Auf einer Hacker-Konferenz im kalifornischen San Diego sorgte die Bekanntgabe einer Sicherheitslücke in Firefox für einen Eklat. Die Hacker haben ein Sicherheitsleck so präsentiert, dass Angreifer den Fehler in der JavaScript-Implementierung des Mozilla-Browsers leicht ausnutzen können, berichtet das IT-Magazin ZDNet.com. Die Firefox-Entwickler zeigen sich wenig begeistert von diesem Vorgehen und riefen die Hacker zur Kooperation auf.

Auch Sicherheitslücken in Komponenten für Browser-Nutzung. Apple hat MacOS X erneut Sicherheits-Patches verpasst, um eine Reihe von Sicherheitslücken in dem Betriebssystem zu schließen. Hierbei geht es auch um Sicherheitslücken, die bei der Verwendung von Apples Safari-Browser auftreten. Einige der Sicherheitslecks gestatten das Ausführen beliebigen Programmcodes.

Kein Patch verfügbar. Nur einen Tag nachdem Microsoft ein seit über einer Woche bekanntes Sicherheitsleck im Internet Explorer geschlossen hat, tauchte Schadcode für eine nicht geschlossene Sicherheitslücke in Redmonds Browser im Internet auf. Das Sicherheitsloch erlaubt einem Angreifer die Ausführung beliebigen Programmcodes; ein Patch ist nicht verfügbar.

Fehlerhafter Patch hat Dateien unter Windows 2000 zerstört. Die angekündigte Neuauflage des Kernel-Patches für Windows 2000 ist ab sofort verfügbar. Microsoft hatte im September 2006 einen Patch veröffentlicht, der auf Systemen mit Windows 2000 unter bestimmten Umständen Dateien zerstört, so dass diese nicht mehr lesbar sind. Der aktuelle Patch soll diesen Fehler korrigieren.

VML-Dateien erlauben Ausführung von Programmcode. Überraschend hat Microsoft einen außerplanmäßigen Sicherheits-Patch für den Internet Explorer veröffentlicht. Für das am 20. September 2006 bekannt gewordene Sicherheitsloch in Microsofts Browser hatte ein Drittanbieter bereits einen Patch veröffentlicht. Dieser Schritt dürfte Redmond dazu gebracht haben, den Patch außerplanmäßig zu veröffentlichen. Denn gleichwohl beteuert Microsoft weiterhin, die Gefahr durch das Sicherheitsloch sei nur gering.

Angreifer können beliebigen Programmcode ausführen. In Apples WLAN-Implementierung namens AirPort wurden drei Sicherheitslücken gefunden, die ein Patch beseitigen soll. Über die Sicherheitslecks in dem Treiber kann ein Angreifer beliebigen Programmcode ausführen und sich so eine umfassende Kontrolle über ein fremdes System verschaffen.

Opera 9.02 schließt Sicherheitsleck. Mit Opera 9.02 wird ein Sicherheitsloch in dem Browser geschlossen und die neue Version bringt einige Fehlerkorrekturen. So wurde Hand an die Rendering-Engine gelegt, so dass Webseiten fehlerfrei dargestellt werden sollten.

Noch kein Patch verfügbar. Eine neue Sicherheitslücke im Internet Explorer wird bereits aktiv ausgenutzt und wurde von Microsoft bestätigt. Über das Sicherheitsleck können Angreifer beliebigen Programmcode ausführen, um sich eine umfassende Kontrolle über einen fremden Rechner zu verschaffen. Microsoft beschwichtigt, das reale Risiko sei gering, während Sicherheitsexperten von Secunia und McAfee die Gefahr als hoch einschätzen.

Homebrew-SDK und auch mit Firmware 2.70 - 2.80 lauffähiges Tetris. Auch wenn Sony Computer Entertainment immer wieder die Löcher in der PlayStation Portable stopft, sind doch private Tüftler immer wieder dabei, mit Tricks eigene Software auf dem Spiele-Handheld zum Laufen zu bekommen. Nun hat die Szene ein "Homebrew SDK" hervorgebracht, mit dem sich leichter PSP-Software entwickeln lässt und als präparierte TIFF-Bilddatei zum Ausführen gebracht werden kann - ein damit entwickelter lauffähiger Tetris-Clone für PSPs mit Firmware-Versionen 2.70 bis 2.80 wurde ebenfalls veröffentlicht.

Apple bietet neue QuickTime-Version. Gleich sechs Sicherheitslücken in QuickTime schließt Apple mit der aktuellen Version. Die Sicherheitslecks erlauben Angreifern das Einschleusen und Ausführen von Programmcode. Alle Sicherheitslöcher wurden sowohl für die Windows- als auch die MacOS-X-Version von QuickTime bestätigt.

Update schließt Sicherheitsleck. Über ein gefährliches Sicherheitsleck im Flash-Player von Adobe können Angreifer beliebigen Programmcode auf ein fremdes System schleusen. Ein Opfer muss lediglich dazu gebracht werden, eine entsprechend manipulierte SWF-Datei zu öffnen. Adobe bietet Patches an, um das Problem in allen davon betroffenen Applikationen zu beheben.

Sicherheitsloch in Word 2000 bleibt offen. Zwei Sicherheitslücken in Windows und ein Sicherheitsleck in Publisher knöpft sich Microsoft an dem Patch-Day für den Monat September 2006 vor. Zudem hat Redmond zwei Sicherheits-Patches aus dem Vormonat überarbeitet, um Sicherheitsanfälligkeiten sowie Probleme zu beseitigen. Für das bereits bekannte Sicherheitsloch in Word 2000 gibt es bislang keinen Patch.

Betreiber lässt alle Nutzer aus Sicherheitsgründen Passwörter ändern. Linden Lab, Betreiber der virtuellen Realität Second Life, hat seine Kunden über eine in der vergangenen Woche entdeckte Sicherheitslücke informiert. Dritte hätten Einblick in persönliche Daten der Nutzer bekommen können, die Kreditkarten-Informationen wären aber nicht abrufbar gewesen.

Bestellung auf Kosten anderer mit einfachsten Mitteln. Über Wochen wies der Online-Shop Quelle.de eine Sicherheitslücke auf, durch die man auf Kosten anderer Kunden oder der Quelle-Agenturen Waren bestellen konnte. Das Unternehmen hat das Loch inzwischen gestopft und Strafanzeige gestellt.

Alioth wurde als IRC-Proxy missbraucht. Erneut wurde ein Server des Debian-Projektes geknackt. Betroffen war dieses Mal Alioth, ein Dienst, bei dem Entwickler ihre Projekte einstellen können. Am gestrigen 5. September 2006 war der Server daher nicht erreichtbar.

Software anfällig für Denial-of-Service-Angriffe. Die bekannte Nameserver-Software BIND lässt sich über spezielle Anfragen zum Absturz bringen. Updates zur Fehlerbereinigung hat der Hersteller bereits veröffentlicht.

Projekt hat bereits Updates veröffentlicht. Signaturen der freien SSL- und TLS-Implementierung OpenSSL lassen sich fälschen. Davon betroffen sind alle Systeme, auf denen die OpenSSL-Bibliotheken vorhanden sind. Updates, die den Fehler beseitigen, sind bereits verfügbar.

Jon Ellch bricht sein Schweigen. Mit ihren Vorträgen über schwere Sicherheitslücken in vielen WLAN-Implementierungen auf den Sicherheitskonferenzen Black Hat und DEFCON sorgten Jon Ellch und Dave Maynor für Wirbel, vor allem unter Apple-Anhängern. Schließlich behaupten die beiden, auch MacBooks seien von dem Problem betroffen, ohne dass bisher Details veröffentlicht wurden, die beiden gingen regelrecht auf Tauchstation. Ob der zunehmenden Angriffe von Mac-Bloggern brach Ellch sein Schweigen.

Bislang kein Patch zur Abhilfe verfügbar. In Word 2000 soll eine bislang unbekannte Sicherheitslücke stecken, die bereits von Schadsoftware ausgenutzt wird. Symantec stieß auf ein Trojanisches Pferd, das bislang aber kaum verbreitet ist. Der Schädling lädt ein Backdoor-Programm nach, um einen möglichst umfassenden Zugriff auf ein fremdes System zu erlangen.

Sicherheitslücke erlaubt Ausführung von Programmcode; kein Patch verfügbar. Im Internet Explorer 6 wurde ein neues Sicherheitsloch entdeckt, worüber Angreifer beliebigen Programmcode ausführen können. Beispiel-Code illustriert zumindest einen Denial-of-Service-Angriff. Bislang steht kein Patch zur Abhilfe bereit.

Kernel wird als stabile Serie weitergeführt. Der Linux-Entwickler Adrian Bunk hat nun die nächste Version des Linux-Kernels 2.6.16.x veröffentlicht. Wie angekündigt pflegt er diese Version als stabile Serie weiter. Kernel 2.6.16.28 enthält dementsprechend Sicherheits-Updates, aber keine neuen Funktionen.

Funktioniert ab Firmware 2.0 bis hoch zur 2.80. Die leistungsfähige PlayStation-Portable verlockt viele Entwickler, eigene Spiele, Emulatoren und Anwendungen dafür zu entwickeln. Nun wurde ein neuer Hack entdeckt, mit dem privat entwickelte Software auf dem Spielehandheld lauffähig wird - ohne dafür Grand Theft Auto: Liberty City Stories und dessen Speicherstand-Fehler zum Starten eigener Software nutzen zu müssen.

Neuer Sammel-Patch nach Aufschub verfügbar. Microsoft hat den fehlerhaften Sicherheits-Patch für den Internet Explorer 6 überarbeitet und bietet nun eine neue Version zum Download an. Der in diesem Monat anlässlich des Patch-Days erschienene Sammel-Patch für den Redmond-Browser öffnete ein neues Sicherheitsloch. Dieses sollte nun nach Einspielung des korrigierten Patches geschlossen werden.

Microsoft verschiebt angekündigte Patch-Überarbeitung. In der vergangenen Woche gestand Microsoft einen Fehler in einem Sicherheits-Patch für den Internet Explorer 6 mit Service Pack 1 ein. Wie der Software-Gigant nun einräumt, führt der Fehler nicht nur zum Programmabsturz, sondern öffnet zugleich ein neues Sicherheitsloch. Der für den 22. August 2006 in Aussicht gestellte überarbeitete Patch für den Internet Explorer wird nun erst erscheinen.

Sicherheits-Patch für PowerPoint seit August 2006 verfügbar. TrendMicro hatte eine Sicherheitslücke in PowerPoint ausgemacht und diese als bisher unbekannt klassifiziert. Nun rudert der Virenspezialist zurück und gesteht ein, dass für die Sicherheitslücke im August 2006 ein Sicherheits-Patch erschienen ist.

Trojanisches Pferd kommt als PowerPoint-Datei daher. Microsofts Office-Komponente PowerPoint besitzt ein bisher unbekanntes Sicherheitsloch, das bereits von Schadcode ausgenutzt wird. Ein Trojanisches Pferd ist im Umlauf, das sich das Sicherheitsleck zu Nutze macht, berichten die Virenforscher von TrendMicro. Ein Opfer muss lediglich zum Öffnen einer präparierten PowerPoint-Datei gebracht werden.

Updates für die beiden aktuellen PHP-Serien. Mit PHP 5.1.5 und PHP 4.4.4 schließen die Entwickler der freien Scriptsprache einige Sicherheitslücken in ihrer Software. Erst Anfang August wurden mit PHP 4.4.3 Sicherheitslecks beseitigt.

Schädling lässt sich als Bot fernsteuern. Im Internet wurde ein neuer Windows-Wurm gesichtet, der sich eine Sicherheitslücke in Windows zunutze macht. In der vergangenen Woche wurde das Sicherheitsloch durch Erscheinen eines Patches bekannt. Nur wenige Tage später geistert nun Schadcode durch das Internet, der sich bislang aber nicht sonderlich stark verbreitet hat.

Nur Mac-Pro-Systeme und Universal-Server-Variante betroffen. Für Mac-Pro-Syteme mit MacOS X 10.4.7 sowie für den MacOS X Server 10.4.7 in der Universal-Ausführung hat Apple ein Sicherheits-Update veröffentlicht. Damit werden Sicherheitslöcher in den Komponenten ImageIO und OpenSSH des Betriebssystems geschlossen. Über das ImageIO-Leck lässt sich schadhafter Code einschleusen und starten.

12 Patches schließen 23 Sicherheitslücken; Sammel-Patch für Internet Explorer. Insgesamt 23 Sicherheitslücken schließt Microsoft am Patch-Day für den Monat August 2006 mit 12 Patches. Ein Sammel-Patch für den Internet Explorer korrigiert gleich acht Sicherheitslücken, während zwei Patches insgesamt drei Sicherheitslecks in Office beseitigen. Zudem müssen zwölf Sicherheitslücken in Windows geschlossen werden. Ein Großteil der Sicherheitslücken lässt sich für das Ausführen von Programmcode missbrauchen, so dass die Patches möglichst bald eingespielt werden sollten.

Fehler tritt beim Entpacken von UPX-Dateien auf. Eine Sicherheitslücke im freien Viren-Scanner ClamAV ermöglicht Angreifern, beliebigen Programmcode auszuführen. Verantwortlich dafür ist ein Fehler beim Entpacken von im UPX-Format komprimierten Dateien. Ein Update ist bereits verfügbar.

Angreifer können Code über manipulierte MMS einschleusen und ausführen. Der Sicherheitsexperte Collin Mulliner hat ein Problem in der MMS-Applikation von Microsofts Smartphone-Plattform entdeckt. Auf der Hacker-Konferenz Defcon 14 zeigte er, wie sich mit einer manipulierten MMS beliebiger Schadcode einschleusen und ausführen lässt. Das Opfer muss die betreffende MMS-Nachricht lediglich öffnen; Sicherheitsabfragen gibt es nicht.

Vorabinformation zu Microsofts Patch-Day am 8. August 2006. Nachdem Microsoft im vergangenen Monat bereits zahlreiche Sicherheitslücken in Windows und Office geschlossen hat, muss der Software-Gigant nochmal ran. Am allmonatlichen Patch-Day für den 8. August 2006 sind zehn Patches für Windows sowie zwei Korrekturen für Office vorgesehen.

Entwickler raten zum Update. Zwei Sicherheitslücken in der schon älteren PHP-Serie 4.4.x schließt die neue Version 4.4.3. Daneben wurden auch einige kleinere Fehler beseitigt.

Exploit auf BlackHat-Konferenz vorgeführt. Die bisher nur auf Windows-Notebooks vorgeführten WLAN-Angriffe auf Fehler im Treiber der drahtlosen Netzwerkkarte funktionieren auch unter MacOS. Auf der derzeit in Las Vegas stattfindenden Sicherheitskonferenz "Black Hat Briefing USA 2006" wurde die Attacke bereits erfolgreich demonstriert.

Aktuelle Opera-Version ohne neue Funktionen. Dem Web-Browser Opera 9 hat der norwegische Browser-Produzent ein Update spendiert. Opera 9.01 korrigiert einige Programmfehler, bringt aber keine Neuerungen. Der Browser-Hersteller empfiehlt die Einspielung der aktuellen Version für alle Desktop-Plattformen.

Intel nennt Lücke "kritisch" und bietet Patches an. Eine bereits im Vorfeld der derzeit in Las Vegas stattfindenden Sicherheitskonferenz "Black Hat Briefing USA 2006" bekannt gewordene Sicherheitslücke in WLAN-Treibern betrifft auch die weit verbreiteten Centrino-Notebooks mit Intel-Komponenten. Nahezu alle WLAN-Module von Intel sind betroffen, es empfiehlt sich dringend, die bereits reparierten Treiber zu installieren.

Zahlreiche gefährliche Sicherheitslücken gefunden. Insgesamt 20 Sicherheitslücken schließt Apple mit einem Sicherheits-Update in den MacOS-Versionen 10.3.9 sowie 10.4.7. Ein Großteil der nun korrigierten Sicherheitslecks kann zur Ausführung von Programmcode missbraucht werden. Zudem hat die Bluetooth-Funktion eine Sicherheitsverbesserung erfahren.

Safari-Sicherheitslücke erlaubt Programmausführung. In Apples Web-Browser Safari 2.x wurde ein Sicherheitsloch entdeckt, worüber Angreifer beliebigen Programmcode ausführen können. Das Sicherheitsleck ließe sich sich im schlimmsten Fall dazu einsetzen, ein fremdes System unter die eigene Kontrolle zu bekommen. Bislang gibt es keinen Patch zur Abhilfe.

Entwickler raten Nutzern dringend zum Upgrade. Mit der Version 2.0.4 schließen die Entwickler der freien Blog-Software Wordpress einige kritische Sicherheitslücken. Darüber hinaus wurden rund 50 weitere Fehler beseitigt.

Michael Ott zeigt XSS-Lücken in 10 Websites auf. Der IT-Sicherheits-Spezialist WhiteHat Security warnt vor neuen Angriffsmethoden auf Unternehmensnetze durch Cross-Site-Scripting-Lücken (XSS) in Webapplikationen. Auf diesem Wege lassen sich beispielsweise Portscans interner Netze durchführen oder Router und Firewalls neu konfigurieren warnt das Unternehmen.

Werbe-E-Mails der Anti-Schwarzkopie-Kampagne erzürnen Anwalt. Der vor allem durch Abmahnungen gegen Schwarzkopierer bekannt gewordene deutsche Anwalt Günter Freiherr von Gravenreuth sieht sich durch die Raubkopierer-sind-Verbrecher-Kampagne der Zukunft Kino Marketing GmbH (ZKM) belästigt. Genauer gesagt durch die elektronischen Postkarten, die von der zur Kampagne gehörenden Hart-aber-gerecht-Website versendet werden können.

Thunderbird 1.5.0.5 schließt elf Sicherheitslöcher. Nachdem kürzlich Sicherheits-Updates für Firefox und SeaMonkey erschienen sind, stehen nun Sicherheitskorrekturen für Thunderbird bereit. Neue Funktionen bietet Thunderbird 1.5.0.5 nicht und in dem E-Mail-Client wurde nur ein schweres Sicherheitsloch gefunden. Die übrigen zehn Sicherheitslücken werden nur als mittelschwer bis ungefährlich eingestuft.