Sicherheitslücke

Trojanisches Pferd in chinesischer Sprache. In der vergangenen Woche hatte Symantec ein Trojanisches Pferd entdeckt, das eine bis dato unbekannte Sicherheitslücke in PowerPoint ausnutzt. Das Trojanische Pferd Trojan.PPDropper ist vornehmlich im asiatischen Raum zu finden und hat sich bislang nur wenig verbreitet. Nun bestätigte Microsoft das Sicherheitsloch in PowerPoint und will dieses am August-Patch-Day beseitigen.

Sicherheitsloch erlaubt Ausführung von Makro-Befehlen. Für das nicht mehr ganz taufrische OpenOffice.org 1.1.5 wurde ein Patch veröffentlicht, um eine darin entdeckte Sicherheitslücke zu schließen. Das Sicherheitsleck erlaubt einer manipulierten OpenOffice.org-Datei die Ausführung von Basic-Befehlen, ohne vom Anwender eine Bestätigung einzufordern.

Microsoft korrigiert Sicherheitsloch im .NET Framework 2.0. In Windows bzw. Komponenten davon schließt Microsoft am Patch-Day des Monats Juli 2006 insgesamt vier Sicherheitslecks. Ein Teil davon kann zur Ausführung von Programmcode missbraucht werden, womit sich ein Angreifer eine umfassende Kontrolle über ein fremdes System verschaffen könnte.

Allein sieben Sicherheitslecks in Excel gefunden. Sowohl für die Tabellenkalkulation Excel als auch für eine Reihe anderer Office-Applikationen hat Microsoft Sicherheits-Patches veröffentlicht, um insgesamt zwölf Sicherheitslücken zu schließen. Die Sicherheitslücken werden als kritisch eingestuft und erlauben die Ausführung beliebigen Programmcodes.

Kopieren von Filmen soll unterdrückt werden. Kürzlich berichtete die c't davon, dass die Bildschirmfoto-Funktion von WinDVD HD dafür genutzt werden könnte, den Kopierschutz von HD-DVD- und Blu-ray-Spielfilmen zu umgehen. Ein von Intervideo angebotenes Update der WinDVD-Software für Toshibas HD-DVD-Notebook Qosmio G30 unterbindet das mittlerweile.

Angreifer kann beliebigen Programmcode ausführen. In Microsofts Textverarbeitung Word wurde ein Sicherheitsloch entdeckt, worüber sich beliebiger Programmcode auf fremde Systeme schleusen und ausführen lässt. Damit können Angreifer Systeme unbefugt unter ihre Kontrolle bringen. Bislang gibt es keinen Patch zur Abhilfe.

Fachmagazin c't entdeckt Kopierschutzlücke. Aus Sorge der Filmstudios vor digitalen Kopien sollen die DVD-Nachfolger Blu-ray Disc und HD DVD auf ihnen gespeicherte hochauflösende Filme mit komplexem Kopierschutz (AACS) und verschlüsselter Übertragung (HDCP) zum Monitor, Fernseher oder Projektor schützen. Die c't hat nun beim Test der ersten PCs und Notebooks mit Blu-ray- und HD-DVD-Laufwerken festgestellt, dass die Sicherheitskette ein Loch aufweist - unter Windows XP ließen sich per Wiedergabe-Software Screenshots in voller Auflösung anfertigen.

Vorabinformation zu Microsofts Patch-Day am 11. Juli 2006. Sicherheitslücken in Windows und Office nimmt Microsoft am allmonatlichen Patch-Day für den 11. Juli 2006 ins Visier. Während vier Patches für Windows geplant sind, gibt es drei Aktualisierungen für Office. Da Redmond die sieben Sicherheits-Patches als kritisch einstuft, wird eine baldige Einspielung nach Verfügbarkeit empfohlen.

Apple bringt iTunes 6.0.5 für Windows und MacOS X. Die neue Version 6.0.5 von iTunes schließt ein gefährliches Sicherheitsloch, worüber Angreifer beliebigen Programmcode ausführen könnten. Angreifer könnten so eine umfassende Kontrolle über ein fremdes System erhalten. Das Sicherheitsloch betrifft sowohl die Windows- als auch die Mac-Ausführung von iTunes.

Fanjitas eLoader soll bald darauf angepasst sein. Das Katz-und-Mausspiel um die PlayStation Portable (PSP) geht weiter: Nun haben Hacker eine Sicherheitslücke entdeckt, mit der die Firmware-Versionen 2.50 sowie 2.60 ausgetrickst werden können, um etwa selbstgeschriebene Software ausführen zu können. In einem Video auf YouTube.com ist zudem eine mit Modchip versehene PSP mit der aktuellen Firmware 2.71 in Aktion zu sehen.

Neuer Patch beseitigt Einwahlprobleme. Ein im Juni 2006 erschienener Sicherheits-Patch für die Windows-Plattform steht in einer aktualisierten Ausführung bereit, um mögliche Fehler zu beseitigen. Der bisherige Patch konnte Einwahlverbindungen ins Internet stören, so dass Anwender unter Umständen nicht mehr ins Internet kamen. Microsoft hat bereits Schadcode entdeckt, der diese Sicherheitslücke ausnutzt.

Angreifer können beliebigen Programmcode einschleusen und ausführen. Eine knappe Woche, nachdem Microsoft den Instant-Messaging-Client Windows Live Messenger als Final-Version veröffentlicht hat, wurde bereits ein schweres Sicherheitsloch darin gefunden. Mit einer präparierten Kontaktlistendatei kann ein Angreifer beliebigen Programmcode auf ein fremdes System einschleusen und dort ausführen.

Manipulierte JPEG-Bilder gestatten Code-Ausführung. Erst jetzt wurde bekannt, dass die Version 9 von Opera ein schweres Sicherheitsloch im Browser beseitigt. Bereits die Ansicht manipulierter JPEG-Bilder genügt, damit Angreifer beliebigen Programmcode auf einem fremden System ausführen können. Einen Sicherheits-Patch für Opera 8.x gibt es bislang nicht.

Excel erlaubt Ausführung von Programmcode. Mit Hilfe eines präparierten Excel-Dokuments kann ein weiteres Sicherheitsrisiko in Microsofts Tabellenkalkulation für Angriffe missbraucht werden. Ein Opfer muss lediglich dazu gebracht werden, ein entsprechend modifiziertes Excel-Dokument zu öffnen, damit ein Angreifer beliebigen Programmcode ausführen kann.

Abspielen von MIDI-Dateien erlaubt Programmausführung. Mit Hilfe modifizierter MIDI-Dateien können Angreifer beliebigen Programmcode ausführen, wenn die Klangdateien mit Winamp abgespielt werden. Die aktuelle Winamp-Version korrigiert den Fehler und soll nun gegen derartige Angriffe gefeit sein. Weitere Neuerungen bringt Winamp 5.24 nicht.

Acrobat 7.0.8 für Windows und MacOS X. Adobe stellt ab sofort ein Update auf die Version 7.0.8 von Acrobat für Windows und MacOS X zum Download bereit. Das Update soll Programmfehler bereinigen und verschiedene Sicherheitslücken schließen. Unter anderem wird nun die PDFMaker-Toolbar wieder korrekt in Microsofts Office-Suite integriert und versteht sich auch wieder mit AutoCAD 2002 und 2006.

Beispielcode deckt Sicherheitslücke in hlink.dll auf. Verschiedene US-Medien berichten über ein angebliches zweites in Excel steckendes Sicherheitsloch, das bereits durch Beispielcode missbraucht wird. Dieses Sicherheitsleck steckt allerdings nicht in Excel, sondern in einer Windows-Komponente, betont Microsoft nun. Bereits vor wenigen Tagen wies Redmond auf ein Sicherheitsloch in Excel hin, das ebenfalls durch Schadcode ausgenutzt wird. In beiden Fällen habe sich der Beispielcode bislang nicht verbreitet.

PCs von Asus, Dell, Sony und Toshiba gefährdet. Über eine Sicherheitslücke im Bluetooth-Stack von Toshiba lassen sich PCs zum Absturz bringen. Die löchrige Software wird mit zahlreichen Rechnern verkauft. Zwar gibt es Abhilfe, aber noch keine elegante Lösung.

Analyse bei Microsoft läuft noch. Microsoft berichtet über entdeckten Schadcode für Excel, der ein Sicherheitsloch in der Tabellenkalkulation ausnutzt. Bislang habe Microsoft nur von einem Vorfall erfahren und derzeit laufen die Untersuchungen daran. Daher ist bislang auch unklar, welche Auswirkungen der Schadcode hat und ob er Dateien zerstört.

Sicherheitslücken in Kernel-Treibern nur sehr schwer auszunutzen. Im Rahmen einer Konferenz zu Computersicherheit stellten Experten von Intel und McAfee ihre Ergebnisse zu Experimenten mit Sicherheitslücken in Windows-Treibern vor. Das Ergebnis: Selbst wenn die Treiber mit allen Rechten laufen, lassen sich Lücken darin nur schwer nutzen, um einen Rechner unter fremde Kontrolle zu bringen.

Sicherheits-Patches korrigieren sieben Windows-Fehler. Microsoft beseitigt am Juni-Patch-Day 2006 außer den Sicherheitslücken in Office, im Exchange Server, im Windows Media Player und im Internet Explorer auch sieben Windows-Löcher. Von diesen Sicherheitslöchern stuft Redmond die Hälfte als gefährlich ein, weil darüber entweder beliebiger Programmcode eingeschleust werden oder sich ein Angreifer eine umfassende Kontrolle verschaffen kann.

Sammel-Patch beseitigt acht Sicherheitslecks in Microsofts Browser. Mit einem Sammel-Patch korrigiert Microsoft gleich acht Sicherheitslücken im Internet Explorer, wovon fünf als gefährlich einzustufen sind. Der Sammel-Patch vom Juni 2006 korrigiert zudem zwei Spoofing-Lecks in Microsofts Browser. Außerdem stehen Patches für den JScript-Interpreter und die ART-Grafikbibliothek bereit. Über viele der nun bekannt gewordenen Sicherheitslücken können Angreifer beliebigen Programmcode ausführen und sich so eine umfassende Kontrolle über ein fremdes System verschaffen.

Gefährliche Sicherheitslücken in Word, PowerPoint und im Windows Media Player. Für die beiden Office-Komponenten Word und PowerPoint, für den Windows Media Player sowie für den Exchange Server hat Microsoft Sicherheits-Updates am diesmonatigen Patch-Day veröffentlicht. Die beiden Sicherheitslecks in den Office-Applikationen und der Fehler im Windows Media Player werden als kritisch bewertet, weil Angreifer beliebigen Programmcode ausführen können. Das Sicherheitsloch in Exchange betrachtet Microsoft als weniger gefährlich.

Schädling ohne Anhang verbreitete sich per JavaScript. In Yahoos E-Mail-Dienst steckte bis zum gestrigen Montag ein Sicherheitsleck, worüber sich ein neuer Wurm verbreitet hat. Bereits das Öffnen einer E-Mail genügte, um als Windows-Nutzer Opfer des Wurmangriffs zu werden. Üblicherweise können sich Würmer nur verbreiten, indem Nutzer zum Starten der angehängten Datei gebracht werden. Dieser Schädling macht sich jedoch eine JavaScript-Sicherheitslücke auf der Windows-Plattform zunutze.

Microsoft sieht Gefahr von Kompatibilitätsproblemen. Im Juli 2006 endet bekanntlich der technische Support für Windows 98, 98 SE und ME. Bereits im Vorfeld wird Microsoft eine Sicherheitslücke in den DOS-basierten Betriebssystemen nicht mehr schließen. Für andere Windows-Plattformen bietet Redmond bereits seit April 2006 passende Patches, verweigert nun aber die Bereitstellung entsprechender Korrekturen für die Windows-98-Plattform.

Vorabinformation zu Microsofts Patch-Day am 13. Juni 2006. Der allmonatliche Patch-Day von Microsoft steht für den 13. Juni 2006 an und wird Sicherheitslecks in Windows, Office und dem Exchange Server schließen. Die Sicherheitslücken in Windows und Office stuft Redmond als kritisch ein und empfiehlt eine baldige Einspielung der Patches. Insgesamt sind zwölf Sicherheits-Patches geplant.

Manipuliertes Bild führt zu 100-prozentiger CPU-Auslastung. In der freien Grafikbibliothek GD wurde ein Fehler entdeckt, der für einen Denial-of-Service-Angriff (DoS) ausgenutzt werden kann. GD kann dynamisch Bilder in Formaten wie PNG, JPEG und GIF erstellen und so beispielsweise auf Abruf Diagramme und Vorschaubilder erstellen. Vor allem im PHP-Umfeld kommt die GD-Bibliothek zum Einsatz.

Devil360-Team will Homebrew-Software ausführen können. Ein Hacker-Team will in Kürze mit einem funktionierenden Modchip für die Xbox 360 aufwarten und damit das Sicherheitssystem von Microsofts Spielekonsole aushebeln. Da schon seit Monaten Gerüchte um mögliche Xbox-360-Modchips durch die Gegend geistern und ein bereits angekündigter Modchip sich als Flunkerei herausstellte, ist die Szene derweil skeptisch.

Version 3.0.6 und 3.1.3 sind nicht betroffen. Eine Sicherheitslücke in SpamAssassin 3.0.3 erlaubt unter Umständen beliebige Shell-Kommandos auszuführen. Das Problem tritt auf, da der Spam-Filter bestimmte Eingaben nicht genügend überprüft. Die aktuellen Versionen sollen jedoch schon korrigiert sein.

Wau-Holland-Gedenktage erinnern mit Zitaten an den CCC-Mitbegründer. Die Wau-Holland-Stiftung arbeitet mit dem Chaos Computer Club (CCC) am Aufbau eines Archivs der Hackerbewegung. In diesem möchten sie die 25-jährige Geschichte der Hacker sammeln und öffentlich zugänglich machen. Derzeit erinnern die Wau-Holland-Gedenktage online an den Mitbegründer des CCC, der 2001 starb.

Thunderbird 1.5.0.4 als Universal Binary für MacOS X zu haben. Für die drei Mozilla-Applikationen Firefox 1.5.x, Thunderbird 1.5.x sowie die Browser-Suite SeaMonkey 1.x stehen ab sofort Patches bereit, um verschiedene darin befindliche Sicherheitslecks zu schließen. Firefox 1.5.0.4 beseitigt insgesamt 12 Sicherheitslecks, wovon immerhin 5 Lücken als kritisch eingestuft werden. Thunderbird 1.5.0.4 korrigiert 8 Sicherheitslöcher, allerdings trägt hier nur eines die Gefahrenstufe kritisch.

Ältere Updates sind noch bis Dezember 2006 verfügbar. Vier Jahre nach der Veröffentlichung von Debian GNU/Linux 3.0 läuft Ende Juni 2006 nun die Sicherheitsunterstützung für die Distribution aus. Damit haben die Debian-Entwickler den Anwendern ein Jahr Zeit gelassen, um auf die aktuelle Version 3.1 umzusteigen.

Microsoft plant Patch für Mitte Juni 2006. In der Textverarbeitung Word wurde eine Sicherheitslücke entdeckt, die bereits aktiv von Angreifern ausgenutzt wird. Das Öffnen eines infizierten Word-Dokuments richtet eine Hintertür auf dem betreffenden Rechner ein, worüber Angreifer Kontrolle über ein fremdes System erlangen. Das Sicherheitsloch steckt in Word XP sowie 2003 und wird wohl erst am Juni-Patch-Day geschlossen.

Neue Version verhindert ungefragte Dateitransfers durch präparierte URLs. Skype hat in seiner beliebten Telefonie-Software für Windows ein Sicherheitsloch ausfindig gemacht und gestopft. Durch die Lücke kann von einem nicht aktualisierten Skype-System eine Datei übertragen werden, welche der Benutzer gar nicht versenden wollte.

Vordefinierter Nutzer ermöglicht Angreifern Zugang. Ein vordefinierter Benutzer-Account beim Einsatz der freien Version von Open-Xchange mit LDAP kann Angreifern Zugriff auf das System erlauben. Da nicht explizit auf diesen Benutzer hingewiesen wird, können Administratoren ihn leicht übersehen, so dass die Hintertür nicht geschlossen wird.

WeOnlyDo! wodSSHServer, freeSSHd und freeFTPd betroffen. Gleich in drei SSH-Servern für Windows steckt eine kritische Sicherheitslücke, über die entfernte Angreifer einen Buffer Overflow erzeugen können. Betroffen sind mehrere Versionen der Programme WeOnlyDo! wodSSHServer, freeSSHd und freeFTPd. Updates für freeFTPd und wodSSHServer sind bereits verfügbar.

Software der Modelle Diebold TSx und TS6 angeblich manipulierbar. Das elektronische Wählen verspricht einige Vorteile gegenüber der Auszählung handschriftlich ausgefüllter Stimmzettel, der Einzug der Technik birgt aber auch Gefahren. Die Organisation Black Box Voting, die dem elektronischen Wählen kritisch gegenübersteht, weist auf ernsthafte Probleme einzelner Wahlmaschinen hin, deren Software sich auf einfache Weise austauschen lässt.

Patch korrigiert Sicherheitsloch in Dreamweaver Server. Adobe hat einen Sicherheits-Patch für Dreamweaver 8 veröffentlicht, um eine Sicherheitslücke im Dreamweaver-Server zu schließen. Darüber können Angreifer beliebige SQL-Kommandos ausführen und so unter Umständen erheblichen Schaden anrichten. Für das gleichfalls betroffene Dreamweaver 2004 gibt es keinen Patch, sondern nur Anweisungen zur Umgehung des Sicherheitsrisikos.

Noch kein Patch für ICQ zu haben. Im Instant Messenger ICQ wurde eine Sicherheitslücke entdeckt, worüber Angreifer beliebigen Script-Code ausführen und damit eine umfassende Kontrolle über ein fremdes System erlangen könnten. Bislang gibt es keinen Patch, um diesen Fehler zu korrigieren.

Gefährliche Sicherheitslücke im Exchange Server wird mit Patch korrigiert. Wie angekündigt, hat Microsoft am diesmonatigen Patch-Day insgesamt drei Security Bulletins veröffentlicht. Überraschenderweise behandelt eines dieser Bulletins zwei seit langem geschlossene Sicherheitslücken in Adobes Flash-Player, während nur die beiden anderen Security Bulletins aktuellen Sicherheitslecks in den Microsoft-Produkten Windows und Exchange Server gelten.

Wallace Sanford unterliegt vor Gericht gegen die FTC. Wallace "Spamford" Sanford wurde in den USA in einem von der Handelsaufsicht "Federal Trade Commission" (FTC) gegen ihn angestrengten Verfahren verurteilt. Der Spammer muss vier Millionen US-Dollar an den Staat zahlen.

Vorabinformation zu Microsofts Patch-Day am 10. Mai 2006. Microsofts allmonatlicher Patch-Day steht wieder einmal bevor, an dem diesmal Sicherheitslecks in Windows und Exchange geschlossen werden. Während für die Windows-Plattform zwei Security Bulletins geplant sind, wird es am 10. Mai 2006 eines für Exchange geben. Die betreffenden Sicherheitslecks stuft Microsoft als kritisch ein.

Verbreitung per Filesharing und IE-Sicherheitslücke. Der Hersteller von Antivirus-Software MicroWorld warnt vor einem neuen Schädling, der gezielt das beliebte Online-Rollenspiel World of WarCraft angreift. Das Programm soll Passwörter ausspionieren, mit deren Hilfe die Angreifer virtuelle Gegenstände aus dem Spiel offenbar in echtes Geld verwandeln wollen.