Sicherheitslücke

Mozilla 1.7.3 behebt zehn Sicherheitslecks. Für die Plattformen Windows und Linux steht ab sofort eine deutschsprachige Version der Browser-Suite Mozilla 1.7.3 zum Download bereit. Mit Mozilla 1.7.3 wurden insgesamt zehn Sicherheitslücken behoben, die zum Teil als gefährlich einzustufen sind.

Auch GTK+ für Angriffe mit präparierten Grafik-Dateien anfällig. Die X.Org-Foundation warnt vor einer kritischen Sicherheitslücke in der Bibliothek libXpm, die Teil ihres X Window Systems ist und in vielen Applikationen zum Einsatz kommt. Mit speziell präparierten XPM-Grafiken lassen sich entsprechende Applikationen zum Absturz bringen und möglicherweise auch fremder Code ausführen.

Mozilla-Stiftung belohnt schwere Sicherheitslücken mit je 500,- US-Dollar. Die Mozilla-Stiftung hat den ersten vier Personen 500,- US-Dollar gezahlt, die eine schwere Sicherheitslücke in der Open-Source-Software entdeckt und an Mozilla gemeldet haben. Einer der Belohnten hat das Geld unverzüglich an die Mozilla-Stiftung gespendet, um die Arbeit der Stiftung zu unterstützen.

Keine neuen Funktionen für die Browser-Suite. Die Browser-Suite Mozilla steht ab sofort in der Version 1.7.3 kostenlos zum Download bereit. Die neue Version soll eine Reihe von Sicherheitslücken bereinigen, aber keine neuen Funktionen liefern, wie es etwa die ebenfalls neu erschienenen Programme Thunderbird 0.8 oder Firefox 1.0 tun.

Aktualisiertes Sicherheits-Update für MacOS X 10.2.8, 10.3.4 und 10.3.5. Das jüngste Sicherheits-Update für verschiedene Versionen von MacOS X musste Apple überarbeiten, um Unverträglichkeiten zu beheben, die durch die Einspielung der Patches verursacht wurden. Die Überarbeitung modifiziert die Kennung des Safari-Browsers und nimmt Änderungen an lukemftpd vor.

Patch für Linux und Solaris. Das dritte Patch-Paket für die Office-Suite StarOffice 7 wurde von Sun für die Plattformen Linux und Solaris aktualisiert, da damit ein Sicherheitsleck bereinigt wurde. Der aktualisierte Patch verhindert nun, dass Angreifer unberechtigt Einblick in temporäre Dateien erlangen können.

Bundesamt für Sicherheit in der Informationstechnik gegen Monokultur. Gegenüber der Berliner Zeitung empfahl Michael Dickopf, Sprecher des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Nutzern von Microsofts Internet Explorer indirekt den Umstieg auf andere Web-Browser wie Mozilla oder Opera.

Sicherheits-Update für MacOS X 10.2.8, 10.3.4 und 10.3.5. Für verschiedene Versionen von MacOS X hat Apple Sicherheits-Updates zum Download bereitgestellt, womit insgesamt 15 Sicherheitslücken im Betriebssystem geschlossen werden. Die Sicherheits-Updates sind für MacOS X 10.2.8, 10.3.4 sowie für die Version 10.3.5 sowohl in einer Desktop- als auch einer Server-Variante zu haben.

Sicherheitsloch in Winamp erlaubt Programmausführung über den IE. Das Sicherheitsunternehmen Secunia warnt vor einem gefährlichen Sicherheitsloch in Winamp, worüber Angreifer unbemerkt schadhaften Programmcode auf fremden Systemen einschleusen und ausführen können. Dazu müssen Opfer nur dazu gebracht werden, komprimierte Winamp-Skin-Dateien im Internet Explorer zu öffnen.

Kunden erhalten neue Passwörter per Post mitgeteilt. Zunächst fand man bei der T-Com für die von Dirk Heringhaus entdeckte Sicherheitslücke des Bestellsystems OBSOC kein Gehör. Aufgeweckt durch den Chaos Computer Club und entsprechende Medienberichten schaltete man das System dann kurzerhand ab. Nun nimmt die T-Com das System wieder in Betrieb.

Angreifer könnten Statusangaben vom Sicherheitscenter ändern. Wie das US-Magazin PC Magazine berichtet, wurde eine Schwachstelle in Windows XP mit installiertem Service Pack 2 entdeckt. Die Informationen des Sicherheitscenters in Windows XP lassen sich so von einem Angreifer ausspähen und verändern, um Opfern falsche Statusinformationen vorzugaukeln.

Angreifer schleusen Programmcode mit Drag-and-Drop-Operation ein. Wie das Internet Storm Center zu berichten weiß, wird das jüngst entdeckte Drag-and-Drop-Sicherheitsloch im Internet Explorer anscheinend bereits von Angreifern ausgenutzt. Nähere Details zu diesen Angriffsszenarien wurden allerdings nicht genannt, so dass der mögliche Schaden nicht bekannt ist.

Öffnen einer E-Mail ermöglichte Zugriff auf fremde Systeme. In Yahoos Web-Mailer steckte eine Sicherheitslücke, die Angreifern den umfassenden Zugriff auf fremde Systeme erlaubt hätte, wenn Opfer eine entsprechend präparierte Yahoo-E-Mail über den Internet Explorer geöffnet hätten. Mittlerweile hat Yahoo das Sicherheitsloch beseitigt, Nutzer sollen nicht geschädigt worden sein.

Fremde Seiten können unter bestimmten Domains Cookie-Daten ausspähen. Der britische Internet-Provider Westpoint hat eine Sicherheitslücke im Web-Browser Konqueror entdeckt. Cookies von bestimmten Länder-Domains können so gesetzt werden, dass sie an alle Seiten dieser Länder-Domain gesendet werden.

Drag-and-Drop-Operation erlaubt Einschleusung von Code. In Microsofts Internet Explorer wurde ein Sicherheitsloch entdeckt, das die Einschleusung von Programmcode erlaubt, wenn Drag-and-Drop-Operationen ausgeführt werden.

Zahlreiche Hardware-Hersteller nutzen Bluetooth-Software von Widcomm. In der Bluetooth-Software von Widcomm hat das britische Unternehmen Pentest ein Sicherheitsloch entdeckt, worüber ein Angreifer beliebigen Programmcode via Bluetooth auf einem fremden System ausführen kann. Die Bluetooth-Software von Widcomm wird in verschiedenen Bluetooth-Produkten und -Geräten eingesetzt.

Sicherheitsleck erlaubt Ausführung von Programmcode auf fremden Systemen. Mit einem aktuellen Patch werden die auch im Yahoo Messenger steckenden Sicherheitslücken in der libpng-Bibliothek bereinigt. Eines der Sicherheitslöcher in der libpng-Bibliothek erlaubt einem Angreifer die Ausführung von Programmcode auf einem fremden System.

Probleme in Adobe Acrobat Reader 5.0.9 behoben. IDefense warnt vor einer Sicherheitslücke in Adobes Acrobat Reader für Linux. Durch eine Sicherheitslücke ist es Angreifern über einen "Buffer Overflow" möglich, beliebigen Code auf verwundbaren Systemen auszuführen.

Patches für drei Sicherheitslücken veröffentlicht. Das KDE-Team warnt vor drei Sicherheitslücken, die in den letzten Wochen und Tagen bekannt wurden. Diese erlauben es lokalen Angreifen, KDE lahm zu legen, in fremde User-Accounts einzudringen oder ermöglichen Phishing-Attacken.

Sicherheitsloch erlaubt Ausführung von Scripting-Code. Am Patch-Day für den Monat August 2004 bereinigt Microsoft - kurz nach dem Erscheinen vom Service Pack 2 für Windows XP - ein Sicherheitsleck im Outlook-Web-Access-Server der Version 5.5. Das Sicherheitsloch erlaubt es einem Angreifer im schlimmsten Fall, gefährlichen Programmcode auf einem fremden System auszuführen.

Antivirenhersteller warnen vor Bagle.AO bzw. Bagle.aq. Antivirenhersteller warnen vor einer neuen Variante des Wurms Bagle, der als W32.Beagle.AO@mm, W32/Bagle.aq@MM, WORM_BAGLE.AC oder Win32.Bagle.AG bezeichnet wird. Wie auch einige seiner Vorgänger konnte sich die neue Variante in kurzer Zeit in recht hohem Maß per E-Mail verbreiten. Der Wurm öffnet auf infizierten Systemen eine Hintertür, über die sich ein befallener Rechner zur Spam-Verbreitung missbrauchen lässt.

Auch MacOS X von Sicherheitslücke in der libpng betroffen. Auch an Apple geht der kritische Fehler in der libpng nicht vorüber, das Unternehmen veröffentlichte jetzt ein Sicherheits-Update für MacOS X, das auch zwei weitere Sicherheitslücken schließen soll.

Entdecker des "BluBugs" zeigt Gefahr unsicherer Bluetooth-Handys. Technische Versuche zeigen, dass Angriffe auf Bluetooth-Handys über eine Entfernung von knapp 2 km möglich sind, obgleich die Bluetooth-Reichweite eigentlich mit lediglich 10 Metern spezifiziert ist. Damit konnte per so genanntem Bluesnarfing auf die Daten fremder Handys zugegriffen werden, um Adressen auszulesen, Kurzmitteilungen zu senden oder Ähnliches anzustellen.

Thunderbird 0.7.3 bereits seit 5. August 2004 in deutscher Version erhältlich. Die Sicherheits-Updates für Mozilla, Firefox und Thunderbird vom gestrigen 5. August 2004 stehen ab sofort auch in deutscher Sprache kostenlos zum Download bereit. Die Updates beheben vier Sicherheitslücken in den drei Applikationen und bieten ansonsten keine Neuerungen.

Opera-Update für Windows, Linux, MacOS X, Solaris und FreeBSD. Mit Opera 7.54 erschien eine neue Version des Browsers für zahlreiche Plattformen, die zwei Sicherheitslücken behebt und wenige Optimierungen bietet. Ein mit dem Erscheinen des Patches bekannt gewordenes Sicherheitsloch in Opera erlaubte einem Angreifer das Lesen lokaler Dateien aus einer Webseite heraus.

Angreifer können möglicherweise über PNG-Dateien beliebigen Code ausführen. Die Entwickler der Software-Bibliothek "libpng" warnen vor mehreren Sicherheitslücken, durch die über präparierte PNG-Grafiken von Dritten beliebiger Code auf verwundbaren Systemen ausgeführt werden kann.

Patches für Mozilla, Firefox und auch Thunderbird. Für die drei Haupt-Mozilla-Applikationen Mozilla, Firefox sowie Thunderbird wurden Updates veröffentlicht, die vier Sicherheitslücken in den Produkten bereinigen. So wird damit eine Sicherheitslücke in der Browser-Funktionen beim Aufruf SSL-verschlüsselter Webseiten behoben, die eine Darstellung fremder Inhalte einer Webseite mit falschen Zertifikaten erlaubte.

Fehler in der Behandlung von 64-Bit-File-Offset-Pointern entdeckt. Paul Starzetz weist auf eine Sicherheitslücke im Linux-Kernel hin, die es erlaubt, unbefugten, lokalen Nutzern kritische Daten wie Passwörter auszulesen. Schuld ist ein Fehler in der Behandlung von 64-Bit-File-Offset-Pointern.

Sicherheitsloch in Browser-Suite Mozilla bereits behoben. Eine Sicherheitslücke in Netscape 7.x erlaubt Angreifern per JavaScript beliebigen Programmcode bei Aufruf einer Webseite auf einem fremden System auszuführen, berichtet das Sicherheitsunternehmen iDefense. Das Sicherheitsloch steckt auch in der Browser-Suite Mozilla, auf die Netscape aufsetzt, und wurde bereits bereinigt, so dass die aktuelle Mozilla-Version nicht betroffen ist.

Mozilla-Stiftung belohnt Informationen über schwere Sicherheitslücken. Wer eine schwere Sicherheitslücke in der Open-Source-Software entdeckt und an Mozilla meldet, erhält künftig eine Belohnung von 500,- US-Dollar. Dazu rief die Mozilla-Stiftung ein so genanntes "Mozilla Security Bug Bounty Program" ins Leben, das zunächst mit Geldmitteln der Linux-Entwickler Linspire sowie des Internet-Unternehmers Mark Shuttleworth finanziert wird.

Aktualisierung von Windows XP über Windows Update 5.0 funktionierte nicht. Bei der Bereitstellung des Sicherheits-Patches für den Internet Explorer vom 30. Juli 2004 ist Microsoft ein kleiner Fehler unterlaufen, bei dem das neue Windows Update 5.0 im Zusammenspiel mit Windows XP nicht mit dem aktuellen Sicherheits-Patch bestückt wurde. Dieser Fehler wurde nun bereinigt, so dass der Sicherheits-Patch auch darüber zum Download bereit steht.

Kritische Sicherheitsupdates außer der Reihe. Außer der Reihe der üblichen vierwöchigen Sicherheitsupdates hat Microsoft am Abend des 30. Juli 2004 drei Sicherheitsupdates für kritische Sicherheitslücken im Internet Explorer veröffentlicht, darunter auch für die als Download.Ject bekannt gewordene Sicherheitslücke.

Microsoft will Download-Ject-Sicherheitsproblem beseitigen. Microsoft arbeitet derzeit an einem Patch für den Internet Explorer, welcher das Sicherheitsproblem Download-Ject beseitigen soll, berichtet das US-News-Magazin eWeek.com. Allerdings wird dieser Patch nicht zu dem üblichen monatlichen Patch-Day erscheinen, sondern Microsoft will diesen bereits gesondert in der kommenden, ersten August-Woche bereitstellen.

Passwörter von bis zu 250.000 Kunden sollen ausgetauscht werden. Die Deutsche Telekom hat gegenüber dem Chaos Computer Club die aufgedeckten Sicherheitsmängel in seinem OBSOC-System bestätigt und die "Eingangstore dieser Plattform geschlossen", heißt es in einer Stellungnahme der Telekom.

Kundendaten für jedermann einsehbar. Der Chaos Computer Club (CCC) warnt vor erheblichen Sicherheitslücken bei der Telekom, sämtliche Online-Services des Dienstes T-Mart Web-Services, die auf dem sogenannten Framework "OBSOC" basieren, seien verwundar. Alle Benutzerkonten in diesen Systemen seien als kompromittiert zu betrachten, so der CCC in der "Datenschleuder".

Patch beseitigt Sicherheitslecks in Samba. Im Samba-Server 3.x wurden zwei Sicherheitslücken entdeckt, die einen Server über einen Buffer Overrun zum Absturz bringen können. Ein bereit gestellter Patch für Samba 3.x bereinigt die Probleme, wobei die Samba-Entwickler empfehlen, den Patch unverzüglich einzuspielen.

Fehlerhafte Kennwortüberprüfung bei der Anmeldung. In der Website von GMX steckte eine Sicherheitslücke bei der Anmeldung an ein GMX-Postfach, die bereits seit dem 19. Juli 2004 behoben wurde. Über das Sicherheitsleck war es unter bestimmten Bedingungen möglich, Zugang zu Mail-Postfächern anderer Nutzer zu erlangen, da die Kennwort-Überprüfung übersprungen wurde.

Keine weiteren Neuerungen in Opera 7.53. Mit dem Erscheinen von Opera 7.53 für zahlreiche Plattformen wird ein weiteres Sicherheitsloch in dem Browser beseitigt, das es einem Angreifer ermöglicht zu einer geöffneten Webseite eine gefälschte URL in der Adresszeile anzuzeigen.

Erkennt neue DoS-Attacke, unterstützt IEEE 802.11i und testet WLAN-Telefonie. Mit der vierten Version der AirMagnet Mobile 4.0 Suite soll die Analyse von WLAN-Netzen noch detaillierter vonstatten gehen als zuvor. Die für Notebooks und WindowsCE-PDAs angebotene Software soll nun etwa auch auf ausreichende Übertragungsqualität für Internet-Telefonate per WLAN testen und bereits den sichereren WLAN-Standard IEEE 802.11i unterstützen.

Vier Patches für verschiedene Windows-Komponenten erschienen. Für vier verschiedene Windows-Komponenten veröffentlichte Microsoft entsprechende Patches, um insgesamt fünf zum Teil schwere Sicherheitslücken im Betriebssystem zu beheben. Während sich zwei Sicherheitslecks nur lokal von angemeldeten Nutzern verwenden lassen, können drei andere Sicherheitslücken von Angreifern über den Internet Explorer ausgenutzt werden. Alle Sicherheitslücken gewähren einem Angreifer eine umfassende Kontrolle über ein System.

Sicherheits-Patch für die Windows-Shell endlich erschienen. Nach einer langen Wartezeit von knapp einem halben Jahr bietet Microsoft nun endlich einen Patch für eine schwere Sicherheitslücke vom Januar 2004 an, nachdem das Unternehmen in den vergangenen Monaten fünf Möglichkeiten zur Bereinigung des Fehlers hat verstreichen lassen. Ein Angreifer kann dem Internet Explorer mit Hilfe des Sicherheitslecks Dateien mit falschen Endungen unterschieben, die ein Opfer für ungefährlich hält und so gefährlichen Programmcode ausführt.

Schweres Sicherheitsloch gewährt Angreifern komplette Kontrolle. Für Microsofts Internet Information Server (IIS) 4.0 wurde ein Sicherheits-Patch veröffentlicht, der eine schwere Sicherheitslücke in der Software behebt. Das Sicherheitsloch erlaubt es einem Angreifer, die vollständige Kontrolle über ein System zu erlangen und beliebige Aktionen auf einem fremden System auszuführen.

Sicherheitslücke in Outlook Express bringt E-Mail-Client aus dem Tritt. Im E-Mail-Client Outlook Express wurde ein Sicherheitsloch entdeckt, das es einem Angreifer erlaubt, die Software gezielt durcheinander zu bringen. Microsoft stellt einen Sammel-Patch für Outlook Express 5.5 sowie 6.0 zum Download bereit, der dieses Problem behebt. Außerdem wird mit dem Patch ein Sicherheitsrisiko in Outlook Express 6.0 behoben, das mit einem Patch vom April 2004 in die Software kam.