Sicherheitslücke

Sicherheits-Bugfixes nur für Trillian 0.74 und Pro-Version erhältlich. In den vergangenen Tagen wurden im Internet einige Sicherheitslücken im Instant Messenger Trillian bekannt, wofür der Hersteller nun passende Patches anbietet, um diese Sicherheitslecks zu stopfen. Allerdings stehen nur Patches für die beiden aktuellen Versionen von Trillian zum Download bereit.

Neue Versionen für MacOS und MacOS X erhältlich. Microsoft bietet nach über drei Wochen endlich einen Patch gegen die SSL-Sicherheitslücke im Internet Explorer für die MacOS-Plattform an. Dabei steht sowohl ein Patch für die normale MacOS-Version als auch ein Update für den MacOS-X-Browser zum Download bereit. Die Patches sind bereits auch in deutscher Sprache verfügbar. Auf Patches für Outlook Express und das Office-Paket müssen die Anwender weiter warten.

Kostenlose Trillian-Version komplett in deutsche Sprache übersetzt. Nachdem am Mittwoch die englischsprachige Version von Trillian 0.74 veröffentlicht wurde, steht nun auch eine vollständig in deutsch übersetzte Version des Instant Messenger bereit. Am Donnerstag erschien bereits eine Sprachdatei zum Download, um einer installierten Version die deutsche Sprache beizubringen.

Kostenpflichtige Pro-Version des Instant Messenger enthält weitere Funktionen. Der Instant Messenger Trillian erschien jetzt in der Version 0.74, die vor allem um Fehler bereinigt wurde. Parallel veröffentlichten die Trillian-Macher eine kostenpflichtige Pro-Version mit weiteren Funktionen und Möglichkeiten. Die kostenlose Freeware-Version soll weiterentwickelt werden.

MacOS-Software wartet weiter auf Fehlerbereinigung. Das Security Bulletin zur SSL-Sicherheitslücke von Anfang September wurde überarbeitet und bietet nun auch einen Patch für das deutschsprachige Windows 2000 an. Für die ebenfalls betroffene MacOS-Software stehen weiterhin keine Patches bereit.

Angreifer können Dateien auslesen und beliebigen Programmcode ausführen. Der Internet Explorer ab der Version 5.5 besitzt ein Sicherheitsleck bei der Anzeige von frame- und iframe-Elementen, so dass Angreifer diese dazu missbrauchen können, beliebigen Programmcode auszuführen, Webseiten zu verändern oder Dateien auszulesen. Einen Patch bietet Microsoft bislang nicht an.

Erstes Service Pack für Windows XP soll zahlreiche Sicherheitslöcher stopfen. Das für den heutigen 9. September angekündigte Service Pack (SP) 1 für Windows XP steht ab sofort zum Download bereit. Das Service Pack 1 ist neben der englischsprachigen Fassung sogar schon in deutscher Sprache verfügbar.

Auch MacOS von dem Problem betroffen - noch keine Patches verfügbar. Wie Microsoft in einem aktuellen Security Bulletin eingesteht, steckt der Fehler beim Prüfen von SSL-Zertifikaten nicht nur im Windows-System, sondern auch zahlreiche MacOS-Software aus Redmond besitzt diese Fehler. Immerhin bietet Microsoft nun Patches für die meisten Windows-Versionen an, um das Sicherheitsleck zu schließen.

Aktueller Patch bereinigt alte und sechs neue Sicherheitslücken. Microsoft stellt einen neuen Sammel-Patch für die Windows-Version des Internet Explorer ab Version 5.01 zum Download zur Verfügung, der alle bislang einzeln erhältlichen Sicherheits-Updates enthält, aber auch sechs neu entdeckte Sicherheitslöcher stopfen soll. Dazu zählt auch ein Sicherheitsleck im Gopher-Protokoll, welches Microsoft bereits seit über drei Monaten bekannt ist.

Fehlerhafte Programmkomponente Bestandteil verschiedener Software-Produkte. Wie Microsoft in einem aktuellen Security Bulletin berichtet, enthalten die Programmkomponenten Office Web Components 2000 und 2002 drei kritische Sicherheitslöcher. Diese Komponenten sind Bestandteil zahlreicher Microsoft-Produkte, darunter auch Office XP, wofür erst gestern das Service Pack 2 erschienen ist, das den aktuellen Patch bereits enthalten soll.

Deutsches SP2 soll Sicherheit und Stabilität des Office-Pakets erhöhen. In den USA stellte Microsoft gestern das Service Pack 2 für Office XP offiziell zum Download bereit, nachdem ein Download-Link seit einigen Tagen durchs Netz geisterte und kürzlich wieder deaktiviert wurde. Neben der englischsprachigen Version steht nun auch offiziell eine deutsche Fassung zum Download bereit.

Angreifer können beliebige Dateien über die Windows-Hilfe löschen. In Windows XP ersetzte Microsoft die bisherige Hilfefunktion des Betriebssystems durch ein so genanntes Hilfe- und Supportcenter. Wie die Mailingliste Bugtraq mitteilt, besitzt dies eine Sicherheitslücke, die es Angreifern erlaubt, beliebige Dateien auf einem fremden System zu löschen, sofern Name und Position der Datei bekannt sind.

Microsoft arbeitet an Bugfixes; keine Terminangabe genannt. Wie das US-Computermagazin Computerworld berichtet, befindet sich das vergangene Woche entdeckte SSL-Sicherheitsloch gar nicht im Internet Explorer, sondern steckt im Windows Quellcode. Darin könnte der Grund liegen, dass sich Microsoft kurze Zeit nach Bekanntwerden des Sicherheitslochs bemühte, das Risiko klein zu reden.

Update beseitigt SSL-Sicherheitslücke. Das KDE Projekt bietet jetzt ein drittes Update der dritten Generation seines freien Unix-Desktops zum Download an. KDE 3.0.3 bietet dabei vor allem eine verbesserte Stabilität gegenüber KDE 3.0.2, das im Juli veröffentlicht wurde.

Problem mit OpenSSL in Opera 6.03 bereinigt. Nachdem Opera am 13. August eine fehlerbereinigte Version des Windows-Browsers veröffentlicht hat, folgt nun die Linux-Version, um die Sicherheitslücke in OpenSSL vom vergangenen Monat zu bereinigen. Ferner hat Opera noch einige Bugs beseitigt.

Sicherheitsloch im Network Connection Manager (NCM). Microsoft berichtet in einem aktuellen Security Bulletin über ein kritisches Sicherheitsloch in Windows 2000. Demzufolge steckt ein Fehler im Network Connection Manager (NCM) von Windows 2000, worüber ein Angreifer Zugang zum System erlangen und Code mit vollen Systemrechten ausführen kann. Ein bereitgestellter Patch soll das Problem beheben.

Patch behebt neu entdecktes Sicherheitsloch. Microsoft stellt einen Sammel-Patch für den SQL-Server der Versionen 7.0 sowie 2000 bereit, der alle bislang entdeckten Bugs beseitigen und eine neue Sicherheitslücke schließen soll. Durch die neue Lücke lassen sich so genannte "extended stored procedures" von jedem Nutzer mit Administratorrechten ausführen. Microsoft stuft das Risiko als moderat ein.

Microsoft argumentiert mit vorgezogenen Argumenten, statt einen Patch anzubieten. Vor wenigen Tagen wurde bekannt, dass sowohl der Internet Explorer als auch der Open-Source-Browser Konqueror eine Sicherheitslücke beim Aufruf von SSL-Webseiten aufweisen. Beide Browser prüfen SSL-Zertifikate nur unzureichend. Während für Konqueror sofort ein Patch zum Schließen der Sicherheitslücke erschien, will Microsoft das Problem ein paar Tage später klein reden.

Alte Version erlaubt Ausführung beliebiger Programme. Macromedia musste seinen Flash Player 6 für Windows aktualisieren, um zwei Sicherheitslöcher zu stopfen, wovon eines als kritisch zu betrachten ist. Denn damit kann ein Angreifer beliebige Programme auf dem betroffenen System ausführen.

Aktueller Browser behebt Sicherheitsleck in OpenSSL. Die Ende Juli entdeckte Sicherheitslücke in OpenSSL betrifft auch den Web-Browser Opera, der nun in einer fehlerbereinigten Version zumindest für die Windows-Plattform erhältlich ist. Außerdem wurden weitere Bugs beseitigt; Neuerungen bietet diese Version nicht.

Browser prüfen SSL-Zertifikate nur unzureichend. Sowohl der Internet Explorer als auch der Linux-Browser Konqueror weisen eine Sicherheitslücke beim Aufruf von SSL-Seiten auf, wie Beiträge auf der Bugtraq-Mailingliste berichten. Angreifer können einem Surfer so die sichere Verbindung zu einer bestimmten Webseite vorgaukeln, die aber so nicht existiert.

Bereinigte Version ohne Lücke schon lange erhältlich. Die Sicherheitsfirma GreyMagic Software berichtet über eine Sicherheitslücke in der Google Toolbar für den Internet Explorer, wodurch ein Angreifer lokale Dateien auslesen oder sogar Programme ausführen kann. Die betroffenen Versionen der Google Toolbar dürften kaum noch in Benutzung sein, weil sich die Software selbstständig aktualisiert und bereits bei Version 1.1.60 angelangt ist.

Neue Version von Apache 2 erschienen. Die neue Version des Webservers Apache 2, Apache 2.0.40, behebt eine Sicherheitslücke, die auf Windows-, OS2- und Netware-Systemen auftreten kann. Zudem bietet die neue Version aber auch einige Verbesserungen und neue Funktionen.

Beliebige Applikationen können mit höheren Nutzerrechten ausgeführt werden. Der freiberufliche Sicherheitsberater Chris Paget erläutert in einem umfangreichen Schriftstück, dass das Messaging-System in den Windows-APIs Angreifern erlaubt, die eigenen Rechte zu erweitern und so Zugriff auf Systembereiche zu erlangen, die für normale Anwender tabu sind. Microsoft stuft dies jedoch nicht als Sicherheitslücke ein, weil man dazu direkten Zugriff zu einem entsprechenden PC besitzen muss.

Wurm W32.Chir.B@mm nutzt altes Sicherheitsleck bei der Anzeige von E-Mails. In einem aktuellen Security Alert warnt Microsoft erstmals vor einem E-Mail-Wurm, der erneut eine lange bekannte Sicherheitslücke im Internet Explorer ausnutzt. Microsoft bietet schon lange einen Patch an, aber immer wieder tauchen neue E-Mail-Würmer auf, die diese Lücke ausnutzen und darauf setzen, dass viele Anwender solche Patches nicht einspielen.

Neue Version 0.9.6e soll Probleme beheben. In einem Security Bulletin warnen die Entwickler der freien SSL-Implementierung OpenSSL gleich vor vier Sicherheitslücken in OpenSSL, die sich aus der Ferne ausnutzen lassen. Betroffen sind alle OpenSSL-Versionen bis 0.9.6d bzw. 0.9.7-beta2.

Microsoft muss Patch aktualisieren, weil Daten fehlten. Wie Microsoft in einem aktualisierten Security Bulletin berichtet, musste ein Sammel-Patch für den Windows Media Player aktualisiert werden. Der alte Sammel-Patch vom 26. Juni 2002 enthielt nicht alle notwendigen Daten, so dass alle Anwender des Windows Media Player der Versionen 6.4, 7.1 sowie des Windows Media Player für Windows XP den aktualisierten Patch aufspielen sollten.

Bugfixes stopfen insgesamt sechs Sicherheitslecks im SQL-Server 2000. Microsoft veröffentlichte zwei Security Bulletins, in denen sechs neu entdeckte Sicherheitslücken für den SQL-Server 2000 beschrieben werden. Drei der Sicherheitslöcher bewertet Microsoft nur als moderates und sogar geringes Risiko, während die übrigen drei Lücken als kritisch eingestuft werden. Für alle Lecks bietet Microsoft ab sofort passende Patches an.

PHP 4.2.2 enthält Patch für POST-Sicherheitslücke. Die Entwickler der Scriptsprache PHP haben jetzt über eine Sicherheitslücke in PHP informiert und zugleich mit PHP 4.2.2 eine neue Version vorgelegt, die Abhilfe schafft. Mit speziellen POST-Daten sollen sich IA32-Server zum Absturz bringen lassen. Bei anderen Architekturen bestünde unter Umständen sogar die Möglichkeit, Code auf fremden Servern auszuführen.

Frethem-Wurm versendet sich über eigene SMTP-Engine. Wie zahlreiche Hersteller von Antiviren-Software warnen, verbreitet sich erneut ein Wurm, der eine alte Sicherheitslücke im Internet Explorer für seine Dienste ausnutzt. Immerhin ändert der Frethem-Wurm nicht ständig seine Betreffzeile oder den Nachrichtentext, wie es andere E-Mail-Würmer in jüngster Zeit vormachten.

Nur Patch für MacOS X 10.1.x erhältlich. Ein Patch für das Apple-Betriebssystem MacOS X 10.1.x behebt eine Sicherheitslücke im Modul der Software-Aktualisierung. Über das Sicherheitsleck ist es Angreifern möglich, beliebige Software auf einem betreffenden System zu installieren.

Sicherheitsleck erlaubt das Lesen von Dateien und Starten von Programmen. Der Däne Thor Larholm entdeckte eine Sicherheitslücke im Internet Explorer, worüber Angreifer Kontrolle über das betreffende System erlangen können. So lassen sich darüber beliebige Dateien und Cookies auf dem betreffenden System von einem Angreifer einsehen. Aber auch das Ausführen beliebiger Programme ist so möglich.

Outlook-Plugin in PGP erlaubt beliebige Programmausführung. Network Associates bietet einen Patch an, der ein Sicherheitsloch im Outlook-PlugIn der Verschlüsselungssoftware PGP 7.x behebt, das jetzt bekannt geworden ist. Mit einer präparierten E-Mail kann die Sicherheitslücke im PGP-Plugin dazu genutzt werden, beliebigen Code auf dem entsprechendem System auszuführen, was der Patch wieder bereinigt.

Microsoft stellt Patches für jüngst entdeckte Sicherheitslücken bereit. Microsoft veröffentlichte zwei Patches für den SQL-Server 2000 sowie einen Patch für den SQL-Server 7.0. Für die 2000er Version des SQL-Servers gibt es einen Sammel-Patch, der alle bisherigen und drei neue Sicherheitslöcher stopfen soll, und noch einen weiteren Patch, der auch für den SQL-Server 7.0 gilt. Alle neuen Sicherheitslücken stuft Microsoft als moderat ein.

Scalper-Wurm laut Antivirenherstellern bislang ohne größere Verbreitung. Der Scalper-Wurm nutzt eine bereits vor zwei Wochen bekannt gewordene Sicherheitslücke im Apache-Webserver, befällt derzeit aber wohl nur das Betriebssystem FreeBSD.

Alle Patches bereits in deutscher Sprache verfügbar. Apple veröffentlichte jüngst drei Updates für die Mac-Welt, die unter anderem eine Sicherheitslücke in Apache stopfen und eine aktualisierte Carbon-Bibiliothek für MacOS 8.6 und 9.x anbieten. Das dritte Update ist speziell für iMac-Besitzer mit einer ganz bestimmten Version von MacOS X 10.1.5 gedacht.

Patch behebt drei neue Sicherheitslücken im Windows Media Player. Ein neuer Sammel-Patch von Microsoft behebt drei Sicherheitslücken im Windows Media Player der Versionen 6.4, 7.1 und dem Windows Media Player für Windows XP. Außerdem soll der Patch alle bislang veröffentlichten Patches enthalten.

Patches für gefährliche Sicherheitslücke in OpenSSH erschienen. Am Dienstag warnte Theo de Raadt vor einer Sicherheitslücke in OpenSSH in den Versionen 2.9.9 bis 3.3. Mittlerweile sind Details sowie Patches hierzu erschienen. Mit OpenSSH liegt zudem eine neue OpenSSH-Version vor, welche die Sicherheitslücke ebenfalls behebt.

Entwickler wollen Details am Freitag zusammen mit Gegenmitteln veröffentlichen. Laut Theo de Raadt, einem der Lead Developer für OpenBSD und OpenSSH, existiert eine Sicherheitslücke in OpenSSH, die es Angreifern erlaubt, "Root-Rechte" auf entfernten Systemen zu erlangen. Konkrete Details nennt de Raadt in seiner E-Mail an diverse Websites und Mailinglisten nicht, um so Missbrauch vorzubeugen.

Der Wurm Yaha.E übertrumpft in der Gerissenheit den Wurm Klez.H. Wie zahlreiche Antiviren-Hersteller warnen, verbreitet sich der Wurm Yaha.E rasant im Internet und nutzt die gleiche Sicherheitslücke im Internet Explorer wie der Wurm Klez.H zur automatischen Ausführung des Wurms. Außerdem durchsucht der Yaha-Wurm lokale Dateien nach E-Mail-Adressen und deaktiviert laufende Virenscanner. Immerhin bleibt als kleiner Trost, dass Yaha.E die Absenderadressen der E-Mails nicht fälscht, so dass befallene Anwender darüber informiert werden können.

Update auf neue Apache-Version wird dringend empfohlen. Die am Dienstag bekannt gewordene Sicherheitslücke im Apache WebServer erweist sich als gefährlicher als zunächst eingeschätzt. Anders als zunächst vermutet lässt sich auch auf 64-Bit- und 32-Bit-Unix-Plattformen beliebiger Code ausführen. Zunächst war man davon ausgegangen, dass diese Plattformen dadurch "lediglich" für Denial-of-Service-Attacken anfällig werden.

Patches stopfen vier neue und zahlreiche ältere Sicherheitslöcher. Microsoft stellt zwei Sammel-Patches für die Textverarbeitung Word 2002 und die Tabellenkalkulation Exel 2002 zum Download bereit. Damit sollen zahlreiche Sicherheitslöcher in den entsprechenden Applikationen behoben werden. Auch für Excel 2000 steht ein Patch bereit, der allerdings nur für englischsprachige Sprachversionen gilt.

Webserver Apache 1.3.26 und Apache 2.0.39 erschienen. Das Apache HTTP Server Project hat mit Apache 1.3.26 und Apache 2.0.39 zwei neue Versionen des freien Webservers veröffentlicht, die vor allem eine gestern bekannt gewordene Sicherheitslücke beheben. Zudem enthalten die neuen Versionen einige weitere Bug Fixes.