Sicherheitslücke

Die Sicherheitslücke in Photoshop CS5.5 wird nun doch nicht nur durch ein kostenpflichtiges Update auf die Nachfolgeversion CS6 gepatcht. Adobe arbeitet eigenen Angaben zufolge an einem kostenlosen Update.

Opera Software hat den Desktopbrowser Opera in der Version 11.64 veröffentlicht. Neben kleineren Fehlerkorrekturen beseitigt das Update eine gefährliche Sicherheitslücke.

Die Gruppe The Unknowns ist in eine Reihe von Websites eingedrungen und hat dort Daten kopiert und im Internet veröffentlicht. Betroffen waren die US-Luftwaffe, der Autohersteller Renault sowie Nasa und Esa. Die beiden Weltraumagenturen haben den Einbruch zugegeben.

Apple hat in die alte Version von Filevault zur Verschlüsselung persönlicher Daten in Mac OS X offenbar eine grobe Sicherheitslücke eingebaut, durch die das vom Nutzer verwendete Passwort im Klartext in einem unverschlüsselten Bereich auf der Festplatte landet.

Adobe hat für Flash Player 10 und 11 Updates veröffentlicht, die eine kritische Sicherheitslücke schließen. Der Fehler betrifft in erster Linie die Windows-Varianten und wird bereits ausgenutzt.

Am Patchday im Mai 2012 will Microsoft insgesamt 23 Sicherheitslöcher in seinen Softwareprodukten schließen. Dazu sind insgesamt sieben Patches für Windows, Office, Silverlight sowie das .Net Framework geplant.

Schon seit Wochen wird berichtet, dass der OpenX-Werbeserver 2.8.8 von Kriminellen gehackt wird, um Schadsoftware in großem Stil zu verteilen. Nun hat die Firma hinter dem Open-Source-Projekt einen Sicherheitspatch versprochen.

Die Firefox-Entwickler haben ihre Blockade gegen anfällige Java-Versionen ausgeweitet. Fortan blockiert Mozilla auf allen Installationen von Mac OS X Java-Laufzeitumgebungen mit Sicherheitslücken. Mozilla reagiert damit auf Gefahren, die immer noch vom Flashback-Trojaner und anderer Schadsoftware ausgehen.

Nicht nur der Speedport W 921V hat eine Sicherheitslücke in der Funktion WPS, betroffen sind auch zwei weitere Geräte. Bei diesen genügt aber ein Abschalten von WPS, wie die Telekom erklärt. Beim W 921V hilft auch nach Angaben des Providers nur das Abschalten des WLANs.

Der Erfolg des Flashback-Trojaners ist offenbar für andere Kriminelle ein Grund, ihr Feld zu erweitern. Eine lange von Apple vernachlässigte Java-Sicherheitslücke nutzt Maljava nicht nur auf Windows-Rechnern, sondern auch auf Macs aus. Angriffe auf Linux verlaufen aber ins Leere.

Ein bereits verfügbares Update schließt eine Sicherheitslücke in OpenSSL. Durch fehlerhaftes Auslesen von Zertifikaten durch den ASN1-Parser entsteht ein Speicherfehler, über den womöglich Code eingeschleust werden kann.

Das System für elektronische Signaturen in Österreich, die Bürgerkarte, weist eine Sicherheitslücke auf. Über den Angriff auf ein Java-Applet können Zugriffe so umgeleitet werden, dass der Nutzer auf der falschen Webseite unterschreibt.

Das erste Update für den Apache-Webserver 2.4 schließt eine Sicherheitslücke und behebt weitere kleinere Fehler.

Eine neue Mac-Schadsoftware nutzt eine bekannte Java- und auch eine ziemlich alte Word-Sicherheitslücke aus. Dennoch ist Sabpab mit seinen gezielten Angriffen sehr erfolgreich.

Ein offizielles Plugin für den Bildbetrachter Irfanview weist eine kritische Lücke auf, mit der beim Öffnen von Bildern im Format Flashpix Schadcode eingeschleust werden kann. Abhilfe schafft eine neue Version des Plugins.

Monty Program, das Unternehmen von MySQL-Gründer Michael "Monty" Widenius, hat seine freie MySQL-Alternative MariaDB in der stabilen Version 5.5 veröffentlicht. MariaDB kann MySQL ersetzen, enthält aber einige Verbesserungen gegenüber Oracles Communityversion von MySQL.

Nach dem Sicherheitsupdate mit integrierter Schadsoftwareentfernung folgt nun das Flashback Removal Tool von Apple als Einzelanwendung. Allerdings nur für Mac OS X 10.7 alias Lion.

Es ist eine ungewöhnliche Kombination, die Apple gegen den Flashback-Trojaner verteilt: Der Trojanerentferner wird mit dem Java-Sicherheitsupdate gebündelt. Derweil meldet Symantec bereits seit einigen Tagen sinkende Infektionszahlen.

Während eines Hacking-Kurses hat ein Nutzer von Backtrack eine Sicherheitslücke in dem Netzwerktool Wicd gefunden. Der Fehler ist inzwischen behoben.

Einige 5400er Switches, die seit Ende April 2011 verkauft werden, beinhalten unter Umständen eine Compact-Flash-Karte mit Schadsoftware. Eine Gefahr ist diese aber nur, wenn sie in einem Rechner verwendet wird.

Adobe hat einen Patch für die PDF-Anwendungen Adobe Reader und Acrobat veröffentlicht. Mit den Updates werden insgesamt vier gefährliche Sicherheitslücken beseitigt. Nach fast drei Jahren verändert Adobe seinen Patchday-Zyklus.

Microsoft hat sechs Sicherheitspatches veröffentlicht, mit denen elf Sicherheitslücken beseitigt werden. Acht dieser Sicherheitslücken gelten als gefährlich, denn Angreifer können darüber beliebigen Code auf einem fremden System ausführen.

Mit einem für Endanwender kaum zu findenden Knowledge-Base-Artikel macht Apple nun selbst auf die Sicherheitsprobleme unter Mac OS X aufmerksam. Ein kleines Apple-Werkzeug soll den Flashback-Trojaner bald entfernen.

Die Anzahl der mit Flashback infizierten Macs steigt weiter. Derweil haben die Antivirenhersteller kostenlose Test- und Entfernungsprogramme für Flashback-Trojaner verteilt.

Angriffe gegen Java-Installationen, und damit auch gegen Browser, haben in letzter Zeit wieder zugenommen. Im Security Blog erklärt Mozilla, warum alte Java-Versionen von Oracle in Firefox gesperrt wurden.

Eine aktualisierte Version des Flashback-Trojaners befällt derzeit hunderttausende Macs. Apple selbst hat nicht schnell genug reagiert, um eine Sicherheitslücke in Java rechtzeitig zu schließen. Jeder Mac-Nutzer sollte dringend ein Sicherheitsupdate machen.

Die Webversion des Twitter-Clients Tweetdeck funktioniert wieder. Sie war zeitweise offline, nachdem ein Nutzer gemeldet hatte, dass er damit auf Accounts fremder Tweetdeck-Nutzer zugreifen könne.

Cyberkriminelle sind in die Systeme eines Kreditkartenabwicklers eingedrungen, der mit Visa und Mastercard zusammenarbeitet. Über zehn Millionen Kartenkonten sollen betroffen sein.

Ungepatchte Mac-OS-Rechner sind ebenso wie Windows-PCs anfällig für Schadsoftware. Zu diesem Schluss kommt Eset nach einer Analyse eines Trojaners für Mac OS, bei dem es offenbar auch Kontakt mit der Person gab, die den Rechner fernsteuern wollte.

Das iPad 2 und der Nachfolger können mit Hilfe eines Deckels nicht nur vor Staub und Kratzern geschützt, sondern beim Aufklappen auch entsperrt werden. Doch einige Smart Cover, die mit dem iPad 2 funktionierten, versagen ihren Dienst beim iPad 3.

Schicke Rechner brauchen schicke Trojaner, könnten sich die Macher des Trojaners OSX/Imuler-B gedacht haben. Die Entwickler kombinieren Social Engineering mit einer konzeptionellen Schwäche in Mac OS X.

Der Videolan-Client (VLC) beseitigt mit der Version 2.0.1 nicht nur eine Sicherheitslücke, sondern auch den ein oder anderen Fehler, der Umsteiger gestört hat. Die zweite "Twoflower"-Version ist in erster Linie ein Bugfix-Release.

Ein Proof-of-Concept für die von Microsoft bereits gepatchte RDP-Sicherheitslücke ist im Umlauf und wird möglicherweise bereits in einschlägigen Hackertools genutzt. Anwender sollten die Updates unbedingt einspielen.

Für ältere ab Werk mit unsicherer Vorkonfiguration ausgelieferte Router der Marke "Easybox" von Vodafone gibt es eine Art Passwortgenerator. Anwender dieser Geräte sollten dringend die Einstellungen ändern, falls das nicht schon geschehen ist.

Microsoft hat sechs Patches veröffentlicht. Unter anderem wird ein sehr gefährliches Sicherheitsloch in allen Windows-Versionen beseitigt. Fremde Computer können darüber ohne Zutun der Opfer attackiert werden.

Das Anfang März 2012 entdeckte Sicherheitsrisiko in Android ist vermutlich größer als bisher vermutet. Android-Anwendungen können unbeschränkt alle Daten im USB-Speicher auslesen. Bisher war nur bekannt, dass Android-Anwendungen direkt auf Fotos zugreifen können.

Eigentlich ist Firefox 11 fertig und könnte heute planmäßig veröffentlicht werden. Doch wegen Microsofts März-Patchday und einer möglichen Sicherheitslücke verschiebt Mozilla die Veröffentlichung.

Im März 2012 will Microsoft sechs Sicherheitspatches für seine Produkte veröffentlichen. Damit sollen sieben Sicherheitslücken beseitigt werden, die meisten davon betreffen die Windows-Plattform.

Update Bei dem Hackerwettkampf Pwn2own wurde eine Sicherheitslücke in Googles Chrome ausgenutzt. Sicherheitsexperten haben das Sandbox-System von Chrome ausgehebelt. Aber auch andere Browser sind Angriffen schutzlos ausgeliefert.

Firmen, deren IT von Angreifern kompromittiert wurde, versuchen dies oft zu vertuschen. BSI und Bitkom haben deswegen eine "Allianz für Cyber-Sicherheit" gestartet, die Transparenz über aktuelle Angriffsformen und Schwachstellen in relevanten IT-Produkten schaffen soll.

Adobe hat für den Flash Player ein Update veröffentlicht, mit dem zwei Sicherheitslücken geschlossen werden sollen. Eine kann zur Ausführung von Schadcode verwendet werden und wird als gefährlich eingestuft.

In Großbritannien sind zwei Männer angeklagt worden, weil sie sich Zugang zu den Rechnern von Sony Music verschafft und mehrere zehntausend Musikdateien kopiert haben sollen. Sony hat den Zwischenfall erst jetzt bekanntgegeben.

Einem Angreifer gelang es, Schreibzugriff auf das Github-Repository der Entwickler von Ruby-on-Rails zu bekommen. Der verantwortliche Github-Nutzer darf nach einem kurzen Ausschluss seinen Account weiter nutzen - er handelte nicht bösartig.