Sicherheitslücke

Angriffe gegen Java-Installationen, und damit auch gegen Browser, haben in letzter Zeit wieder zugenommen. Im Security Blog erklärt Mozilla, warum alte Java-Versionen von Oracle in Firefox gesperrt wurden.

Eine aktualisierte Version des Flashback-Trojaners befällt derzeit hunderttausende Macs. Apple selbst hat nicht schnell genug reagiert, um eine Sicherheitslücke in Java rechtzeitig zu schließen. Jeder Mac-Nutzer sollte dringend ein Sicherheitsupdate machen.

Das iPad 2 und der Nachfolger können mit Hilfe eines Deckels nicht nur vor Staub und Kratzern geschützt, sondern beim Aufklappen auch entsperrt werden. Doch einige Smart Cover, die mit dem iPad 2 funktionierten, versagen ihren Dienst beim iPad 3.

Schicke Rechner brauchen schicke Trojaner, könnten sich die Macher des Trojaners OSX/Imuler-B gedacht haben. Die Entwickler kombinieren Social Engineering mit einer konzeptionellen Schwäche in Mac OS X.

Der Videolan-Client (VLC) beseitigt mit der Version 2.0.1 nicht nur eine Sicherheitslücke, sondern auch den ein oder anderen Fehler, der Umsteiger gestört hat. Die zweite "Twoflower"-Version ist in erster Linie ein Bugfix-Release.

Ein Proof-of-Concept für die von Microsoft bereits gepatchte RDP-Sicherheitslücke ist im Umlauf und wird möglicherweise bereits in einschlägigen Hackertools genutzt. Anwender sollten die Updates unbedingt einspielen.

Für ältere ab Werk mit unsicherer Vorkonfiguration ausgelieferte Router der Marke "Easybox" von Vodafone gibt es eine Art Passwortgenerator. Anwender dieser Geräte sollten dringend die Einstellungen ändern, falls das nicht schon geschehen ist.

Microsoft hat sechs Patches veröffentlicht. Unter anderem wird ein sehr gefährliches Sicherheitsloch in allen Windows-Versionen beseitigt. Fremde Computer können darüber ohne Zutun der Opfer attackiert werden.

Update Bei dem Hackerwettkampf Pwn2own wurde eine Sicherheitslücke in Googles Chrome ausgenutzt. Sicherheitsexperten haben das Sandbox-System von Chrome ausgehebelt. Aber auch andere Browser sind Angriffen schutzlos ausgeliefert.

Firmen, deren IT von Angreifern kompromittiert wurde, versuchen dies oft zu vertuschen. BSI und Bitkom haben deswegen eine "Allianz für Cyber-Sicherheit" gestartet, die Transparenz über aktuelle Angriffsformen und Schwachstellen in relevanten IT-Produkten schaffen soll.

Adobe hat für den Flash Player ein Update veröffentlicht, mit dem zwei Sicherheitslücken geschlossen werden sollen. Eine kann zur Ausführung von Schadcode verwendet werden und wird als gefährlich eingestuft.

In Großbritannien sind zwei Männer angeklagt worden, weil sie sich Zugang zu den Rechnern von Sony Music verschafft und mehrere zehntausend Musikdateien kopiert haben sollen. Sony hat den Zwischenfall erst jetzt bekanntgegeben.

Einem Angreifer gelang es, Schreibzugriff auf das Github-Repository der Entwickler von Ruby-on-Rails zu bekommen. Der verantwortliche Github-Nutzer darf nach einem kurzen Ausschluss seinen Account weiter nutzen - er handelte nicht bösartig.

In Googles mobilem Betriebssystem Android wurde eine Sicherheitsgefahr entdeckt. Jede Android-Anwendung kann ohne Zustimmung des Anwenders auf die auf dem Gerät gespeicherten Fotos zugreifen. Google will den Fehler mit einem Update beseitigen.

Erneut listet der Generalinspektor der Nasa in seinem Bericht an das US-Parlament eine Reihe von Zwischenfällen bei der Computersicherheit auf. Unter anderem wurde ein unverschlüsselter Laptop mit Steuercode für die ISS gestohlen.

Ein Fehler, mit dem Schadcode über manipulierte PNG-Bilder ausgeführt werden kann, ist in allen derzeit gepflegten Versionen der Bibliothek LibPNG enthalten. Die meisten Browserhersteller haben bereits Patches für LibPNG integriert, andere Anwendungen und Linux-Distributionen sollen folgen.

In Firefox-, Thunderbird- und Seamonkey-Versionen steckt eine für Nutzer gefährliche Sicherheitslücke. Wer nicht aktualisiert, riskiert die Ausführung von Schadcode bei der Anzeige einer manipulierten PNG-Datei.

Mehrere Fehler in sämtlichen Java-Versionen und in JavaFX sowie in OpenJDK ermöglichen unter anderem Angriffe aus der Ferne und DoS-Attacken. Oracle hat bereits aktuelle Versionen veröffentlicht, die die Fehler beheben.

Microsoft hat neun Patches für seine Softwareprodukte veröffentlicht. Fünf Patches gibt es für die Windows-Plattform und jeweils einen Patch für den Internet Explorer, für den Visio Viewer, für Sharepoint sowie .Net Framework und Silverlight. Insgesamt werden 13 Sicherheitslücken geschlossen, über die Angreifer beliebigen Code ausführen können.

Nach einem Einbruch auf die FTP-Server des Horde-Projekts weisen dessen Entwickler darauf hin, dass drei ihrer PHP-basierten Produkte mit einem Backdoor-Programm infiziert wurden. Dadurch lassen sich Anwendungen aus der Ferne angreifen.

Mozilla hat die Version 10.0.1 des Browsers Firefox veröffentlicht. Mit dem Update werden etliche Programmfehler beseitigt, damit Firefox stabiler und zuverlässiger arbeitet. Auch eine Sicherheitslücke wird beseitigt.

Die Polizei in Nordrhein-Westfalen bekommt die Folgen eines schweren Hackerangriffs nicht in den Griff, der zuerst verheimlicht wurde. Seit zwölf Tagen sind die Webserver komplett abgeschaltet. Ein Ende der Offlinezeit ist nicht absehbar.

Ein Sicherheitsexperte hat in Android-Smartphones mit Google Wallet eine Schwachstelle entdeckt, die es einem Angreifer ermöglicht, die Pin für die NFC-Bezahlung zu bekommen. Geschützt ist der Anwender nur, wenn das Gerät nicht gerootet wurde.

Insgesamt will Microsoft in diesem Monat 21 Sicherheitslücken in Windows, in Office, im Internet Explorer, in .Net und in Silverlight beseitigen. Dazu werden in der kommenden Woche neun Patches veröffentlicht.

Trendnet hat eine schwere Sicherheitslücke in seinen privaten IP-Überwachungskameras öffentlich eingeräumt. Rund 50.000 Kameras, die vor allem im privaten Bereich eingesetzt würden, seien weltweit betroffen. Neue Firmware für alle betroffenen Modelle ist in Vorbereitung.

Adobe hat einen Flash Player mit "Protected Mode" für Firefox veröffentlicht. Dabei läuft der Flash Player in einer Sandbox, so dass von Fehlern in Adobes Plugin weniger Gefahren ausgehen.

Update Über eine schwere Sicherheitslücke in PHP 5.3.9 lässt sich Code einschleusen und ausführen, auch von entfernten Rechnern. Mit der Sicherheitserweiterung Suhosin lässt sich die Lücke schließen.

Die Webserver der Polizei in Nordrhein-Westfalen sind seit über zwei Tagen abgeschaltet. Bislang ist es nicht gelungen, die Sicherheitslücke zu schließen.

In einer Reihe von Android-Smartphones von HTC ist eine Sicherheitslücke gefunden worden, über die Angreifer WLAN-Zugangsdaten samt Kennwörtern ausspähen können. HTC ist gerade dabei, die betroffenen Geräte mit einem Patch zu versorgen.

Apple hat sein erstes Sicherheitsupdate des Jahres 2012 für Mac OS X 10.6 und 10.7 alias Snow Leopard beziehungsweise Lion veröffentlicht. Beseitigt werden Probleme in Windows-Umgebungen und es gibt mehr Unterstützung für moderne Digitalkameras.

Ein US-Sicherheitsexperte warnt, dass sich der private Schlüssel eines Smartphones aus Funkwellen, die das Geräte abstrahlt, auslesen lässt. Die Länge des Schlüssels ist dabei nicht relevant.

Daten des Grünen-Politikers Malte Spitz legen nahe, dass die Telekom im Mobilfunkbereich unnötig viele Kundendaten vorhält. Einziger Unterschied zur Vorratsdatenspeicherung: die Speicherdauer.

Opera Software hat den Browser Opera in der Version 11.61 veröffentlicht. Mit dem Update werden zwei Sicherheitslücken und zahlreiche Absturzursachen beseitigt. Der Browser soll nun insgesamt stabiler und zuverlässiger arbeiten.

Der Linux-Kernel enthält einen Fehler, über den Angreifer das Speicherabbild in /proc/pid/mem ausnutzen können, um Root-Rechte auf einem System zu erlangen. Einen Patch hat Linus Torvalds bereits veröffentlicht. Exploits kursieren bereits.

Der Bildschirmschoner in einigen Linux-Distributionen kann ohne Passwort deaktiviert werden. Ein Fehler im X-Server von X.org ermöglicht das Entsperren des Bildschirms mit einer Tastenkombination.

An seinem erstem Patchday 2012 hat Oracle 78 teils kritische Sicherheitslücken geschlossen. MySQL ist ohne das Update aus der Ferne angreifbar und die Kerberos-Authentifizierung in Solaris ist fehlerhaft.

Auf ARM-basierten Geräten mit Windows 8 soll es nach den Vorgaben von Microsoft nicht möglich sein, Secure Boot auszuschalten. Damit ließe sich ein alternatives Betriebssystem nur dann installieren, wenn der Hersteller einen Schlüssel mitliefert.

Microsoft hat sechs Patches für die Windows-Plattform veröffentlicht, mit denen insgesamt sieben Sicherheitslücken beseitigt werden. Dazu gehört auch ein bereits verschobener Patch für das SSL-Sicherheitsloch vom September 2011.

Das aktuelle PHP 5.3.9 enthält einen Bugfix, der DoS-Angriffe über Hash-Kollisionen verhindern soll. Außerdem wurden zahlreiche Änderungen am FastCGI Process Manager vorgenommen.

Adobe hat einen Patch für die PDF-Anwendungen Adobe Reader und Acrobat veröffentlicht, um insgesamt sechs gefährliche Sicherheitslücken zu beseitigen. Zudem bringt das Update eine Whitelist-Funktion für Javascript.

Ein Angriff auf eine SQL-Schwachstelle betrifft inzwischen zehntausende IIS- und Coldfusion-Webserver in Deutschland. Opfer werden dabei auf die Domain Lilupophilupop.com umgeleitet, auf der Scareware angeboten wird.

Microsoft will in diesem Monat sechs Sicherheitspatches für die Windows-Plattform veröffentlichen. Noch ist unklar, ob damit auch das offene SSL-Sicherheitsloch und der im Dezember 2011 bekanntgewordene Windows-Fehler beseitigt werden.

Google hat eine Betaversion von Chrome 17 veröffentlicht. Die neue Version soll Nutzer besser vor Schadsoftware schützen und Webseiten laden, noch bevor der Nutzer die URL eingegeben hat.