Sicherheitslücke

Ciscos Software IOS XR enthält eine Schwachstelle bei der Verarbeitung von BGP-Paketen, die zu Denial-of-Service-Angriffen ausgenutzt werden kann.

Kein Ende in Sicht. Während erste Softwarehersteller tatsächlich schon Patches für Binary Planting alias DLL-Hijacking veröffentlichen, gibt es für das Grundproblem keine Lösung. Der Microsoft-Workaround hat Nachteile und lässt Anwendungen sogar ausfallen.

Das iPhone Dev Team will vorerst keinen neuen Jailbreak für Apples iOS veröffentlichen, denn das würde nur Apple helfen. Manchmal sei es eben besser, nichts zu tun, so die Hacker.

Die Zahl der vom Binary Planting betroffenen Anwendungen wächst stetig und es tut sich ein grundsätzliches Problem auf: Viele Programme rufen DLLs auf, die gar nicht existieren. Dann hilft auch Microsofts SafeDLLSearch nicht.

Die ersten Exploits für das sogenannte Binary Planting sind aufgetaucht, und das gleich in größerer Zahl. Damit die Sicherheitslücke, an der auch das Design des Betriebssystems schuld ist, ausgenutzt werden kann, müssen die Programmierer der Anwendungen allerdings ziemlich fahrlässig arbeiten.

Die Art und Weise, wie Anwendungen DLL-Dateien behandeln, hat weitreichende Folgen für die Sicherheit von Windows. Zahlreiche Anwendungen können zum Einschleusen und Ausführen von Schadcode missbraucht werden, wenn die Entwickler beim Nachladen von DLLs nicht aufgepasst haben. Viel Schutz gibt es nicht, zudem ist der veröffentlichte Workaround kompliziert in der Handhabung.

In vier neuen Linux-Versionen haben die Entwickler eine Sicherheitslücke geschlossen, bei der Angreifer über Fehler in der Speicherverwaltung Root-Rechte erlangen können. Reparierte Versionen sind bereits in den Repositories verschiedener Distributionen aufgetaucht, etwa von Ubuntu.

Google hat eine neue Version von Chrome veröffentlicht, um zehn Sicherheitslücken im Browser zu beseitigen. Drei Sicherheitslecks werden als gefährlich eingestuft, von sechs Fehlern geht eine hohe Gefahr aus.

Sowohl in Googles Android als auch in Palms WebOS wurden Sicherheitslücken gefunden, die vom Hersteller bereits geschlossen wurden. Aber nicht allen Gerätebesitzern steht bereits das notwendige Update bereit, vor allem die meisten Android-Smartphones bleiben anfällig für Angriffe.

Alte Geräte wie das erste iPhone und der erste iPod touch sind weiterhin anfällig für eine gefährliche Sicherheitslücke. Denn Apple hat die Geräte und ältere iOS-Versionen bereits aufgegeben. Einen Patch gibt es nun aus der Community.

Mit der Veröffentlichung von Quicktime 7.6.7 schließt Apple eine seit rund zwei Wochen bekannte kritische Sicherheitslücke in seinem Mediaplayer für Windows.

Opera 10.61 steht ab sofort als Download zur Verfügung. Die aktuelle Version beseitigt drei Sicherheitslöcher. Ein Sicherheitsleck kann zur Ausführung von Schadcode missbraucht werden. Zudem wurden etliche Programmfehler korrigiert.

Apple hat mit iOS 4.0.2 für das iPhone und iOS 3.2.2 für das iPad eine neue Betriebssystemversion veröffentlicht. Sie schließt die Sicherheitslücke, mit der die Geräte per Jailbreak geknackt werden können, wenn eine präparierte Website aufgesucht wird.

Zum Patchday in diesem Monat hat Microsoft elf Patches für die Windows-Plattform veröffentlicht, um insgesamt 23 Fehler zu beseitigen. Zudem wurden fünf gefährliche Sicherheitslücken im Internet Explorer und fünf gravierende Sicherheitslöcher in der Office-Software beseitigt. Insgesamt sollen 14 Patches 34 Sicherheitslücken beseitigen.

Adobe hat Patches für die Produkte Flash Player sowie Flash Media Server veröffentlicht, um darin befindliche Sicherheitslücken zu schließen. Fünf Sicherheitslücken im Flash Player können zur Ausführung von Schadcode missbraucht werden. Für Coldfusion hat Adobe einen Hotfix veröffentlicht.

Mit dem Erscheinen des Foxit Reader 4.1.1.0805 wird eine gefährliche Sicherheitslücke in der Freetype-2-Bibliothek beseitigt. Die Bibliothek wird auch im PDF-Reader von iOS verwendet. Das Sicherheitsloch sorgte bereits bezüglich Jailbreakme etwa für das iPhone für Schlagzeilen.

Das Arkon-Blog hat eine Sicherheitslücke in Windows veröffentlicht, mit der sich möglicherweise fremder Code auf Windows-Systemen ausführen lässt. Betroffen ist auch Windows 7 mit aktuellen Patches.

Auf der US-Sicherheitskonferenz Black Hat wurde ein Sicherheitsloch im Adobe Reader und in Acrobat enthüllt. Adobe will in der Woche ab 16. August 2010 ein außerplanmäßiges Update veröffentlichen, um das Sicherheitsleck zu schließen.

Diesen Monat nimmt sich Microsoft viel vor, der Softwarekonzern will kommende Woche insgesamt 34 Sicherheitslücken in seinen Produkten beseitigen. 14 Patches für Windows, Office und Silverlight sind geplant.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer Sicherheitslücke in Apples Betriebssystem iOS. Diese war durch einen Jailbreak bekanntgeworden, mit dem sich das Apple-Betriebssystem per Browser aushebeln lässt.

Microsoft hat den außerplanmäßig angekündigten Windows-Patch für die LNK-Sicherheitslücke veröffentlicht. Das Sicherheitsleck wird seit mehreren Wochen bereits von Schadsoftware ausgenutzt.

Der Compliance-Spezialist Qualys hat mit BlindElephant eine Open-Source-Engine für Fingerprinting bei Webanwendungen veröffentlicht. Die Software ermittelt die jeweils verwendeten Versionen von Webanwendungen und Plugins mit Hilfe statischer Dateien.

Wer eine speziell präparierte Webseite besucht, kann sein iPhone per Jailbreak knacken und für Fremdanwendungen öffnen, die Apple nicht zulässt. Der Vorgang ist allerdings riskant, da die Websoftware noch viele Fehler hat.

Microsoft hat untersucht, wie schnell Drittanbieter von Software Sicherheitslücken schließen, nachdem sie darüber informiert wurden. Die Ergebnisse der Untersuchung zeigen, dass nicht einmal die Hälfte aller Sicherheitslücken binnen Jahresfrist geschlossen wird.

Microsoft hat außer der Reihe ein Update für sein Betriebssystem Windows angekündigt. Dabei wird voraussichtlich die LNK-Sicherheitslücke geschlossen, die bereits aktiv von Malware ausgenutzt wird.

Wer hat Ihnen eigentlich die schönen bunten Icons auf dem Desktop weggenommen? Richtig, der Sysadmin. Heute ist es Zeit, diese undankbare Aufgabe des Icon-Klaus zu würdigen, denn heute ist Sysadminday!

Ein besonders weit verbreiteter Schädling setzt auf eine neue Angriffsmethode: Per E-Mail verteilt das Zeus-Botnetz jetzt Verknüpfungen, die den angegriffenen Rechner in einen Zombie-PC für weitere Aktionen verwandeln.

In Apples Quicktime ist ein Sicherheitsloch gefunden worden, über das Angreifer beliebigen Schadcode einschleusen und ausführen können. Ein befallenes Windows-System kann von Unbefugten kontrolliert werden.

Googles erweiterte Sicherheitsinitiative für Chrome zeigt Erfolg: Die Entdecker zweier Sicherheitslücken in Googles Browser erhielten die vom Anbieter ausgelobten 1.337 US-Dollar. Vier weitere Sicherheitslecks in Chrome wurden mit jeweils 500 US-Dollar prämiert.

Opensuse 11.0 wird nicht mehr mit Patches und Updates versorgt. Ein letzter Patch, der eine Sicherheitslücke im Paket RPM schloss, wurde am 23. Juli 2010 veröffentlicht.

Sophos hat ein kleines Windows-Programm veröffentlicht, das auf die Kontrolle von Verknüpfungen spezialisiert ist. Wird ein USB-Stick mit einer schädlichen Verknüpfung eingelegt, verhindert das Tool Shortcut Exploit Protection die Ausführung eines Angriffs.

Es ist möglich, ein WPA2-geschütztes WLAN von innen zu kompromittieren, ohne den Schlüssel zu knacken. Das Unternehmen Airtight Security will die Hole196 genannte Sicherheitslücke auf den Sicherheitskonferenzen Black Hat und Defcon demonstrieren.

Erste Schädlinge, die eine offene Sicherheitslücke in Windows ausnutzen, sind gesichtet worden. Ein Fehler bei der Anzeige von Verknüpfungen sorgt dafür, dass Schadcode ohne Zutun des Opfers ausgeführt werden kann. Microsoft bietet immer noch keinen Patch an.

Mit PHP 5.3.3 und 5.2.14 veröffentlicht das PHP-Team zwei Bugfixupdates der freien Scriptsprache, die diverse Sicherheitslücken schließen. Eine Änderung in PHP 5.3 ist nicht abwärtskompatibel.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor der gefährlichen Sicherheitslücke in Windows in Verbindung mit Verknüpfungen. Die bereits ausgenutzte Lücke erfordert Workarounds, die Microsoft als einfach zu bedienendes Fix it anbietet.

Für das Finden gefährlicher Sicherheitslücken in Chrome oder Chromium hat Google die Prämie erhöht. Künftig werden bis zu 3.133,70 US-Dollar für eine Lücke bezahlt. Auch Mozilla hatte diesen Monat die Prämie für gefundene Sicherheitslücken aufgestockt.

De-Mail ist nicht sicher, meldet die Frankfurter Rundschau. De-Mails würden bei dem System nicht durchgängig verschlüsselt, sondern auf den Servern entschlüsselt und neu verschlüsselt.

Adobe plant eine Sandbox-Funktion für die PDF-Software Adobe Reader. Das soll einen sichereren Einsatz der Software bringen. Die neue Sicherheitsfunktion gibt es aber nur für Windows-Anwender.

Mit der Veröffentlichung von Firefox 3.6.7 und Thunderbird 3.1.1 schließen Mozilla und Mozilla Messaging diverse Sicherheitslücken in der Software. Parallel dazu erschienen Firefox 3.5.11, Thunderbird 3.0.6 sowie Seamonkey 2.0.6, um vor allem Sicherheitslecks zu beseitigen.

Apple hat eine neue Version von iTunes veröffentlicht. Sie beseitigt kleinere Fehler und eine Sicherheitslücke, die für Angriffe genutzt werden könnte.

Mozilla zahlt jetzt 3.000 US-Dollar für eine gefundene Sicherheitslücke. Damit erhalten Sicherheitsforscher deutlich mehr Geld als bisher, wenn sie ein Sicherheitsleck in einem Mozilla-Produkt finden und melden.

Diverse Heimrouter enthalten eine Sicherheitslücke, die sie anfällig für eine neue Form von DNS Rebinding-Angriffen machen. Der Sicherheitsexperte Craig Heffner will bei der Black-Hat-Konferenz eine Software veröffentlichen, die die Schwachstelle in verschiedenen, weitverbreiteten Modellen ausnutzt.

USB-Sticks, SD-Karten, externe Festplatten - all diese Datenträger können für eine neu entdeckte Sicherheitslücke verwendet werden, die durch gezielte Angriffe bereits ausgenutzt wird.