Sicherheitslücke

Neue Version korrigiert Anzeige von Bildern mit ICC-Profilen. Gleich vier als kritisch eingestufte Sicherheitslücken korrigiert Mozilla mit Firefox 3.5.2 und Firefox 3.0.13. Einige davon können genutzt werden, um fremden Code einzuschleusen.

Unvollständige Multi-Part-SMS bringt iPhones aus dem Tritt. Apple schließt eine Sicherheitslücke in seinem iPhone-Betriebssystem. Durch die Sicherheitslücke ist es Angreifern möglich, iPhones mit einer SMS zum Absturz zu bringen oder gar eigenen Code auszuführen.

Fehlerbehebungen auch für den alten VLC-Player. Der VLC-Player ist in zwei neuen Versionen erschienen. Neben mehreren kleinen Fehlern beseitigen die Entwickler auch eine kritische Sicherheitslücke, die bei der Nutzung von RTSP-Streams auftreten kann.

Fehler in der Active Template Library gefährden Nutzer des Internet Explorers. Microsoft veröffentlicht außerhalb der Reihe zwei wichtige Updates für den Internet Explorer und die Visual Studio Active Template Library. Damit will Microsoft Nutzer vor fehlerhaften ActiveX-Komponenten, die mit unsicheren Versionen der Active Template Library (ATL) entwickelt wurden, schützen.

Notlösung gegen Angriffe auf Dateiformate. Künftige Microsoft-Office-Versionen werden in einer Sandbox arbeiten. Damit will der Hersteller die Programme besser gegen Angriffe auf Schwachstellen in den Office-Dateiformaten schützen.

Probleme mit Explorer und Visual Studio sollen in wenigen Tagen behoben sein. Microsoft warnt vor einer kritischen Sicherheitslücke im Internet Explorer und einer etwas weniger schwerwiegenden in Visual Studio. Abhilfe soll ein Patch bringen, der außerhalb der Reihe am Dienstag, dem 28. Juli 2009 veröffentlicht wird.

Kein Patch bis zum 30. Juli 2009. Adobes Anwendungen Reader, Acrobat und Flash sind wieder Ziele von Angriffen. Der plötzlich aufgetauchte Zero-Day-Exploit wird bisher von wenigen Virenscannern erkannt und lässt sich eigentlich nur mit drastischen Mitteln abwenden.

Korrigierte DD-WRT-Version bereits erschienen. In der freien Router-Firmware DD-WRT v24-SP1 ist eine Sicherheitslücke, durch die Angreifer Programme mit Root-Rechten auf dem Router ausführen können. Der Fehler sitzt in DD-WRTs Webserver.

Compiler-Optimierungen sind offenbar schuld an Problem. Brad Spengler vom Grsecurity-Projekt hat einen Exploit für den Linux-Kernel veröffentlicht, mit dem Root-Rechte erlangt werden können. Ausnutzen lässt sich die Sicherheitslücke nur bei zwei Kernel-Versionen - allerdings helfen dann auch Sicherheitserweiterungen wie SELinux nichts mehr.

Update verspricht auch mehr Stabilität und kürzere Ladezeit unter Windows. Mit der Veröffentlichung von Firefox 3.5.1 schließt Mozilla eine kritische Sicherheitslücke in der neuen Browserversion. Sie erlaubt es, dem Nutzer bösartigen Code unterzuschieben.

Ksplice Uptrack gestartet. Die Software Ksplice steht jetzt für Ubuntu als kostenloser Dienst zur Verfügung. Damit lassen sich Sicherheitsupdates für den Linux-Kernel einspielen, ohne dass anschließend ein Neustart des Systems nötig ist.

Antivirenhersteller melden Zunahme von Exploits. US-Berichten zufolge mehren sich die Angriffe auf ein ActiveX-Control, für das es noch keinen Patch von Microsoft gibt. Mehrere Antivirenhersteller verzeichnen sprunghaft angestiegene Versuche, die Lücke auszunutzen, seit sie publik gemacht wurde.

Abschaltung des Just-inTime-JavaScript-Compilers soll helfen. Nicht nur Microsoft kämpft im Moment mit Sicherheitslücken, auch Mozillas kürzlich fertig gewordener Firefox 3.5 hat eine Sicherheitslücke, die es ermöglicht, dem Nutzer bösartigen Code unterzuschieben.

Sechs Sicherheitsupdates für Windows XP bis Vista. Es ist Patch-Day und Microsoft hat mehrere schwere Sicherheitslücken beseitigt. Das Unternehmen rät dringend zur Aktualisierung von Windows XP, 2000, Windows Server 2003/2008 und Vista. Ein großer Teil der zu schließenden Sicherheitslücken ermöglicht Angreifern das Ausführen von Programmcode aus der Ferne.

Workaround von Microsoft verfügbar. Microsoft warnt Nutzer vor einer weiteren kritischen Sicherheitslücke in einem ActiveX-Control aus dem eigenen Hause. Betroffen sind vor allem Nutzer von Microsoft Office und Internet Explorer. Ein Workaround ist verfügbar.

Sechs Security-Bulletins zum Juli-Patchday angekündigt. Microsoft kündigt mehrere kritische Sicherheitsupdates für den kommenden Patchday am 14. Juli 2009 an. Unter anderem soll ein Problem in DirectX beseitigt werden, das derzeit für Wirbel sorgt.

Update für Apples Browser unter MacOS X und Windows. Mit einem Update für den Browser Safari 4 beseitigt Apple zwei Sicherheitslücken. Zumindest eine davon ist als kritisch einzustufen, da sie Angreifern möglicherweise die Ausführung von Code erlaubt.

Maintainer nicht von Existenz des Problems überzeugt. Derzeit machen Gerüchte um eine Sicherheitslücke in OpenSSH in Red Hat Enterprise Linux (RHEL) die Runde. Unterdessen hat sich OpenSSH-Entwickler Damien Miller geäußert. Er sieht nicht genügend Beweise für die Existenz einer Sicherheitslücke.

ActiveX-Control erlaubt Angreifern, Systeme zu übernehmen. Microsoft warnt vor einer kritischen Sicherheitslücke im eigenen Video-ActiveX-Control. Angreifer können damit die Kontrolle von Windows-Systemen übernehmen, ohne dass Nutzer des Internet Explorer dazu aktiv etwas beitragen müssen. Die Sicherheitslücke wird bereits aktiv ausgenutzt.

Sicherheitsupdate für E-Mail-Client von Mozilla Messaging. Mozilla Messaging hat mit Thunderbird 2.0.0.22 ein Sicherheitsupdate seines freien E-Mail-Clients veröffentlicht. Dieses beseitigt einige Sicherheitslücken, von denen aber keine als kritisch eingestuft wird.

Quelltext wurde nicht manipuliert. Angreifer sind in den Webserver des Open-Source-Webmailers SquirrelMail eingebrochen. Details sind noch nicht bekannt, der Quelltext des Projektes wurde jedoch nicht verändert.

iPhoneOS 3.0 beseitigt 46 Sicherheitslücken. Mit dem iPhoneOS 3.0 bringt Apple nicht nur neue Funktionen, sondern beseitigt auch 46 Sicherheitslöcher. Während iPhone-Besitzer kostenlos auf die neue Version wechseln können, müssen iPod-Touch-Besitzer bezahlen, um die Sicherheitslücken im Gerät zu schließen.

Steuerungssysteme werden überprüft. Das US-Energieaufsicht North American Electric Reliability Corporation geht gegen Cyberspione vor. Nachdem im Frühjahr Spionagesoftware in den Systemen einiger Energieversorger entdeckt worden war, sollen die Systeme nun systematisch auf Lücken und Infiltrationen überprüft werden.

Aviv Raff will im Juli 2009 täglich eine Sicherheitslücke veröffentlichen. Der Juli 2009 soll zum Monat der Twitter-Bugs werden. Die Aktion hat der Sicherheitsexperte Aviv Raff angekündigt, um auf Sicherheitslücken in Web-2.0-APIs hinzuweisen.

Update von Java für MacOS X nach rund sechs Monaten. Mit einem Update für Java schließt Apple ein kritische Sicherheitsloch in der der Java Virtual Machine von MacOS X. Angreifer können damit ein fremdes System unter ihre Kontrolle bringen.

Neun Sicherheitslücken werden durch das Update geschlossen. Firefox 3.0.11 steht ab sofort als Download bereit und beseitigt neun Sicherheitslöcher. Damit soll die Zuverlässigkeit von Firefox erhöht werden. Ferner wurden einige schwere Programmfehler beseitigt, die auch zu Datenverlust führen können.

Kein Patch für Sicherheitsloch in DirectShow veröffentlicht. Mit zehn Patches beseitigt Microsoft insgesamt 31 Sicherheitslücken in Windows, im Internet Explorer und dem Office-Paket des Herstellers. Ein Großteil der Fehler wird als gefährlich eingestuft. Für das bekannte Sicherheitsloch in DirectShow gibt es wie angekündigt noch keinen Patch.

Sechs Windows-Patches, drei Office-Patches und ein Patch für Internet Explorer. Am bevorstehenden Patchday am 9. Juni 2009 veröffentlicht Microsoft insgesamt zehn Sicherheitspatches für Windows, den Internet Explorer und Microsofts Office-Software. Sechs der zehn Patches schließen Sicherheitslöcher, über die sich beliebiger Programmcode ausführen lässt. Das Sicherheitsloch in DirectShow bleibt weiter offen.

Zehn Sicherheitslücken in Windows-Version. Apple hat Quicktime 7.6.2 veröffentlicht, um eine Reihe gefährlicher Sicherheitslücken zu beseitigen. Angreifer können darüber beliebigen Programmcode ausführen und so im schlimmsten Fall vollen Zugriff auf ein fremdes System erlangen.

Gefährliches Sicherheitsleck in iTunes beseitigt. Apple hat die Version 8.2 von iTunes veröffentlicht und bereitet sich damit auf das Erscheinen der neuen iPhone-Firmware vor. Das iPhone OS 3.0 wird noch im Juni 2009 erwartet, auch wenn von Apple bisher kein genaues Verfügbarkeitsdatum genannt wurde.

Videocodec wurde überarbeitet. Die neue Xvid-Version 1.2.2 beseitigt Sicherheitslücken. Entsprechend wichtig stuft das Entwicklerteam das Update von älteren Versionen des freien MPEG-4-Codecs ein.

Angreifer können System mit präparierten QuickTime-Dateien übernehmen. Microsoft warnt vor einer kritischen Sicherheitslücke in DirectShow, die es Angreifern erlaubt, mit einer speziell präparierten QuickTime-Datei die Kontrolle über das System zu übernehmen. Laut Microsoft sind bereits erste Angriffe zu beobachten.

Unbefugte erhielten Zugriff auf Redaktionssystem einer Lufthansa-Seite. Auf einer Microsite der Lufthansa gab es ein Sicherheitsloch, über das Unbefugte an persönliche Daten gelangen konnten. Mittlerweile ist der Fehler korrigiert. Der Fall zeigt, wie wenig Wert Unternehmen auf die Absicherung von Daten legen, die von Kunden bereitgestellt wurden.

Beispielcode demonstriert die Angriffsmöglichkeit per Java Applet. Seit mittlerweile fünf Monaten weist MacOS X ein gefährliches Sicherheitsloch in der Java Virtual Machine auf. Angreifer können damit ein fremdes System unter ihre Kontrolle bringen. Ein Sicherheitsspezialist hat Beispielcode veröffentlicht, der die Arbeitsweise der Sicherheitslücke zeigt.

Entwickler haben Unternehmen gegründet. Das Unternehmen Ksplice hat den Unternehmerwettbewerb des Massachusetts Institute of Technology (MIT) gewonnen. Der Preis ist mit 100.000 US-Dollar dotiert. Ksplice ging aus einem MIT-Projekt hervor. Mit der Software der Firma lassen sich Sicherheitsupdates für den Linux-Kernel ohne Neustart einspielen.

Patch für Safari 3.x und 4.x ist da. Apple hat für Safari 3.x und die Betaversion von Safari 4.x jeweils ein Update veröffentlicht, um drei gefährliche Sicherheitslecks im Browser zu beseitigen. Alle Sicherheitslücken können dazu missbraucht werden, schadhaften Programmcode auszuführen und Kontrolle über ein fremdes System zu erlangen. Die Fehler betreffen die Windows- und Mac-Version von Safari.

Mehr als 50 Sicherheitslöcher in Apples Betriebssystem werden geschlossen. Weit mehr als 50 Sicherheitslücken beseitigt Apple in MacOS X mit einem aktuellen Patch. Viele Komponenten des Betriebssystems weisen Fehler auf, die zur Ausführung von Schadcode missbraucht werden können. Auch in Apples Webbrowser mussten Fehler beseitigt werden.

Ein Sicherheitsloch findet sich nur in der Linux-Version. Im Adobe Reader befinden sich zwei Sicherheitslücken, die ein Patch nun beseitigen soll. Beide Fehler können zur Ausführung von Schadcode missbraucht werden. Aber eines der Sicherheitslöcher betrifft nur die Linux-Ausführung. Das andere Sicherheitsloch steckt auch in Acrobat.

Patch für Mac-Version lässt noch auf sich warten. Der für diesen Monat angekündigte Powerpoint-Patch schließt ein Sicherheitsloch, das seit Anfang April 2009 bekannt ist. Außerdem werden 13 weitere Sicherheitslücken in Microsofts Office-Software beseitigt. Für die Mac-Ausführung gibt es noch keinen Patch.

Nur ein Patch für den 12. Mai 2009 geplant. Einen einzigen Sicherheitspatch bringt Microsoft am Mai-Patchday heraus. Der Softwarehersteller will diesen Monat offenbar das seit Anfang April 2009 bekannte Sicherheitsloch in Powerpoint beseitigen.

Kein unabsichtliches Filesharing mehr. Nachdem Anfang des Jahres geheime Baupläne für den neuen Hubschrauber des US-Präsidenten in einer Internettauschbörse aufgetaucht waren, gerieten die P2P-Anbieter unter Druck. Die Version 5 der beliebten P2P-Software von Lime Wire soll deutlich sicherer sein als ihre Vorgänger, kündigte der Hersteller an.

Änderung kommt zunächst mit dem Release Candidate von Windows 7. Der Conficker-Wurm ist einer der Würmer, die sich über USB-Sticks oder Speicherkarten von Digitalkameras verbreiten. Diese Möglichkeit will Microsoft deutlich einschränken. Autostart gibt es in Zukunft nur noch für optische Datenträger.

Potenzielles Sicherheitsloch geschlossen. Mozilla veröffentlicht mit Firefox 3.0.10 ein weiteres Update für Firefox 3.0. Die neue Version beseitigt ein Problem, das durch das Schließen einer Sicherheitslücke in Firefox 3.0.9 eingeführt wurde und zu Abstürzen des Browsers führen kann.