Sicherheitslücke

Exploitcode existiert, Angriffe laut Microsoft aber noch nicht. In einem Security-Advisory beschreibt Microsoft eine bereits bekannte Sicherheitslücke im SMB-Protokoll, für die es bisher noch keinen Patch gibt. Ein Rechner lässt sich durch das Sicherheitsproblem immerhin nicht übernehmen.

Adobe plant keine Änderung des Verhaltens des Flash-Players. Das Flash-Plug-in in Browsern kann für Angriffe missbraucht werden. Dazu muss eine über eine Flash-Seite hochgeladene Datei nur vorher manipuliert werden, so dass diese präparierte Datei von anderen Anwendern geöffnet wird. Dann kann diese Datei auf andere Daten zugreifen. Adobe sieht das nicht als Fehler und plant keinen Patch.

Cookies brauchen künftig Zustimmung der Nutzer. Die Europäische Union hat die Datenschutzrichtlinie aus dem Jahr 2002 überarbeitet. Die Novellierung, die die EU-Mitgliedsstaaten in den kommenden 18 Monaten umsetzen müssen, soll den Nutzern unter anderem besseren Schutz vor den Auswirkungen von Datenpannen bei ihren Providern bieten.

Excel-Patch korrigiert gleich acht gefährliche Sicherheitslücken. Insgesamt sechs Sicherheitslücken in Windows beseitigt Microsoft an diesem Patchday. Allein drei Fehler stecken im Windows-Kernel. Zudem beseitigt ein Patch für Excel mit einem Schlag acht Sicherheitslücken in Microsofts Tabellenkalkulation, ein weiterer Patch korrigiert einen Fehler in Word.

Kunde erhält fälschlich vertrauliche Daten anderer Kunden. Beim Hamburger Telekommunikationsanbieter Hansenet ist es zu einer Datenpanne gekommen. Ein Kunde bekam fälschlich vertrauliche Daten anderer Kunden des Unternehmens zugeschickt.

Stabilitäts- und Kompatibilitätsupdate für Snow Leopard. Mit dem Update 10.6.2 werden zahlreiche Sicherheitslücken in MacOS X Snow Leopard geschlossen, Stabilität und Kompatibilität mit Anwendungen werden verbessert. Für Hackintosh-Nutzer mit dem Drang, MacOS X auch auf einem Netbook zu installieren, gibt es anscheinend schlechte Nachrichten.

Fehler in Passwortabfrage in neuer Version behoben. Im Bootloader Grub 1.97 wurde eine Sicherheitslücke in der Passwortabfrage entdeckt, die den Zugriff auch ohne komplettes Passwort erlaubt. Die Entwickler haben den Fehler in der aktualisierten Version 1.97.1 behoben.

Version 0.9.8l deaktiviert defektes TLS/SSL-Protokoll. Mit einer neuen Version 0.9.8l der Toolsammlung Openssl rund um das Sicherheitsprotokoll TLS/SSL haben Entwickler eine kritische Sicherheitslücke geschlossen. Sie war im SSL-Protokoll entdeckt worden und betrifft nicht nur Openssl, sondern alle auf dem SSL-Protokoll aufsetzende Software.

Fehler bei der Neuaushandlung von TLS-Parametern. In den Protokollen SSL und TLS wurde ein Sicherheitsloch gefunden, das für Man-in-the-Middle-Attacken ausgenutzt werden kann. In verschlüsselte Verbindungen können Angreifer somit eigene Inhalte einschleusen.

Fehlerkorrektur ist in Arbeit. Nach Ansicht von 1&1 weist der Webmailer 2.0 kein Sicherheitsloch auf. Stattdessen wird das Verhalten als besondere Funktion angesehen. Mit dem 1&1 Webmailer 2.0 können Unbefugte E-Mail-Adressen anderer Nutzer sehen.

Autovervollständigung enthüllt E-Mail-Adressen für Unbefugte. Im 1&1 Webmailer 2.0 wurde eine Sicherheitslücke entdeckt, die Unbefugten den Zugriff auf E-Mail-Adressen erlaubt. Dabei können Nutzer alle E-Mail-Adressen erreichen, die einem 1&1-Server zugeordnet sind und die eigentlich nur für den Serververwalter einsehbar sein sollten.

Root-Zugriff als unberechtigter Benutzer möglich. Ein erneuter sogenannter "Null Pointer Dereference Flaw" in allen Versionen des Linux-Kernels 2.6 erlaubt es einfachen Benutzern, Root-Rechte auf einem Linux-System zu erlangen. Die Sicherheitslücke wurde von Kernel-Entwicklern bereits im aktuellen Release Candidate der neuen Kernel-Version 2.6.32 behoben.

Update beseitigt fünf Sicherheitslöcher. Im Shockwave Player wurden fünf Sicherheitslücken gefunden. Vier davon werden als gefährlich eingestuft, weil Angreifer darüber schadhaften Programmcode ausführen können. Mit einer neuen Version des Shockwave Player werden diese Fehler korrigiert.

Standardpasswörter von Buchhändlern ließen sich leicht erraten. Libri.de muss die zweite Datenpanne in nur wenigen Tagen einräumen. Nachdem zunächst zahlreiche Rechnungen offen im Netz standen, erlaubten nun unsichere Standardpasswörter den Zugriff auf diverse Accounts von Buchhändlern.

Zugriff auf rund 500.000 Rechnungen möglich. Beim Buchgroßhändler Libri, der auch als Dienstleister für rund 1.300 Buchhändler auftritt und deren Onlineshops betreibt, gab es ein Datenleck. Bei Kenntnis der entsprechenden URL war der Abruf von zahlreichen Rechnungen möglich. Dabei genügte es, die fortlaufende Rechnungsnummer auszutauschen.

Mehrere Fehlerkorrekturen, aber keine neuen Funktionen. Mit dem Erscheinen von Opera 10.01 werden drei Sicherheitslücken in dem Browser geschlossen. Außerdem gibt es einige Fehlerkorrekturen an Opera 10, um die Stabilität und Zuverlässigkeit der Software zu erhöhen.

Daten wurden im Juni 2009, vor der Schließung einer Sicherheitslücke, ausgelesen. Die VZ Netzwerke stehen weiter in der Kritik, nachdem nun auch noch teils private Daten von 118.000 Schülern auftauchten. Verbraucherschützer fordern Social-Networking-Betreiber dazu auf, den Datenschutz "wenn nötig auch zu Lasten des Nutzerkomforts zu gewährleisten."

Firefox 3.0.15 und Firefox 3.5.4 ab sofort verfügbar. Ab sofort sind die Firefox-Versionen 3.0.15 sowie 3.5.4 als Download verfügbar. Mit den Updates werden vor allem Sicherheitslecks geschlossen, neue Funktionen gibt es nicht. Während Firefox 3.0.15 15 Sicherheitslecks korrigiert, beseitigt Firefox 3.5.4 einen Fehler mehr.

Sicherheitsverbesserungen aus Wordpress 2.9 zurückportiert. Die Entwickler der Blog-Software wollen ihre Software sicherer machen und haben bei der Entwicklung von Wordpress 2.9 einige Verbesserungen vorgenommen, die diesem Ziel dienen. Einige wurden nun auf Wordpress 2.8 portiert und mit Wordpress 2.8.5 veröffentlicht.

3x1t ging freizügig mit unerlaubt ausgelesenen SchülerVZ-Daten um. Der Crawler, mit dem die sozialen Netzwerke der VZ-Gruppe ausgelesen wurden, stammt aus Erlangen. Nach einigen Hinweisen und einer Recherche im Google-Cache sieht es so aus, als ob der Entwickler Mathias L. die Daten nicht nur aus sportlichen Gründen unerlaubt ausgelesen hat.

Patches erscheinen das letzte Mal für Adobe Reader 7.x und Acrobat 7.x. Adobe hat Sicherheitspatches für den Adobe Reader sowie für Acrobat veröffentlicht, um insgesamt 29 Sicherheitslücken zu beseitigen. 16 dieser Sicherheitslücken gelten als gefährlich, denn Angreifer können darüber schadhaften Programmcode ausführen.

Umfangreichster Patchday Microsofts. Noch bevor Windows 7 in diesem Monat auf den Markt kommt, hat Microsoft fünf Patches dafür veröffentlicht. Insgesamt elf Sicherheitslücken muss Microsoft im Vista-Nachfolger noch vor der Auslieferung korrigieren. Der aktuelle Patchday ist der umfassendste in der Geschichte von Microsofts monatlichem Patchday.

Acrobat und Adobe Reader für Windows, MacOS X und Unix betroffen. Adobe warnt vor einer gefährlichen Sicherheitslücke in Adobe Reader und Adobe Acrobat. Sie erlaubt es Angreifern, Code auf verwundbaren Systemen auszuführen und wird nach Angaben von Adobe bereits aktiv ausgenutzt. Ein Update steht derzeit nicht zur Verfügung.

Microsofts Patchday bringt im Oktober 13 Updates. Noch steht Windows 7 nicht in den Regalen, da veröffentlicht Microsoft bereits die ersten Sicherheitspatches für den Vista-Nachfolger. Fünf der 13 für den 13. Oktober 2009 geplanten Sicherheitsupdates betreffen auch Windows 7 sowie Windows Server 2008 R2.

Sun behebt einen Fehler in der neuen Version 3.0.8. Über eine Schwachstelle in Suns Virtualisierungssoftware Virtualbox kann ein Angreifer mit eingeschränkten Benutzerrechten unter Umständen mit Administratorrechten auf das Wirtsystem zugreifen.

Fehler in den FreeBSD-Versionen 6.3, 6.4, 7.1 und 7.2. Neu entdeckte Designfehler im Dateisystemmodul und den kürzlich bekanntgewordenen Fehler im Linux-Kernel beheben FreeBSD-Entwickler in neuen Versionen für FreeBSD 6.x und 7.x. Die Patches liegen als Updates und im Quelltext vor.

Zugriff auf das gesamte Dateisystem und Passwörter im Klartext. Mit drei Patches beheben Samba-Entwickler Fehler in ihrem Linux-File-Server für Windows-Freigaben. Die Patches schließen Lücken, die unter Umständen einen Zugriff auf das gesamte Dateisystem zulassen, DOS-Attacken ermöglichen oder Passwörter im Klartext anzeigen.

Sicherheitslücken werden geschlossen. Der VLC-Player ist in Version 1.0.2 für Windows und MacOS X erschienen. Die Quelltexte waren schon Ende September veröffentlicht worden, nun auch die Binaries. In den Vorversionen soll die automatische Updatefunktion teilweise nicht funktionieren, was mit der neuen Fassung korrigiert werden soll.

Gefährliches Sicherheitsloch beim Öffnen von Wiedergabelisten. Nach dem Erscheinen von iTunes 9 muss Apple eine Reihe von Programmfehlern in der Software beseitigen. Dazu gehört auch ein gefährliches Sicherheitsloch, das von Angreifern zum Ausführen von Schadcode missbraucht werden kann.

Update entfernt 75 Bugs. Mit PHP 5.2.11 beseitigen die Entwickler der freien Scriptsprache einige Sicherheitslücken und Bugs, was die Stabilität der Software erhöhen soll.

KB971029 wird nicht über das Windows-Update ausgeliefert. Wer mit USB-Geräten hantiert, hat vor allem unter Windows XP das Risiko, sich Schadsoftware einzufangen. Mit einem Update rüstet Microsoft nun alte Betriebssysteme nach und bringt sie in dieser Disziplin auf den Sicherheitsstand von Windows 7.

Mehrere Sicherheitsprobleme mit Videodateien. Mit einem Update macht Apple auf mehrere Sicherheitsprobleme in Quicktime 7 aufmerksam, die die Version 7.6.4 beseitigen soll. Betroffen sind von den vier Sicherheitslücken sowohl Windows- als auch MacOS-Nutzer.

Sicherheitspatch für Fehler in den TCP/IP-Funktionen auch für Windows XP. Am Patchday in diesem Monat ist Microsoft ein Fehler unterlaufen, den der Hersteller einen Tag später nun korrigiert hat. Denn der Sicherheitspatch für die TCP/IP-Funktionen betrifft entgegen den ersten Auskünften auch Windows XP.

Update bringt auch kleinere Verbesserungen für den Nutzer. Mit einem Softwareupdate beseitigt Apple einige Sicherheitsprobleme des iPhone und iPod touch im Umgang mit Audiodateien, den Nutzerdaten und bei der Exchange-Anbindung. Das iPhone ist ohne das Update außerdem für manipulierte Kurznachrichten anfällig, die das Telefon in Teilen lahmlegen können.

Updates für Firefox 3 und Firefox 3.5 sind verfügbar. Neue Versionen von Firefox 3 sowie Firefox 3.5 stehen als Download bereit und korrigieren eine Reihe von Sicherheitslecks. Neun der Fehler werden als gefährlich eingestuft und erlauben Angreifern das Ausführen schadhaften Programmcodes.

Zwei Sicherheitslücken im Windows Media Player. Microsoft hat am Patchday im September 2009 fünf Patches veröffentlicht, die acht Sicherheitslecks auf Windows-Systemen beseitigen. Zwei Fehler finden sich im Internet Explorer und zwei Sicherheitslöcher stecken in den Komponenten des Windows Media Player.

Aktuelle Version der Blogsoftware ist immun. Ein Wurm greift die Blogsoftware Wordpress an und verbreitet sich über Javascript über diese weiter, warnt Wordpress-Entwickler Matt Mullenweg. Die dabei genutzte Sicherheitslücke haben die Wordpress-Entwickler bereits im August geschlossen, die aktuelle Version ist immun gegen den Angriff.

Browsersuite schließt zu Firefox und Thunderbird auf. Die Browsersuite Seamonkey steht nun in der Version 1.1.18 bereit und korrigiert zwei Sicherheitslücken. Ein Fehler in den SSL-Funktionen wurde bereits in Firefox und Thunderbird beseitigt. Ansonsten wurden kleinere Fehler korrigiert, neue Funktionen gibt es nicht.

Patches korrigieren allesamt gefährliche Sicherheitslücken. Für den Patchday im September 2009 will Microsoft insgesamt fünf Sicherheitsupdates veröffentlichen. Alle fünf Patches beseitigen als gefährlich klassifizierte Sicherheitslücken in Windows. Die Patches veröffentlicht Microsoft am 8. September 2009.

Version 3.2 der Office-Suite soll im November 2009 erscheinen. Die freie Office-Suite Openoffice.org steht ab sofort in der Version 3.1.1 zum Download bereit. Das Update bereinigt einige Fehler in der aktuellen stabilen Version 3.1 und schließt eine potenzielle Sicherheitslücke.

Neues Projekt von Sicherheitsforscher Karsten Nohl. Sicherheitsforscher Karsten Nohl will die GSM-Verschlüsselung in einem Distributed-Computing-Projekt knacken. Damit will er die Netzbetreiber auch dazu bringen, ein 15 Jahre altes Sicherheitsloch zu schließen.

Anwender haben verwundbare Flash- und Adobe-Reader-Versionen installiert. Gut 80 Prozent der Internetanwender nutzen eine verwundbare Flash-Version. Das geht aus einer Untersuchung des Sicherheitsunternehmens Trusteer hervor. Trusteer kritisiert Adobe für einen unzureichenden Updatemechanismus.

Sandbox-Konzept grenzt Gefahren der Sicherheitslücken ein. Mit dem Update auf die stabile Chrome-Version 2.0.172.43 beseitigt Google einige kritische Sicherheitslücken in seinem Browser.