Sicherheitslücke

Googles erweiterte Sicherheitsinitiative für Chrome zeigt Erfolg: Die Entdecker zweier Sicherheitslücken in Googles Browser erhielten die vom Anbieter ausgelobten 1.337 US-Dollar. Vier weitere Sicherheitslecks in Chrome wurden mit jeweils 500 US-Dollar prämiert.

Opensuse 11.0 wird nicht mehr mit Patches und Updates versorgt. Ein letzter Patch, der eine Sicherheitslücke im Paket RPM schloss, wurde am 23. Juli 2010 veröffentlicht.

Mit PHP 5.3.3 und 5.2.14 veröffentlicht das PHP-Team zwei Bugfixupdates der freien Scriptsprache, die diverse Sicherheitslücken schließen. Eine Änderung in PHP 5.3 ist nicht abwärtskompatibel.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor der gefährlichen Sicherheitslücke in Windows in Verbindung mit Verknüpfungen. Die bereits ausgenutzte Lücke erfordert Workarounds, die Microsoft als einfach zu bedienendes Fix it anbietet.

Für das Finden gefährlicher Sicherheitslücken in Chrome oder Chromium hat Google die Prämie erhöht. Künftig werden bis zu 3.133,70 US-Dollar für eine Lücke bezahlt. Auch Mozilla hatte diesen Monat die Prämie für gefundene Sicherheitslücken aufgestockt.

De-Mail ist nicht sicher, meldet die Frankfurter Rundschau. De-Mails würden bei dem System nicht durchgängig verschlüsselt, sondern auf den Servern entschlüsselt und neu verschlüsselt.

Adobe plant eine Sandbox-Funktion für die PDF-Software Adobe Reader. Das soll einen sichereren Einsatz der Software bringen. Die neue Sicherheitsfunktion gibt es aber nur für Windows-Anwender.

Mit der Veröffentlichung von Firefox 3.6.7 und Thunderbird 3.1.1 schließen Mozilla und Mozilla Messaging diverse Sicherheitslücken in der Software. Parallel dazu erschienen Firefox 3.5.11, Thunderbird 3.0.6 sowie Seamonkey 2.0.6, um vor allem Sicherheitslecks zu beseitigen.

USB-Sticks, SD-Karten, externe Festplatten - all diese Datenträger können für eine neu entdeckte Sicherheitslücke verwendet werden, die durch gezielte Angriffe bereits ausgenutzt wird.

Wie angekündigt beseitigt Microsoft diesen Monat mit vier Patches fünf Sicherheitslöcher in Windows und Office. Wie zu befürchten war, bleibt das seit einer Woche bekannte Sicherheitsleck in Windows 2000 für alle Zeiten bestehen, weil es keinen Support mehr für Windows 2000 gibt.

Insgesamt 59 Sicherheitslücken schließt Oracle im Rahmen seines Juli-Patchdays in seinen diversen Produkten. Darunter sind insgesamt 36 Lücken, die sich aus der Ferne ausnutzen lassen.

Diesen Monat will Microsoft insgesamt fünf Sicherheitslecks mit vier Patches beseitigen. Die Mehrzahl der zu schließenden Sicherheitslücken wird als gefährlich eingestuft. Es werden auch zwei bereits bekannte Sicherheitslücken beseitigt.

In Windows 2000 und XP wurde ein neues Sicherheitsleck entdeckt. Darüber können Angreifer beliebigen Programmcode ausführen. Derzeit untersucht Microsoft das Sicherheitsloch.

Teenie-Star Justin Bieber ist am vergangenen Wochenende Ziel einer Attacke auf seine Youtube-Videos geworden. Mittels Cross-Site Scripting leiteten Scherzbolde die Besucher von Biebers Videos auf nicht jugendfreie Seiten um. Möglich war das durch eine Sicherheitslücke bei Youtube, die inzwischen geschlossen ist.

Zahlreiche Accounts von Kunden des iTunes-Stores sind von Dritten übernommen worden. Sie haben dann zeitweise Anwendungen eines bestimmten Entwicklers gekauft, vor allem E-Books. US-Blogs berichten von unberechtigten Einkäufen über mehrere hundert Dollar.

Der aktuelle Patch für den Adobe Reader sollte eigentlich ein drei Monate altes Sicherheitsloch beseitigen. Das Sicherheitsleck lässt sich aber weiterhin ausnutzen, um beliebigen Programmcode auszuführen.

Adobe hat den angekündigten Sicherheitspatch für den Adobe Reader sowie für Acrobat veröffentlicht. Damit werden insgesamt 17 Sicherheitslecks geschlossen, die alle als gefährlich einzustufen sind.

Der USB-Stick Flash Padlock 2 von Corsair besitzt einen Kennwortschutz, der sich aber mit einem Trick aushebeln lässt. Immerhin kann die Kennwortumgehung des Gerätes mit einer speziellen Prozedur verhindert werden.

Die Entwickler der freien Bibliothek Libpng haben neue Versionen veröffentlicht, die Sicherheitslücken schließen. Libpng wird in zahlreichen Browsern verwendet, um PNG-Dateien darzustellen. Welche Browser von den Sicherheitslücken betroffen sind, ist derzeit nicht bekannt.

Trotz des kleinen Versionssprungs ist die jetzt veröffentlichte Version 3.6.4 von Mozillas Browser Firefox ein großes Update. Plugins werden nun in eigenen Prozessen ausgeführt, so dass sie den Browser nicht mehr zum Absturz bringen können.

Das iPhone OS 3.1.x und die ältere Version 2.x haben zahlreiche Sicherheitslücken. Der überwiegende Teil davon betrifft die Browser-Engine Webkit und damit den iPhone-Browser. Die Fehler werden allerdings nicht in allen Geräten von Apple behoben.

Für Apples Betriebssysteme gibt es wieder ein größeres Sicherheitsupdate, das zum Teil auch Verbesserungen und Fehlerbehebungen mitbringt. Jeder, der Mac OS X 10.5 (Leopard) oder 10.6 (Snow Leopard) einsetzt, sollte das Update installieren.

Die jüngst bekanntgewordene Sicherheitslücke im Hilfe- und Supportcenter von Windows hat Microsoft nun bestätigt. Der Softwarekonzern ist über den Enthüller der Informationen sehr verärgert.

Adobe hat den angekündigten außerplanmäßigen Patch für den Flash Player veröffentlicht. Er beseitigt mit einem Schlag 32 Sicherheitslücken, die in der Mehrzahl zur Ausführung von Programmcode missbraucht werden können.

Im Hilfe- und Supportcenter von Windows ist eine Sicherheitslücke entdeckt worden, die sich über den Aufruf einer manipulierten Webseite ausnutzen lässt. Dann kann ein Angreifer den betreffenden Rechner übernehmen und beliebige Aktionen darauf durchführen.

In dieser Woche hat es einen größeren Angriff auf Webseiten gegeben, darunter sehr bekannte wie die des Wall Street Journal. Unklar ist, wie viele Seiten noch betroffen sind und weiterhin Schadsoftware ausliefern.

Google hat für Chrome 5 eine neue Version veröffentlicht. Damit werden insgesamt elf Sicherheitslöcher geschlossen. Neun der elf Fehler werden als gefährlich eingestuft.

Microsoft hat zehn Patches veröffentlicht, die summa summarum 34 Sicherheitslücken beseitigen. Damit werden 23 gefährliche Sicherheitslecks geschlossen, 14 davon betreffen Microsofts Office-Paket.

Die Sicherheitslücke im aktuellen Flashplayer und in der hauseigenen PDF-Software, die nach Adobes Angaben bereits ausgenutzt wird, wird geschlossen. Priorität hat der Flashplayer, Adobe Reader und Acrobat kommen später.

Adobe meldet derzeit Angriffe auf Nutzer, die den Flash Player und die PDF-Software des Herstellers einsetzen. Einen Patch gibt es nicht, nur zwei Workarounds, die das Problem auf verschiedenen Betriebssystemen abschwächen sollen.

Insgesamt 34 Sicherheitslücken will Microsoft in seinen Applikationen am 8. Juni 2010 beseitigen. Unter anderem müssen Fehler in Windows, im Internet Explorer und in Office beseitigt werden. Dazu werden zehn Patches veröffentlicht.

Nach IT-Angriffen in China hat Google die Abkehr vom Betriebssystem Windows beschleunigt. Die Microsoft-Software soll auf produktiven Systemen im Unternehmen nur noch mit Sondergenehmigung vom IT-Chef laufen.

Microsoft warnt vor einem Sicherheitsloch in der 64-Bit-Ausführung von Windows 7 sowie in Windows Server 2008 R2 für 64-Bit-Systeme. Das Sicherheitsleck kann zum Ausführen beliebigen Programmcodes missbraucht werden.

Adobe hat einen Patch für den Shockwave Player veröffentlicht. Die Software weist 18 Sicherheitslücken auf, die allesamt als gefährlich einzustufen sind, denn Angreifer können darüber beliebigen Programmcode ausführen.

Microsoft hat einen Patch für Outlook Express und Windows Mail veröffentlicht, um ein Sicherheitsleck in der E-Mail-Software zu beseitigen. Ein weiterer Patch schließt ein Sicherheitsleck in Office.

In Safari wurde ein als gefährlich eingestuftes Sicherheitsloch entdeckt. Angreifer können darüber Schadcode auf fremde Systeme schleusen. Bisher wurde das Sicherheitsloch für den aktuellen Safari 4.0.5 bestätigt. Der Fehler betrifft wohl nur die Windows-Version.

Sowohl in Windows als auch in Office wird diesen Monat ein Sicherheitsloch beseitigt. Die zwei Patches will Microsoft am 11. Mai 2010 veröffentlichen.

Eine schwere Sicherheitslücke hat es Facebook-Nutzern ermöglicht, Live-Chats von Freunden ohne deren Wissen mitzuverfolgen - und deren Kontaktanfragen einzusehen. Facebook hat bereits reagiert und den Chat abgeschaltet.

Mit der Version 3.3 erhält der Foxit Reader einen Trust Manager. Darüber kann der Anwender bestimmen, dass die Software externe Befehle in keinem Fall ausführen soll. Damit will der Hersteller eine höhere Sicherheit bei der Anzeige von PDF-Dateien erreichen.

Crawling von Gruppenlisten - und mangelndes Sicherheitsbewusstsein der Schüler. Wieder sind Datensätze von SchülerVZ maschinell ausgelesen worden. Nachdem die VZ-Netzwerke auf zwei Kontaktversuche nicht reagiert haben sollen, gingen 1,6 Millionen Datensätze der meist minderjährigen Nutzer an Netzpolitik.org.

PDF-Reader in MacOS als Vorbild genannt. Das IT-Sicherheitsunternehmen F-Secure hat Microsoft aufgefordert, einen eigenen PDF-Reader in Windows zu integrieren. F-Secure erhofft sich mehr Sicherheit bei der Darstellung von PDF-Dokumenten. Als Vorbild wird die PDF-Vorschau in Mac OS X genannt.

Angreifer können System übernehmen. Tavis Ormandy des Google Security Teams hat einen Fehler in Adobes Photoshop CS4 aufgespürt. Das Ausnutzen des Fehlers kann es einem Angreifer ermöglichen, das System zu übernehmen, egal ob Windows-PC oder Mac.

Neue Version für Windows und Mac OS als Download. Opera hat Opera 10.53 für die Windows- und Mac-Plattform veröffentlicht. Mit der Version wird ein gefährliches Sicherheitsloch geschlossen, das vor drei Tagen bekanntwurde. Zudem wurde ein Fehler bei der Benutzung von Google Maps beseitigt.