Sicherheitslücke

Offenes Sicherheitsloch wird aktiv ausgenutzt. Im Adobe Reader und in Acrobat ist ein Sicherheitsloch entdeckt worden, das bereits aktiv ausgenutzt wird. Welchen Schweregrad der Fehler hat, teilte Adobe nicht mit. Auch zu den Ursachen des Sicherheitslecks liegen keine Angaben vor. Der Hersteller arbeitet derzeit an einer Fehlerkorrektur.

Adobe veröffentlicht auch neue Version von AIR. Adobe hat einen Patch für den Flash-Player veröffentlicht, um mindestens sieben Sicherheitslecks zu beseitigen. Die Mehrzahl der Fehler wird als kritisch eingestuft, weil darüber beliebiger Programmcode ausgeführt werden kann.

Sechs Bulletins zum Dezember-Patchday angekündigt. Microsoft hat zum Dezember-Patchday sechs Security-Bulletins angekündigt. Drei davon beziehen sich auf kritische Sicherheitslücken, darunter auch eine kritische Sicherheitslücke im Internet Explorer, die Ende November 2009 bekannt wurde.

Fehler im Run-Time Link Editor erlaubt Zugriff als Administrator. Ein Bug im Run-Time Link Editor in den Versionen 7.1, 7.2 und 8 der Distribution FreeBSD gewährt nicht privilegierten Benutzern administrative Zugriffsrechte auf das System.

Offene Sicherheitslücke wird derzeit nicht aktiv ausgenutzt. Nun warnt auch Microsoft offiziell vor einer am Wochenende bekanntgewordenen Sicherheitslücke im Internet Explorer, für die derzeit kein Patch bereitsteht. Laut Microsoft ist der IE in den Versionen 6 und 7 unter Windows 2000, XP und Vista sowie Windows Server 2003 und 2008 betroffen.

Exploit nutzt CSS-Daten und benötigt Javascript. Auf der Mailingliste Bugtraq ist am Wochenende ein neuer Exploit für Microsofts Internet Explorer 6 und 7 aufgetaucht. Er könnte genutzt werden, um Besuchern einer Website Schadcode unterzuschieben.

Entwickler beseitigen rund 100 Bugs. Mit PHP 5.3.1 beseitigen die Entwickler der freien Skriptsprache zahlreiche Fehler. Auch einige Sicherheitslücken werden beseitigt, so dass allen Nutzern zum Update geraten wird.

Kunden bekamen bei Vertragsende Werbeanrufe von der Konkurrenz. In Großbritannien haben T-Mobile-Angestellte Vertragsdaten von Kunden gestohlen und an Zwischenhändler verkauft. Diese riefen die Kunden kurz vor Vertragsende an und versuchten, ihnen Verträge mit der Konkurrenz zu verkaufen. Christopher Graham, Großbritanniens oberster Datenschützer, fordert härtere Strafen für solches Vergehen.

Exploitcode existiert, Angriffe laut Microsoft aber noch nicht. In einem Security-Advisory beschreibt Microsoft eine bereits bekannte Sicherheitslücke im SMB-Protokoll, für die es bisher noch keinen Patch gibt. Ein Rechner lässt sich durch das Sicherheitsproblem immerhin nicht übernehmen.

Adobe plant keine Änderung des Verhaltens des Flash-Players. Das Flash-Plug-in in Browsern kann für Angriffe missbraucht werden. Dazu muss eine über eine Flash-Seite hochgeladene Datei nur vorher manipuliert werden, so dass diese präparierte Datei von anderen Anwendern geöffnet wird. Dann kann diese Datei auf andere Daten zugreifen. Adobe sieht das nicht als Fehler und plant keinen Patch.

Lücken können nur von Registrierten ausgenutzt werden. Mit dem Update auf Wordpress 2.8.6 beseitigen die Entwickler der freien Blogsoftware zwei Sicherheitslücken, die allerdings nicht ohne Anmeldung ausgenutzt werden können.

Fehler verursacht Absturz des Betriebssystems. In Windows 7 und Windows Server 2008 R2 wurde ein Sicherheitsleck gefunden, das zum Absturz führen kann. Das Ausführen von Schadcode ist darüber nicht möglich, aktiv wird der Fehler laut Microsoft derzeit nicht ausgenutzt.

Angriff erlaubt Ausführung von Code mit Systemrechten. Adobes Photoshop Elements 7 und 8 sind für einen Angriff anfällig, der es dem Nutzer erlaubt, Code mit höheren Systemrechten auszuführen. Dafür braucht der Angreifer allerdings direkten Zugriff auf den Computer oder muss das Opfer zur Mitarbeit bewegen.

Cookies brauchen künftig Zustimmung der Nutzer. Die Europäische Union hat die Datenschutzrichtlinie aus dem Jahr 2002 überarbeitet. Die Novellierung, die die EU-Mitgliedsstaaten in den kommenden 18 Monaten umsetzen müssen, soll den Nutzern unter anderem besseren Schutz vor den Auswirkungen von Datenpannen bei ihren Providern bieten.

Excel-Patch korrigiert gleich acht gefährliche Sicherheitslücken. Insgesamt sechs Sicherheitslücken in Windows beseitigt Microsoft an diesem Patchday. Allein drei Fehler stecken im Windows-Kernel. Zudem beseitigt ein Patch für Excel mit einem Schlag acht Sicherheitslücken in Microsofts Tabellenkalkulation, ein weiterer Patch korrigiert einen Fehler in Word.

Kunde erhält fälschlich vertrauliche Daten anderer Kunden. Beim Hamburger Telekommunikationsanbieter Hansenet ist es zu einer Datenpanne gekommen. Ein Kunde bekam fälschlich vertrauliche Daten anderer Kunden des Unternehmens zugeschickt.

Stabilitäts- und Kompatibilitätsupdate für Snow Leopard. Mit dem Update 10.6.2 werden zahlreiche Sicherheitslücken in MacOS X Snow Leopard geschlossen, Stabilität und Kompatibilität mit Anwendungen werden verbessert. Für Hackintosh-Nutzer mit dem Drang, MacOS X auch auf einem Netbook zu installieren, gibt es anscheinend schlechte Nachrichten.

Fehler in Passwortabfrage in neuer Version behoben. Im Bootloader Grub 1.97 wurde eine Sicherheitslücke in der Passwortabfrage entdeckt, die den Zugriff auch ohne komplettes Passwort erlaubt. Die Entwickler haben den Fehler in der aktualisierten Version 1.97.1 behoben.

Version 0.9.8l deaktiviert defektes TLS/SSL-Protokoll. Mit einer neuen Version 0.9.8l der Toolsammlung Openssl rund um das Sicherheitsprotokoll TLS/SSL haben Entwickler eine kritische Sicherheitslücke geschlossen. Sie war im SSL-Protokoll entdeckt worden und betrifft nicht nur Openssl, sondern alle auf dem SSL-Protokoll aufsetzende Software.

Neue Version bringt einige Fehlerkorrekturen. Google hat ein Update für den Browser Chrome 3 veröffentlicht, um Sicherheitslücken zu beseitigen. Außerdem werden mit der neuen Version einige Programmfehler korrigiert, neue Funktionen gibt es nicht. Eine Sicherheitslücke kann im schlimmsten Fall zum Ausführen von Programmcode missbraucht werden.

Neue Version beseitigt keine Sicherheitslücken. Rund eine Woche nach Erscheinen von Firefox 3.5.4 ist ein weiteres Update für die 3.5er Reihe von Firefox veröffentlicht worden. Mit Firefox 3.5 werden einige Programmfehler beseitigt, Sicherheitslücken werden nicht geschlossen.

Insgesamt sechs Patches für den 10. November 2009 geplant. In der kommenden Woche will Microsoft vier Patches für Windows und zwei Patches für die Office-Suite veröffentlichen. In diesem Monat muss kein Sicherheitsloch in Windows 7 beseitigt werden. Mit fünf der sechs Patches werden als gefährlich eingestufte Sicherheitslücken geschlossen.

Fehler bei der Neuaushandlung von TLS-Parametern. In den Protokollen SSL und TLS wurde ein Sicherheitsloch gefunden, das für Man-in-the-Middle-Attacken ausgenutzt werden kann. In verschlüsselte Verbindungen können Angreifer somit eigene Inhalte einschleusen.

Fehlerkorrektur ist in Arbeit. Nach Ansicht von 1&1 weist der Webmailer 2.0 kein Sicherheitsloch auf. Stattdessen wird das Verhalten als besondere Funktion angesehen. Mit dem 1&1 Webmailer 2.0 können Unbefugte E-Mail-Adressen anderer Nutzer sehen.

Autovervollständigung enthüllt E-Mail-Adressen für Unbefugte. Im 1&1 Webmailer 2.0 wurde eine Sicherheitslücke entdeckt, die Unbefugten den Zugriff auf E-Mail-Adressen erlaubt. Dabei können Nutzer alle E-Mail-Adressen erreichen, die einem 1&1-Server zugeordnet sind und die eigentlich nur für den Serververwalter einsehbar sein sollten.

Root-Zugriff als unberechtigter Benutzer möglich. Ein erneuter sogenannter "Null Pointer Dereference Flaw" in allen Versionen des Linux-Kernels 2.6 erlaubt es einfachen Benutzern, Root-Rechte auf einem Linux-System zu erlangen. Die Sicherheitslücke wurde von Kernel-Entwicklern bereits im aktuellen Release Candidate der neuen Kernel-Version 2.6.32 behoben.

Update beseitigt fünf Sicherheitslöcher. Im Shockwave Player wurden fünf Sicherheitslücken gefunden. Vier davon werden als gefährlich eingestuft, weil Angreifer darüber schadhaften Programmcode ausführen können. Mit einer neuen Version des Shockwave Player werden diese Fehler korrigiert.

Standardpasswörter von Buchhändlern ließen sich leicht erraten. Libri.de muss die zweite Datenpanne in nur wenigen Tagen einräumen. Nachdem zunächst zahlreiche Rechnungen offen im Netz standen, erlaubten nun unsichere Standardpasswörter den Zugriff auf diverse Accounts von Buchhändlern.

Zugriff auf rund 500.000 Rechnungen möglich. Beim Buchgroßhändler Libri, der auch als Dienstleister für rund 1.300 Buchhändler auftritt und deren Onlineshops betreibt, gab es ein Datenleck. Bei Kenntnis der entsprechenden URL war der Abruf von zahlreichen Rechnungen möglich. Dabei genügte es, die fortlaufende Rechnungsnummer auszutauschen.

Mehrere Fehlerkorrekturen, aber keine neuen Funktionen. Mit dem Erscheinen von Opera 10.01 werden drei Sicherheitslücken in dem Browser geschlossen. Außerdem gibt es einige Fehlerkorrekturen an Opera 10, um die Stabilität und Zuverlässigkeit der Software zu erhöhen.

Daten wurden im Juni 2009, vor der Schließung einer Sicherheitslücke, ausgelesen. Die VZ Netzwerke stehen weiter in der Kritik, nachdem nun auch noch teils private Daten von 118.000 Schülern auftauchten. Verbraucherschützer fordern Social-Networking-Betreiber dazu auf, den Datenschutz "wenn nötig auch zu Lasten des Nutzerkomforts zu gewährleisten."

Firefox 3.0.15 und Firefox 3.5.4 ab sofort verfügbar. Ab sofort sind die Firefox-Versionen 3.0.15 sowie 3.5.4 als Download verfügbar. Mit den Updates werden vor allem Sicherheitslecks geschlossen, neue Funktionen gibt es nicht. Während Firefox 3.0.15 15 Sicherheitslecks korrigiert, beseitigt Firefox 3.5.4 einen Fehler mehr.

Sicherheitsverbesserungen aus Wordpress 2.9 zurückportiert. Die Entwickler der Blog-Software wollen ihre Software sicherer machen und haben bei der Entwicklung von Wordpress 2.9 einige Verbesserungen vorgenommen, die diesem Ziel dienen. Einige wurden nun auf Wordpress 2.8 portiert und mit Wordpress 2.8.5 veröffentlicht.

3x1t ging freizügig mit unerlaubt ausgelesenen SchülerVZ-Daten um. Der Crawler, mit dem die sozialen Netzwerke der VZ-Gruppe ausgelesen wurden, stammt aus Erlangen. Nach einigen Hinweisen und einer Recherche im Google-Cache sieht es so aus, als ob der Entwickler Mathias L. die Daten nicht nur aus sportlichen Gründen unerlaubt ausgelesen hat.

Patches erscheinen das letzte Mal für Adobe Reader 7.x und Acrobat 7.x. Adobe hat Sicherheitspatches für den Adobe Reader sowie für Acrobat veröffentlicht, um insgesamt 29 Sicherheitslücken zu beseitigen. 16 dieser Sicherheitslücken gelten als gefährlich, denn Angreifer können darüber schadhaften Programmcode ausführen.

Umfangreichster Patchday Microsofts. Noch bevor Windows 7 in diesem Monat auf den Markt kommt, hat Microsoft fünf Patches dafür veröffentlicht. Insgesamt elf Sicherheitslücken muss Microsoft im Vista-Nachfolger noch vor der Auslieferung korrigieren. Der aktuelle Patchday ist der umfassendste in der Geschichte von Microsofts monatlichem Patchday.

Acrobat und Adobe Reader für Windows, MacOS X und Unix betroffen. Adobe warnt vor einer gefährlichen Sicherheitslücke in Adobe Reader und Adobe Acrobat. Sie erlaubt es Angreifern, Code auf verwundbaren Systemen auszuführen und wird nach Angaben von Adobe bereits aktiv ausgenutzt. Ein Update steht derzeit nicht zur Verfügung.

Microsofts Patchday bringt im Oktober 13 Updates. Noch steht Windows 7 nicht in den Regalen, da veröffentlicht Microsoft bereits die ersten Sicherheitspatches für den Vista-Nachfolger. Fünf der 13 für den 13. Oktober 2009 geplanten Sicherheitsupdates betreffen auch Windows 7 sowie Windows Server 2008 R2.

Sun behebt einen Fehler in der neuen Version 3.0.8. Über eine Schwachstelle in Suns Virtualisierungssoftware Virtualbox kann ein Angreifer mit eingeschränkten Benutzerrechten unter Umständen mit Administratorrechten auf das Wirtsystem zugreifen.

Fehler in den FreeBSD-Versionen 6.3, 6.4, 7.1 und 7.2. Neu entdeckte Designfehler im Dateisystemmodul und den kürzlich bekanntgewordenen Fehler im Linux-Kernel beheben FreeBSD-Entwickler in neuen Versionen für FreeBSD 6.x und 7.x. Die Patches liegen als Updates und im Quelltext vor.

Zugriff auf das gesamte Dateisystem und Passwörter im Klartext. Mit drei Patches beheben Samba-Entwickler Fehler in ihrem Linux-File-Server für Windows-Freigaben. Die Patches schließen Lücken, die unter Umständen einen Zugriff auf das gesamte Dateisystem zulassen, DOS-Attacken ermöglichen oder Passwörter im Klartext anzeigen.

Sicherheitslücken werden geschlossen. Der VLC-Player ist in Version 1.0.2 für Windows und MacOS X erschienen. Die Quelltexte waren schon Ende September veröffentlicht worden, nun auch die Binaries. In den Vorversionen soll die automatische Updatefunktion teilweise nicht funktionieren, was mit der neuen Fassung korrigiert werden soll.

Gefährliches Sicherheitsloch beim Öffnen von Wiedergabelisten. Nach dem Erscheinen von iTunes 9 muss Apple eine Reihe von Programmfehlern in der Software beseitigen. Dazu gehört auch ein gefährliches Sicherheitsloch, das von Angreifern zum Ausführen von Schadcode missbraucht werden kann.