Sicherheitslücke

Gefährliche Sicherheitslücken in der Software entdeckt. In Adobes Flash Player wurden etliche Sicherheitslücken entdeckt, über die Angreifer beliebigen Schadcode ausführen können. Mit einem Update sollen diese Sicherheitslecks nun geschlossen werden. Oftmals genügt die Bereitstellung manipulierter SWF-Dateien, um Zugriff auf fremde Systeme zu erlangen.

Neue Version des Drucksystems für Unix-Betriebssysteme. Eine neue Version des Drucksystems CUPS beseitigt einen Fehler, durch den Angreifer über das Netzwerk Schadcode einschleusen konnten. CUPS 1.3.5 korrigiert darüber hinaus noch weitere Probleme, die nicht sicherheitskritisch waren.

Version 1.4.13 des Open-Source-Webmailers veröffentlicht. Nur wenige Tage, nachdem die Entwickler des freien IMAP-Webmailers SquirrelMail manipulierte Pakete auf ihrem Server entdeckten, ist nun noch eine Sicherheitslücke aufgetaucht. Eine neue Version, die diesen Fehler behebt, ist bereits verfügbar und ein Update wird empfohlen.

Entwickler stufen Änderungen als ungefährlich ein. Die Archive der SquirrelMail-Version 1.4.12 wurden offenbar nach ihrer Veröffentlichung verändert. Zwar sollen auch die manipulierten Pakete des freien IMAP-Webmail-Frontends nicht gefährlich sein, die Entwickler raten aber vorsichtshalber dazu, die Version erneut herunterzuladen.

Aktuelle QuickTime-Version schließt mehrere Sicherheitslücken. Mit dem Update auf QuickTime 7.3.1 beseitigt Apple unter anderem ein Sicherheitsleck, das Ende November 2007 bekannt wurde und seitdem auf einen Patch wartet. Zudem werden mit dem Update weitere, ebenfalls als gefährlich einzustufende Sicherheitslecks geschlossen, über die ein Angreifer gleichfalls schadhaften Code auf Systemen mit MacOS X oder Windows ausführen kann.

Vier gefährliche Sicherheitslücken im Internet Explorer. Wie angekündigt hat Microsoft im Monat Dezember 2007 sieben Sicherheits-Patches veröffentlicht. Wie jetzt bekannt ist, werden damit gleich elf Sicherheitslücken auf Windows-Systemen geschlossen. Allein vier Sicherheitslecks stecken im Internet Explorer und zwei Löcher weist DirectX auf. Zudem hat Microsoft den in Aussicht gestellten und von Macrovision bereits angebotenen Patch nachgereicht, um einen Fehler im Macrovision-Treiber zu beseitigen.

Programmcode konnte über das Netzwerk eingeschleust werden. Eine neu veröffentlichte Version des SMB-Servers Samba schließt eine Sicherheitslücke, durch die Angreifer beliebigen Programmcode auf dem Server ausführen konnten. Wer seine Samba-Version nicht aktualisieren möchte, kann auch eine Option deaktivieren.

Zahlreiche Sicherheitslücken in Windows. Am 11. Dezember 2007 steht der diesmonatige Patch-Day bei Microsoft an. In diesem Monat plant der Software-Riese sieben Patches für die Windows-Plattform. Drei davon schließen nach Microsoft-Klassifizierung gefährliche Sicherheitslücken, während vier Patches Fehler beseitigen, die immer noch als wichtig eingestuft werden.

Firefox 2.0.0.11 korrigiert Programmfehler aus der Vorversion. Mit einem Update für Firefox wird ein Programmfehler in dem Browser beseitigt, der mit dem letzten Sicherheits-Patch in das Programm gelangte. Zudem wurde die Browser-Suite SeaMonkey in einer neuen Version veröffentlicht, die einerseits die Fehlerkorrektur aus Firefox 2.0.0.11 enthält und andererseits die Sicherheitslücken korrigiert, die mit Firefox 2.0.0.10 geschlossen wurden.

Fehler im Dateibetrachter von Lotus-1-2-3-Dateien. IBM hat einen Sicherheits-Patch für Lotus Notes veröffentlicht, um eine gefährliche Sicherheitslücke zu schließen. Angreifer können über manipulierte Lotus-1-2-3-Dateien beliebigen Programmcode einschleusen und ausführen, um sich so eine umfassende Kontrolle über ein befallenes System zu verschaffen.

Aktuelle Firefox-Version bringt keine neuen Funktionen. Mit einem Update auf die Version 2.0.0.10 von Firefox schließen die Macher drei als wichtig eingestufte Sicherheitslecks in dem Browser. Damit soll die Stabilität und Zuverlässigkeit von Firefox verbessert werden. Neue Funktionen sind in der aktuellen Version nicht zu finden.

Angreifer können beliebigen Schadcode einschleusen. Ein Sicherheitsleck in Apples QuickTime erlaubt es Angreifern, beliebigen Schadcode auszuführen. Sie müssen ihr Opfer lediglich dazu bringen, eine manipulierte Multimedia-Datei mit QuickTime zu öffnen. Bislang steht kein Patch bereit, um den Fehler in QuickTime zu beseitigen.

Angreifer können Schadcode ausführen. Für den E-Mail-Client Thunderbird ist ein Update erschienen, mit dem zwei Sicherheitslecks in der Software geschlossen werden. Eine der Lücken kann zum Ausführen von Schadcode missbraucht werden, falls in Thunderbird die JavaScript-Ausführung aktiviert ist.

Angreifer erhalten vollen Lese- und Schreibzugriff auf das interne Dateisystem. Der Bremer Informatiker Adrian Nowak hat bei Recherchen für seine Diplomarbeit zum Thema "Sicherheit mobiler Endgeräte" eine kritische Sicherheitslücke in Handys von Sony Ericsson entdeckt.

Fehler in Windows Shell erlaubt Codeausführung. Zum November-Patch-Day beseitigt Microsoft die so genannte URI-Lücke in Windows XP, die diverse Applikationen wie Firefox und Outlook betrifft und von deren Entwicklern zum Teil notdürftig geflickt wurde, doch der eigentliche Fehler steckt im Betriebssystem. URIs für bestimmte Protokolle wie "mailto:" lassen sich nutzen, um eine Applikation auf dem System des Nutzers zu öffnen, je nach angegebener Datei-Endung.

Zahlreiche Sicherheitslücken geschlossen. Die neue PHP-Version 5.2.5 beseitigt nicht nur Fehler, sondern bringt auch einige kleinere Verbesserungen mit. Insgesamt wurden 60 Bugs beseitigt und damit auch einige Sicherheitslücken geschlossen.

Microsoft kommender Patch-Day am 13. November 2007. Im November 2007 will Microsoft zwei Sicherheits-Patches für Windows veröffentlichen. Während der eine Patch das Ausführen von Schadcode unterbinden soll, kümmert sich der andere Patch um Spoofing-Angriffe. Nähere Details dazu liegen bislang nicht vor.

Probleme können auch andere PDF-Betrachter betreffen. In dem freien PDF-Betrachter Xpdf wurden abermals Sicherheitslücken entdeckt, die Angreifer ausnutzen können, um Programmcode auszuführen. Betroffen sind unter Umständen auch andere Programme, ein Patch für Xpdf ist allerdings schon verfügbar.

Microsoft bestätigt Fehler, Macrovision liefert bereits einen Patch. Vor knapp drei Wochen wurde ein Sicherheitsloch in Windows XP und Windows Server 2003 bekannt, das eigentlich in einem Kopierschutztreiber von Macrovision steckt. Nach mehreren Wochen hat Microsoft die Existenz des Sicherheitslecks bestätigt, Macrovision bietet hingegen bereits einen Patch, der den Fehler korrigiert.

QuickTime 7.3 schließt gefährliche Sicherheitslöcher. Apple hat QuickTime sowie iTunes neu aufgelegt. Während iTunes für den europäischen Marktstart des iPhones bereitgemacht wurde, korrigiert QuickTime 7.3 zahlreiche gefährliche Sicherheitslücken. Außerdem wurde die Zusammenarbeit mit dem iPhone verbessert und es gab noch etliche Fehlerkorrekturen in QuickTime.

Unzureichender Datenschutz bei eBay. Durch einen Fehler lassen sich die Nutzerdaten von eBay-Newsletter-Empfängern einsehen. Die Online-Handelsplattform eBay hat diesen Fehler teilweise korrigiert, so dass immerhin das automatisierte Auslesen von Kundendaten nicht mehr möglich ist.

Sicherheits-Patch von Real Networks verfügbar. Wie Real Networks mitteilt, weist der RealPlayer in verschiedenen Versionen insgesamt sechs Sicherheitslöcher auf. Mit Hilfe manipulierter Multimedia-Dateien können Angreifer beliebigen Code ausführen und so eine umfassende Kontrolle über fremde Systeme erlangen. Auch der Helix Player ist von dem Problem betroffen.

Trojanischer Wahlstift könnte Wahlausgang verändern. Am 24. Februar 2008 soll in Hamburg mit dem neuen "Digitalen Wahlstift" gewählt werden. Doch dies birgt Risiken, wie der Chaos Computer Club (CCC) mit der Demonstration eines Wahlstift-Trojaners zeigt.

Sicherheits-Patch aus Firefox 2.0.0.8 integriert. Die auf Gecko aufsetzenden Applikationen SeaMonkey und Netscape Navigator stehen in aktuellen Versionen bereit. Die Updates beseitigen Sicherheitslücken, die in Firefox mit dem letzten Update geschlossen wurden. Neue Funktionen bringen somit weder SeaMonkey noch Netscape Navigator.

Angreifer können über Fehler schadhaften Code ausführen. Adobe hat ein Sicherheitsupdate für seinen Reader und Acrobat installiert. Das Sicherheitsloch selbst liegt jedoch in Windows und tritt in Verbindung mit dem Internet Explorer 7 auf. So sind nicht nur Adobes Produkte betroffen.

Pufferüberlauf in Bibliothek kann Benutzerrechte erhöhen. Ein bisher noch nicht gestopftes Sicherheitsloch kann bei vielen Windows-Installationen zu Problemen führen. Laut Angaben von Symantec existiert für den Fehler bereits ein Exploit, der auch in freier Wildbahn gesichtet worden sei. Betroffen ist jedoch kein Code von Microsoft, der Fehler steckt in einer Datei des Kopierschutzherstellers Macrovision.

Aktuelle Version schließt zahlreiche Sicherheitslecks. Der auf Firefox aufsetzende Browser Camino schließt mit der Version 1.5.2 verschiedene Sicherheitslücken und beseitigt einige Programmfehler. Damit soll der speziell auf MacOS X zugeschnittene Browser zuverlässiger und stabiler zu Werke gehen. Neue Funktionen liefert die aktuelle Version nicht.

Insgesamt beseitigt Firefox 2.0.0.8 acht Sicherheitslöcher. Das Mozilla-Team hat Firefox in der Version 2.0.0.8 veröffentlicht, um insgesamt acht Sicherheitslücken in dem Browser zu beseitigen. Zwei Sicherheitslecks werden als gefährlich eingestuft, weil sich darüber einerseits beliebiger Code ausführen lässt und sich andererseits die Nutzerrechte erweitern lassen.

Neu aufgelegter Patch erhältlich. Der Hacker mit dem Pseudonym KJK::Hyperion hatte einen inoffiziellen Patch veröffentlicht, um ein Sicherheitsleck bei der Verarbeitung von URLs und URIs in Windows zu schließen. Wie der Hacker selbst eingesteht, weist der Patch einen schweren Fehler auf. Ein aktualisierter Patch steht bereits zur Verfügung.

Nutzer sind zum Wechsel auf Thunderbird 2.0 aufgerufen. Am heutigen 18. Oktober 2007 endet der Support für Thunderbird 1.5. Nutzer des E-Mail-Clients sollten auf Thunderbird 2.x wechseln, weil für die Vorversion keine Updates oder Sicherheits-Patches mehr erscheinen werden.

Anzeige von Flash-Videos und Unterstützung von Farbprofilen. Das Bildbetrachtungsprogramm IrfanView ist nun in Version 4.10 veröffentlicht worden. Neben einer behobenen Sicherheitslücke gibt es zahlreiche neue Funktionen im Programm, das nun auch eine Markierungsfunktion beinhaltet.

Angreifer können Schadcode ausführen. Der Web-Browser Opera weist verschiedene Sicherheitslecks auf, die mit einer neuen Version nun geschlossen werden. Ein Sicherheitsleck kann zum Ausführen beliebiger Programmcodes missbraucht werden, so dass sich Angreifer eine umfassende Kontrolle über ein fremdes System verschaffen können.

Sicherheitsleck macht Windows-XP-Systeme anfällig für Angriffe. Für das in der vergangenen Woche von Microsoft eingestandene Sicherheitsloch im Internet Explorer 7 steht nun ein inoffizieller Patch bereit. Dieser wurde aber bislang kaum getestet, so dass dieser nicht im Produktiveinsatz verwendet werden sollte. Wann Microsoft das Sicherheitsleck schließen wird, ist nicht bekannt.

Angreifer können schadhaften Code ausführen. Kurz nach dem diesmonatigen Patch-Day weist Microsoft auf ein offenes Sicherheitsloch in Windows hin. Angreifer können über eine manipulierte URL beliebigen Schadcode ausführen und sich so eine umfassende Kontrolle über ein fremdes System verschaffen. Noch gibt es keinen Patch von Microsoft.

Patches für PageMaker, Illustrator und GoLive erschienen. Adobe hat bekannt gegeben, dass PageMaker, Illustrator und GoLive jeweils gefährliche Sicherheitslücken aufweisen, worüber Angreifer beliebigen Programmcode ausführen können. Für alle drei Produkte stehen passende Korrekturen bereit, um diese Sicherheitslöcher zu stopfen.

Auch ein schweres Sicherheitsloch in Word entdeckt. Am Patch-Day für den Monat Oktober 2007 hat Microsoft insgesamt sechs Patches veröffentlicht. Diese korrigieren zwei Fehler in Windows und beseitigen ein Sicherheitsloch in Outlook Express bzw. in Windows Mail. Mit einem Sammel-Patch werden gleich drei Sicherheitslecks im Internet Explorer geschlossen und ein gefährliches Sicherheitsloch steckt in der Textverarbeitung Word.

Microsoft schließt gefährliche Sicherheitslücken. Für den Oktober 2007 hat Microsoft insgesamt sieben Sicherheits-Patches in Aussicht gestellt. Vier davon schließen gefährliche Sicherheitslücken in Windows und Office, worüber Angreifer beliebigen Programmcode ausführen können. Drei weitere Patches für Windows und Office werden als weniger bedrohlich eingestuft.

Drei Sicherheitslücken in Java Runtime Environment. Sun schließt mit einem Update gleich drei Sicherheitslücken im Java Runtime Environment (JRE). Eine der Sicherheitslöcher kann unter bestimmten Umständen zum Ausführen von Programmcode missbraucht werden.

Patch für QuickTime verfügbar. In Apples QuickTime steckt ein Sicherheitsloch, das nur die Windows-Plattform betrifft. Dort können Angreifer beliebigen Programmcode ausführen und sich eine umfassende Kontrolle über ein fremdes System verschaffen.

Python-Code lässt sich in Dom0 ausführen. Eine Sicherheitslücke in der Virtualisierungssoftware Xen ermöglicht dem Root-Nutzer einer virtuellen Maschine, beliebigen Python-Programmcode in der privilegierten Xen-Domäne auszuführen. Da verschiedene kommerzielle Virtualisierungslösungen auf Xen basieren, können diese auch betroffen sein.

Kein Schaden für Nutzer bekannt. Google hat nach eigenen Angaben das jüngst in Gmail alias Google Mail bekannt gewordene Sicherheitsloch geschlossen. Bislang soll das Sicherheitsleck nicht aktiv ausgenutzt worden sein.

Patch korrigiert zehn Sicherheitslücken im Apple-Handy. Apple hatte für diese Woche ein Update für das iPhone in Aussicht gestellt und dieses Versprechen nun eingelöst. Mit dem Update erhält das iPhone zahlreiche neue Funktionen und Apple reagiert damit auf einige Kritikpunkte. Außerdem schließt das Update insgesamt zehn Sicherheitslücken in dem Handy. Gehackte iPhones funktionieren nach der Einspielung des Updates nicht mehr.

Angreifer legen eigene Filterregeln in Google Mail an. In Google Mail alias Gmail wurde ein Sicherheitsleck entdeckt, über das Angreifer beliebige E-Mails mitlesen können. Angreifer schleusen dazu spezielle Filtereinstellungen in Googles E-Mail-Dienst ein, indem Opfer lediglich zum Besuch einer präparierten Webseite verleitet werden müssen, während sie zugleich bei Gmail angemeldet sind.