Sicherheitslücke

KB971029 wird nicht über das Windows-Update ausgeliefert. Wer mit USB-Geräten hantiert, hat vor allem unter Windows XP das Risiko, sich Schadsoftware einzufangen. Mit einem Update rüstet Microsoft nun alte Betriebssysteme nach und bringt sie in dieser Disziplin auf den Sicherheitsstand von Windows 7.

Mehrere Sicherheitsprobleme mit Videodateien. Mit einem Update macht Apple auf mehrere Sicherheitsprobleme in Quicktime 7 aufmerksam, die die Version 7.6.4 beseitigen soll. Betroffen sind von den vier Sicherheitslücken sowohl Windows- als auch MacOS-Nutzer.

Zwei Sicherheitslücken im Windows Media Player. Microsoft hat am Patchday im September 2009 fünf Patches veröffentlicht, die acht Sicherheitslecks auf Windows-Systemen beseitigen. Zwei Fehler finden sich im Internet Explorer und zwei Sicherheitslöcher stecken in den Komponenten des Windows Media Player.

Aktuelle Version der Blogsoftware ist immun. Ein Wurm greift die Blogsoftware Wordpress an und verbreitet sich über Javascript über diese weiter, warnt Wordpress-Entwickler Matt Mullenweg. Die dabei genutzte Sicherheitslücke haben die Wordpress-Entwickler bereits im August geschlossen, die aktuelle Version ist immun gegen den Angriff.

Browsersuite schließt zu Firefox und Thunderbird auf. Die Browsersuite Seamonkey steht nun in der Version 1.1.18 bereit und korrigiert zwei Sicherheitslücken. Ein Fehler in den SSL-Funktionen wurde bereits in Firefox und Thunderbird beseitigt. Ansonsten wurden kleinere Fehler korrigiert, neue Funktionen gibt es nicht.

Patches korrigieren allesamt gefährliche Sicherheitslücken. Für den Patchday im September 2009 will Microsoft insgesamt fünf Sicherheitsupdates veröffentlichen. Alle fünf Patches beseitigen als gefährlich klassifizierte Sicherheitslücken in Windows. Die Patches veröffentlicht Microsoft am 8. September 2009.

Version 3.2 der Office-Suite soll im November 2009 erscheinen. Die freie Office-Suite Openoffice.org steht ab sofort in der Version 3.1.1 zum Download bereit. Das Update bereinigt einige Fehler in der aktuellen stabilen Version 3.1 und schließt eine potenzielle Sicherheitslücke.

Neues Projekt von Sicherheitsforscher Karsten Nohl. Sicherheitsforscher Karsten Nohl will die GSM-Verschlüsselung in einem Distributed-Computing-Projekt knacken. Damit will er die Netzbetreiber auch dazu bringen, ein 15 Jahre altes Sicherheitsloch zu schließen.

Linux 2.6.27.30 und 2.6.30.5 veröffentlicht. Die Linux-Kernel-Versionen 2.6.27.30 und 2.6.30.5 sind ab sofort verfügbar. Sie schließen die vorige Woche bekanntgewordene Sicherheitslücke, durch die sich Root-Rechte erreichen lassen.

Angeblich alle Versionen seit 2001 betroffen. Sicherheitsforscher haben eine Sicherheitslücke im Linux-Kernel gefunden, die in allen Versionen des Kernels 2.4 und 2.6 seit 2001 stecken soll. Angreifer sollen so Code mit Rechten des Kernels ausführen können.

Schwachstelle ermöglicht Abhören von Gesprächen. Der Sicherheitsspezialist Compass Security weist auf zwei mittlerweile geschlossene Sicherheitslücken in den VoIP-Telefonen der Firma Snom hin. Sie erlauben es Angreifern, Adressbucheinträge und Anrufprotokolle zu ändern sowie Gespräche abzuhören.

Sicherheitsupdate 2009-004 schließt nur eine Lücke. Derzeit vergeht kaum ein Tag ohne Sicherheitspatch. Von Apple kommt jetzt bereits der dritte Patch in kurzer Folge. Nach einem Update für MacOS X und dem Safari-Patch ist jetzt erneut das Betriebssystem dran. BIND hat eine Schwachstelle, die bereits ausgenutzt wird.

15 Fehler in Windows, vier Sicherheitslücken in Office-Software. Microsoft hat die neun angekündigten Patches für die Produkte des Herstellers veröffentlicht. Mit acht Patches werden insgesamt 15 Sicherheitslecks in Windows beseitigt, während ein weiteres Update vier Fehler in der Office-Software korrigiert. Keines der Sicherheitslecks findet sich in Windows 7.

Fehler erlauben Angreifern, eigenen Code auszuführen. Apple schließt mit dem Update auf Safari 4.0.3 mehrere zum Teil kritische Sicherheitslücken in seinem Browser, sowohl für MacOS X als auch Windows. Einige davon können Angreifer nutzen, um eigenen Code auszuführen oder Daten auszuspähen.

Version 2.8.4 unterbindet Zurücksetzen des Admin-Passworts durch Dritte. Mit dem Update auf Wordpress 2.8.4 schließen die Entwickler eine Sicherheitslücke, die es Angreifern erlaubt, Administratoren aus ihren Blogs auszusperren.

Angreifer können Wordpress-Admins aussperren. Eine Sicherheitslücke in Wordpress erlaubt es Angreifern, die Administratoren entsprechender Blogs auszusperren. Eine korrigierte Wordpress-Version steht derzeit noch nicht zum Download bereit.

Neue Version schließt Sicherheitslücke in Apache Portable Runtime. Der Apache-Webserver ist in der Version 2.2.13 erschienen. Die neue Version korrigiert ein paar Fehler und schließt eine Sicherheitslücke.

Fehler in Firefox, Chrome und Safari bereits korrigiert. Ein Mitte Juni 2009 bekanntgewordenes Sicherheitsloch steckt in allen gängigen Browsern. Opera und der Internet Explorer weisen das Sicherheitsleck weiterhin auf.

Ein Windows-Patch gilt auch für Mac-Software. Am bevorstehenden Patchday plant Microsoft insgesamt neun Sicherheitspatches für Windows und Office. Von den acht Updates für Windows korrigiert eines auch mindestens einen Fehler in einer MacOS-Software, während ein Windows-Patch sich zudem um Fehler im .Net-Framework kümmert.

18 zum Teil kritische Sicherheitslücken in MacOS X. Apple aktualisiert sein Betriebssystem MacOS X auf die Version 10.5.8. Neben einigen Sicherheitsupdates enthält das Upgrade auch Verbesserungen und einige wenige neue Funktionen.

Runtime Environment bekommt das 15. Update. Mit einem Sicherheitsupdate korrigiert Sun einige kritische Fehler im Java Runtime Environment (JRE). Das Update beseitigt unter anderem Schwachstellen beim Schutz privater Daten, Zertifikatsprobleme und eine Reihe von Fehlern im Runtime Environment.

Neue Version korrigiert Anzeige von Bildern mit ICC-Profilen. Gleich vier als kritisch eingestufte Sicherheitslücken korrigiert Mozilla mit Firefox 3.5.2 und Firefox 3.0.13. Einige davon können genutzt werden, um fremden Code einzuschleusen.

Unvollständige Multi-Part-SMS bringt iPhones aus dem Tritt. Apple schließt eine Sicherheitslücke in seinem iPhone-Betriebssystem. Durch die Sicherheitslücke ist es Angreifern möglich, iPhones mit einer SMS zum Absturz zu bringen oder gar eigenen Code auszuführen.

Programmierer hacken Parkuhr mit Chipkarte. Drei Programmierer haben gestern auf der Black-Hat-Konferenz in Las Vegas erklärt, wie sie die mit einem Computer ausgerüsteten Parkuhren des kanadischen Hersteller MacKay Meters geknackt haben.

Update für Adobe Reader soll im Laufe des Freitags folgen. Mit einem Update hat Adobe wie angekündigt eine gefährliche Sicherheitslücke in Flash beseitigt. Der Softwarehersteller rät Nutzern dringend zur Aktualisierung von Flash und Adobe Air. Ein Update für den Adobe Reader, der ebenfalls gefährdet ist, soll im Laufe des Tages folgen.

Loch erlaubt theoretisch Angriffe außerhalb der Kontrolle des Betriebssystems. In einem der sehr seltenen Intel-Security-Advisories weist der Hersteller auf eine Sicherheitslücke im BIOS diverser Intel-Platinen hin. Betroffen von der Lücke, die es einem Angreifer erlaubt, Code auszuführen, sind 25 Endkundenmainboards und fünf Serverboardserien.

Fehlerbehebungen auch für den alten VLC-Player. Der VLC-Player ist in zwei neuen Versionen erschienen. Neben mehreren kleinen Fehlern beseitigen die Entwickler auch eine kritische Sicherheitslücke, die bei der Nutzung von RTSP-Streams auftreten kann.

Fehler in der Active Template Library gefährden Nutzer des Internet Explorers. Microsoft veröffentlicht außerhalb der Reihe zwei wichtige Updates für den Internet Explorer und die Visual Studio Active Template Library. Damit will Microsoft Nutzer vor fehlerhaften ActiveX-Komponenten, die mit unsicheren Versionen der Active Template Library (ATL) entwickelt wurden, schützen.

Notlösung gegen Angriffe auf Dateiformate. Künftige Microsoft-Office-Versionen werden in einer Sandbox arbeiten. Damit will der Hersteller die Programme besser gegen Angriffe auf Schwachstellen in den Office-Dateiformaten schützen.

Probleme mit Explorer und Visual Studio sollen in wenigen Tagen behoben sein. Microsoft warnt vor einer kritischen Sicherheitslücke im Internet Explorer und einer etwas weniger schwerwiegenden in Visual Studio. Abhilfe soll ein Patch bringen, der außerhalb der Reihe am Dienstag, dem 28. Juli 2009 veröffentlicht wird.

Kein Patch bis zum 30. Juli 2009. Adobes Anwendungen Reader, Acrobat und Flash sind wieder Ziele von Angriffen. Der plötzlich aufgetauchte Zero-Day-Exploit wird bisher von wenigen Virenscannern erkannt und lässt sich eigentlich nur mit drastischen Mitteln abwenden.

Korrigierte DD-WRT-Version bereits erschienen. In der freien Router-Firmware DD-WRT v24-SP1 ist eine Sicherheitslücke, durch die Angreifer Programme mit Root-Rechten auf dem Router ausführen können. Der Fehler sitzt in DD-WRTs Webserver.

Neue Browserversion bringt Stabilitätsverbesserungen. Mozilla hat den Browser Firefox auf die Version 3.0.12 aktualisiert. Das Update der 3.0.x-Reihe enthält Sicherheitsaktualisierungen und Stabilitätsverbesserungen.

Mozilla bestätigt Fehler, hält ihn aber nicht für gefährlich. Am Wochenende machte eine Sicherheitslücke im kürzlich veröffentlichten Firefox 3.5.1 die Runde, doch Mozilla wiegelt ab. Der Stack Buffer Overflow führe bei einigen Firefox-Versionen zwar zum Absturz, sei aber nicht von Angreifern nutzbar, um Kontrolle über fremde Systeme zu erlangen.

Fehler teilweise bereits beseitigt. G-Sec meldet eine Sicherheitslücke, die gleich mehrere Browser unterschiedlicher Anbieter betrifft und sich für einen Denial-of-Service-Angriff (DoS) ausnutzen lassen soll. Einige Hersteller haben den Fehler in ihren Produkten bereits beseitigt.

Compiler-Optimierungen sind offenbar schuld an Problem. Brad Spengler vom Grsecurity-Projekt hat einen Exploit für den Linux-Kernel veröffentlicht, mit dem Root-Rechte erlangt werden können. Ausnutzen lässt sich die Sicherheitslücke nur bei zwei Kernel-Versionen - allerdings helfen dann auch Sicherheitserweiterungen wie SELinux nichts mehr.

Update verspricht auch mehr Stabilität und kürzere Ladezeit unter Windows. Mit der Veröffentlichung von Firefox 3.5.1 schließt Mozilla eine kritische Sicherheitslücke in der neuen Browserversion. Sie erlaubt es, dem Nutzer bösartigen Code unterzuschieben.

Ksplice Uptrack gestartet. Die Software Ksplice steht jetzt für Ubuntu als kostenloser Dienst zur Verfügung. Damit lassen sich Sicherheitsupdates für den Linux-Kernel einspielen, ohne dass anschließend ein Neustart des Systems nötig ist.

Antivirenhersteller melden Zunahme von Exploits. US-Berichten zufolge mehren sich die Angriffe auf ein ActiveX-Control, für das es noch keinen Patch von Microsoft gibt. Mehrere Antivirenhersteller verzeichnen sprunghaft angestiegene Versuche, die Lücke auszunutzen, seit sie publik gemacht wurde.

Abschaltung des Just-inTime-JavaScript-Compilers soll helfen. Nicht nur Microsoft kämpft im Moment mit Sicherheitslücken, auch Mozillas kürzlich fertig gewordener Firefox 3.5 hat eine Sicherheitslücke, die es ermöglicht, dem Nutzer bösartigen Code unterzuschieben.

Sechs Sicherheitsupdates für Windows XP bis Vista. Es ist Patch-Day und Microsoft hat mehrere schwere Sicherheitslücken beseitigt. Das Unternehmen rät dringend zur Aktualisierung von Windows XP, 2000, Windows Server 2003/2008 und Vista. Ein großer Teil der zu schließenden Sicherheitslücken ermöglicht Angreifern das Ausführen von Programmcode aus der Ferne.

Workaround von Microsoft verfügbar. Microsoft warnt Nutzer vor einer weiteren kritischen Sicherheitslücke in einem ActiveX-Control aus dem eigenen Hause. Betroffen sind vor allem Nutzer von Microsoft Office und Internet Explorer. Ein Workaround ist verfügbar.

Sechs Security-Bulletins zum Juli-Patchday angekündigt. Microsoft kündigt mehrere kritische Sicherheitsupdates für den kommenden Patchday am 14. Juli 2009 an. Unter anderem soll ein Problem in DirectX beseitigt werden, das derzeit für Wirbel sorgt.