Sicherheitslücke

Von den 7 vermeldeten Sicherheitslecks bleiben noch 2 Lücken übrig. Der E-Mail-Client Thunderbird wurde in der Version 2.0.0.14 veröffentlicht und schließt insgesamt zwei Sicherheitslöcher. Eigentlich wurde bislang angenommen, dass die E-Mail-Software deutlich mehr offene Sicherheitslücken aufweist. Neue Funktionen bringt Thunderbird 2.0.0.14 nicht.

Apple bietet derzeit keinen Patch an. In Apples QuickTime steckt ein Sicherheitsleck, über das Angreifer beliebigen Schadcode einschleusen und ausführen können. Dazu muss ein Opfer nur zum Öffnen einer entsprechend manipulierten Datei auf einem Windows-System verleitet werden. Bislang hat Apple keinen Patch veröffentlicht, um den Fehler zu korrigieren.

Linux-Software wurde am MIT entwickelt. Sicherheits-Updates für den Kernel einzuspielen, geht normalerweise mit einem Neustart des Systems einher - zumindest in Serverumgebungen kann dies zum Problem werden, da während des Startvorgangs die auf dem System laufenden Dienste nicht zu erreichen sind. Eine neue Software aus den Labors des Massachusetts Institute of Technology (MIT) soll nun Abhilfe schaffen. Sie spielt Patches ein, ohne dass der Kernel anschließend neu gestartet werden muss.

Mit Tabbed-Browsing- und Lesezeichen-Unterstützung. Die PDF-Anzeige-Software FoxIt Reader wurde in der Version 2.3 veröffentlicht, die zwar einige Verbesserungen bringt, aber die jüngst bekanntgewordenen Sicherheitslecks nicht beseitigt. FoxIt Reader 2.3 bietet nun Tabbed-Browsing und unterstützt Lesezeichen sowie Ton- und Videodateien in PDF-Dokumenten.

Einsatz von Datenbanken machen Webseiten anfällig. Mehr als 500.000 infizierte Webseiten listet allein die Suchmaschine Google, berichtet F-Secure. In die betreffenden Webseiten wurde schadhafter JavaScript-Code eingeschleust, der Webseitenbesucher auf andere Seiten lockt und auf diesem Wege Schadcode auf die betreffenden Rechner bringt. Zu den infizierten Seiten gehören auch welche der Uno und der britischen Regierung.

Angreifer können Schadcode ausführen. In der PDF-Anzeige-Software FoxIt Reader stecken zwei Sicherheitslücken, die zum Ausführen von Programmcode missbraucht werden können. Ein Opfer muss nur dazu verleitet werden, eine entsprechend präparierte PDF-Datei mit der Windows-Software zu öffnen.

Hohe Gefahr für Nutzer von Photoshop Album Starter. In den Adobe-Applikationen Photoshop CS3, After Effects CS3 sowie Photoshop Album Starter wurde eine Sicherheitslücke entdeckt, über die Angreifer beliebigen Programmcode ausführen können, um ein fremdes System unter ihre Kontrolle zu bringen. Dazu muss ein Opfer nur zum Öffnen einer präparierten BMP-Datei verleitet werden, bei Photoshop Album Starter ist nicht einmal dies erforderlich.

Aufruf der Community-Seite leitete zu Hillary Clinton weiter. Wer am vergangenen Wochenende einen bestimmten Bereich der Website des demokratischen US-Präsidentschaftskandidaten Barack Obama aufrief, fand sich unversehens auf der Seite seiner Konkurrentin Hillary Clinton wieder. Eine Sicherheitslücke, die inzwischen geschlossen wurde, hat den Redirect ermöglicht.

Sicherheitsleck in Google Spreadsheet wurde geschlossen. Über ein mittlerweile geschlossenes Sicherheitsleck in Google Spreadsheet war es Angreifern möglich, Cookie-Daten auszulesen. Darüber konnte dieser alle vom Opfer verwendeten Google-Dienste nutzen. Er hätte die Nachrichten aus Google Mail lesen, darüber E-Mails verschicken und alle Dateien aus Google Docs einsehen können.

Umstellung auf NDS Videoguard und neue Version von Nagravision. Nachdem das Verschlüsselungssystem Nagravision von Kudelski geknackt wurde, setzt der Pay-TV-Sender Premiere künftig auf das Konkurrenzprodukt NDS Videoguard, das eine Tochtergesellschaft von Rupert Murdochs News Corporation entwickelt hat. Noch im zweiten Quartal 2008 installiert Premiere eine neue Software auf den Receivern und verschickt neue Smartcards.

Korrektur-Patch ändert den Umgang mit Flash-Inhalten. Vor knapp einem Monat hatte Adobe für den Flash-Player einen Sicherheits-Patch für den April 2008 in Aussicht gestellt, der nun veröffentlicht wurde. Der Patch beseitigt insgesamt sieben Sicherheitslücken im Flash-Player, die zum Teil zum Ausführen von Schadcode missbraucht werden können. Außerdem wurde der Umgang mit Flash-Inhalten verändert.

Internet Explorer nun wieder ohne Eolas-Hürde. In den Windows-Versionen hat Microsoft sechs Sicherheitslecks beseitigt, die in der Mehrzahl zum Ausführen von Schadcode missbraucht werden können. Das Gleiche gilt auch für ein Sicherheitsloch im Internet Explorer, der nun keine Eolas-Hürde mehr aufweist. Dabei ist auch Windows Vista mit Service Pack 1 für einige der nun bekanntgewordenen Sicherheitslücken anfällig.

Version schließt Sicherheitslücke. Erst vor wenigen Tagen war die freie SSH-Implementierung OpenSSH 4.9 erschienen, nun legen die Entwickler die Version 5.0 nach. Zu spät hatten sie von einer Sicherheitslücke erfahren, die sie nun korrigiert haben. Die Version 4.9 enthielt auch neue Funktionen.

Sechs Sicherheits-Patches für Windows geplant. Für den Patch-Day im April 2008 hat Microsoft acht Security Bulletins angekündigt. Am 8. April 2008 erscheinen allein für die Windows-Plattform sechs Patches, die Lücken schließen sollen, über die Angreifer beliebigen Schadcode ausführen können. Weitere zwei Patches betreffen das Office-Paket von Microsoft.

Neue Version mit kleinen Verbesserungen für MacOS X. Mit der Version 9.27 seines Webbrowsers beseitigt Opera einige Sicherheitslücken. Über zwei nun geschlossene Sicherheitslücken können Angreifer beliebigen Code ausführen.

Pufferüberläufe durch Untertitel. Die quelloffene Audio- und Videowiedergabe-Software "VLC Media Player" ist in der neuen Version 0.8.6f erschienen. Neben behobenen Sicherheitsproblemen verträgt sich die neue Version jetzt auch wieder besser mit älteren Windows-Betriebssystemen und mit Multi-Monitor-Konfigurationen unter MacOS X.

Mehrere Fehler ermöglichen Abstürze und Ausführungen von fremdem Code. Mit der neuen QuickTime-Version 7.4.5 schließt Apple insgesamt elf Sicherheitslücken sowohl für die Windows- als auch für die MacOS-Version. In der Liste der Probleme der Medienwiedergabe-Software finden sich unter anderem Abstürze und die Möglichkeit, Code auf anfälligen QuickTime-Versionen auszuführen. Eine Aktualisierung von QuickTime sollte möglichst schnell geschehen.

Auch Windows-System wurde geknackt. Nachdem bereits ein MacBook Air über eine Safari-Sicherheitslücke nach nur 2 Minuten im Rahmen eines Hacker-Wettbewerbs auf der CanSecWest gehackt wurde, ereilte ein Windows-System nun ein ähnliches Schicksal. Nur das am Wettbewerb ebenfalls beteiligte Ubuntu-System blieb unversehrt.

Hack-Wettbewerb zuungunsten von Apple entschieden. In einem Hacker-Wettbewerb auf der CanSecWest sind ein Windows-, Linux- und MacOS-System gegeneinander angetreten. Als Verlierer geht das Apple-System aus dem Rennen. Nach nur 2 Minuten war ein MacBook Air gehackt und Unbefugte hatten Zugriff auf den Rechner. Verantwortlich dafür ist eine offene Sicherheitslücke in Apples Safari-Browser.

Sechs Sicherheitslecks werden geschlossen. In dem Webbrowser Firefox wurden insgesamt sechs Sicherheitslöcher beseitigt, über die sich unter anderem beliebiger Schadcode ausführen ließ. Auch die auf Firefox basierende Browser-Suite SeaMonkey wurde aktualisiert und korrigiert die betreffenden Sicherheitslecks. Alle diese Sicherheitslücken finden sich auch in Thunderbird, aber eine neue Version des E-Mail-Clients ist bislang nicht erschienen.

Ein Sicherheitsloch erlaubt Ausführung von Schadcode. In der Windows-Ausführung von Safari 3.1 wurden zwei Sicherheitslücken gefunden, die bislang nicht geschlossen wurden. Über eines der Sicherheitslöcher können Angreifer unter Umständen auch Schadcode ausführen. Das andere Sicherheitsleck kann für Spoofing-Angriffe genutzt werden.

Sicherheitslücke steckt in Jet Database Engine. Microsoft untersucht derzeit eine offene Sicherheitslücke, die Angreifer mit schadhaften Word-Dokumenten ausnutzen können. Das eigentliche Sicherheitsloch befindet sich in Microsofts Jet Database Engine und es kann zum Ausführen von schadhaftem Programmcode missbraucht werden.

Angreifer können schädlichen Programmcode einschleusen. In Adobes Produkten Flash Basic 8, Flash Professional 8 sowie Flash CS3 Professional für die Windows-Plattform befindet sich ein Sicherheitsleck, über das Angreifer Schadcode ausführen können. Die Mac-Ausführungen der Software sollen davon nicht betroffen sein. Einen Patch gibt es bislang nicht.

Sicherheitsupdate für MacOS X 10.4 und 10.5. Nachdem Apple bereits mit der neuen Browserversion Safari 3.1 einige Einfallstore geschlossen hat, schließt das nun veröffentlichte zweite große Sicherheitsupdate 2008-002 eine fast schon unüberschaubar hohe Anzahl von Sicherheitslücken in verschiedenen Versionen von MacOS X.

Safari 3.1 unterstützt Video- und Audio-Tags in HTML 5. Apple hat den Webbrowser Safari in der Version 3.1 veröffentlicht und stellt damit die erste Final-Version des Browsers für die Windows-Plattform bereit. Safari beherrscht nun auch Video- und Audio-Tags in HTML 5 sowie CSS-Animationen. Zudem schließt die aktuelle Version gleich 13 verschiedene Sicherheitslöcher im Browser.

Unbefugte erhalten Zugriff auf eBay-Kontodaten. Im Onlineauktionshaus eBay befindet sich ein Sicherheitsloch, das Angreifer zum Ausspähen fremder eBay-Kontodaten missbrauchen können, wie Falle-Internet.de berichtet. Um Opfer eines solchen Angriffs zu werden, muss lediglich eine entsprechend präparierte eBay-Auktion im Browser geöffnet werden. In einer Stellungnahme bestätigte eBay das Problem grundsätzlich, hält die Gefahren allerdings für relativ gering, da nur Nutzer, die zuvor überprüft wurden, die entsprechenden Techniken nutzen dürfen.

Zahlreiche Fehlerkorrekturen am Office-Paket vorgenommen. Pünktlich hat Microsoft das versprochene Update für Office 2008 für Mac veröffentlicht. Damit sollen einige lästige Programmfehler in Word, Excel, PowerPoint und Entourage beseitigt werden. Zudem enthält das Update die aktuellen Sicherheits-Patches für das Office-Paket.

Lokale Nutzer können Rechte ausweiten. Ein Fehler in der Unix-Version des Adobe Reader 8.1.2 ermöglicht es Nutzern, ihre Rechte auszuweiten und so beispielsweise Dateien zu manipulieren, auf die sie normal keinen Zugriff haben. Ein Update ist laut Adobe in Vorbereitung.

Sicherheitslücken erlauben Ausführung von Schadcode. Zum Patch-Day für den Monat März 2008 hat Microsoft vier Patches für die Office-Produkte aus Redmond angekündigt und dies auch eingehalten. Damit werden insgesamt zwölf Sicherheitslecks geschlossen. Alleine acht Sicherheitslöcher müssen in der Tabellenkalkulation Excel beseitigt werden.

Nur Office-Patches erscheinen am 11. März 2008. Insgesamt vier Security Bulletins wird Microsoft am diesmonatigen Patch-Day veröffentlichen. Der Softwaregigant korrigiert dabei nur Fehler in der Office-Software des Konzerns, die allesamt als kritisch eingestuft werden. Denn Angreifer können darüber beliebigen Schadcode ausführen.

Ab dem 31. März 2008 keine weiteren Updates mehr. Fast drei Jahre nachdem Debian GNU/Linux 3.1 erschienen ist, läuft nun die Sicherheitsunterstützung für die Distribution aus. Während die veröffentlichten Patches auch weiterhin verfügbar bleiben, wird es keine neuen Updates mehr geben.

Gefährliches Sicherheitsleck erlaubt Code-Ausführung. Vor 2,5 Wochen wurde der Browser Firefox 2.0.0.12 veröffentlicht, um eine Reihe von Sicherheitslücken zu beseitigen. Einen Teil der Sicherheitslöcher in Firefox betreffen auch den E-Mail-Client Thunderbird, da beide auf die gleiche Rendering Engine setzen. Mit dem neuen Thunderbird 2.0.0.12 werden diese Fehler nun beseitigt. Außerdem schließt die neue Version ein als gefährlich eingestuftes, bislang nicht bekanntes Sicherheitsleck.

Spezielle Fehlerkorrekturen für Mac-Version. Ab sofort steht der norwegische Browser Opera in der Version 9.26 als Download bereit. Die neue Version schließt insgesamt drei Sicherheitslecks, wovon eines bereits in Firefox korrigiert wurde, da es in beiden Browsern auftritt. Zudem hat die Mac-Ausführung einige Verbesserungen erfahren.

Neues Opera-Update kommt noch diese Woche. Noch in dieser Woche wird Opera 9.26 erscheinen und einige Fehlerkorrekturen sowie mindestens ein Sicherheitsleck schließen. Ein Sicherheitsloch ist bereits seit über einer Woche bekannt und darüber zeigt sich Opera äußerst verstimmt. Denn die Norweger wurden nach eigener Aussage vom Mozilla-Team nur einen Tag informiert, bevor das Sicherheitsleck bekannt gemacht wurde.

Schwere Sicherheitslücken erlauben Ausführung von Programmcode. Aus den 12 angekündigten Security Bulletins von Microsoft für den Monat Februar 2008 wurden nun doch nur 11, weil ein Patch noch Fehler aufwies. Damit werden insgesamt 17 Sicherheitslücken in Windows und Microsofts Office-Paket geschlossen. Die besonders gefährlichen Lecks erlauben Angreifern das Ausführen von Programmcode und verschaffen ihnen damit eine umfassende Kontrolle über ein fremdes System.

Sicherheits-Updates für Leopard und Tiger. Etwas über drei Monate nach der Veröffentlichung von MacOS X 10.5 alias "Leopard" schiebt Apple das zweite Sammel-Update hinterher, das Sicherheits-, Kompatibilitäts-, Stabilitätsprobleme und auch einige Änderungen für das Betriebssystem mit sich bringt. Ein zusätzliches Update versorgt zudem den Vorgänger von Leopard: Sicherheitslücken, die sich auch in MacOS X 10.4.11 befinden, werden mit dem Sicherheits-Update 2008-001 beseitigt.

Versionen ab Kernel 2.6.17 sind betroffen. Im Linux-Kernel ab der Version 2.6.17 steckt eine Sicherheitslücke, durch die sich lokale Nutzer Root-Rechte verschaffen können. Zwar gibt es bereits Patches - wirkungsvoll sind diese aber wohl nicht.

Aktuelle Versionen beseitigen Sicherheitslecks. Die Mozilla-Produkte Firefox, SeaMonkey sowie Camino stehen ab sofort in aktualisierten Fassungen als Download bereit. In den neuen Versionen wurden eine Reihe von Sicherheitslecks beseitigt, die zum Teil zum Ausführen von Schadcode missbraucht werden können. Ein Teil der Sicherheitslecks findet sich auch in Thunderbird, aber für den E-Mail-Client steht noch keine neue Version bereit.

Für den 12. Februar 2008 sind 12 Patches geplant. Insgesamt 12 Security Bulletins wird Microsoft am diesmonatigen Patch-Day veröffentlichen. Der Softwaregigant korrigiert dabei Fehler in Windows sowie in seiner Office-Software. Mindestens sieben der zu schließenden Sicherheitslecks werden als gefährlich eingestuft, weil Angreifer darüber Schadcode ausführen können.

Sicherheitsleck erlaubt Ausführung von Schadcode. In Apples QuickTime steckt ein Sicherheitsloch, das von Angreifern zur Ausführung von Schadcode missbraucht werden kann. Mit einem Sicherheits-Patch für Windows und MacOS X soll der Fehler nun beseitigt werden.

Modifizierte Digital-Receiver machen Premiere zu schaffen. Der PayTV-Sender Premiere wechselt seine Verschlüsselungstechnik; das bisher verwendete Verschlüsselungssystem Nagravision von Kudelski enthält eine Sicherheitslücke und wurde geknackt.

Neue Version für Windows, MacOS X und Linux. Adobe hat ein Update für den Adobe Reader veröffentlicht, um die Stabilität und Zuverlässigkeit der Software zu verbessern. Insgesamt korrigiert die aktuelle Version 26 Programmfehler.

Neue Windows-Version mit Fehlerkorrekturen. Nachdem Skype vor rund zwei Wochen zunächst den Video-Zugriff auf Dailymotion und später auch den auf Metacafe deaktiviert hatte, um ein Sicherheitsleck zu umgehen, steht nun eine aktualisierte Skype-Version bereit, um diesen Fehler zu korrigieren. In diesem Zusammenhang wurde auch das Sicherheitsleck geschlossen, das im Zusammenspiel mit SkypeFind auftrat.