Am 09.12 wurde Mozilla Thunderbird in der Version 3.0 veröffentlicht - ein Grund für mich gleich mal auf die neue Version umzusteigen.

Leider lief der Umstieg nicht so wie geplant. Zwar bot mir Thunderbird nun unter “Hilfe -> nach Updates suchen” schon die neue Version als Update an, nach dem Update machte sich allerdings Ernüchterung breit .. wenn man das denn so nennen darf. Anstatt Order und Mails habe ich lediglich eine weiße Benutzeroberfläche gesehen - von meinen Mails fehlte jede Spur, zumindest optisch. Ein kurzer Blick in die Konten-Einstellungen und auf die Platte gaben jedoch vorerst Entwarnung: alle notwendigen Informationen waren noch da - lediglich die Anzeige machte Probleme.

Nach ein paar Recherchen im Netz stellte sich “Kaspersky Internet Security” als möglicher Verursacher des Problems heraus. Leider ließ sich das entsprechende AddOn in Thunderbird nicht deaktivieren oder deinstallieren - die entsprechende Schaltfläche war ausgegraut. Erst das manuelle löschen (oder besser verschieben) der zuständigen Dateien klthbplg.dll und IKLAntiSpam.xpt im Ordnern Thunderbird/components brachte die Lösung. Danach startete Thunderbird normal.

Nun stellt sich nur noch die Frage, wie man die Anti-Viren & Anti-Spam Funktion wieder aktiviert - und zwar ohne Probleme. Hier waren meine Bemühungen bislang leider erfolglos - aber die Tatsache, dass es auch User mit Kaspersky und Thunderbird 3.0 gibt, die keine Probleme haben, stimmt mich zumindest hoffnungsvoll das sich das Problem auch bald beheben lässt.

… und macht auch gleich ein paar Sicherheitslücken dicht. Insgesamt 9 Bugs haben die Entwickler der Mozilla Foundation in der neue FireFox Version 3.0.4 bereinigt, vier davon wurden von den Entwicklern als kritisch eingestuft, darunter auch ein klassischer Buffer Overflow, der beim Parsen präparierter Server-Antworten auftritt.

Eine Übersicht über alle geschlossenen Lücken gibt es im Security Advisories für Firefox 3.0.

Wie immer kann die neue Version ab sofort von den Servern der Mozilla Foundation in diversen Sprachen für Mac, Windows und Linux heruntergeladen werden - alternativ läßt sich auch das eingebaute automatische Update des Browsers bemühen.

[via golem.de]

Und mal wieder etwas aus der Kategorie “KostNix”:

Der O’Reilly Verlag hat mit “Sicherheit im Internet” und “Praktischer Einstieg in MySQL mit PHP” wieder zwei Bücher als Openbooks veröffentlicht. Damit stehen nun fast 40 OpenBooks in Englisch bzw. Deutsch - größtenteils unter Open Source-Lizenzen wie der GNU Free Documentation License, Open Publications License oder der GNU General Public License - auf der O’Reilly Webseite für jedermann kostenlos zur Verfügung.

Nicht gerade Literatur für mich, aber vor allem das erste Werk scheint mir recht Nützlich für ein paar Freund und Bekannten von mir zu sein - ein paar Nützliche Tips können ja nie schaden und ersparen mir dann vielleicht die eine oder andere immer wiederkehrende Frage/Antwort Spielerei :)

[via Pro-Linux]

Wordpress.org hat gestern die Version 2.6.3 der gleichnamigen Blogsoftware veröffentlicht. Grund ist eine Sicherheitslücke in der Snoopy library mit der es Möglich ist, commands auf der Shell auszuführen.

Benutzer der Wordpress Version 2.6.2 sind daher angeraten, sofort ein Update auf die neue Version durchzuführen oder zumindest die beiden fraglichen Dateien auszutauschen. Ein entsprechendens “nur die bösen Files” Update gibt es wie immer bei Wordpress Deutschland, ebenso das komplette Update-Paket. Wer es lieber international mag, sollte wie immer bei Wordpress.org vorbeischauen.

Desweiteren ist eine Problem im default-Theme aufgetaucht, dass das Ausführen von Schadcode auf dem Server per Cross-Site Scripting (XSS) erlaubt. Betroffen ist in diesem Fall die Datei sidebar.php und betriff auch nur die deutsche Version von Wordpress. Auch hier wird ein Update dringends empfohlen - zumindest für User, welche das lokalisierte Standardtheme Kubrick verwenden.

[via WP.org & WP-Deutschland]

Knapp 14 Tage nach dem Release der FireFox Version 2.0.0.8 haben die Entwickler der Mozilla-Foundation die Version 2.0.0.9 des Webbrowsers Firefox veröffentlicht.

Dieses Update ist nötig geworden, da, so die Entwickler, nach dem Release der Version 2.0.0.8 einige bereits behobene Fehler wieder aufgetaucht sind. Eine Übersicht der korregierten Bugs in Firefox 2.0.0.9 kann den Release-Notes bzw. dem entsprechenden Posting der Entwickler im Mozilla Developer Center entnommen werden.

Das Update steht wie immer in diversen Sprachen für Windows, Mac OS X sowie Linux als Download zur Verfügung bzw. kann über das Update-System vom FireFox bezogen werden.

Die Mozilla-Foundation hat eine neue Firefox-Version veröffentlicht. Die Version 2.0.0.7 ist ein Sicherheitsupdate - oder wie es die Mozilla-Entwickler ausdrücken “Security firedrill” - und behebt einen in der vergangenen Woche bekannt gewordenen Bug im Quicktime-Plugin, welcher zum Einschleusen von Schadcode verwendet werden konnte.

Der neue Firefox ist ab sofort über das automatische inkrementelle Update verfügbar oder kann von den Servern der Mozilla-Foundation in diversen Sprachversionen heruntergeladen werden. Weitere Informationen zum Update finden sich wie immer in den ReleaseNotes sowie im wiki.

Ok, das Google gerne viele Daten sammelt, sollte nun hinlänglich bekannt sein - nicht umsonst wird Google ja auch gerne mehr oder minder böswillig als “Datenkrake” bezeichnet.

Trotzdem hat sich der Suchmaschienenriese meiner Meinung nach mit den neuen AGBs in der deutschen Version seiner Online-Office-Sammlung Text & Tabellen (Docs & Spreadsheets) einen Bärendienst erwiesen. Denn mal ehrlich, welche halbwegs intelligente Mensch wird denn nun noch mit diesem Tool arbeiten - an Firmen will ich da gar nicht erst denken - wenn Google sich freien Zugang zu allen eingestellten Dokumenten und Daten sichert?

Auch wenn Google sagt, dass die Daten

ausschließlich dem Zweck dienen, Google in die Lage zu versetzen, die Services darzustellen, zu verbreiten und zu bewerben

, möchte wohl niemand, das ein selbstverfasster Brief an die Oma in irgend einer Werbekampagne von Google landet - auch wenn der Inhalt vielleicht noch so trivial sein mag.

Ich frage mich, was Google sich wohl dabei gedacht hat, diese Passagen in die AGB’s aufzunehmen. Neue Kunden wirbt man so bestimmt nicht und Dummy-Daten für Werbekampagne können schließlich auch mal eben von ein paar Studenten erstellt werden.

[via Golem.de]

Laut Informationen von SPON hat das Bundeskriminalamt einen Computer-Trojaner fertiggestellt, der beliebige Rechner, PDAs, Smartphones oder Blackberrys aus der Ferne durchsuchen kann.

Ebenfalls kann man auf SPON lesen, dass auf zahlreichen PCs im Bundesministerien und im Bundeskanzleramt monatelang Spionageprogramme installiert waren/sind und diese fleißig Informationen ins Ausland weiterleiteten wollten.

Schon erstaunlich, was mit Reverse Engineering so alles möglich ist …. :)

Siehe dazu auch:

• Bundesinnenministerium beantwortet Fragen zur Online-Durchsuchung [netzpolitik]
• Die engsten Freunde sind die chinesischen Hacker [netzpolitik]
• Online-Durchsuchung bei der Bundesregierung [CCC]

Für das Blogsystem Wordpress sind zwei neue Versionen veröffentlicht worden.

Die Version 2.2.2 sowie die Version 2.0.11 sind als reine Sicherheitsreleases gekennzeichnet und beheben unter anderem die kürzlich aufgetauchten Sicherheitslücken in den aktuellen WP-Versionen. Ein Upgrade wird daher allen Benutzern dringend empfohlen!

Für alle User der deutschen Wordpress-Version steht wie immer neben dem Full-Update auch ein Update-Pack zur Verfügung, das lediglich die geänderten Dateien zur Vorgängerversion beinhaltet.

Eine Liste aller behobenen Fehler gibt es im Wordpress-Trac, das offizielle Statement der Entwickler gibt´s wie immer auf Wordpress.org.

[via Michael-Seitz.org]

Fünf Schwachstellen - darunter SQL-Injection- und Cross-Site-Scripting-Lücken - in Wordpress hat Benjamin Flesch in seinem Blog veröffentlicht. Vier dieser Lücken setzen allerdings einen Login als Administrator voraus, was meiner Meinung nach das Ausnutzen der Lücken gewaltig einschränkt.

Die von Benjamin gefundene Lücke in der Datei wp-admin/includes/upload.php stellt allerdings ein höheres Risiko dar, da sie sich schon mit den Rechten eines Autors ausnutzen lässt. Im Wordpress-Trac gibt es diesbezüglich auch schon einen Eintrag, so dass ein entsprechendes Update seitens Wordpress nicht mehr lange auf sich warten lassen dürfte.

Für genau diese Lücke hat Benjamin allerdings auch einen Wordpress Wurm veröffentlicht, der die Cross Site Scripting (XSS) - Lücke ausnutzt und dem Benutzer dann helfen soll, diese direkt zu schließen. Markus Schlichting von mynethome.de hat den Wurm getestet und analysiert und rät:

[...] Es ist also dringend davon abzuraten, dem Wurm zu vertrauen. Patcht lieber von Hand, oder kontrolliert zumindest, was der Wurm verändert. [...]

Dem kann ich nur zustimmen, auch ohne den Wurm auf seine Funktion analysiert oder getestet zu haben. Es ist und bleibt der falsche Weg, Lücken durch deren Ausnutzung zu schließen, auch wenn dieses vom Autor nur gut gemeint war.

Mal ganz davon abgesehen, das “Otto Normal” nicht einschätzen oder gar feststellen kann, ob die Lücke nun wirklich geschlossen wurde oder nicht, Patches sollten entweder nur vom Hersteller/Autor der Software kommen oder zumindest als solcher ausgeliefert werden. Alles andere halte ich für fatal, denn hat sich erst mal ein “patching by Vulnerability” eingebürgert, gibt es mehr Lücken als man letztendlich schließen kann.

[via mynethome.de]