Firefox 3.0.4 ist da

… und macht auch gleich ein paar Sicherheitslücken dicht. Insgesamt 9 Bugs haben die Entwickler der Mozilla Foundation in der neue FireFox Version 3.0.4 bereinigt, vier davon wurden von den Entwicklern als kritisch eingestuft, darunter auch ein klassischer Buffer Overflow, der beim Parsen präparierter Server-Antworten auftritt. Eine Übersicht über alle geschlossenen Lücken gibt es im…

Firefox 2.0.0.7 released

Die Mozilla-Foundation hat eine neue Firefox-Version veröffentlicht. Die Version 2.0.0.7 ist ein Sicherheitsupdate – oder wie es die Mozilla-Entwickler ausdrücken „Security firedrill“ – und behebt einen in der vergangenen Woche bekannt gewordenen Bug im Quicktime-Plugin, welcher zum Einschleusen von Schadcode verwendet werden konnte. Der neue Firefox ist ab sofort über das automatische inkrementelle Update verfügbar…

FireFox 2.0.0.6 ist da

4 Tage nach dem Auftauchen des Remote Command Execution Bug im FireFox – und 13 Tage nach der Version 2.0.0.5 – haben die Mozilla-Entwickler eine neue Version ihres alternativen Browsers FireFox veröffentlicht. Die Version 2.0.0.6 ist ein reiner Security-Release und behebt neben dem schon angesprochenen Fehler auch ein Problem beim Aufruf von „about:blank„. Der neue…

Remote Command Execution Bug im Mozilla

Billy Rios und Nate McFeters haben in ihrem Blog einen Bug im Mozilla veröffentlicht, mit dem sich über bestimmte URLs beliebige Programme starten lassen. Die Ursache scheint dabei in der Verarbeitung von bestimmten Web-Protokollen (mailto:, news:, etc.) zu stecken. Enthält ein Link die Zeichenfolge „%00“ und wurde auf dem System z.B. kein externes Mail-Programm installiert…

D2k – Upgrade auf WordPress 2.2.1

Nach dem Release der 2.2.1 Version von WordPress habe ich heute auch mein Blog einem Update unterzogen. Zwar ist die Version 2.2.1 ein reiner Bugfixrelease, allerdings wurden auch einige Sicherheitsrelevante Lücken geschlossen, wodurch das Update ein Muss sein dürfte. Die vollständige List der behobenen Fehler und geschlossenen Lücken gibt es übrigens hier.

WordPress 2.2.1 released

WordPress wurde heute in der Version 2.2.1 veröffentlicht. Neben diversen Bugfixes sind auch einige Sicherheitslücken geschlossen worden, so dass für alle 2.2 User ein Upgrade dringend empfohlen wird. Update Die deutsche Version 2.2.1 ist, nebst Upgradepaket für 2.2 auf 2.2.1, ebenfalls verfügbar.

Safari für Windows = schweizer Käse?

Kaum wurde die Beta-Version des Safari-Browsers für die Windows veröffentlicht, da sind bereits zahlreiche Sicherheitslecks im neuen AppleWindows-Browser aufgetaucht: Thor Larholm fand einen Bug, mit dem Angreifer beliebigen Programmcode ausführen und somit Kontrolle über ein fremdes Windows-System verschaffen können. Dazu reicht lediglich der Aufruf einer präparierte Webseite. Auch Aviv Raff hat es geschafft, den Browser…

SQL-Injection in WordPress

Auf Milw0rm wurde ein Exploit für eine Remote SQL-Injection für das Blogsystem WordPress veröffentlicht, mit der Angreifer eigene Befehle an die Datenbank von WordPress übergeben und so Inhalte manipulieren oder Namen und Passwort-Hashes anderer Nutzer auslesen können. Verursacher ist die Funktion wp.suggestCategories im Modul xmlrpc.php, die übergebene Parameter nicht richtig filtert und so beliebige SQL-Aufrufe…

PHP 5.2.3 released

PHP wurde in der Version 5.2.3 veröffentlicht und behebt, neben diversen Bugs, auch einen Fehler in der Funktion chunk_split() sowie im Timeout-Handhabung von nicht blockierenden SSL-Verbindungen. Alle Änderungen sind wie immer dem Release Announcement zu entnehmen. Laut Stefan Essern gibt es allerdings noch immer bekannten Sicherheitslücken, die in der neuen Version nicht berücksichtigt wurden. Ein…

WordPress mag die 1000 nicht

Gerade ist mir aufgefallen, das seit meinem 1000sten Post in der Frontpage der WordPress-Administration der Bereich „Blogstatistik“ nicht mehr richtig funktioniert. Zwar wird der Bereich noch angezeigt, hat das Blog aber z.B. mehr als 1000 Postings oder Kommentare, fällt die entsprechende Anzeige „unter den Tisch„. Ursache ist der Aufruf der Funktion number_format() in Zeile 102…