It’s Patchday Time

Microsoft hat wie angekündigt gestern den Mai-Patchday gestartet und insgesamt 19 Lücken in Microsoft-Produkten geschlossen. Unter anderem wurden sechs Fehler im Internet Explorer, eine Sicherheitslücke im DNS-Server sowie drei Schwachstellen in der Tabellenkalkulation Excel behoben. Eine Zusammenfassung aller geschlossenen Lücken gibt es wie immer in Microsofts Security Bulletin Summary for May 2007. Alle, die auf…

Cross-Site-Scripting-Lücken in WP-Themes

In einem Posting auf der Sicherheits-Mailingliste Bugtraq wird darauf hingewiesen, das diverse WordPress-Themes anfällig Cross-Site-Scripting-Lücken (XSS) sind. Betroffen sind alle Versionen einschließlich der Version 2.1.3, allerdings nur, wenn ein entsprechendes Theme, welches für diese Art der Lücke empfänglich ist, installiert wurde. Ursache ist dabei eine ungefilterte Übernahme einer aufgerufenen URL in einer 404-Seite – z.B.…

Sicherheitsproblem bei Shoppero

Kaum ist Nico Lummas shoppero.com gelauncht worden, da gibt es auch schon das erste Sicherheitsproblem. Wie Bjoern von ThinkPHP aufgedeckt hat, findet auf einer Empfehlungsseite eines Nutzers eine Second Order XSS Attacke statt, welche mal eben die eigene Session klaut. Damit auch „Otto-Normal“ das ganze versteht, dokumentiert Bjoern das ganze noch mit ein paar erschreckenden…

Fehlerhafte WordPress Plugins

In den drei WordPress Plugins myFlash (bis V1.10), wordTube (bis V1.43) und wp-Table (bis V1.43) von Alex Rabe wurde eine Sicherheitslücken gefunden, mit denen ein Angreifer eigene PHP-Skripte einbinden und mit den Rechten des Webservers ausführen kann. Zwar wurde der Bug in den Versionen wordTube 1.4.4, wp-Table 1.4.4 und myFlash 1.11 behoben, Nutzer der alten…

RSS-Bug behoben

Kleine Ursache, große Wirkung. Merke: Nach dem Wechsel auf eine neue WP-Version auch die deutsche Sprachfile updaten, sonst knallt unbemerkt der RSS-Feed weg :) Jetzt sollte aber alles wieder so laufen, wie es soll! Update Da war ich wohl zu verschnell. Der RSS-Feed hat zwar wieder funktioniert, zeigte aber nicht nur die Kommentare, nicht die…

Microsoft Anti-Spyware löscht Norton Anti-Virus

Laut dem Blog der Washingtonpost erkennt das Microsoft Anti-Spyware-Tools seit den Updates 5805 und 5807 das Anti-Viren-Tool „Norton Anti-Virus“ als Software, die Passwörter stehlen würde und biete dem User an, dieses zu löschen. Ein Schelm, wer böses dabei denkt, doch es kommt noch schlimmer: Läßt man das Redmonder Anti-Spyware-Tool seine Arbeit machen und das „böswillige…

BugFixed

Mal eine kleine News in eigener Sache : Template Update Im Template sind ein paar Bugs verschwunden, wie z.B. die falsch formatierte Suche im Sidebar. Comment-Funktion Auch die Kommentare funktionieren nun, wenn auch noch net so wie ich es gerne hätte!