All posts tagged “Fehler”

FireFox 2.0.0.9 released

firefox-title.pngKnapp 14 Tage nach dem Release der FireFox Version 2.0.0.8 haben die Entwickler der Mozilla-Foundation die Version 2.0.0.9 des Webbrowsers Firefox veröffentlicht.

Dieses Update ist nötig geworden, da, so die Entwickler, nach dem Release der Version 2.0.0.8 einige bereits behobene Fehler wieder aufgetaucht sind. Eine Übersicht der korregierten Bugs in Firefox 2.0.0.9 kann den Release-Notes bzw. dem entsprechenden Posting der Entwickler im Mozilla Developer Center entnommen werden.

Das Update steht wie immer in diversen Sprachen für Windows, Mac OS X sowie Linux als Download zur Verfügung bzw. kann über das Update-System vom FireFox bezogen werden.

WordPress 2.2.2 und 2.0.11 released

WordpressFür das Blogsystem WordPress sind zwei neue Versionen veröffentlicht worden.

Die Version 2.2.2 sowie die Version 2.0.11 sind als reine Sicherheitsreleases gekennzeichnet und beheben unter anderem die kürzlich aufgetauchten Sicherheitslücken in den aktuellen WP-Versionen. Ein Upgrade wird daher allen Benutzern dringend empfohlen!

Für alle User der deutschen WordPress-Version steht wie immer neben dem Full-Update auch ein Update-Pack zur Verfügung, das lediglich die geänderten Dateien zur Vorgängerversion beinhaltet.

Eine Liste aller behobenen Fehler gibt es im WordPress-Trac, das offizielle Statement der Entwickler gibt´s wie immer auf WordPress.org.

[via Michael-Seitz.org]

FireFox 2.0.0.6 ist da

4 Tage nach dem Auftauchen des Remote Command Execution Bug im FireFox – und 13 Tage nach der Version 2.0.0.5 – haben die Mozilla-Entwickler eine neue Version ihres alternativen Browsers FireFox veröffentlicht.

Die Version 2.0.0.6 ist ein reiner Security-Release und behebt neben dem schon angesprochenen Fehler auch ein Problem beim Aufruf von “about:blank“.

Der neue FireFox ist ab sofort über das automatische inkrementelle Update verfügbar oder kann von den Servern der Mozilla-Foundation in diversen Sprachversionen heruntergeladen werden. Die Release Notes gibt es wie immer hier, die Liste der behobenen Fehler hier.

[via Mozilla Security Blog]

SQL-Injection in WordPress

Auf Milw0rm wurde ein Exploit für eine Remote SQL-Injection für das Blogsystem WordPress veröffentlicht, mit der Angreifer eigene Befehle an die Datenbank von WordPress übergeben und so Inhalte manipulieren oder Namen und Passwort-Hashes anderer Nutzer auslesen können.

Verursacher ist die Funktion wp.suggestCategories im Modul xmlrpc.php, die übergebene Parameter nicht richtig filtert und so beliebige SQL-Aufrufe an die Datenbank weitergibt.

Der Fehler betrifft wahrscheinlich alle WordPress-Versionen bis einschließlich 2.2. Zwar lässt sich der Exploit nur als angemeldeter Nutzer ausnutzen, Anwender sollten aber ASAP das Update der xmlrpc.php aus den Entwickler-Repositories einspielen.

Wer es lieber händisch mag, muss in der Zeile 541

$max_results = $args[4];

gegen

$max_results = (int) $args[4];

austauschen … zumindest passt dieses auf die xmlrpc.php der Version 2.2. Wie der Code in den Versionen < 2.2 aussieht, kann ich IMO leider nicht sagen.

Drag&Drop-Lücke im Internet Explorer

Wie heise Security berichtet, ist mal wieder ein Fehler im IE aufgetaucht. Ähnlich der Lücke aus dem Jahre 2004 ist auch hier wieder eine Benutzerinteraktion notwendig, was das ganze, so meinen zumindest die Redmonder, zu einem minderschweren Sicherheitsproblem macht. Demzufolge soll ein Patch zum Schließen dieser Lücke auch erst in Service Pack 3 für XP bzw. Service Pack 2 für Windows 2003 enthalten sein. Für Windows 2000 wird es sogar gar kein Patch geben.

Matthew Murphy, der Entdecker der Schwachstelle beschreibt übrigends drei WorkArounds, wie man sein System absichern kann:

1) Javascript aus
2) den Zugriff von Webseiten auf die lokale Zone beschränken
3) Kill-Bit auf das Shell.Explorer-Control setzten

Lösung 4 wäre übrigends ein Patch von Microsoft, aber darauf kann der User mal wieder warten bis er schwarz wird, was für mich mal wieder ein eindeutiger Grund ist, alternative Browser zu bevorzugen.

[via heise.de]