audio-video-disco

Kaum wurde die Beta-Version des Safari-Browsers für die Windows veröffentlicht, da sind bereits zahlreiche Sicherheitslecks im neuen AppleWindows-Browser aufgetaucht:

• Thor Larholm fand einen Bug, mit dem Angreifer beliebigen Programmcode ausführen und somit Kontrolle über ein fremdes Windows-System verschaffen können. Dazu reicht lediglich der Aufruf einer präparierte Webseite.
• Auch Aviv Raff hat es geschafft, den Browser gezielt zum Absturz zu bewegen. Ob sich dadurch auch Schadcode ausführen lässt, ist bislang noch nicht bekannt.
• Und David Maynor von Errata Security fand gleich sechs Schwachstellen, vier davon lassen sich für Denial-of-Service-Angriffe ausnutzen.

Angesichts des Apple-Versprechens, der Safari sei vom ersten Tag an sicher

[...] Now you can enjoy worry-free web browsing on any computer. Apple engineers designed Safari to be secure from day one. [....]

wirkt das Ganze wie ein Schlag ins Gesicht der Apple-Entwickler.

Zugegeben, der neue Browser ist noch in der Beta-Phase, aber vielleicht hätte sich Apple mit Aussagen über die Sicherheit des WinSafari vielleicht bis zur Final etwas zurückhalten sollen. Sicherheitslücken in Browsern werden in der heutigen Zeit gesucht wie Goldnuggets damals am Klondike River, das konnte Microsoft nach dem Release der neuen 7er Version des IE feststellen. Damals hat es zumindest noch 24 Stunden gedauert, bis die erste Sicherheitslücke publik wurde, bei Apple`s Safari für Windows waren es nur noch 2 Stunden und somit fast Rekordverdächtig.

Es bleibt abzuwarten, in wie Weit sich der entstandene Image-Schaden auf die Verbreitung des Browsers auswirken wird. Das es einer ist, brauche ich wohl nicht extra zu betonen.

[via Golem.de]

Gestern, also keine 2 Wochen nach dem letzten Update, wurde mit der Version 2.1.2 eine neue Version der Blogsoftware “WordPress” (WP) released. Grund für das Updaten war ein erfolgreicher Hack vor ein paar Tagen auf einen der WordPress.org Server. Laut den WP-Enwicklern haben Angreifer das Download-Paket 2.1.1 durch eine Fassung ersetzt, die mit einigen Hintertüren zum Einschleusen von PHP-Code ausgestattet war.

Die Entwickler haben die Version 2.1.1 daher als unsicher markiert und raten allen WP-Usern, auf die aktuelle Version 2.1.2 umzusteigen bzw. den Zugriff auf die Dateien theme.php und feed.php zu unterbinden und Anfragen mit den Zeichenketten ix= oder iz= auszufiltern. Besonders gefährdet ist, wer in den letzten drei bis vier Tagen WordPress 2.1.1 heruntergeladen hat.

Die neue Version 2.1.2 steht ab sofort unter wordpress.org zum Download zur Verfügung.

Auch die deutschen WordPress-Entwickler haben inzwischen reagiert und ebenfalls eine Version 2.1.2 veröffentlicht, wobei diese Version lediglich einige Fehlerkorrekturen gegenüber der Version 2.1.1. enthält, denn “die DE-Edition 2.1.1 war nicht von dem Hack betroffen, sie wurde nicht verändert und enthält keinen schadhaften Code” [WP-DE-BLOG].

Siehe dazu auch:

• WordPress 2.1.1 dangerous, Upgrade to 2.1.2
• WordPress 2.1.1 und der “worst case”
• WordPress: Cracker schleust Sicherheitslücke ein

Auf WordPress.org gibt es seit heute 2 neue Updates für das Blogsystem WordPress.

Die Version 2.1.1 umfaßt rund 30 Bugfixes, hauptsächlich aus den Bereichen Encoding, HTML und XML-RPC sowie dem Object-Cache.

Die Version 2.0.9 beinhaltet zudem auch ein Security Update, welches die pre 2.1 Version vor Cross-Site Scripting (XSS) schützen soll.

Die neuen Versionen gibt es wie immer im Release Arvive auf WordPress.org. Eine eingedeutschte Version ist bislang noch nicht erschienen, allerdings dürfte es nur noch eine Frage der Zeit sein, bis die Jungs von wordpress.de hinterherziehen.

Update
Nun gibt´s auch die deutsche Version der WordPress-Bugfix-Releases auf WordPress.de zum Downloaden.

[via WordPress.org]

Es ist mal wieder so weit, der (Februar)-Patchday ist da und der Redmonder Softwarehersteller hat sich alle Mühe gegeben, die noch offenen Sicherheitslücken in Windows und Office zu schließen. Insgesamt 17 Patches liefert Microsoft heute via AutoUpdate oder Windows Update aus, 10 betreffen dabei das Betriebssystem selber, die restlichen 7 entmisten das Office Paket aus Redmond.

Neben Patches für das HTML-Hilfe-ActiveX-Control in Windows, die Windows-Shell und den Image Acquisition Service von XP wurden nun endlich auch die vier, schon länger bekannten, kritischen Word-Lücken sowie der Excel-2000-Bug behoben.

Eine Zusammenfassung von Microsoft zum Patchday gibt es wie immer in der Security Bulletin Summary.

[via Golem.de]

Man könnte fast meinen, die Sicherheitsdienstleister machen sich einen Spaß daraus, immer neue Lücken im Internet Explorer 7 zu finden. Wie auf heise.de zu lesen ist, kann mittels manipulierte Bilder, in denen JavaScript versteckt ist, im neuen IE ein Cross-Site-Scripting Angriff gestartet werden.

Fragt sich nur, was nun für diesen Fehler verantwortlich gemacht wird. Zumindest die ominöse Outlook-Express-Komponente sollte für dieses Problem als “Schuldiger” wegfallen, von daher tippe ich mal ganz dreist auf die “Windows Bild- und Faxanzeige” .. oder eine Komponente davon :)

[via heise.de]