Fünf neue Lücken in WordPress?

Fünf Schwachstellen – darunter SQL-Injection- und Cross-Site-Scripting-Lücken – in WordPress hat Benjamin Flesch in seinem Blog veröffentlicht. Vier dieser Lücken setzen allerdings einen Login als Administrator voraus, was meiner Meinung nach das Ausnutzen der Lücken gewaltig einschränkt. Die von Benjamin gefundene Lücke in der Datei wp-admin/includes/upload.php stellt allerdings ein höheres Risiko dar, da sie sich…

Safari für Windows = schweizer Käse?

Kaum wurde die Beta-Version des Safari-Browsers für die Windows veröffentlicht, da sind bereits zahlreiche Sicherheitslecks im neuen AppleWindows-Browser aufgetaucht: Thor Larholm fand einen Bug, mit dem Angreifer beliebigen Programmcode ausführen und somit Kontrolle über ein fremdes Windows-System verschaffen können. Dazu reicht lediglich der Aufruf einer präparierte Webseite. Auch Aviv Raff hat es geschafft, den Browser…

It’s Patchday Time

Microsoft hat wie angekündigt gestern den Mai-Patchday gestartet und insgesamt 19 Lücken in Microsoft-Produkten geschlossen. Unter anderem wurden sechs Fehler im Internet Explorer, eine Sicherheitslücke im DNS-Server sowie drei Schwachstellen in der Tabellenkalkulation Excel behoben. Eine Zusammenfassung aller geschlossenen Lücken gibt es wie immer in Microsofts Security Bulletin Summary for May 2007. Alle, die auf…

WordPress 2.1.2 released

Gestern, also keine 2 Wochen nach dem letzten Update, wurde mit der Version 2.1.2 eine neue Version der Blogsoftware „WordPress“ (WP) released. Grund für das Updaten war ein erfolgreicher Hack vor ein paar Tagen auf einen der WordPress.org Server. Laut den WP-Enwicklern haben Angreifer das Download-Paket 2.1.1 durch eine Fassung ersetzt, die mit einigen Hintertüren…

Schwere Sicherheitslücke in Office 2007

Das fängt ja gut an: kaum ist Microsofts neues Office-Paket auf dem Markt, da wurde bereits ein schweres Sicherheitsloch in Office 2007 gefunden. Laut den Sicherheitsspezialisten von eEye erlaubt ein Fehler in Publisher 2007 einem Angreifer das Ausführen beliebigen Programmcodes. Trotz einer kompletten Neugestaltung der Oberfläche von Word und Co. bleibt also doch anscheinend einiges…

WordPress Update 2.1.1 und 2.0.9

Auf WordPress.org gibt es seit heute 2 neue Updates für das Blogsystem WordPress. Die Version 2.1.1 umfaßt rund 30 Bugfixes, hauptsächlich aus den Bereichen Encoding, HTML und XML-RPC sowie dem Object-Cache. Die Version 2.0.9 beinhaltet zudem auch ein Security Update, welches die pre 2.1 Version vor Cross-Site Scripting (XSS) schützen soll. Die neuen Versionen gibt…

Nach dem Patch ist vor dem Patch

Gerade einmal 24 Stunden nach dem Februar-Patchday von Microsoft ist eine neue Zero-Day-Lücke in Word aufgetaucht. Mittels einer entsprechend manipulierten Word-Datei wird dabei Schadcode in ein System eingeschleust. Weitere Details zu dieser Sicherheitslücke sind bislang noch nicht bekannt, allerdings wird sie bis dato wohl nur für gezielte Angriffe ausgenutzt und stellt somit noch keine direkte…

Microsoft patched mal wieder

Es ist mal wieder so weit, der (Februar)-Patchday ist da und der Redmonder Softwarehersteller hat sich alle Mühe gegeben, die noch offenen Sicherheitslücken in Windows und Office zu schließen. Insgesamt 17 Patches liefert Microsoft heute via AutoUpdate oder Windows Update aus, 10 betreffen dabei das Betriebssystem selber, die restlichen 7 entmisten das Office Paket aus…

Exploits in WordPress

Für WordPress (WP) sind 2 kritische Sicherheitslücken aufgetaucht, durch die Angreifer mittels Cross Site Scripting (XSS) PHP-Code auf dem Webserver ausführen bzw. sich einen Administrator-Account mittels eines einfachen Trackback ergaunern können. Das WordPress-Team hat inzwischen ein Update auf die Version 2.0.6 bereitgestellt, dass die Fehler behebt. Auch die erweiterte, deutschsprachige Version ist inzwischen in der…

Schon wieder Schwachstelle im IE7 gefunden …

Man könnte fast meinen, die Sicherheitsdienstleister machen sich einen Spaß daraus, immer neue Lücken im Internet Explorer 7 zu finden. Wie auf heise.de zu lesen ist, kann mittels manipulierte Bilder, in denen JavaScript versteckt ist, im neuen IE ein Cross-Site-Scripting Angriff gestartet werden. Fragt sich nur, was nun für diesen Fehler verantwortlich gemacht wird. Zumindest…