All posts tagged “schwachstelle”

Sicherheitslücke im neuen FireFox

Nun hat es auch den neuen FireFox erwischt: wie das italienische Computermagazin PienatePC.it berichtet, wurde ein schon seit August bekannter Bug, der zu einem gezielten Absturz des Browsers missbraucht werden kann, in die Version 2.0 übernommen.

Ok, keine Panik, so wie ich die Mozilla-Entwickler einschätze, werden sie in den nächsten Tagen ein Fix veröffentlichen.

[via golem.de]

Neue Schwachstelle im IE7

IE KäseDie deutsche Version des Internet Explorers 7 ist noch nicht veröffentlicht, da macht eine neue Schwachstelle für den jüngsten Spross aus dem Hause Microsoft die Runde.

Laut heise.de gelang es dem Sicherheitsdienstleister Secunia, durch einfaches Anhängen einer bestimmten Zeichenfolge an eine URL, die angezeigte Adresse in der Adressleiste eines PopUp-Fensters zu fälschen [siehe Demo auf secunia.com]

IE7 hin oder her, ich bleibe beim Fox, auch wenn der 5 Stellen in der Versionsnummer hinter dem IE liegt! :)

[via heise.de]

Beta und Bugs – neues vom Flashplayer

Adobe hat eine erste Beta der Version 9 des Flashplayers für Linux veröffentlicht. Auf der Entwicklerseite von Adobe kann man sich ein 2.5 MB großes tgz-Archiv herunterladen, das einen Stand-alone-Player und Mozilla-Plug-in enthalten soll. Soll deshalb, weil es mir bislang noch nicht gelungen ist, die Beta von den Adobe-Servern herunterzuladen (ERROR 404).

Gleichzeitig veröffentlichte Adobe Informationen über zwei bislang nicht geschlossene Sicherheitslecks im Flashplayer ab Version 7. Betroffen sind alle alle Plattformen, in der aktuellen Beta-Version für Windows soll der Fehler aber inzwischen behoben sein. Ob der Bug auch in der neuen Beta für Linux behoben wurde, ist im Moment allerdings noch unklar, zumindest war es mir bislang nicht möglich, ein ChangeLog aufzutreiben. Aber vielleicht liegt das ja im Archiv des neuen Linux Players …. :)

[via Golem.de]

Erste Sicherheitslücke im IE7

Der neue Browser aus Redmond ist noch nicht einmal 24 Stunden auf dem Markt, da hat der Sicherheitsdienstleister Secunia schon die erste Sicherheitslücke aufgetan.

Laut Secunia erlaubt der Bug das Ausspähen von Daten und wird als Less critical (wenig kritisch) eingestuft. Eine Demo der Schwachstelle hat der Sicherheitsdienstleister ebenfalls veröffentlicht. Aus Redmond wurde bislang kein Kommentar abgegeben, auch ein Patch ist noch nicht in Sicht.

Interessant finde ich allerdings die Tatsache, das der Bug schon im IE6 aufgetaucht ist. Laut meinen Informationen sollte doch die Engine des Browser komplett neu entwickelt worden sein, was ja, theoretisch, identische Bugs in den Versionen 6 & 7 ausschließen sollte. Oder liege ich da falsch?

Nun ja, auf jeden Fall ist somit auch der IE 7 für mich keine Alternative zum FireFox oder Opera.

[via golem.de]

Excel Käse

Die Tabellenkalkulation Excel von Microsoft entwickelt sich immer mehr zu einem schweizer Käse.

Nach der Zero-Day-Lücke und dem Buffer Overflow beim Klicken auf überlange Links hat nun der Sicherheitsspezialist Debasis Mohanty die dritte Lücke in Excel aufgetan, durch die man den PC mit Schädlingen infizieren kann.

Die von Mohanty gefundene Lücke ist bislang noch nicht bestätigt (zumindest der Proof-of-Concept-Code funktioniert nicht wirklich). Unklar ist allerdings ebenfalls ob die anderen beiden Lücken zum kommenden Patch-Day im Juli geschlossen werden, was zumindest Anwender der Tabellenkalkulation in erhöhte Alarmbereitschaft versetzen sollte.

[via heise.de]

Neue Versionen von MySQL released

Für die freue Datenbank MySQL wurden heute 3 neue Versionen (5.1.11, 5.0.22 und 4.1.20) veröffentlicht. Neben diversen Fehlern wurde auch Schwachstelle in der Funktion mysql_real_escape_string() beseitigt, über die SQL-Injection möglich waren.

mysql_real_escape_string() sollte eigentlich gerade diese Injections verhindern, unter bestimmten Umständen war dieses aber dennoch möglich. Anwendern, welche die neue Version nicht installieren können, empfehlen die Entwickler die Datenbank im SQL-Mode NO_BACKSLASH_ESCAPES SQL zu betreiben.

Mehr Infos zu den neuen Versionen gibt es in den entsprechenden Changelogs:

Patchday Kandidat NTDLL.DLL

Mario Ballano Bárcena weißt in einer Sicherheitsmeldung auf einen Fehler in Microsofts NTDLL.DLL hin, womit die Systembibliothek wohl zu einem heißen Kandidaten für einen der nächsten Patchdays wird.

In der Hilfsbibliothek NTDLL.DLL ist, so Bárcena, eine Funktion zum Umwandeln von Unicode-Pfadnamen zwischen DOS- und NT-Notation fehlerhaft und könnte somit von Angreifern verwendet werden, um Antiviren- und Antispyware-Software zu unterwandern. Betroffen sind Windows 2000 mit Service Pack 4 sowie Windows XP mit Service Pack 2.

[via blog.48bits.com]

Woran erkennt man einen guten Internetbrowser?

Auf jeden Fall nicht daran, das andere Leute für einen die Patches schreiben!

Ich weiss schon, wieso ich nie nie nie wieder den IE zum Surfen anrühre … außer ich teste meine eigenen Webseiten.

IE mit neuem Sicherheitsleck

Laut dem polnischen Sicherheitsexperten Michal Zalewski kann der InternetExplorer über manipulierte bzw. fiktive Script-Action-Handlers zum Absturz gebracht werden oder, was noch fataler ist, sogar Programmcode ausgeführt werden. Letzteres ist allerdings von der besuchten Seite bzw. geladenen Extensions abhängig.

Der Fehler läßt sich übrigends sehr leicht provozieren, wie Michal Zalewski es auf einer Demoseite belegt. In dem dortigen HTML-Dokument verbergen sich einige 1000 “onClick”-Event-Handler, die reproduzierbar jeden IE (mit Außnahme der aktuellen Beta des 7ner) zum Absturz bringen. FireFox und Opera öffnen besagte HTML-Seite übrigends anstandslos.

Ein Patch oder Workaround ist bislang noch nicht verfügbar und da der monatlichem Patch-Day von Microsoft schon vorbei ist, wird es wohl auch noch ein paar Tage dauern, bis die IE User sich wieder in “relative” Sicherheit wiegen können. Fragt sich also mal wieder, wer ist schneller: Microsoft oder die, die diese Lücke ausnutzen wollen.

Ich sags ja immer wieder gerne .. mit einem alternativen Browser wie FireFox wäre das nicht passiert .. :)

[via Golem.de]

Sicherheitsleck im Flash-Plugin

Laut Microsoft gibt es im Flash Plugin von Adobe ein Sicherheitsloch, das es Angreifern ermöglicht, Programmcode auf ein fremdes System zu schleusen. Dabei ist lediglich das Öffnen einer entsprechend manipulierte SWF-Datei notwendig.

Adobe bietet allerdings schon Patches für die Flash-Player 7 und 8, Flash Professional 8, Flex 1.5 sowie Breeze und den Schockwave Player an. Benutzer sollten, sofern sie Flash nicht gänzlich ausgeschaltet haben, also zwingend Ihre Plugins update.

Hm, kommt es mir nur komisch vor, das eine derartige News am PatchDay von Microsoft veröffentlicht wird? Frei nach dem Motto: schaut her, auch andere haben Bugs in Ihrer Software …. Ein Schelm, wer böses dabei denkt :)

[via Golem.de]