All posts tagged “Security”

Netscape 8.1.3 released

Netscape was? Totgesagte leben bekanntlich länger und bekommen manchmal sogar noch Updates:

AOL hat die Version 8.1.3 von Netscape veröffentlicht und schließt damit eine unbekannte Anzahl von Sicherheitslücke …

Update
Es gibt doch eine Liste mit den geschlossenen Lücken.

Update für den Feuerfuchs

Die Entwickler der Mozilla Foundation haben eine neue Version Ihres Browsers FireFox veröffentlicht. Die Version 2.0.0.3 bzw. 1.5.0.11 behebt eine Sicherheitslücke und soll mit mehr Websites als die Vorversion kompatibel sein. Die neuen Versionen stehen wie immer in zahlreichen Sprachversionen als Download sowie über die automatische Updatefunktion zur Verfügung.

Gleichzeitig weisen die Entwickler darauf hin, das der 1.5.0.x-Zweig nur noch bis Ende April gepflegt wird und empfehlen allen Nutzern der alten Version, auf die neue Version 2.0.0.3 umzusteigen.

WordPress 2.1.2 released

Gestern, also keine 2 Wochen nach dem letzten Update, wurde mit der Version 2.1.2 eine neue Version der Blogsoftware “WordPress” (WP) released. Grund für das Updaten war ein erfolgreicher Hack vor ein paar Tagen auf einen der WordPress.org Server. Laut den WP-Enwicklern haben Angreifer das Download-Paket 2.1.1 durch eine Fassung ersetzt, die mit einigen Hintertüren zum Einschleusen von PHP-Code ausgestattet war.

Die Entwickler haben die Version 2.1.1 daher als unsicher markiert und raten allen WP-Usern, auf die aktuelle Version 2.1.2 umzusteigen bzw. den Zugriff auf die Dateien theme.php und feed.php zu unterbinden und Anfragen mit den Zeichenketten ix= oder iz= auszufiltern. Besonders gefährdet ist, wer in den letzten drei bis vier Tagen WordPress 2.1.1 heruntergeladen hat.

Die neue Version 2.1.2 steht ab sofort unter wordpress.org zum Download zur Verfügung.

Auch die deutschen WordPress-Entwickler haben inzwischen reagiert und ebenfalls eine Version 2.1.2 veröffentlicht, wobei diese Version lediglich einige Fehlerkorrekturen gegenüber der Version 2.1.1. enthält, denn “die DE-Edition 2.1.1 war nicht von dem Hack betroffen, sie wurde nicht verändert und enthält keinen schadhaften Code” [WP-DE-BLOG].

Siehe dazu auch:

Schwere Sicherheitslücke in Office 2007

Das fängt ja gut an: kaum ist Microsofts neues Office-Paket auf dem Markt, da wurde bereits ein schweres Sicherheitsloch in Office 2007 gefunden. Laut den Sicherheitsspezialisten von eEye erlaubt ein Fehler in Publisher 2007 einem Angreifer das Ausführen beliebigen Programmcodes.

Trotz einer kompletten Neugestaltung der Oberfläche von Word und Co. bleibt also doch anscheinend einiges so wie es immer war …

Sicherheitsupdate für Mozilla & Co.

Für Mozilla & Co. wurde ein Sicherheitsupdate released, das neben einigen kleineren BugFixen auch die kritische Lücken in den SVG- und JavaScript-Engines sowie in den Network Security Services in Firefox, Seamonkey und Thunderbird behebt. Ferner wurde die Unterstützung für Windows Vista verbessert.

Die Entwickler raten alle Usern, auf die neue Version von Firefox 1.5.0.10 bzw. 2.0.0.2, Seamonkey 1.0.8 und Thunderbird 1.5.0.10 zu updaten bzw. die automatische Updatefunktion zu bemühen.

Update
Eine im FireFox 2.0.0.2 geschlossene Lücke ist offensichtlich auch noch im IE7 sowie Opera 9 vorhanden und bislang nicht geschlossen. Na dann … Start frei für eine neue Rund “Mein Browser ist sicherer als deiner” :)

[via Golem.de]

WordPress Update 2.1.1 und 2.0.9

Auf WordPress.org gibt es seit heute 2 neue Updates für das Blogsystem WordPress.

Die Version 2.1.1 umfaßt rund 30 Bugfixes, hauptsächlich aus den Bereichen Encoding, HTML und XML-RPC sowie dem Object-Cache.

Die Version 2.0.9 beinhaltet zudem auch ein Security Update, welches die pre 2.1 Version vor Cross-Site Scripting (XSS) schützen soll.

Die neuen Versionen gibt es wie immer im Release Arvive auf WordPress.org. Eine eingedeutschte Version ist bislang noch nicht erschienen, allerdings dürfte es nur noch eine Frage der Zeit sein, bis die Jungs von wordpress.de hinterherziehen.

Update
Nun gibt´s auch die deutsche Version der WordPress-Bugfix-Releases auf WordPress.de zum Downloaden.

[via WordPress.org]

Nach dem Patch ist vor dem Patch

Gerade einmal 24 Stunden nach dem Februar-Patchday von Microsoft ist eine neue Zero-Day-Lücke in Word aufgetaucht. Mittels einer entsprechend manipulierten Word-Datei wird dabei Schadcode in ein System eingeschleust.

Weitere Details zu dieser Sicherheitslücke sind bislang noch nicht bekannt, allerdings wird sie bis dato wohl nur für gezielte Angriffe ausgenutzt und stellt somit noch keine direkte Gefahr für “Otto-Normal” dar.

Microsoft arbeitet derzeit an einem Patch und rät bis zu dessen Veröffentlichung Dokumente aus nicht vertrauenswürdigen Quellen nicht zu öffnen … wie detailiert man “nicht vertrauenswürdigen Quellen” definieren soll, bleibt aber unklar. Nun ja, aber das soll mich als OpenOffice Nutzer wohl auch nicht weiter stören :)

[via Golem.de]

Microsoft patched mal wieder

Es ist mal wieder so weit, der (Februar)-Patchday ist da und der Redmonder Softwarehersteller hat sich alle Mühe gegeben, die noch offenen Sicherheitslücken in Windows und Office zu schließen. Insgesamt 17 Patches liefert Microsoft heute via AutoUpdate oder Windows Update aus, 10 betreffen dabei das Betriebssystem selber, die restlichen 7 entmisten das Office Paket aus Redmond.

Neben Patches für das HTML-Hilfe-ActiveX-Control in Windows, die Windows-Shell und den Image Acquisition Service von XP wurden nun endlich auch die vier, schon länger bekannten, kritischen Word-Lücken sowie der Excel-2000-Bug behoben.

Eine Zusammenfassung von Microsoft zum Patchday gibt es wie immer in der Security Bulletin Summary.

[via Golem.de]

Exploits in WordPress

Für WordPress (WP) sind 2 kritische Sicherheitslücken aufgetaucht, durch die Angreifer mittels Cross Site Scripting (XSS) PHP-Code auf dem Webserver ausführen bzw. sich einen Administrator-Account mittels eines einfachen Trackback ergaunern können.

Das WordPress-Team hat inzwischen ein Update auf die Version 2.0.6 bereitgestellt, dass die Fehler behebt. Auch die erweiterte, deutschsprachige Version ist inzwischen in der Version 2.0.6er Version erschienen und seht, neben dem komplett-Update wie immer auch als “WordPress Upgradepaket” auf den Servern von WordPress.de als Donwload bereit.

Mehr Infos zu den einzelnen Bugs findet man unter:

[via wordpress.org]

Schon wieder Schwachstelle im IE7 gefunden …

Man könnte fast meinen, die Sicherheitsdienstleister machen sich einen Spaß daraus, immer neue Lücken im Internet Explorer 7 zu finden. Wie auf heise.de zu lesen ist, kann mittels manipulierte Bilder, in denen JavaScript versteckt ist, im neuen IE ein Cross-Site-Scripting Angriff gestartet werden.

Fragt sich nur, was nun für diesen Fehler verantwortlich gemacht wird. Zumindest die ominöse Outlook-Express-Komponente sollte für dieses Problem als “Schuldiger” wegfallen, von daher tippe ich mal ganz dreist auf die “Windows Bild- und Faxanzeige” .. oder eine Komponente davon :)

[via heise.de]