All posts tagged “Security”

Patchday Kandidat NTDLL.DLL

Mario Ballano Bárcena weißt in einer Sicherheitsmeldung auf einen Fehler in Microsofts NTDLL.DLL hin, womit die Systembibliothek wohl zu einem heißen Kandidaten für einen der nächsten Patchdays wird.

In der Hilfsbibliothek NTDLL.DLL ist, so Bárcena, eine Funktion zum Umwandeln von Unicode-Pfadnamen zwischen DOS- und NT-Notation fehlerhaft und könnte somit von Angreifern verwendet werden, um Antiviren- und Antispyware-Software zu unterwandern. Betroffen sind Windows 2000 mit Service Pack 4 sowie Windows XP mit Service Pack 2.

[via blog.48bits.com]

FireFox 1.5.0.3 released

Die Mozilla Foundation hat eine neue Version des freien Browsers FireFox veröffentlicht. Die Version 1.5.0.3 schließt allerdings lediglich ein JavaScript-Sicherheitsloch, weitere BugFixes und Updates sind in die neue Version nicht eingeflossen. Neben einem komplett Update kann die neue Version auch über die Update-Funktion des Browsers installiert werden.

Ende Mai soll übrigends die nächste Version (1.5.0.4) veröffentlicht werden. Dort werden, so die Mozilla-Entwickler, weitere Programmfehler bereinigen sowie die Zuverlässigkeit und Stabilität des Browsers verbessert.

Woran erkennt man einen guten Internetbrowser?

Auf jeden Fall nicht daran, das andere Leute für einen die Patches schreiben!

Ich weiss schon, wieso ich nie nie nie wieder den IE zum Surfen anrühre … außer ich teste meine eigenen Webseiten.

Security Update für Horde

Mit der Versionsnummer 3.1.1 ist heute für das PHP Framework Horde ein Sicherheits-Update erschienen, das, neben diversen Bugfixen, auch einen schweren Fehler korregiert.

Der Fehler besteht seit Version 3.0 und erlaubte es Angreifern, Programmcode einzuschleusen. Weiterhin wurde der Export und die Synchronisation von Terminen während der Umstellung auf Sommerzeit sowie die Unterstützung für den Internet Explorer 7 und Opera Mini korregiert.

Die neue Horde-Version steht ab sofort als Komplettpaket bzw. Patch für die Version 3.1 zum Download auf den FTP-Servern von Horde.org bereit.

[via golem.de]

IE mit neuem Sicherheitsleck

Laut dem polnischen Sicherheitsexperten Michal Zalewski kann der InternetExplorer über manipulierte bzw. fiktive Script-Action-Handlers zum Absturz gebracht werden oder, was noch fataler ist, sogar Programmcode ausgeführt werden. Letzteres ist allerdings von der besuchten Seite bzw. geladenen Extensions abhängig.

Der Fehler läßt sich übrigends sehr leicht provozieren, wie Michal Zalewski es auf einer Demoseite belegt. In dem dortigen HTML-Dokument verbergen sich einige 1000 “onClick”-Event-Handler, die reproduzierbar jeden IE (mit Außnahme der aktuellen Beta des 7ner) zum Absturz bringen. FireFox und Opera öffnen besagte HTML-Seite übrigends anstandslos.

Ein Patch oder Workaround ist bislang noch nicht verfügbar und da der monatlichem Patch-Day von Microsoft schon vorbei ist, wird es wohl auch noch ein paar Tage dauern, bis die IE User sich wieder in “relative” Sicherheit wiegen können. Fragt sich also mal wieder, wer ist schneller: Microsoft oder die, die diese Lücke ausnutzen wollen.

Ich sags ja immer wieder gerne .. mit einem alternativen Browser wie FireFox wäre das nicht passiert .. :)

[via Golem.de]

Sicherheitsleck im Flash-Plugin

Laut Microsoft gibt es im Flash Plugin von Adobe ein Sicherheitsloch, das es Angreifern ermöglicht, Programmcode auf ein fremdes System zu schleusen. Dabei ist lediglich das Öffnen einer entsprechend manipulierte SWF-Datei notwendig.

Adobe bietet allerdings schon Patches für die Flash-Player 7 und 8, Flash Professional 8, Flex 1.5 sowie Breeze und den Schockwave Player an. Benutzer sollten, sofern sie Flash nicht gänzlich ausgeschaltet haben, also zwingend Ihre Plugins update.

Hm, kommt es mir nur komisch vor, das eine derartige News am PatchDay von Microsoft veröffentlicht wird? Frei nach dem Motto: schaut her, auch andere haben Bugs in Ihrer Software …. Ein Schelm, wer böses dabei denkt :)

[via Golem.de]

WordPress 2.0.2 released

Heute wurde die WordPress Version 2.0.2 released. Laut WordPress.org handelt es sich zwar um ein Security release, dieses ist allerdings unabhängig von den kürzlich bekannt gewordenen XSS-Problemen herausgebracht worden.

Die Donwloads sowie das Changelog gibt es hier:

FireFox 2.0 bekommt Phishing-Schutz

Laut heise.de wird die kommende Version 2.0 von Firefox die von Google entwickelte Anti-Phishing-Erweiterung Safe Browsing als festen Bestandteil bekommen. Das Entwicklungsteam des OpenSource Browsers hat bereits damit begonnen, die Extension in den den Quellbaum der neuen FireFox Version zu integrieren.

Interessierte können die Google Extension Safe Browsing allerdings auch jetzt schon in die 1.5 Version als Phishing-Schutz integrieren. Die Erweiterung erkennt Phishing-Angriffe automatisch und informiert den Nutzer, sobald dieser eine Seite aufrufen will, die Phishing-Merkmale trägt. Dazu verwendet Google eine Blacklist, in der die Adressen von Phishing-Seiten gelistet sind. Außerdem analysiert die Software Inhalt und Struktur einer Seite, was eine Erkennung von Phishing-Angriffen jenseits einer Blacklist erlauben soll.

Ich wollte gerade schon sagen, da kann sich Microsoft ja mal warm anziehen, aber auch der Riese aus Redmond hat unlängst angekündigt, Benutzer des Internet Explorer 7 gegen Phishing ebenfalls schützen zu wollen. In der aktuellen Beta konnte ich davon allerdings noch nicht wirklich viel erkennen, es bleibt also mal abzuwarten, in wie weit sich die Versprechen erfüllen.

[via heise.de]

WordPress Bugfix und Umlaute

Ich arbeite definitiv zu viel … da wäre doch glatt eine Sicherheitslücke in WordPress an mir vorbeigegangen.

Für die Lücke gibt es zwar keinen offiziellen Patch, aber bei heise.de gibt´s ne Anleitung für nen manuellen Workaround und auf 4null4.de gibt es sogar ein “inoffizielles Patch” zur Behebung der Sicherheitslücke.

Kling ja alles zu schön um wahr zu sein, wären da nicht die bösen deutschen Umlaute. Durch das Bugfix in der
wp-comments-post.php wandelte mein WordPress diese nämlich in sehr unschönen Zeichensalat um. Eine Erweiterung des Bugfixes bringt da allerdings abhilfe.

Einfach die 4

htmlentities(trim())

gegen

htmlentities(trim(), ENT_QUOTES, ‘UTF-8′);

austauschen, dann sollten auch wieder die Umlaute stimmen.