Die Entwickler der beliebten Multimedia-Software VLC warnen vor einer kritischen Schwachstelle in aktuellen Versionen. Beim Parsen von speziell manipulierten ASF-Dateien lässt sich ein Buffer Overflow erzwingen. Die Entwickler schließen nicht aus, dass sich die Sicherheitslücke zum Ausführen beliebigen Codes missbrauchen lässt – beweisen konnte das bisher aber auch keiner. Um sich der Sicherheitslücke zu bedienen, muss ein Angreifer den Anwendr dazu bringen, eine schädliche ASF-Datei zu öffnen. Deswegen sollten Anwender nur Dateien aus vertrauenswürdigen Quellen öffnen. Wer der Sache wegen [...]

Es gabe erst vor wenigen Tagen eine neue Chrome-Version. Nun hat Google wegen zwei als hoch eingestuften Sicherheitslücken gleich noch einmal nachgelegt – für Linux, Mac OS X, Windows und die Chrome-Plattform. Ein Fehler (161564 CVE-2012-5138) hängt mit der flaschen Behandlung von Pfaden zusammen. Die zweite Sicherheitslücke (162835 CVE-2012-5137) ist ein Use-after-free bei Medien-Quellen. Für das melden dieses Sichereheitsproblems hat Google 7331 US-Dollar (LEET) springen lassen. Der Finder, Pinkie Pie, hat nach eigenen Angaben auch die Aufgabe 64-Bit-Exploit erfüllt. Bei mir hat [...]

Entwickler Andrey Karpov hat eine Sicherheitslücke in der Anonymisierungs-Software TOR (The Onion Router) gefunden. Das Problem ist die Funktion memset(). Es handelt sich hier um einen Schutzmechanismus, der nicht mehr benutzten Puffer aufräumt und löscht. Diese Buffer können Passwörter, IP-Adressen und andere Anwenderdaten enthalten. Zerstört man diese Daten nicht, könnten sie ins Internet gesendet werden. Den TOR-Entwicklern ist diese Gefahr natürlich bekannt und sie versuchen, die Buffer-Inhalte mittels der oben genannten Funktion zu löschen. Dies sei aber ein großer Fehler, [...]

Das Chrome-Team hat den gleichnamigen Browser in Version 23.0.1271.64  für Linux, Windows und Mac OS X ausgegeben. Es gibt einige neue Funktionen. Dazu gehört GPU-beschleunigtes Video-Decoding für Windows. Ebenso können Anwender die Rechte einfacher konfigurieren, die Webseiten erhalten sollen. Dazu gehören Pop-Ups, Standort, Kamera und Mikrofon. In der Omnibox kann man einfach auf das Symbol neben der URL klicken und muss sich nicht durch die Einstellungen wühlen. Weiterhin wurden 6 Fehler ausgebessert, die als Hoch eingestuft sind. 2 dieser Probleme betreffen [...]

Google Chrome 22 wurde in den Stable-Channel aufgenommen und steht ab sofort zum Download bereit. In Sachen Sicherheit haben die Entwickler 29.500 US-Dollar als Kopfgeld springen lassen. Eine Sicherheitslücke wurde sogar mit 10.000 US-Dollar und zwei weitere mit 5000 dotiert. Wie immer taucht bei diesen Geldausschüttungen Sergey Galzunov auf, der wieder 15.000 US-Dollar einstecken konnte. Die Sicherheitslücken sind in der Ankündigung im Detail beschrieben. Die beiden von Glazunov gefundenen Sicherheitslücken hängen mit UXSS (Frames und V8-Bindings) zusammen. Eine Lücke, die [...]

Der Linux-Treiber 304.37 (GeForce, Quadro, Tesla) von NVIDIA ist der erste zertifizierte, der 304-Serie. Vorangegangen waren 304.22 Beta und 304.30 Beta. Insgesamt gibt es 41 offizielle Änderungen. Zu den wichtigsten Änderungen gehören Unterstützung für die Grafik-Prozessoren GeForce GTX 680M, Quadro K1000M, Quadro K2000M und Tesla K10. Außerdem haben die Entwickler einige Bugs im Zusammenhang mit RandR ausgebügelt. Verbesserungen gibt es auch für die Unterstützung der Erweiterungen Resize und Rotate von X.Org 1.2 und später. Einige Fehler bezüglich OpenGL wurden auch behoben. [...]

NVIDIA warnt vor einer Sicherheitslücke (CVE-2012-0946), die sich im Linux-/UNIX-Treiber befindet. Die Schwachstelle wurde am 20. März 2012 privat an NVIDIA gemeldet. Ein Angreifer, der Lese- und Schreibzugriff auf die GPU hat, könnte sich Zugriff auf den Arbeitsspeicher des Systems verschaffen. Derzeit ist kein Fall bekannt, wo die Sicherheitslücke aktiv ausgenutzt wird. Die Standard-Rechte auf den GPU Device Nodes erlauben allen Anwendern Lese- und Schreibrechte. Diese Rechte lassen sich konfigurieren. Allerdings brauchen Anwender diese, wenn Sie zum Beispiel Applikationen mit GLX [...]

Ungewollt an Glaubenskriegen teilnehmen zu müssen, wäre eigentlich belustigend – wenn es nicht die traurige Wahrheit wäre. Ich finde es faszinierend, dass es mehr und mehr Menschen gibt, die ihren Apfel mit Feuer und Schwert verteidigen. Dabei wissen gleichzeitig immer weniger, warum sie das eigentlich tun: “Hah! Ich hab nen Mac, damit wär mir XYZ nicht passiert!” Wird diesen iLiegen Kriegern dann aber die Frage stellt: “Warum ist Mac besser als Windows oder Linux?”, bekommt man in der Regel viele [...]

Mein guter Freund und Kollege Moritz Jäger hat ein Google-Dokument zur Verfügung gestellt, das als kleine Liste für (nicht-)anfällige Geräte bezüglich der von Stefan Viehböck gefundenen WPS-Lücke in Routern und Access Points dient – klick. Durch eine Design-Schwachstelle in WPS ist es möglich, das System in 4 bis 10 Stunden zu knacken – sofern WPS natürlich aktiviert ist. Das Problem ist, dass bereits die Hälfte der PIN für “gut” befunden werden kann. Somit verringert sich die Anzahl der zu überprüfenden [...]

Adobe hat eine ungeschlossene (0-Day) Lücke bestätigt, die angeblich bereits aktiv ausgenutzt wird. Für Version 9 des Reader und Adobe Acrobat will man bis Ende nächster Woche einen Flicken zu Verfügung stellen – Allerdings nur für die Windows-Ausgabe. Der Patch wird der sechste für Reader und Acrobat dieses Jahr sein. In der Sicherheits-Anweisung von Adobe ist zu lesen, dass eine kritische Schwachstelle in Adobe Reader X (10.1.1), Acrobat X (10.1.1) und früher für Windows und Macintosh gefunden wurde. Ebenso sind [...]