Laut eigener Aussage handelt es sich bei TAILS 0.10.1 um eine reine Wartungs-Version. Die Entwickler haben Sicherheitslücken und schwere Fehler ausgebessert. Alle Anwender sind angewiesen, so zeitnah wie möglich die Aktualisierungen einzuspielen. Es gibt alledings auch einige Änderungen, die für den Anwender mehr oder weniger direkt sichtbar oder spürbar sind. Die Startseite von Iceweasel ist nun die Standard-Suchmaschine. Scroogle ist den Entwicklern derzeit nicht verlässlich genug. WhisperBack und MAT haben Updates auf 1.5.1 beziehungsweise 0.2.2-2~bpo60+1 spendiert bekommen. In letzterem wurde […]

Bisher war es bei dem Browser-Hacking-Wettbewerb so, dass der Schnellste den großen Preis einheimsen konnte. Dieses Jahr sind die Regeln anders. Die Zielscheiben bleiben Microsoft Internet Explorer, Apple Safari, Google Chrome und Mozilla Firefox unter Windows 7 oder Mac OS X 10.7 “Lion”. Allerdings bekommen die Hacker heuer Punkte. Jeder, der eine funktionierende 0-Day-Schwachstelle zeigen kann, erhält 32 Zähler. Bei Wettbewerbsbeginn werden die Veranstalter außerdem zwei Schwachstellen pro Browser ankündigen, die in der Vergangenheit geschlossen wurden. Wer einen funktionierenden Exploit […]

Die Entwickler von Google Chrome haben mit Version 16.0.912.77 eine neue stabile Version für Linux, Mac OS X und Windows ausgegeben. Die Wartungs-Ausgabe schließt dabei 5 Sicherheitslücken. Im Rahmen des Kopfgeld-Programms hat sich Google das melden der Schwachstellen insgesamt 6133,70 US-Dollar kosten lassen. Eine der Sicherheitslücken wurde mit 3133,70 US-Dollar dotiert. Der Finder der Schwachstelle 107182 (CVE-2011-3925) hat eine test1.html zur Verfügung gestellt. Diese versucht beim Öffnen http://www.ianfette.org in einem iFrame zu öffnen. Der Browser zeigt eine Malware-Block-Seite. Drückt der […]

Mein guter Freund und Kollege Moritz Jäger hat ein Google-Dokument zur Verfügung gestellt, das als kleine Liste für (nicht-)anfällige Geräte bezüglich der von Stefan Viehböck gefundenen WPS-Lücke in Routern und Access Points dient – klick. Durch eine Design-Schwachstelle in WPS ist es möglich, das System in 4 bis 10 Stunden zu knacken – sofern WPS natürlich aktiviert ist. Das Problem ist, dass bereits die Hälfte der PIN für “gut” befunden werden kann. Somit verringert sich die Anzahl der zu überprüfenden […]

Canonical hat die Deaktivierung und Herausnahme von Oracle Sun Java JDK aus dem Repository bekannt gegeben. Dies gilt für die Varianten 10.04 LTS, 10.10 und 11.04. Seit 24. August 2011 hat der Ubuntu-Macher laut eigener Aussage keine Erlaubnis mehr, Java-Pakete von Oracle zu vertreiben. Oracle hat die “Operating System Distributor License for Java” in die Rente geschickt. Die Java-Version, die sich noch im Partner-Archive befindet, ist aber anfällig und mit Sicherheitslücken gespickt. Einige der Schwachstellen werden derzeit aktiv ausgenutzt. Aus […]

Vor wenigen Tagen gab es einen Veröffentlichungs-Kandidaten von jQuery 1.6.3. Nun ist die finale Version da. Die Entwickler haben eine Sicherheitslücke in Zusammenhang mit location.hash geschlossen. Ebenso soll sich die Behandlung von HTML5-Data-Attribut-Namen verbessert haben. Entwickler sollen aber im Hinterkopf behalten, dass die $().data()-API HTML5-Daten-Attribute nur lesen kann und es eine erste Implementierung ist. Wer Attribute tatsächlich in HTML verändern möchte, soll .attr() nutzen. Weitere Informationen zu jQuery 1.6.3 gibt es in der offiziellen Ankündigung: jQuery 1.6.3 Minified, jQuery 1.6.3 […]

Im AMD-Treiber für Linux wurde eine Sicherheitslücke gemeldet, für die es derzeit kein Update gibt. Diese Schwachstelle lässt sich von lokalen Anwendern ausnutzen, um sensible Daten zu enthüllen. Auslöser der Lücke ist das Script authatieventsd.sh, das die X-Authority-Datei erzeugt und ein Cookie an xauth übergibt. Somit könnten sich Bösewichte Zugriff auf den Ausgabebildschirm eines Anwenders verschaffen. Die Schwachstelle ist für Version 11.6 (8.861) bestätigt. Andere Versionen könnetn ebenfalls betroffen sein. Da es kein Update gibt, sollten Anwender den Zugriff nur […]

Mit einem Update für iOS hat Apple eine Schwachstelle im PDF-Viewer geschlossen, die sich Jailbreak.me zunutze machte, um mobile Apple-Geräte zu befreien. iOS 4.3.4 scheint ansonsten keine weiteren Änderungen zu enthalten. Wegen der Gefahr von Drive-By-Downloads hat Apple auch iOS 4.2.9 zur Verfügung gestellt. Nach dem Update ist derzeit kein Jailbreak mehr möglich und zuvor befreite Geräte sind wieder hinter Gittern. Wer sein Gerät lieber in Freiheit genießen möchte, sollte PDF Patcher 2 via Cydia installieren und auf ein aktualisiertes […]

Seit wenigen Tagen ist Version 3 von Jailbreakme (jbme3.0) verfügbar. Hier handelt es sich um eine Webseite, mit deren Hilfe sich Apple-iOS-Geräte, wie zum Beispiel iPhone, iPod Touch und iPad, aus ihrem Gefängnis befreien lassen. Die Entwickler bedienen sich in der Regel Sicherheitslücken im Betriebssystem, um die komplette Kontrolle über das Gerät zu gewinnen – Jailbreak. Dazu müssen Anwender lediglich die Webseite besuchen. Version 3 nutzt im ersten Schritt eine 0-Day-Lücke im Zusammenhang mit PDF aus und bedient sich dann […]

Die YGN Ethical Hacker Group hat Apple das Messer auf die Brust gesetzt, nachdem man Sicherheitslücken bereits am 25. April 2011 gemeldet hatte. Zwei Monate seien schließlich genug und sollte Apple nicht reagieren, wolle man an die Öffentlichkeit gehen. Der kleine Schubs hat wohl geholfen, weil Apple die Schwachstellen nun tatsächlich umgehend geschlossen hat. Nachdem dies geschehen ist, gibt es auch genauere Details zu den gefundenen Sicherheitslücken, die sich für Phishing-Angriffe ausnutzen haben lassen.