Home » Archive

Artikel mit Tag: Schwachstelle

[24 Jan 2012 | 2 Kommentare | Autor: Jürgen (jdo) ]
6133,70 US-Dollar Kopfgeld: Neue Chrome-Version bessert 5 Lücken aus

Die Entwickler von Google Chrome haben mit Version 16.0.912.77 eine neue stabile Version für Linux, Mac OS X und Windows ausgegeben. Die Wartungs-Ausgabe schließt dabei 5 Sicherheitslücken. Im Rahmen des Kopfgeld-Programms hat sich Google das melden der Schwachstellen insgesamt 6133,70 US-Dollar kosten lassen. Eine der Sicherheitslücken wurde mit 3133,70 US-Dollar dotiert. Der Finder der Schwachstelle 107182 (CVE-2011-3925) hat eine test1.html zur Verfügung gestellt. Diese versucht beim Öffnen http://www.ianfette.org in einem iFrame zu öffnen. Der Browser zeigt eine Malware-Block-Seite. Drückt der […]

[4 Jan 2012 | Kommentare deaktiviert für Anfällig für WPS-Schwachstelle? Google-Dokument von Moritz Jäger | Autor: Jürgen (jdo) ]
Anfällig für WPS-Schwachstelle? Google-Dokument von Moritz Jäger

Mein guter Freund und Kollege Moritz Jäger hat ein Google-Dokument zur Verfügung gestellt, das als kleine Liste für (nicht-)anfällige Geräte bezüglich der von Stefan Viehböck gefundenen WPS-Lücke in Routern und Access Points dient – klick. Durch eine Design-Schwachstelle in WPS ist es möglich, das System in 4 bis 10 Stunden zu knacken – sofern WPS natürlich aktiviert ist. Das Problem ist, dass bereits die Hälfte der PIN für „gut“ befunden werden kann. Somit verringert sich die Anzahl der zu überprüfenden […]

[4 Jan 2012 | Kommentare deaktiviert für WordPress 3.3.1 behebt 15 Probleme und eine Schwachstelle | Autor: Jürgen (jdo) ]
WordPress 3.3.1 behebt 15 Probleme und eine Schwachstelle

Die Entwickler der populären CMS- / Blogging-Software WordPress haben Ausgabe 3.3.1 zur Verfügung gestellt. Sie berichten, dass in der neueste Version 15 Probleme aus der Welt geschafft wurden. Ebenso haben die Entwickler eine Sicherheitslücke ausgebessert, die sich für XSS-Angriffe (Cross-Site Scripting) ausnutzen lässt. Andere ausgebesserte Schwierigkeiten enthalten Multi-site Upload Limit ist bei 50 MByte stecken geblieben, ungewollter Backslash in der Ausgabe und ein falsches Zählen der Widgets im Dashboard. Du findest die Liste mit allen behobenen Problemen unter core.trac.wordpress.org. Wer […]

[16 Dez 2011 | 4 Kommentare | Autor: Jürgen (jdo) ]
Kein Oracle Java mehr auf Ubuntu – wird für 10.04 LTS, 10.10 und 11.04 deaktiviert

Canonical hat die Deaktivierung und Herausnahme von Oracle Sun Java JDK aus dem Repository bekannt gegeben. Dies gilt für die Varianten 10.04 LTS, 10.10 und 11.04. Seit 24. August 2011 hat der Ubuntu-Macher laut eigener Aussage keine Erlaubnis mehr, Java-Pakete von Oracle zu vertreiben. Oracle hat die „Operating System Distributor License for Java“ in die Rente geschickt. Die Java-Version, die sich noch im Partner-Archive befindet, ist aber anfällig und mit Sicherheitslücken gespickt. Einige der Schwachstellen werden derzeit aktiv ausgenutzt. Aus […]

[7 Dez 2011 | 16 Kommentare | Autor: Jürgen (jdo) ]
Auch Linux-Version anfällig: Hacker nutzen 0-Day-Schwachstelle in Adobe Reader aus

Adobe hat eine ungeschlossene (0-Day) Lücke bestätigt, die angeblich bereits aktiv ausgenutzt wird. Für Version 9 des Reader und Adobe Acrobat will man bis Ende nächster Woche einen Flicken zu Verfügung stellen – Allerdings nur für die Windows-Ausgabe. Der Patch wird der sechste für Reader und Acrobat dieses Jahr sein. In der Sicherheits-Anweisung von Adobe ist zu lesen, dass eine kritische Schwachstelle in Adobe Reader X (10.1.1), Acrobat X (10.1.1) und früher für Windows und Macintosh gefunden wurde. Ebenso sind […]

[9 Nov 2011 | Kommentare deaktiviert für Apple wirft Sicherheits-Experten Charlie Miller aus dem Entwickler-Programm | Autor: Jürgen (jdo) ]
Apple wirft Sicherheits-Experten Charlie Miller aus dem Entwickler-Programm

Charlie Miller ist wohl einer der bekanntesten Sicherheits-Experten in Sachen Mac OS X und Apple-Produkte. Nun hat Apple ihn aber aus dem Entwickler-Programm geworfen, weil er eine iOS-Aplikation entwickelt hat, die eine Sicherheitslücke ausnutzt, welche er in der Firmware gefunden hat. Er hatte sich mit Forbes Andy Greenberg darüber unterhalten und dieser hat die Details veröffentlicht. Stunden später bekam Miller eine E-Mail von Apple mit der Aufkündigung des Rechts, für iOS zu entwickeln – mit sofortiger Wirkung. Apple has banned […]

[27 Sep 2011 | Kommentare deaktiviert für MySQL.com gehackt, um Schadcode auszuliefern – ist in der Zwischenzeit repariert | Autor: Jürgen (jdo) ]
MySQL.com gehackt, um Schadcode auszuliefern – ist in der Zwischenzeit repariert

Nicht nur kernel.org wurde kompromittiert, sondern auch MySQL.com und hat Schadcode ausgeliefert. In der Zwischenzeit wurde das Problem aber behoben. Die Cyberkriminellen haben ein Script eingeschleust, dass Anwender auf eine Webseite umgeleitet hat. Diese nutzte den BlackHole Exploit Pack. Damit wird der Browser untersucht und ein entsprechender Angriff gestartet. Sicherheits-Experte Brian Krebs hat vor wenigen Tagen gesehen, dass root-Zugriff auf MySQL.com für 3000 US-Dollar feilgeboten wurde. Armorize war der Erste, der im Detail beschrieb, wie der Angriff funktioniert – seehr […]

[19 Sep 2011 | Kommentare deaktiviert für 14337 US-Dollar Kopfgeld: Chrome 14.0.835.163 bessert 34 Sicherheitslücken aus | Autor: Jürgen (jdo) ]
14337 US-Dollar Kopfgeld: Chrome 14.0.835.163 bessert 34 Sicherheitslücken aus

Ab sofort gibt es Googles Browser Chrome als Version 14.0.835.163. Die Entwickler haben in der aktuellsten Version 34 Sicherheitslücken ausgebessert und sich die Sicherheitsmeldungen 14337 US-Dollar kosten lassen. 16 der Schwachstellen sind als hoch eingestuft. Mit 2337 wurde die Schwachstelle 93906 (CVE-2011-2862). Diese erlaubt Zugriff auf eingebaute V8-Objekte. Gefunden hat sich der bekannte Chrome-Kopfgeldjäger Sergey Glazunov. Für elf weitere Meldungen in der Kategorie hoch wurden Prämien zwischen 500 und 1000 US-Dollar ausgezahlt. Zehn der Schwachstellen sind als mittel kategorisiert und […]

[6 Sep 2011 | Kommentare deaktiviert für Transport Tycoon Deluxe: Sicherheitslücken in OpenTTD lassen Ausführen beliebigen Codes zu | Autor: Jürgen (jdo) ]
Transport Tycoon Deluxe: Sicherheitslücken in OpenTTD lassen Ausführen beliebigen Codes zu

Die Entwickler von OpenTTD haben drei Schwachstellen in dem auf „MicroProse Transport Tycoon Deluxe“ basierenden Spiel entdeckt.  Eine Sicherheitslücke, die einen Buffer Overflow durch Speicherstände auslösen kann, könnte das Spiel zu Absturz bringen und möglicherweise das Ausführen beliebigen Codes erlauben. Der Fehler ist schon seit Version 0.1.0 enthalten. Nicht ausreichend überprüfte Befehle vom Server könnten sich für DoS-Angriffe (Denial of Service) ausnutzen lassen. Durch das dritte Problem könnte sich ebenfalls ein Buffer Overflow erzwingen lassen. Danach ist das Ausführen beliebigen […]

[2 Sep 2011 | Kommentare deaktiviert für Finale Version: jQuery 1.6.3 ist veröffentlicht | Autor: Jürgen (jdo) ]
Finale Version: jQuery 1.6.3 ist veröffentlicht

Vor wenigen Tagen gab es einen Veröffentlichungs-Kandidaten von jQuery 1.6.3. Nun ist die finale Version da. Die Entwickler haben eine Sicherheitslücke in Zusammenhang mit location.hash geschlossen. Ebenso soll sich die Behandlung von HTML5-Data-Attribut-Namen verbessert haben. Entwickler sollen aber im Hinterkopf behalten, dass die $().data()-API HTML5-Daten-Attribute nur lesen kann und es eine erste Implementierung ist. Wer Attribute tatsächlich in HTML verändern möchte, soll .attr() nutzen. Weitere Informationen zu jQuery 1.6.3 gibt es in der offiziellen Ankündigung: jQuery 1.6.3 Minified, jQuery 1.6.3 […]

Air VPN - The air to breathe the real Internet