Offenbar ist die viel diskutierte DLL-Schwachstelle (Binary Planting) in Windows, die hunderte von Anwendungen betrifft, scheint nur die Spitze des Eisbergs zu sein. DLL-Bibliotheken sind nicht die einzigen angreifbaren Dateien. Es scheint als würde diese Methode des Angriffs auch mit Exe-Dateien funktionieren und die von Microsoft vorgestellten Workarounds funktionieren in diesem Fall nicht. In einer Sicherheits-Anweisung für Safari, der kürzlich mit Updates gesegnet wurde, erklärt ACROS das Problem. Angreifer können zunächst eine HTML-Datei und eine manipulierte Datei mit Namen explorer.exe […]

Die norwegische Software-Schmiede Opera hat eine Wartungsausgabe des gleichnamigen Webbrowsers zur Verfügung gestellt. Version 10.62 schließt insgesamt zwei Sichereheitslücken. Opera für Mac OS X ist gar nicht von einer Schwachstelle betroffen. Die Windows-Version ist nun nicht mehr anfällig für die üble DLL-Schwachstelle, die vor wenigen Wochen bekannt wurde und hunderte von Programmen betraf. Die Unix-Variante behebt einSpeicherleck im Zusammenhang mit Geolocation. Die aktuelle Version gibt es wie üblich unter opera.com/download. Version 10.62 ist mit hoher Wahrscheinlichkeit eine der letzten Versionen für PowerPCs […]

Die Chrome-Entwickler haben insgesamt zehn Fehler in Chrome beseitigt und damit neun Schwachstellen ausgemerzt. Zwei der Schwachstellen werden als kritisch eingestuft. Sechs weitere mit hoch klassifiziert und eine als mittelschwer. Im Rahmen des Google-Kopfgeld-Programms wurden die Finder der schwereren Sicherheitslücken honoriert. Sergey Glazunov hat beigetragen, vier Fehler und drei Schwachstellen auszumerzen und streicht mit 4674 US-Dollar fast die Hälfte der Gesamtsumme ein. Des Weiteren wurde in Zusammenarbeit mit Marc Schoenefeld ein Workaround erarbeitet, um einen Fehler im Windows-Kernel zu umgehen. […]

Seit zirka sechs Jahren bietet das Open-Source-Projekt Mozilla nun Kopfgeld für gefundene Schwachstellen an. After oftmals wollen die Finder das Geld gar nicht annehmen. Zwischen zehn und 15 Prozent der kritischen Schwachstellen wurden laut Mozilla ohne Geld-Forderungen gemeldet. Der Chef der Mozilla-Entwicklung Johnathan Nightingale sagte kürzlich in einem Interview, dass Mozilla laut Finder lieber an die EFF (Electronic Frontier Foundation) spenden oder einfach ein T-Shirt senden sollen. Mozilla war ein Pionier in Sachen Kopfgeld für Sicherheitslücken. Im August 2004 fing […]

Microsoft hat angekündigt, dass es am Montag dem 2. August 2010 ein Update außerhalb des üblichen Update-Zyklus geben wird. Damit wird die gefährliche lnk-Schwachstelle, wie sie in Sicherheits-Anweisung 2286198 beschrieben wird, geschlossen. Das Update soll ab zirka zehn Uhr morgens PDT (Pacific Daylight Time, UTC -7) zur Verfügung stehen. Für Deutschland bedeutet das etwas ab 18 Uhr abends. Der Flicken wird via automatischer Windows-Updates verbreitet. Die Schwachstelle ist extrem gefährlich un wird bereits aktiv ausgenutzt. Sophos hat ein kostenloses Tool […]

Apple hat die Browser Safari-Versionen 5.0.1 und 4.1.1 zur Verfügung gestellt. Die Sicherheits-Anweisung adressiert insgesamt 15 Schwachstellen. Zwei der Lücken betreffen den Browser selbst und 13 stehen im Zusammenhang mit der Open-Source-Rendering-Engine WebKit. Safari 5.0.1 gibt es für Mac OS X 10.5.8 (Leopard), 10.6.2 (Snow Leopard) und Windows XP SP2 oder später. Anwender von Mac OS X 10.4.11 (Tiger) können auf Safari 4.1.1 zurückgreifen. Anwender können die Fehler-bereinigten Versionen auch mittels der automatisierten Update-Routinen einspielen. Apple empfiehlt ein Update so […]

Marcus Meissner hat angekündigt, dass openSUSE 11.0 ab sofort keine weitere Zuwendung mehr erhalten wird. Ein letztes Sicherheits-Update gab es am 23. Juli 2010. Die Entwickler schlossen eine Schwachstelle im rpm-Paket. Das Betriebssystem erschien am 17. Juni 2008 und wurde somit zwei Jahre und einen Monat mit Updates versorgt. Im Nachruf teilt Meissner einige Statistiken mit openSUSE-Fans. Bei der Zahl in Klammern handelt es sich um den Vergleich mit openSUSE 10.3: Updates insgesamt: 644 (-71) Sicherheit: 485 (-36) Empfohlen: 157 […]

Sicherheits-Experten von AirTight Networks haben eine Schwachstelle im Wi-Fi-Protokoll WPA2 entdeckt. Die Sichereheitslücke bekam den Namen Hole 196, weil dies den Seitennamen im Dokument IEEE 802.11 (2007) wiederspiegelt. Am unteren Ende stellt das Manuskript die von WPA2 benutzten Schlüssel vor: der PTK (Pairwise Transient Key) ist für jeden Wi-Fi-Client einzigartig und wird für Unicast-Netzwerkverkehr verwendet. Der GTK (Group Temporal Key) ist für Broadcasts zuständig. PTK kann Manipulationen und gefälschte Mac-Adressen erkennen. GTK hingegen ist dazu nicht in der Lage. Und […]

Firefox 3.6.7 ist noch gar nicht so lange veröffentlicht. Allerdings sahen sich die Entwickler genötigt eine weitere Version – 3.6.8 – zur Verfügung zu stellen. Diese Variante adressiert eine kritische Schwachstelle (MFSA 2010-48). Die Entwickler raten zu einem Update so schnell wie möglich. Firefox 3.6.8 ist wie üblich gleichzeitig für Windows, Linux und Mac OS X erschienen. Wie gewohnt ist die Software auch in Deutsch verfügbar. Weitere Informationen erhalten Sie in den Release-Notizen.

Mozilla hat eine Sicherheitslücke in Version 3.0.1 der beliebten Erweiterung CoolPreviews festgestellt. Mit einem speziell präparierten Link können Angreifer beliebigen JavaScript-Code von außerhalb laufen lassen. Sie finden weitere Informationen im Blog der Mozilla Add-Ons. Firefox- und CoolPreviews-Anwender sind angehalten, schnellstmöglich ein Update auf Version 3.1.0625 einzuspielen. Laut Mozilla haben derzeit zirka 177.000 Anwender eine anfällige Version installiert. Dies entspreche in etwa 25 Prozent aller Installationen. Ebenso wolle man löchrige Versionen in Kürze auf die Blocklist setzen.