Sehr knapp wurde die zweite Beta-Version von Pentoo 2012.0 angekündigt. Als Neuerungen gegenüber Beta 1 wurden ein “hardened Setup” und Torrent-Download aufgelistet. Der Hauptentwickler nutze die freie Zeit zwischen und Derbycon, um die neue Pentoo-Version aufzupolieren. Wie der Name schon vermuten lässt, basiert Pentoo auf Gentoo Linux. Pentoo ist eine Linux-Distribution, die sich der Sicherheit widmet. Damit lassen sich Netzwerke und Server auf Herz und Nieren testen und potentielle Schwachstellen aufspüren. Eine Liste mit allen vorhandenen Tools gibt es für die […]

Eigentlich ist der private Modus ja dafür da, um den Zwischenspeicher (Cache) nicht auf die Festplatte, sondern in den Arbeitsspeicher zu schreiben. Durch das Beenden der Sitzung würden die empfindlichen Daten dann gelöscht. Ein Fehler in Firefox 15 speichert die temporären Dateien allerdings trotzdem auf der Festplatte. Der Fehler wurde wohl in Firefox 15 eingepflanzt und betrifft auch die Entwickler-Versionen Firefox 16 und Firefox 17. Im Cache liegen Scripte, Bilder und alles, was der Browser von den besuchten Webseiten sonst […]

Das muss ja ein Schlag ins Gesicht sein. Über die kürzlich gefundene Java-Lücke (0-Day, die auch schön ausgenutzt wurde) will ich mich gar nicht auslassen, das wurde überall breit getreten und Oracle hat bereits einen Patch zur Verfügung gestellt (Java 7 Update 7). Laut pcworld.com hat die in Polen ansässige Sicherheitsfirma Security Explorations nun angeblich eine neue Schwachstelle gefunden. Den Sicherheits-Experten zufolge lässt sich die neue Lücke ausnutzen, aus der Java-Sandbox auszubrechen. Danach kann ein Angreifer beliebigen Code auf dem darunterliegenden […]

Mich hat gerade eine E-Mail erreicht, die mich auffordert, ich möchte doch bitte meine Amazon-Daten bis zum 31.08.2012 bestätigen. Die ganze Nachricht ist in ordentlicher deutscher Sprache verfasst, nur mit den Umlauten hapert es. Der Link führt zu sicherheit-deutschland.eu. Google Chrome meldet mir aber bereits, dass die Seite unter Verdacht steht, eine Phishing-Seite zu sein. Die Domäne wurde am 22. August 2012 von julie_m82@web.de registriert. Anbei noch die Nachricht, die sich bei Erhalt sofort in die Tonne gehört. Vielleicht auch […]

Zu viel Sicherheit kann man eigentlich nie genießen und deswegen will Mozilla die Sicherheit bezüglich Add-Ons in Firefox 17 verbessern. Genau genommen sollen die Spielplätze der Erweiterungen und des Browser strikter getrennt werden. Scripte auf Webseiten können dann nur noch auf Daten der Add-Ons zugreifen, wenn sich diese in einer Whitelist befinden. Als die Nutzung von gemeinsam genutzten Objekten wird limittiert. Vorgeschlagen wurde das bereits im Jahre 2010 und Bug 553102 wurde erstellt. Beginnend mit Firefox 15 wird der Browser […]

Die Entwickler des Browsers Chrome haben den stabilen Kanal aktualisiert. Interessant dabei ist, dass es für Linux, Mac OS X und Windows drei verschiedene Builds gibt: 21.0.1180.81 für Linux und 21.0.1180.83 für Windows. Für Mac OS X wurden Chrome Frame und die Kanäle Stable und Beta laut eigener Aussage auf Version 21.0.1180.82 aktualisiert. Sicherheits-Updates sind diesmal keine vorhanden, allerdinge löst die neueste Ausgabe diverse Fehler. Ddas doppelseitige Drucken steht nun nicht mehr auf “Ja”. Chrome hatte selbst für eine Seite eine […]

Die Entwickler des Webservers Apache haben gerade per E-Mail verkündet, dass ab sofort Apache HTTP Server 2.4.3 zur Verfügung steht. Diese Version ist die dritte Wartungs-Ausgabe des 2.4-Zweiges. Neue Funktionen gibt es keine, allerdings wurden zwei Sicherheitslücken aus der Welt geschaffen. SECURITY: CVE-2012-3502 (cve.mitre.org) – mod_proxy_ajp, mod_proxy_http: bereinigt ein Problem beim Schließen einer Verbindung im Backend. Somit könnten vertrauliche Daten enthüllt werden. SECURITY: CVE-2012-2687 (cve.mitre.org) – mod_negotiation: behebt eine potentielle XSS-Schwachstelle (Cross-Site Scripting), wenn nicht vertrauenswürdige Anwender Dateien zu einer Stelle […]

Das PostgreSQL-Entwicklerteam hat Sicherheits-Updates für die Datenbankserver-Software zur Verfügung gestellt. Aktualisierungen gibt es für alle aktiven Versionen: 9.1.5, 9.0.9, 8.4.13 and 8.3.20. Die Updates kümmern sich um Sicherheitslücken in den Bibliotheken libxml2 und libxslt. Davon sind übrigens auch andere Open-Source-Projekte betroffen. Im Detail handelt es sich um die Security-Probleme CVE-2012-3488 (libxslt) und CVE-2012-3489 (libxml2). Die neueste Ausgabe bringt außerdem einige Fixes für Version 9.1. Interessierte finden diese detailliert in der offiziellen Ankündigung. Wer die eingebaute XML-Funktionalität braucht, um externe DTDs zu validieren, muss einen Workaround implementieren. Das Sicherheits-Update deaktiviert […]

Software-Gigant Google hat angekündigt, zehn Produkte einzustellen. Diese würden nicht entsprechend angenommen und es lohne sich somit nicht weiter, diese zu unterstützen. Dirigent der Aufräumarbeiten ist CEO Larry Page höchstpersönlich. Er kündigt solche Aktionen auch an, als er im April den Posten übernahm. Techonlogien stünden nicht still und es gebe welche, die sich rentieren und solche, die es nicht tun. Somit würden binnen der nächsten Monate diverse Produkte komplett eingestellt und andere als Funktionen bestehender integriert, heisst es in einem […]

isslfix verhindert, dass befreite iPhones oder iOS-Geräte von manipulierten Zertifikaten heimgesucht werden können. Die Software steht via Cydia bereit. Apple hat die SSL-Schwachstelle mit der Veröffentlichung von iOS 4.3.5 Ende letzten Monats geschlossen. Allerdings gibt es für diese und Ausgabe 4.3.4 noch keine Jailbreaks. Die Sicherheitslücke lässt sich via so genannter “Man in the Middle”-Angriffe mit manipulierten Zertifikaten ausnutzen. Somit könnten Angreifer den verschlüsselten Datenverkehr von iOS-Geräten abhören oder sogar manipulieren. Released at Cydia, isslfix ensures that those who use […]