Schlagwort-Archive: Fehler

DoS-Schwachstelle im SMB-Client von Windows 7 und Server 2008 R2

Ein Fehler in der Implementierung des SMB-Clients von Windows 7 und Windows Server 2008 R2 lässt sich ausnutzen, um das System aus der Ferne komplett einfrieren zu lassen. Dazu genügt es, dass der Client einen präparierten SMB-Server aufruft. Durch fehlerhafte Antworten des Servers mit zu kurzen NetBIOS-Headern gerät der SMB-Client in eine Endlosschleife, in dessen Folge Windows nicht mehr reagiert. Der Fehler lässt sich nach bisherigen Erkenntnissen aber nicht zum Kompromittieren eines Systems ausnutzen.

Um Opfer eines erfolgreichen DoS-Angriffs zu werden, muss der Anwender nicht zwangsläufig manuell mit dem bösartigen Server Kontakt aufnehmen. Die Verbindung dorthin lässt sich beispielsweise mit dem Internet Explorer initiieren, wenn dieser eine HTML-Seite mit einem entsprechenden Link verarbeitet. Der Angriff ist auch nicht auf das LAN beschränkt, sofern die Firewall oder der Paketfilter SMB-Pakete passieren lässt.

Der Entdecker der DoS-Schwachstelle Laurent Gaffié hat einen in Python geschriebenen Server-Exploit veröffentlicht, der das Problem demonstriert.

quelle : heise.de, hier klicken um den vollen Artikel zu lesen.

Share

Java 6 Update 17 schließt mehrere Sicherheitslücken

Sun hat Java 6 Update 17 veröffentlicht, das unter anderem mehrere Sicherheitslücken schließt. Dazu gehören diverse von präparierten Audio- und Bilddateien provozierte Buffer- und Integer Overflows, durch die ein Java-Applet oder eine “Java Web Start”-Anwendung an höhere Zugriffsrechte auf einem System erlangen und so etwa das System infizieren kann. Durch einen Fehler im “Java Web Start”-Installer kann es passieren, dass eine nicht vertrauenswürdige Web-Start-Anwendung trotzdem als vertrauenswürdig startet und somit höhere Rechte als erlaubt erhält. Eine Schwachstelle im Java Runtime Environment Deployment Toolkit führt dazu, dass eine Webseite Code in ein System schleusen und starten kann.

Darüber hinaus hat Sun eine Schwachstelle beim Verifizieren vom HMAC-Digests entfernt, durch die sich etwa digitale Signaturen fälschen ließen.

quelle : heise.de, hier klicken um den vollen Artikel zu lesen.

Eine java Versionspruefung kann man HIER machen unter “Habe ich Java bereits?

Share

Angeblich kritische Lücke im Sun Java System Web Server

Der Java System Web Server von Sun weist angeblich eine kritische Sicherheitslücke auf, die es sogar erlauben könnte, von außen Code ins System einzuschleusen und auszuführen. Die Firma Intevydis behauptet, ihr Produkt VulnDisco Pack Professional 8.12 enthalte einen Zero-Day-Exploit, der einen kritischen Fehler in Version 7.0 Update 6 (7.0U6) des Web-Servers auslöse.

Quelle : heise.de, Hier klicken um den vollen Artikel zu lesen.

Share

Firefox Update und MG Browser Update

Firefox 3.0.15 und 3.5.4 schließen zahlreiche Sicherheitslücken, von denen die Entwickler mehrere als kritisch einstufen. Allein das Update für die Media-Bibliothek schließt drei Sicherheitslücken in liboggz, libvorbis und liboggplay. Ein Fehler in der Umwandlung von sehr langen Zeichenketten in Gleitkommazahlen mit JavaScript führt zu einer Speicherverletzung, durch die ein Angreifer beliebigen Code auf dem betroffenen Rechner ausführen kann. Ein Fehler in Mozillas GIF-Image-Parser lässt sich zudem für einen Heap Overflow ausnutzen.

Update bekommt man wie gewohnt unter dem AUS oder manuell anstossen unter :
Hilfe > Nach updates Suchen ….

Die Vollversion kann man unter mozilla kostenlos HIER downloaden.

Auch der MG Browser ( fuer das Online game Monstersgame.de ) der auf den Firefox Basiert steht in Version 15.1.0 ( Base on 3.0.x ) und 3.5.1.0 ( Base on 3.5.x ) zum download bereit.

diesen kann man kostenlos hier herunterladen :

Firefox 3.5 MG Edition Portable

Firefox 3.x MG Edition Portable

Share

Neue phpMyAdmin-Versionen schließen Sicherheitslücken

Die Datenbankverwaltung phpMyAdmin hat ein sicherheitsrelevantes Update spendiert bekommen. Die neuen Versionen sind 2.11.9.6 und 3.2.2.1. Laut einem Advisory der Entwickler enthalten die Vorgängerversionen zwei Programmierfehler, die Cross Site Scripting (XSS) sowie das Injizieren beliebiger SQL-Befehle erlauben.

quelle : heise.de, Hier klicken um den vollen Artikel zu lesen.

Share

Die 500 schlechtesten Passwörter – nie verwenden!

Die Passwörter Tausender Hotmail-Nutzer sind im Internet gelandet. Ein Blick auf die Datensätze zeigt: Viele Kunden des E-Mail-Dienstes von Microsoft verwenden keine besonders große Sorgfalt bei der Auswahl des Begriffs, der ihre privaten Postfächer schützen sollte. WELT ONLINE zeigt die häufigsten Passwörter – die zugleich die schlechtesten sind.

1234567 oder 000015 – das sind zwei der Passwörter, die Hotmail-Nutzer nun unfreiwillig im Internet preisgegeben haben. Die Kunden des E-Mail-Dienstes von Microsoft wurden Opfer einer Phishing-Attacke: Auf fingierte Mails hin gaben sie ihre Zugangscodes zu den E-Mail-Konten über andere Internetseiten weiter.

Auf die kriminellen Netzfischer hereinfallen, das ist dabei nur der eine Fehler. Aus der Sicht von IT-Experten ist es genau so schlecht, solche einfachen und leider weit verbreiteten Passwörter zu benutzen. Denn wie der Computerfachmann Mark Burnett bereits 2005 geschrieben hat, kursieren im Internet längst Listen mit den gebräuchlichsten Passwörtern. Werden Sie verwendet, ist es für Menschen mit bösen Absichten leicht – mithilfe kleiner Programme zum Ausprobieren der Wörter –, schnell Zugang zu einem E-Mail-Konto zu bekommen.

quelle : welt.de, Hier klicken um den vollen Artikel zu lesen.

Fuer Spieler der Redmoonstudios. games wie z.b. Monstersgame gibt es sogar noch einen extra Wiki eintrag zum Thema Sicherheit der warum auch immer in der belibtesten liste rassent schnell in der Top 100 immer weiter nach unten sank. Hier noch mal fuer alle Spieler aber auch fuer anregungen zum Thema sicherheit ein paar vorschlaege und hilfreiches “Sicherheitshinweise

Share

VLC media player 1.0.2 – Audio- & Video-Player

VLC media player ist ein kostenloser Multimedia-Player, der eine große Anzahl an Formaten unterstützt. Neben der Wiedergabe von Video-CDs und DVDs beherrscht er diverse Streaming-Protokolle und kann auch selbst als Streaming-Server verwendet werden.

Version 1.0.2 behebt vor allem kleinere Fehler, womit unter anderem die Sicherheit erhöht werden soll.

VLC 1.0.2 is out!

2009-09-22

After almost 2 months and 27 million downloads of VLC 1.0.1, the VLC team is proud to present the third version of the Goldeneye branch of VLC: 1.0.2!

This version introduces many fixes, notably for SSA decoding, v4l2, MacOS interface, ogg/theora, x264 modules and security issues. It also introduces the port to 64bits for Mac OS platform and 2 new languages (Kazakh and Croatian).
Because of the security issues, we strongly recommand everybody to update its version of VLC.

Kostenlosen download gibt es bei den Machern “HIER

Share

ZDF WISO – Über Stichproben bei Computer-Notdienste (Video)

Streikt der Computer, dann ist die Not häufig groß.

Computer-Notdienste helfen in dringenden Fällen sofort – und das laut Werbung sehr professionell und meistens auch noch 24 Stunden lang ..

Aber ob sie auch schnell kommen; wirklich alle Fehler finden und dann auch noch preiswert sind? WISO macht eine Stichprobe ..

quelle : youtube von AntiAbzockTV

Share

Patch-Day: Microsoft bringt Dienstag neun Updates

Der Software-Konzern Microsoft wird am kommenden Dienstag (11.08.2009) im Rahmen seines Patch-Days insgesamt neun Updates ausliefern. Diese sollen vernehmlich Sicherheits-Probleme in Windows und Office beheben.

Drei Patches beheben kritische Lücken unter Windows. Drei weitere sollen ebenfalls verschiedene Fehler in dem Betriebssystem beheben, die aber keine so hohe Gefahrenstufe haben. Das siebente Update richtet sich neben Windows auch an das .Net-Framework.

Der Office-Patch soll eine kritische Sicherheitslücke schließen, die nicht nur in der Büro-Software selbst, sondern auch in den Produkten Microsoft Visual Studio, Microsoft ISA Server und Microsoft BizTalk Server für Angriffe ausgenutzt werden kann.

Share

Hinter den Kulissen der Tippfehlerdomain Mcaffe.de

In einer Meldung von Wien-Heute.at wird aktuell vor einer Tippfehlerdomain unter McAffe.de gewarnt, welche Sie durch ein Popup auf das Abzockangebot Softwaresammler.de der Content Services Limited leitet. Eigentlich handelt es sich bei dieser Art von Abzocke immer um einen kleinen Kreis von ”üblichen Verdächtigen” – Aber nur eigentlich.

Bei mcaffe.de handelt es sich um eine geparkte Seite des Domainhändlers NameDrive.

quelle : abzocknews.de. Hier klicken um den vollen Artikel zu lesen.

Share