Schlagwort-Archive: Schwachstellen

Notfall-Patch schließt kritische Flash-Lücken außer der Reihe

Adobe hat wie angekündigt einen Notfall-Patch (Version 10.3.183.10) für den Flash-Player veröffentlicht, der einige kritische Lücken schließt. Der Hersteller muss außerplanmäßig reagieren, da eine der Schwachstellen bereits aktiv für Angriffe ausgenutzt wird: Durch die Cross-Site-Scripting-Lücke können Angreifer die Same-Origin-Policy umgehen und so etwa auf das Webmailkonto des Opfers zugreifen oder seine Cookies stehlen. Hierzu muss der Angreifer sein Opfer lediglich auf eine präparierte Webseite locken.

Zu den übrigen fünf Lücken macht Adobe nur spärliche Angaben. Durch vier der Lücken kann ein Angreifer aus der Ferne Schadcode ins System schleusen, unter anderem durch zwei Stack-Overflow-Fehler. Durch die sechste Lücke gelangt der Angreifer an Informationen, auf die er keinen Zugriff haben dürfte (Information Disclosure).

Flash ist bis Version 10.3.183.7 unter allen Desktop-Betriebssystemen verwundbar. Unter Android sind alle Versionen einschließlich 10.3.186.6 angreifbar, die fehlerbereinigte Version trägt die Versionsnummer 10.3.186.7. Den in Chrome integrierten Flash-Player hat Google bereits vor zwei Tagen mit dem Update auf Chrome 14.0.835.186 auf den aktuellen Stand gebracht. Die derzeit installierte Version des Flash-Player kann man bei Adobe in Erfahrung bringen.

Quelle: Heise.de

Firefox user koennen hier : Überprüfen Sie Ihre Plugins anschauen welche Plugins Aktualisiert werden muessen.

Share

40.000 Dollar für gefundene Lücken bei Facebook

Der Sicherheitschef von Facebook, Joe Sullivan, hat sich über den offiziellen Blog im Zusammenhang mit dem kürzlich gestarteten “Bug Bounty Program” mit einer positiven Zwischenbilanz zu Wort gemeldet.

Vor wenigen Wochen kündigen die Betreiber des weltgrößten Social Networks an, Nutzer mit einem gewissen Geldbetrag belohnen zu wollen, sofern diese auf mögliche Sicherheitslücken oder Schwachstellen aufmerksam werden und das Unternehmen darüber informieren.

Quelle : winfuture.de

Share

Facebook: Prämien für gefundene Sicherheitslücken

Die Betreiber des Social Networks Facebook haben sich ähnlich wie Google und Mozilla dazu entschlossen, ein Belohnungssystem für ausfindig gemachte Sicherheitslücken zu starten. Ein Leitfaden wurde bereits veröffentlicht.

Den veröffentlichten Informationen zufolge will Facebook künftig 500 US-Dollar an die Entdecker von Schwachstellen im hauseigenen System bezahlen. In bestimmten Fällen will man auch mehr als diese Summe bezahlen, teilten die Betreiber des Sozialen Netzwerks mit.

Quelle : winfuture.de

Share

Nach Patch-Day: Lücke im IE wird ausgenutzt

Nachdem Microsoft in der letzten Wochen im Rahmen des monatlichen Patch-Days 11 Sicherheitslücken im Internet Explorer geschlossen hat, kursiert nun ein erster Exploit, der von einer der geschlossenen Schwachstellen Gebrauch macht.

Symantec erklärte am Wochenende, dass die Sicherheitslücke mit der Bezeichnung CVE 2011-1255 ausgenutzt wird. Bislang geschieht dies nur in einem limitierten Rahmen. Laut den Sicherheitsexperten wird von dem Exploit nur bei gezielten Angriffen Gebrauch gemacht. Groß angelegte Attacken konnte man noch nicht registrieren, schreibt der Symantec-Mitarbeiter Joji Hamada in einem Blog-Beitrag.

Quelle: winfuture.de

Share

Webseiten-Massenhack richtet sich gegen Online-Spieler

Die seit rund einer Woche registrierten Massenhacks von Webseiten haben neuesten Analysen zufolge zum Ziel, Online-Gamern die Zugangsdaten für Spiele zu stehlen. Prominenteste Opfer der Hacks waren das Wall Street Journal und die Jerusalem Post.

Bei den Webservern handelt es sich zwar durchgehend um Systeme auf Basis von Microsofts Internet Information Server (IIS) und ASP.NET, den Untersuchungen mehrerer Sicherheitsdienstleister zufolge manipulierten die Angreifer die Webseiten aber offenbar über SQL-Injection-Schwachstellen in den selbst geschriebenen Webanwendungen der Betreiber. Administratoren sollten ihre Systeme auf mögliche Manipulationen überprüfen.

quelle und vollstaendiger Bericht :  heise.de

Share

Microsoft kündigt Patches für 34 Lücken an

34 Schwachstellen will Microsoft am kommenden Dienstag in Windows, dem Internet Explorer und Office schließen. Sechs der angekündigten Bulletins zu den Lücken widmen sich alleine dem Windows-Betriebssystem, wovon die Redmonder vier als kritisch einstufen. Auch das Bulletin für den Internet Explorer wurde als kritisch eingestuft, wobei unklar ist, wie viel Lücken man genau schließen will.

Immerhin soll aber nun endlich die seit Februar bekannte Schwachstelle beseitigt werden, durch die eine präparierte Webseite beliebige Dateien auf einem Windows-PC auslesen kann.

quelle : heise.de

Share

Samba-Update beseitigt DoS-Schwachstellen

In der vergangene Woche veröffentlichten Version 3.4.8 des freien Datei- und Druckservers Samba haben die Entwickler unter anderem zwei DoS-Schwachstellen beseitigt, durch die sich der smbd-Dienst aus der Ferne zum Absturz bringen lässt. Ursache der Probleme ist zum einen eine Null-Pointer-Dereferenzierung bei der Verarbeitung einer bestimmten Folge von SMB-Headern, in denen eine besondere Kombination von Flags gesetzt ist.

quelle : heise.de

Share

Patch-Day: Microsoft wird zwei Lücken beseitigen

Am Dienstag findet der allmonatliche Microsoft Patch-Day statt. Nachdem im vergangenen Monat 26 Schwachstellen aus der Welt geschafft wurden, wird der Softwarekonzern in diesem Monat lediglich zwei Sicherheitslücken schließen.

Zwei Updates für Microsoft Office und Windows werden am nächsten Dienstag erscheinen. Die Microsoft-Entwickler stufen diese Schwachstellen als “wichtig” ein. Beim Patch-Day in diesem Monat wird keine als “kritisch” eingestufte Lücke geschlossen.

….

Eine Anfang dieser Woche bekannt gewordene Schwachstelle im Internet Explorer wird im Zuge dieses Patch-Days noch nicht geschlossen.

quelle : winfuture.de

Share

Internet Explorer bleibt Sorgenkind

Microsoft kommt mit dem Internet Explorer nicht zur Ruhe: Auf der kommenden Sicherheitskonferenz Black Hat will der Sicherheitsspezialist Jorge Luis Alvarez Medina von Core Security Schwachstellen vorführen, durch die eine präparierte Webseite beliebige Dateien auf einem Windows-PC auslesen kann.

Das Problem soll eigentlich nicht neu sein und darauf beruhen, dass die Einstellungen der Sicherheitszonen im Internet Explorer nicht immer greifen, wenn eine Pfadangabe im Browser im UNC-Format (Uniform Naming Convention, UNC) angeben ist, beispielsweise \\127.0.0.1\pfad\dateiname. Damit kann ein JavaScript aus der Internet Zone unter bestimmten Umständen auf eine lokal abgelegte Datei zugreifen, obwohl das Zonemodell dies verbietet. Details dazu will Medina erst am 3. Februar auf der Black Hat veröffentlichen.

Core Security hat zwei solcher sogenannten Cross-Domain-Schwachstellen bereits 2008 und 2009 an Microsoft gemeldet (hier und hier ), die dafür auch jeweils Updates bereitgestellt haben. Bislang habe Microsoft immer nur an einer Stelle geflickt, ohne jedoch das eigentliche Problem zu behandeln.

quelle : heise.de, hier klicken um den vollen Artikel zu lesen.

Share

Winamp 5.57 beseitigt Schwachstellen

Mehrere Sicherheitslücken im Mediaplayer Winamp lassen sich ausnutzen, um mit präparierten Mediendateien ein System zu kompromittieren. Ursache der Probleme sind Buffer und Heap Overflows in den Decodern zur Verarbeitung von “Impulse Tracker”-, Ultratracker- und Octalyzer-Dateien, durch die sich möglicherweise Code einschleusen und starten lässt. Zudem provozieren präparierte PNG- und JPEG-Bilder Integer Overflows.

quelle : heise.de, hier klicken um den vollen Artikel zu lesen.

Share