Die Sicherheitsexperten von ‘Secunia‘ machen auf eine bedenkliche Schwachstelle in Quicktime 7.6.6 aufmerksam. Ein Angreifer könnte sich diesen Umstand zunutze machen und fremde Systeme übernehmen.
Durch einen Buffer Overflow, der sich durch einen Fehler in der Komponente QuickTimeStreaming.qtx verursachen lässt, könnte sich ein Angreifer Zugriff auf fremde Systeme verschaffen. Dazu könnte es schon kommen, wenn entsprechend manipulierte Webseiten besucht werden.
quelle : winfuture.de
Für die offizielle, quelloffene Referenzbibliothek zur Darstellung von Bildern im Format “Portable Network Graphics” (PNG) libpng sind die Updates 1.2.44 und 1.4.3 erschienen, um Sicherheitslücken zu schließen. Laut Bericht der Entwickler finden sich in älteren Version zwei Fehler, wovon sich einer zum Einschleusen und Starten von Code ausnutzen lässt. Offenbar ist es bei libpng möglich, eine weitere Bildzeile zu verarbeiten, auch wenn die angegebene Bildhöhe geringer ist. Damit können Angreifer gezielt Code in den Speicher schreiben.
quelle und voller Bericht : heise.de
Über das Download-Portal, in dem der Hardwarehersteller Lenovo Treiber zum Download anbietet, wurde offenbar in den letzten Tagen Schadcode verteilt. Dabei soll es sich um einen Trojaner-Downloader handeln, der auf Java basiert.
Ein von den Angreifern hinterlegter IFrame soll sich nach wie vor auf der Webseite des Download-Portals befinden. Von der zugehörigen chinesischen Adresse, die entsprechend in diesem IFrame hinterlegt wurde, soll gegenwärtig keine Gefahr ausgehen. Hinweise darauf tauchten am vergangenen Samstag im Thinkpad-Forum erstmals auf.
quelle : winfuture.de
Die Sicherheitsexperten von ‘M86 Security Labs’ machen auf ein Exploit aufmerksam, welches gegenwärtig im Internet kursiert und auf eine bereits im Oktober 2009 geschlossene Schwachstelle in der VoIP-Software Skype abzielt.
Betroffen sind davon die Versionen 4.0.0.206 bis 4.1.0.166. Diese Schwachstelle steht in Verbindung mit einem Fehler in einem Plugin namens EasyBit Extras Manager, den sich die Angreifer zunutze machen, um verschiedene Systeme anzugreifen. Wie aus einem Blogbeitrag von M86 Security Labs hervor geht, verwenden viele Skype-Nutzer veraltete Versionen der VoIP-Software.
quelle : winfuture.de
Die seit rund einer Woche registrierten Massenhacks von Webseiten haben neuesten Analysen zufolge zum Ziel, Online-Gamern die Zugangsdaten für Spiele zu stehlen. Prominenteste Opfer der Hacks waren das Wall Street Journal und die Jerusalem Post.
Bei den Webservern handelt es sich zwar durchgehend um Systeme auf Basis von Microsofts Internet Information Server (IIS) und ASP.NET, den Untersuchungen mehrerer Sicherheitsdienstleister zufolge manipulierten die Angreifer die Webseiten aber offenbar über SQL-Injection-Schwachstellen in den selbst geschriebenen Webanwendungen der Betreiber. Administratoren sollten ihre Systeme auf mögliche Manipulationen überprüfen.
quelle und vollstaendiger Bericht : heise.de
