Microsoft hat an seinem Juli-Patchday 9 Sicherheitsupdates herausgegeben, die insgesamt 16 Schwachstellen in Windows (ab XP SP3), Office, Internet Explorer, Visual Basic for Applications und Sharepoint Server schließen. Drei der Updates betreffen kritische Lücken, darunter auch eine in den XML Core Services, die bereits seit über einem Monat aktiv ausgenutzt wird.
Quelle: heise.de /Zum Artikel
Parallel zu Microsoft hat auch Adobe am gestrigen Dienstag seinen April-Patchday abgehalten. Das Unternehmen schließt vier kritische Lücken in seinem Reader sowie dem PDF-Editor Acrobat, die sich potenziell zum Einschleusen von Schadcode eignen. Bei den Lücken handelt es sich unter anderem um einen Integer Overflow, der bei der Verarbeitung von TrueType-Schriftarten auftritt. Zwei kritische Speicherfehler finden sich in der JavaScript-Engine.
Quelle: heise.de
Adobe hat wie angekündigt einen Notfall-Patch (Version 10.3.183.10) für den Flash-Player veröffentlicht, der einige kritische Lücken schließt. Der Hersteller muss außerplanmäßig reagieren, da eine der Schwachstellen bereits aktiv für Angriffe ausgenutzt wird: Durch die Cross-Site-Scripting-Lücke können Angreifer die Same-Origin-Policy umgehen und so etwa auf das Webmailkonto des Opfers zugreifen oder seine Cookies stehlen. Hierzu muss der Angreifer sein Opfer lediglich auf eine präparierte Webseite locken.
Zu den übrigen fünf Lücken macht Adobe nur spärliche Angaben. Durch vier der Lücken kann ein Angreifer aus der Ferne Schadcode ins System schleusen, unter anderem durch zwei Stack-Overflow-Fehler. Durch die sechste Lücke gelangt der Angreifer an Informationen, auf die er keinen Zugriff haben dürfte (Information Disclosure).
Flash ist bis Version 10.3.183.7 unter allen Desktop-Betriebssystemen verwundbar. Unter Android sind alle Versionen einschließlich 10.3.186.6 angreifbar, die fehlerbereinigte Version trägt die Versionsnummer 10.3.186.7. Den in Chrome integrierten Flash-Player hat Google bereits vor zwei Tagen mit dem Update auf Chrome 14.0.835.186 auf den aktuellen Stand gebracht. Die derzeit installierte Version des Flash-Player kann man bei Adobe in Erfahrung bringen.
Quelle: Heise.de
Firefox user koennen hier : Überprüfen Sie Ihre Plugins anschauen welche Plugins Aktualisiert werden muessen.
Microsoft hat angekündigt, am kommenden Dienstag insgesamt 16 Patches zu veröffentlichen, die 34 Sicherheitslücken schließen. Neun der Patches beheben kritische Lücken, durch die Angreifer aus der Ferne Schadcode ins System einschleusen können. Elf der Patches betreffen Lücken in Windows; zumeist sind alle Windows-Versionen ab XP SP3 betroffen – ältere Versionen werden von Microsoft nicht länger gepflegt. Für den Internet Explorer wird es zwei Patches geben, beide schließen laut Hersteller kritische Lücken.
Quelle : heise.de
Im ersten Halbjahr 2010 wurden so viele Sicherheitslücken wie nie zuvor entdeckt, wie aus IBMs aktuellem Sicherheitsbericht zu Trends und Risiken hervorgeht. Gegenüber den ersten 6 Monaten des Vorjahres bedeutet dies einen Anstieg um 36 Prozent.
quelle : heise.de
via abzocknews.de
Adobe hat heute ein Update für den Reader und Acrobat veröffentlicht, mit dem 17 Sicherheitslücken geschlossen werden. Sie lassen sich alle zum Einschleusen und Ausführen von Code missbrauchen.
Eine der gefährlichsten Lücken kann bereits ausgenutzt werden, wenn man mit einem fehleranfälligen Reader-Plug-In eine speziell präparierte Website besucht.
Wie bereits vor zwei Wochen angedeutet, hat Adobe nun für den kommenden Dienstag, den 29. Juni die Sicherheits-Updates für den Reader und Acrobat offiziell angekündigt. Sie sollen neben der seit Anfang Juni bekannten Lücke in der mit dem Reader und Acrobat ausgelieferten Bibliothek authplay.dll noch weitere schließen. Wie viele dies genau sind, gibt Adobe nicht an, es soll sich aber ebenfalls um kritische Lücken handeln. Die Updates erscheinen für Windows, Mac und Unix (bei Acrobat nur für Windows und Mac) jeweils für die Versionen 9.3.3 und 8.2.3.
quelle : heise.de
Während noch alle Welt von Lücken im Internet Explorer und Flash redet, beseitigt Adobe schnell mal eben und ohne Vorwarnung zwei kritische Sicherheitslücken in Shockwave, über die Angreifer Code einschleusen und ausführen könnten. Betroffen sind sowohl die Windows als auch die Mac-Versionen von Shockwave bis einschließlich 11.5.2.602.
Die Fehler wurden offenbar von Sicherheitsexperten bei Secunia entdeckt , die das Problem als “höchst kritisch” einstufen. Als Update-Prozedur empfiehlt der Hersteller, zunächst die alte Version zu deinstallieren, den Rechner neu zu starten und dann erst die neue Version 11.5.6.606 einzuspielen.
quelle : heise.de, Hier klicken um den vollen Artikel zu lesen.
Die Typo3 -Entwickler haben die Versionen 4.1.13, 4.2.10 und 4.3beta2 zum Download bereit gestellt, in denen insgesamt neun Sicherheitslücken und Schwachstellen beseitigt sind. Unter den Problemen finden sich Cross-Site-Scripting-Schwachstellen, SQL-Injection-Lücken und Möglichkeiten, Schutzfunktionen auszuhebeln und Daten auszuspähen.
Die (technisch) kritischste Lücke findet sich in der Verarbeitung
hochgeladener Dateien, durch die ein Redakteur mittels präparierter
Dateinamen laut Bericht eigene Befehle an die Shell des Systems
übergeben und starten kann. Dazu muss der Redakteur allerdings am
System angemeldet sein – auch bei den SQL-Injection-Lücken muss man am
System angemeldet sein. Zudem funktioniert der Angriff auf die Shell
nur, wenn die Dateien über Erweiterungsmodule anderer Hersteller oder
per FTP hochgeladen werden.
quelle : heise.de, Hier klicken um den vollen Artikel zu lesen.
