Opera hat Version 10.53 seines gleichnamigen Browsers für Windows und Mac OS X veröffentlicht, um eine Schwachstelle zu schließen. Der Hersteller stuft die Lücke als “extrem kritisch” ein, da infizierte Webseiten dadurch Code in einen PC schleusen und starten können. Dazu genügt bereits der (unbewußte) Aufruf einer solche Webseite.
quelle : heise.de
Mehreren Berichten von Antivirenherstellern zufolge versuchen Kriminelle, die seit rund zwei Wochen bekannte und bislang ungepatchte Schwachstelle in Adobes Reader auszunutzen, um Windows-PCs zu infizieren. Unter den Schädlingen findet sich auch der als besonders gefährlich eingestufte Bot ZeuS.
Durch die Funktion “Launch Actions/Launch File” lassen sich in PDFs eingebettete Skripte oder EXE-Dateien starten. Der Adobe Reader fragt zwar beim Anwender nach, ob dieser dem Start der Datei zustimmt, allerdings lassen sich Teile des Warndialogs so gestalten, dass der Anwender keinen Verdacht schöpft, es geschehe gerade etwas Ungewolltes. Sophos hat ein Beispiel in seinem Blog veröffentlicht. Dabei soll ein Anwender dazu verleitet werden, den OK-Button anzuklicken. Die präparierten Dokumente gelangen offenbar im Anhang einer Mail auf den Rechner.
quelle : heise.de
Mehrere Sicherheitsspezialisten berichten von einem Sicherheitsproblem in Opera. Mit einer falschen Angabe in einem HTTP-Header können Angreifer einen Pufferüberlauf hervorrufen, mit dem sie beliebigen Code auf dem betroffenen System ausführen können. Bestätigt ist die Lücke laut Secunia für die neueste Version von Opera, 10.50 unter Windows. Außerdem könnten laut Secunia auch andere Versionen des Browsers betroffen sein.
quelle : heise.de, Hier klicken um den ganzen Artikel zu lesen.
Die PHP-Entwickler haben Version 5.2.12 vorgelegt, die mehr als 60 Fehler korrigiert, was im Wesentlichen die Stabilität erhöhen, aber auch Sicherheitslücken schließen soll. Zwar ist seit Mitte dieses Jahres bereits PHP 5.3 verfügbar, allerdings behindern Probleme bei der Rückwärtskompatibiltät zu einigen verbreiteten PHP-Anwendungen unter Umständen ein Upgrade. Da viele Anwender aus diesem Grund weiterhin noch auf den Zweig 5.2 setzen, wird dieser weiterhin mit Updates versorgt.
quelle : heise.de, hier klicken um den vollen Artikel zu lesen.
Drei kritische und drei wichtige Updates beschert Microsoft seinen Kunden zum Dezember-Patchday. Das wichtigste ist zweifelsohne der Sammelpatch für den Internet Explorer, der eine seit mehreren Wochen bekannte Sicherheitslücke schließen soll.
Darüber hinaus berichtet die zugehörige Sicherheitsnotiz MS09-072 von weiteren vier kritischen Schwachstellen im Internet Explorer, die direkt bei Microsoft gemeldet wurden. Für alle Lücken wird es nach Einschätzung des Security-Teams bald verlässlich funktionierende Exploits geben. Drei der Lücken betreffen auch den Internet Explorer 8 von Windows 7 so schwer, dass eine bösartige Web-Site einen Rechner infizieren könnte. Besonders peinlich ist, dass erneut eine Lücke ausgebessert werden muss, die auf den Fehler in der Active Template Library zurückzuführen ist.
quelle: heise.de, Hier klicken um den vollen Artikel zu lesen.
Die Sicherheitsexperten von Secunia warnen vor einer kritischen Schwachstelle in Adobe Illustrator CS3 und CS4. Ein Fehler bei der Verarbeitung von Encapsulated-Postscript-Dateien (.EPS) kann zu einem Pufferüberlauf führen. Es ist bereits ein Exploit im Umlauf, der die Codelücke ausnutzt.
quelle : zdnet.de, Hier klicken um den vollen Artikel zu lesen.
Sun hat Java 6 Update 17 veröffentlicht, das unter anderem mehrere Sicherheitslücken schließt. Dazu gehören diverse von präparierten Audio- und Bilddateien provozierte Buffer- und Integer Overflows, durch die ein Java-Applet oder eine “Java Web Start”-Anwendung an höhere Zugriffsrechte auf einem System erlangen und so etwa das System infizieren kann. Durch einen Fehler im “Java Web Start”-Installer kann es passieren, dass eine nicht vertrauenswürdige Web-Start-Anwendung trotzdem als vertrauenswürdig startet und somit höhere Rechte als erlaubt erhält. Eine Schwachstelle im Java Runtime Environment Deployment Toolkit führt dazu, dass eine Webseite Code in ein System schleusen und starten kann.
Darüber hinaus hat Sun eine Schwachstelle beim Verifizieren vom HMAC-Digests entfernt, durch die sich etwa digitale Signaturen fälschen ließen.
quelle : heise.de, hier klicken um den vollen Artikel zu lesen.
Eine java Versionspruefung kann man HIER machen unter “Habe ich Java bereits?“
Mit dem Update auf Version 11.5.2.602 behebt das Unternehmen fünf kritische Schwachstellen. Sie ermöglichen das Ausführen von Schadcode auf Windows- und Mac-Systemen. Betroffen sind alle Versionen bis einschließlich 11.5.1.601.
Adobe hat ein Update für seinen Shockwave Player veröffentlicht, das insgesamt fünf kritische Sicherheitslücken schließt. Die Schwachstellen betreffen Version 11.5.1.601 sowie frühere Ausgaben des Programms.
quelle : zdnet.de, Hier klicken um den vollen Artikel zu lesen.
Der Java System Web Server von Sun weist angeblich eine kritische Sicherheitslücke auf, die es sogar erlauben könnte, von außen Code ins System einzuschleusen und auszuführen. Die Firma Intevydis behauptet, ihr Produkt VulnDisco Pack Professional 8.12 enthalte einen Zero-Day-Exploit, der einen kritischen Fehler in Version 7.0 Update 6 (7.0U6) des Web-Servers auslöse.
Quelle : heise.de, Hier klicken um den vollen Artikel zu lesen.
Firefox 3.0.15 und 3.5.4 schließen zahlreiche Sicherheitslücken, von denen die Entwickler mehrere als kritisch einstufen. Allein das Update für die Media-Bibliothek schließt drei Sicherheitslücken in liboggz, libvorbis und liboggplay. Ein Fehler in der Umwandlung von sehr langen Zeichenketten in Gleitkommazahlen mit JavaScript führt zu einer Speicherverletzung, durch die ein Angreifer beliebigen Code auf dem betroffenen Rechner ausführen kann. Ein Fehler in Mozillas GIF-Image-Parser lässt sich zudem für einen Heap Overflow ausnutzen.
Update bekommt man wie gewohnt unter dem AUS oder manuell anstossen unter :
Hilfe > Nach updates Suchen ….
Die Vollversion kann man unter mozilla kostenlos HIER downloaden.
Auch der MG Browser ( fuer das Online game Monstersgame.de ) der auf den Firefox Basiert steht in Version 15.1.0 ( Base on 3.0.x ) und 3.5.1.0 ( Base on 3.5.x ) zum download bereit.
diesen kann man kostenlos hier herunterladen :
Firefox 3.5 MG Edition Portable
Firefox 3.x MG Edition Portable
