Schlagwort-Archive: Schwachstelle

Allgemein, Sicherheit, Verschiedenes

Notfall-Patch schließt kritische Flash-Lücken außer der Reihe

Ein Kommentar

Adobe hat wie angekündigt einen Notfall-Patch (Version 10.3.183.10) für den Flash-Player veröffentlicht, der einige kritische Lücken schließt. Der Hersteller muss außerplanmäßig reagieren, da eine der Schwachstellen bereits aktiv für Angriffe ausgenutzt wird: Durch die Cross-Site-Scripting-Lücke können Angreifer die Same-Origin-Policy umgehen und so etwa auf das Webmailkonto des Opfers zugreifen oder seine Cookies stehlen. Hierzu muss der Angreifer sein Opfer lediglich auf eine präparierte Webseite locken.

Zu den übrigen fünf Lücken macht Adobe nur spärliche Angaben. Durch vier der Lücken kann ein Angreifer aus der Ferne Schadcode ins System schleusen, unter anderem durch zwei Stack-Overflow-Fehler. Durch die sechste Lücke gelangt der Angreifer an Informationen, auf die er keinen Zugriff haben dürfte (Information Disclosure).

Flash ist bis Version 10.3.183.7 unter allen Desktop-Betriebssystemen verwundbar. Unter Android sind alle Versionen einschließlich 10.3.186.6 angreifbar, die fehlerbereinigte Version trägt die Versionsnummer 10.3.186.7. Den in Chrome integrierten Flash-Player hat Google bereits vor zwei Tagen mit dem Update auf Chrome 14.0.835.186 auf den aktuellen Stand gebracht. Die derzeit installierte Version des Flash-Player kann man bei Adobe in Erfahrung bringen.

Quelle: Heise.de

Firefox user koennen hier : Überprüfen Sie Ihre Plugins anschauen welche Plugins Aktualisiert werden muessen.

Share

Beiträge die Sie auch interessieren Könnten:

Allgemein, Facebook, Sicherheit, Verschiedenes

40.000 Dollar für gefundene Lücken bei Facebook

Ein Kommentar

Der Sicherheitschef von Facebook, Joe Sullivan, hat sich über den offiziellen Blog im Zusammenhang mit dem kürzlich gestarteten “Bug Bounty Program” mit einer positiven Zwischenbilanz zu Wort gemeldet.

Vor wenigen Wochen kündigen die Betreiber des weltgrößten Social Networks an, Nutzer mit einem gewissen Geldbetrag belohnen zu wollen, sofern diese auf mögliche Sicherheitslücken oder Schwachstellen aufmerksam werden und das Unternehmen darüber informieren.

Quelle : winfuture.de

Share

Beiträge die Sie auch interessieren Könnten:

Allgemein, Sicherheit, Verschiedenes

Neue Sicherheitslücke wurde im “ePerso” entdeckt

Schreibe einen Kommentar

Der Sicherheitsexperte Jan Schejbal macht erneut auf eine weitere Schwachstelle im elektronischen Personalausweis (ePerso) aufmerksam. Ein Angreifer könnte unter Umständen Zugriff auf den ePerso erlangen, schreibt Schejbal.

Möglicherweise könnte ein Angreifer den elektronischen Personalausweis eines Opfers im Netz dazu verwenden, um sich selbst damit auszuweisen und diesen letztlich für eigene Zwecke nutzen. Mit der Hilfe einer gefälschten Ausweis-Anwendung in Verbindung mit einer entsprechend vorbereiteten Webseite könnte das angesprochene Vorhaben in die Tat umgesetzt werden.

Ferner könnte ein Angreifer mit der Hilfe eines Lesegeräts auch an den Personalausweis der Opfer selbst gelangen. Zu diesem Zweck setzt Schejbal auf die Möglichkeiten des Browser-Plugins namens OWOK. Damit können Webseiten auf das jeweilige Lesegerät zugreifen. Seinen Informationen zufolge könnten auch weitere Plugins betroffen sein.

Um die Lücke demonstrieren zu können, hat Schejbal eine spezielle Webseite gestartet. Um in einen abgesonderten FSK-21-Bereich kommen zu können, müssen die Besucher im ersten Schritt dazu einwilligen, dass die Webseite auf den Chipkartenleser zugreifen darf. Auf diesem Wege soll die Altersverifikation erfolgen.

Quelle : winfuture.de

Share

Beiträge die Sie auch interessieren Könnten:

Allgemein, Sicherheit, Verschiedenes

eBay: Kritische Cross-Site-Scripting-Lücke gefunden

Schreibe einen Kommentar

Auf einer Unterseite der Online-Auktionsplattform eBay wurde ein URL-Parameter kürzlich bekannt gewordenen Informationen zufolge nur unzureichend geprüft. Dadurch ergab sich eine kritische XSS-Lücke.

Ein Angreifer hätte durch das erfolgreiche Ausnutzen dieser Schwachstelle möglicherweise fremde eBay-Konten übernehmen können. Zu diesem Zweck musste man zunächst in den Besitz der zugehörigen Cookies kommen. Angeblich konnten Links erstellt werden, bei denen im Kontext der offiziellen eBay-Domain beliebiger JavaScript-Code ausgeführt wurde.

Daniel Sparka wurde auf diese Problematik aufmerksam und hat sich nicht nur an ‘Heise Security’ mit diesem Thema gewendet, sondern auch eBay selbst darüber informiert. Von den Betreibern der Plattform erhielt er allerdings lediglich den Hinweis, die temporären Dateien in seinem Browser zu löschen. Ganz offensichtlich wurde der eingesendete Tipp in diesem Fall falsch verstanden.

Quelle : winfuture.de

Share

Beiträge die Sie auch interessieren Könnten:

Allgemein, Sicherheit

Microsoft Patch-Day: 13 Updates gegen 22 Lücken

Schreibe einen Kommentar

Microsoft hat für den kommenden Dienstag, den allmonatlichen Patch-Day, die Veröffentlichung von 13 Sicherheitsupdates angekündigt, mit denen man insgesamt 22 Lücken in verschiedenen Softwareprodukten beseitigen will.

Die Updates betreffen unter anderem die Desktop- und Server-Versionen von Windows, den Internet Explorer, Visual Studio und Visio. Vier von ihnen werden als “kritisch” eingestuft, während neun als “wichtig” und zwei als “moderat” gekennzeichnet sind.

Das Update für den Internet Explorer ist wohl das Wichtigste unter den für Dienstag zu erwartenden Patch-Paketen. Es erscheint zweimonatlich, gilt als “kritisch” und betrifft alle aktuell noch unterstützten Versionen des Microsoft Browsers, also Internet Explorer 6, 7, 8 und 9 unter Windows XP bis Windows 7. Das Update schließt unter anderem eine Schwachstelle, unter deren Nutzung sich ein Angreifer die Kontrolle über den PC des Anwenders verschaffen könnte.

Share

Beiträge die Sie auch interessieren Könnten:

Allgemein, Facebook, Sicherheit, Verschiedenes

Facebook: Prämien für gefundene Sicherheitslücken

Schreibe einen Kommentar

Die Betreiber des Social Networks Facebook haben sich ähnlich wie Google und Mozilla dazu entschlossen, ein Belohnungssystem für ausfindig gemachte Sicherheitslücken zu starten. Ein Leitfaden wurde bereits veröffentlicht.

Den veröffentlichten Informationen zufolge will Facebook künftig 500 US-Dollar an die Entdecker von Schwachstellen im hauseigenen System bezahlen. In bestimmten Fällen will man auch mehr als diese Summe bezahlen, teilten die Betreiber des Sozialen Netzwerks mit.

Quelle : winfuture.de

Share

Beiträge die Sie auch interessieren Könnten:

Allgemein, Sicherheit, Verschiedenes

Nach Patch-Day: Lücke im IE wird ausgenutzt

Schreibe einen Kommentar

Nachdem Microsoft in der letzten Wochen im Rahmen des monatlichen Patch-Days 11 Sicherheitslücken im Internet Explorer geschlossen hat, kursiert nun ein erster Exploit, der von einer der geschlossenen Schwachstellen Gebrauch macht.

Symantec erklärte am Wochenende, dass die Sicherheitslücke mit der Bezeichnung CVE 2011-1255 ausgenutzt wird. Bislang geschieht dies nur in einem limitierten Rahmen. Laut den Sicherheitsexperten wird von dem Exploit nur bei gezielten Angriffen Gebrauch gemacht. Groß angelegte Attacken konnte man noch nicht registrieren, schreibt der Symantec-Mitarbeiter Joji Hamada in einem Blog-Beitrag.

Quelle: winfuture.de

Share

Beiträge die Sie auch interessieren Könnten:

Allgemein, Sicherheit, Verschiedenes

Patch-Day: Nur zwei Updates im Januar geplant

2 Kommentare

Microsoft hat angekündigt, dass im Rahmen des Patch-Days im Januar nur zwei Security Bulletins veröffentlicht werden. Ein bekanntes Sicherheitsleck im Internet Explorer, das bereits für Aufsehen sorgte, wird wohl nicht geschlossen.

Die beiden Aktualisierungen, die Microsoft am nächsten Dienstag über seine Update-Dienste verteilen wird, nehmen sich lediglich Windows-Komponenten vor. Ein Patch wird ausschließlich für Windows Vista zur Verfügung stehen, der zweite wird für alle unterstützten Windows-Versionen angeboten. Das Problem in Vista stuft Microsoft als “mittel” ein, die zweite Schwachstelle ist “kritisch”.

Quelle : winfuture.de

Share

Beiträge die Sie auch interessieren Könnten:

Allgemein, Sicherheit, Verschiedenes

Lücke im VLC Media Player

Schreibe einen Kommentar

Virtual Security Research (VSR) hat im VLC Media Player eine Schwachstelle ausgemacht. Im VLC Media Player bis Version 1.1.5 kann über präparierte Dateien Code eingeschleust werden, die im Demultiplexer einen Pufferüberlauf verursachen. Anwender müssen dazu explizit die präparierte Datei öffnen. Bis Patches für die Player-Versionen erscheinen, sollten Anwender deshalb keine Files aus unbekannten Quellen öffnen.

Quelle : heise.de

Share

Beiträge die Sie auch interessieren Könnten:

Allgemein, Sicherheit, Verschiedenes

Microsoft warnt vor kritischer IE-Lücke

Schreibe einen Kommentar

Wer an den bevorstehenden Feiertagen mit dem Internet Explorer im Netz unterwegs ist, muss Vorsicht walten lassen: Durch eine kritische Sicherheitslücke im IE, für die seit Kurzem auch ein Exploit kursiert, kann man seinen Rechner beim Besuch einer verseuchten Webseite mit Schadcode infizieren. Jetzt warnt auch Microsoft in einem Advisory vor der Gefahr und bestätigt die Berichte, nach denen die Internet-Explorer-Versionen 6 bis 8 unter sämtlichen Windows-Ausgaben verwundbar sind.

Der Exploit nutzt eine Schwachstelle bei der Verarbeitung des @import-Tags in Cascading Style Sheets (CSS), um Datenausführungsverhinderung (DEP) und Adress Space Layout Randomisation (ASLR) zu überwinden. Als Workaround empfiehlt der Hersteller, den Prozess iexplore.exe mit dem kostenlosen Sicherheitstool EMET abzuhärten. Einen ausführlichen Hintergrundartikel finden Sie hierzu bei heise Security. Ein Patch ist derzeit in Arbeit, jedoch will sich Microsoft noch nicht festlegen, ob dieser außer der Reihe oder erst am nächsten Patchday erscheint.

Quelle heise.de

Share

Beiträge die Sie auch interessieren Könnten: