Schlagwort-Archive: Schwachstelle

Allgemein, Sicherheit, Verschiedenes

Java 6 Update 17 schließt mehrere Sicherheitslücken

Schreibe einen Kommentar

Sun hat Java 6 Update 17 veröffentlicht, das unter anderem mehrere Sicherheitslücken schließt. Dazu gehören diverse von präparierten Audio- und Bilddateien provozierte Buffer- und Integer Overflows, durch die ein Java-Applet oder eine “Java Web Start”-Anwendung an höhere Zugriffsrechte auf einem System erlangen und so etwa das System infizieren kann. Durch einen Fehler im “Java Web Start”-Installer kann es passieren, dass eine nicht vertrauenswürdige Web-Start-Anwendung trotzdem als vertrauenswürdig startet und somit höhere Rechte als erlaubt erhält. Eine Schwachstelle im Java Runtime Environment Deployment Toolkit führt dazu, dass eine Webseite Code in ein System schleusen und starten kann.

Darüber hinaus hat Sun eine Schwachstelle beim Verifizieren vom HMAC-Digests entfernt, durch die sich etwa digitale Signaturen fälschen ließen.

quelle : heise.de, hier klicken um den vollen Artikel zu lesen.

Eine java Versionspruefung kann man HIER machen unter “Habe ich Java bereits?

Share

Beiträge die Sie auch interessieren Könnten:

Allgemein, Sicherheit, Verschiedenes

Adobe schließt Sicherheitslücken im Shockwave Player

Schreibe einen Kommentar

Mit dem Update auf Version 11.5.2.602 behebt das Unternehmen fünf kritische Schwachstellen. Sie ermöglichen das Ausführen von Schadcode auf Windows- und Mac-Systemen. Betroffen sind alle Versionen bis einschließlich 11.5.1.601.

Adobe hat ein Update für seinen Shockwave Player veröffentlicht, das insgesamt fünf kritische Sicherheitslücken schließt. Die Schwachstellen betreffen Version 11.5.1.601 sowie frühere Ausgaben des Programms.

quelle : zdnet.de, Hier klicken um den vollen Artikel zu lesen.

Share

Beiträge die Sie auch interessieren Könnten:

Allgemein, Sicherheit, Verschiedenes

Typo3-Update schließt zahlreiche kritische Lücken

Schreibe einen Kommentar

Die Typo3 -Entwickler haben die Versionen 4.1.13, 4.2.10 und 4.3beta2 zum Download bereit gestellt, in denen insgesamt neun Sicherheitslücken und Schwachstellen beseitigt sind. Unter den Problemen finden sich Cross-Site-Scripting-Schwachstellen, SQL-Injection-Lücken und Möglichkeiten, Schutzfunktionen auszuhebeln und Daten auszuspähen.

Die (technisch) kritischste Lücke findet sich in der Verarbeitung
hochgeladener Dateien, durch die ein Redakteur mittels präparierter
Dateinamen laut Bericht eigene Befehle an die Shell des Systems
übergeben und starten kann. Dazu muss der Redakteur allerdings am
System angemeldet sein – auch bei den SQL-Injection-Lücken muss man am
System angemeldet sein. Zudem funktioniert der Angriff auf die Shell
nur, wenn die Dateien über Erweiterungsmodule anderer Hersteller oder
per FTP hochgeladen werden.

quelle : heise.de, Hier klicken um den vollen Artikel zu lesen.

Share

Beiträge die Sie auch interessieren Könnten:

Allgemein, Verschiedenes

Microsoft kündigt 13 Sicherheitsupdates für Oktober an

Schreibe einen Kommentar
Acht davon sind als “kritisch” eingestuft. Insgesamt schließen sie 34 Sicherheitslücken. Microsoft stopft unter anderem die bekannten Löcher im SMB2-Treiber und im FTP-Dienst der Internet Information Services.

Microsoft hat für seinen Oktober-Patchday am kommenden Dienstag 13 Sicherheitsupdates angekündigt. Acht davon stuft der Softwareanbieter als kritisch ein. Insgesamt sollen sie 34 Sicherheitslücken schließen, drei mehr als beim Rekord-Patchday im Juni.

Einer Vorankündigung des Microsoft Security Response Center (MSRC) zufolge stopft das Unternehmen in diesem Monat die schon bekannten Löcher im Server-Message-Block-2-Treiber und im FTP-Dienst der Internet Information Services. Darüber hinaus beseitigen die geplanten Updates Schwachstellen in Windows, Internet Explorer, Office, Silverlight, Forefront, Developer Tools und SQL Server. Die meisten Patches erfordern nach der Installation einen Neustart.Das neue Windows 7 ist bloß von einem kritischen Problem betroffen.

Zuletzt hatte Microsoft im Februar 2007 und im Oktober 2008 zwölf Security Bulletins angekündigt. Die jetzt angekündigten 13 Sicherheitsupdates stellen somit einen neuen Rekord dar. Detailierte Informationen zu den Sicherheitslücken wird es erst am Patch-Day geben.

Wie jeden Monat wird auch das Tool zum Entfernen bösartiger Software aktualisiert und mit dem patchay bereitgestellt.

Share

Beiträge die Sie auch interessieren Könnten:

Allgemein, Verschiedenes

Gefälschtes PayPal-Zertifikat täuscht IE, Chrome und Safari

Schreibe einen Kommentar

Ein auf der Sicherheitsmailing-Liste Full Disclosure veröffentlichtes SSL-Trickzertifikat für www.paypal.com und der dazugehörige private Schlüssel dürften Microsoft, Google und Apple in Zugzwang bringen, nun endlich Updates zum Beseitigen der NULL-Prefix-Schwachstelle zu veröffentlichen. Phisher können das Zertifikat etwa für Phishing-Angriffe ausnutzen und ihren Server als legitimen Bankserver ausgeben – was erst bei genauerer Prüfung des Zertifikats auffliegen würde. Aber auch Man-in-the-Middle-Angriffe im LAN funktionieren damit problemlos.

Durch Einfügen eines Nullzeichens in den Common Name des Zertifikats lesen verwundbare Browser die Zeichenkette nur bis zum Erreichen dieses Zeichens, obwohl das Zertifikat eigentlich für eine andere Domain ausgestellt ist. Der Browser glaubt im vorliegenden Fall, ein gültiges Zertifikat für www.paypal.com zu erkennen. Die Lücke ist seit mehreren Wochen in diversen Browsern bekannt. Bislang fallen von den populären Browsern nur Firefox und Opera nicht auf den Trick herein.

quelle : heise.de, Hier klicken um den vollen Artikel zu lesen.

Share

Beiträge die Sie auch interessieren Könnten:

Allgemein, Verschiedenes

Sicherheitslücken in VLC und FFmpeg

Schreibe einen Kommentar

Die Entwickler des VLC media player haben die Version 1.0.2 im Quellcode veröffentlicht, die mehrere kritische Sicherheitslücken schließt. So lassen sich in den Demuxer-Plug-ins für MP4, ABVI und ASF mit präparierten Mediadateien Buffer Overflows provozieren und darüber Code einschleusen und starten. Neben dem Update stehen auch Patches im Repository bereit. Alternativ schlagen die Entwickler als Workaround vor, die betroffenen Plug-ins libmp4_plugin.*, libavi_plugin.* und libasf_plugin.* manuell im Installationsverzeichnis zu löschen – ohne das AVI-Plug-in dürfte jedoch bei den meisten Anwendern kaum Freude aufkommen.

Darüber hinaus hat der Sicherheitsdienstleister Secunia auf mehrere Schwachstellen in FFmpeg, einer freien Tool- und Bibliothekssammlung zum Verarbeiten digitaler Video- und Audiodaten hingewiesen.

quelle : heise.de, Hier klicken um den vollen Artikel zu lesen.

Share

Beiträge die Sie auch interessieren Könnten:

Allgemein, Verschiedenes

Kritische Lücken in allen Windows-Versionen geschlossen

Schreibe einen Kommentar

Microsofts Ankündigung, im September fünf Patch-Pakete zu veröffentlichen, hat sich bewahrheitet: fünfmal Schadcodeausführung übers Netz in Windows, fünfmal ist die Einstufung kritisch. Im Einzelnen betreffen die Updates die JScript-Engine, die unter anderem die Ausführung von JavaScript-Code im Internet Explorer übernimmt, den automatischen Konfigurationsdienst für WLAN-Netzwerke, mehrere Schwachstellen in den Bibliotheken für das Windows-Media-Format WMF, eine Verwundbarkeit im TCP/IP-Netzwerk-Stack, sowie das ActiveX-Control zum Editieren von DHTML-Inhalten.

quelle : heise.de, Hier klicken um den vollen Artikel zu lesen.

Share

Beiträge die Sie auch interessieren Könnten:

Allgemein, Verschiedenes

Patch-Day: Microsoft will schwere IE-Lücke schließen

Schreibe einen Kommentar

Microsoft will die erste vor wenigen Tagen bestätigte schwerwiegende Lücke in einem Video-Kontrollelement von ActiveX, die für so genannte “Browse-And-Attack”-Angriffe ausgenutzt werden kann, am bevorstehenden Patch-Day schließen.

Insgesamt sollen am kommenden Dienstag sechs Security Bulletins veröffentlicht werden, die eine bisher noch nicht bekannte Zahl von Schwachstellen beseitigen. Drei der Updates werden als “kritisch” eingestuft und betreffen Windows. Eines davon soll Probleme in Windows Vista und Windows Server 2008 beseitigen.

quelle: winfuture.de, Hier klicken um den vollen Artikel zu lesen.

Share

Beiträge die Sie auch interessieren Könnten:

Allgemein, Verschiedenes

Microsoft bestätigt Sicherheitslücke im Internet Explorer

Schreibe einen Kommentar

Sie tritt unter Windows XP und Windows Server 2003 auf. Die Schwachstelle beruht auf einem Fehler in einer Programmbibliothek des Video-ActiveX-Control. Microsoft hat einen Workaround bereitgestellt.

Microsoft hat die gestern gemeldete Sicherheitslücke im Internet Explorer 6 und 7 unter Windows XP und Windows Server 2003 bestätigt. Einem Support-Artikel zufolge sind Windows 2000, Vista und Server 2008 nicht betroffen.

Gestern hatten Finjan und McAfee vor der Zero-Day-Lücke gewarnt. Sie wird vor allem durch in China gehostete Websites aktiv ausgenutzt.

quelle : zdnet.de, HIER klicken um den vollen Artikel zu lesen.

Share

Beiträge die Sie auch interessieren Könnten:

Allgemein, Verschiedenes

Hacker verbreiten falsche Todesnachrichten auf Twitter

Schreibe einen Kommentar

Auslöser ist eine Sicherheitslücke in Twitpic. Twitter-Nutzer können über den Dienst Bilder auf dem Mikroblog veröffentlichen. Die Schwachstelle wurde inzwischen geschlossen.

Hacker haben eine Lücke in Twitpic ausgenutzt, um die Kontrolle über Twitter-Konten von Prominenten zu übernehmen. Wie Mashable berichtet, haben sie die Schwachstelle genutzt, um falsche Todesmeldungen von Britney Spears, Ellen DeGeneres, Jeff Goldblum und P. Diddy auf Twitter zu veröffentlichen.

Twitpic ist ein Dienst eines Drittanbieters, mit dem Twitter-Nutzer Bilder austauschen und auf dem Mikroblogging-Dienst veröffentlichen können. Dafür müssen sie eine E-Mail mit einem Foto unter Angabe einer vierstelligen PIN verschicken.

Das Unternehmen hat die Schwachstelle nach eigenen Angaben am Montag geschlossen.

quelle : zdnet.de, HIER klicken um den vollen Artikel zu lesen.

Share

Beiträge die Sie auch interessieren Könnten: