Adobe hat heute ein Update für den Reader und Acrobat veröffentlicht, mit dem 17 Sicherheitslücken geschlossen werden. Sie lassen sich alle zum Einschleusen und Ausführen von Code missbrauchen.
Eine der gefährlichsten Lücken kann bereits ausgenutzt werden, wenn man mit einem fehleranfälligen Reader-Plug-In eine speziell präparierte Website besucht.
Opera hat Version 10.54 seines Browsers vorgelegt, um vier Sicherheitslücken zu schließen, von denen der Hersteller eine als extrem gefährlich und eine weitere als hoch gefährlich einstuft. Details dazu will das norwegische Unternehmen erst zu einem späteren Zeitpunkt veröffentlichen, um seine Anwender so lange zu schützen, bis der Großteil auf die neue Version gewechselt ist. Opera empfiehlt, das Update so schnell wie möglich durchzuführen.
Quelle : heise.de
Die kommende MySQL-Version 5.1.47 von Oracle soll mehrere wichtige Sicherheitspatches enthalten. Laut Changelog haben die Entwickler drei Sicherheitslücken geschlossen, durch die Angreifer den Server zum Absturz bringen, unbefugten Datenbankzugriff erlangen und schlimmstenfalls beliebigen Schadcode einschleusen und vom Server ausführen lassen könnten. Exakte Versionsangaben zu betroffenen Releases machen die Entwickler nicht.
Der erste Fehler entsteht laut Changelog durch die unzureichende Prüfung des Tabellennamenarguments des COM_FIELD_LIST-Kommandos, sodass ein Angreifer mit DELETE oder SELECT-Rechten in MySQL seit Version 5.1 auf eine beliebige Tabelle unbefugten Lese- und Schreibzugriff auf andere Tabellen tätigen kann.
quelle : heise.de
Adobe hat einen Patch für die Programme Reader und Acrobat veröffentlicht, der insgesamt 15 Sicherheitslücken beseitigt. Im schlimmsten Fall konnte ein Angreifer darüber beliebigen Schadcode ausführen.
Mit dem Update führt Adobe auch die Softwareaktualisierungen im Hintergrund ein. Zukünftig werden neue Programmversionen ohne Rückfrage im Hintergrund installiert. Damit soll verhindert werden, dass viele Privatanwender eine alte und damit anfällige Software-Iteration installiert haben. Auf Wunsch kann man dieses Feature in den Optionen aber auch deaktivieren.
Neue Varianten sind ab rund 500 Dollar im Internet erhältlich. Kriminelle können damit ein Botnetz aufbauen und weitere Schadprogramme nachinstallieren. Der Trojaner tarnt sich als Word-Systemdatei.
Der russische Sicherheitsexperte Doctor Web hat eine Warnung vor Trojan.Oficla ausgesprochen. Die Verbreitungswelle dieser Schadsoftware habe im März ihren bisherigen Höhepunkt erreicht: Sie befällt zur Zeit mehr als 200.000 PCs pro Woche – auch aufgrund eines einfachen Geschäftsmodells.
Trojan.Oficla, der auch als myLoader bekannt ist, verbreite sich über Spam-Mails und Sicherheitslücken von Webbrowsern, schreiben die Sicherheitsforscher. Der Trojaner infiziere den PC und verstecke sich in dem Prozess winword.exe, wenn Microsoft Word installiert ist. So täusche er zahlreiche Antivirensysteme.
quelle : zdnet.de, Hier klicken um den vollen Artikel zu lesen.
Am Dienstag findet der allmonatliche Microsoft Patch-Day statt. Nachdem im vergangenen Monat 26 Schwachstellen aus der Welt geschafft wurden, wird der Softwarekonzern in diesem Monat lediglich zwei Sicherheitslücken schließen.
Zwei Updates für Microsoft Office und Windows werden am nächsten Dienstag erscheinen. Die Microsoft-Entwickler stufen diese Schwachstellen als “wichtig” ein. Beim Patch-Day in diesem Monat wird keine als “kritisch” eingestufte Lücke geschlossen.
….
Eine Anfang dieser Woche bekannt gewordene Schwachstelle im Internet Explorer wird im Zuge dieses Patch-Days noch nicht geschlossen.
quelle : winfuture.de
Am kommenden Dienstag ist wieder Patch-Day bei Microsoft. Stolze 26 Sicherheitslücken will der Konzern aus Redmond an diesem Tag schließen, darunter auch ein 17 Jahre altes Problem unter Windows.
Insgesamt 13 Security Bulletins sind geplant, von denen fünf als kritisch eingestuft werden. 11 davon adressieren Probleme in Windows, die restlichen zwei beschäftigen sich mit Office. Dabei sind allerdings nur ältere Versionen betroffen. Das aktuelle Office 2007 sowie Office 2008 für den Mac werden kein Update erhalten.
Auch die im Januar entdeckte Sicherheitslücke in allen 32Bit-Versionen von Windows, die bereits seit 17 Jahren existiert, wird gestopft. Die Sicherheitslücke befindet sich in der 1993 eingeführten Virtual DOS Machine (VDM), mit der 16Bit-Anwendungen ausgeführt werden können.
achdem Microsoft in der letzten Woche eine kritische Sicherheitslücke im Internet Explorer außerplanmäßig gepatcht hat, steht bereits das nächste Problem an. Ein Sicherheitsexperte hat neue Lücken entdeckt, die für Angriffe ausgenutzt werden können.
Die Sicherheitsexperten von Core Security Technologies haben bekannt gegeben, dass sie eine Reihe von Sicherheitslücken entdeckt haben, die kombiniert werden können, um aus der Ferne Zugriff auf einen Rechner zu erhalten. “Es gibt drei oder vier Wege diese Attacke auszuführen”, sagte Jorge Luis Alvarez Medina von Core Security gegenüber ‘Reuters’.
quelle : winfuture.de, Hier klicken um den vollen Artikel zu lesen.
Bei dem Notfall-Update für den Internet Explorer handelt es sich um einen Sammel-Patch, der insgesamt gleich acht verschiedene Sicherheitslücken entschärfen soll. Die sicherlich wichtigste ist der Fehler in der Speicherverwaltung, der für gezielte Einbrüche bei Firmen wie Google ausgenutzt wurde und zu dem passender Exploit-Code auch bereits im Internet kursiert.
Darüber hinaus behebt Microsoft mindestens vier weitere Probleme, für die demnächst wohl Schadcode auftauchen wird.
Die Sicherheitsprobleme betreffen alle Versionen des Internet Explorer auf allen Windows-Versionen, einschließlich Internet Explorer 8 auf Windows 7.
quelle : heise.de, Hier klicken um den vollen Artikel zu lesen.
Während noch alle Welt von Lücken im Internet Explorer und Flash redet, beseitigt Adobe schnell mal eben und ohne Vorwarnung zwei kritische Sicherheitslücken in Shockwave, über die Angreifer Code einschleusen und ausführen könnten. Betroffen sind sowohl die Windows als auch die Mac-Versionen von Shockwave bis einschließlich 11.5.2.602.
Die Fehler wurden offenbar von Sicherheitsexperten bei Secunia entdeckt , die das Problem als “höchst kritisch” einstufen. Als Update-Prozedur empfiehlt der Hersteller, zunächst die alte Version zu deinstallieren, den Rechner neu zu starten und dann erst die neue Version 11.5.6.606 einzuspielen.
quelle : heise.de, Hier klicken um den vollen Artikel zu lesen.
