Schlagwort-Archive: verwundbar

Patches außer der Reihe: Adobe dichtet ColdFusion ab

Adobe stopft vier Sicherheitslücken in ColdFusion, LiveCycle Data Services und Premiere Clip. Exploits sollen noch nicht im Umlauf sein.

Adobes ColdFusion 10 bis zum Update 17 und ColdFuison 11 bis zum Update 6 sind für alle verfügbaren Plattformen verwundbar. Angreifer können zwei Lücken (CVE-2015-8052 und CVE-2015-8053) für XSS-Attacken missbrauchen. Das Update 7 und 18 stehen zum Download bereit.

Quelle und vollstaendiger Artikel : Heise.de / Zum Artikel

 
 

 
 

Share

Notfall-Patch schließt kritische Flash-Lücken außer der Reihe

Adobe hat wie angekündigt einen Notfall-Patch (Version 10.3.183.10) für den Flash-Player veröffentlicht, der einige kritische Lücken schließt. Der Hersteller muss außerplanmäßig reagieren, da eine der Schwachstellen bereits aktiv für Angriffe ausgenutzt wird: Durch die Cross-Site-Scripting-Lücke können Angreifer die Same-Origin-Policy umgehen und so etwa auf das Webmailkonto des Opfers zugreifen oder seine Cookies stehlen. Hierzu muss der Angreifer sein Opfer lediglich auf eine präparierte Webseite locken.

Zu den übrigen fünf Lücken macht Adobe nur spärliche Angaben. Durch vier der Lücken kann ein Angreifer aus der Ferne Schadcode ins System schleusen, unter anderem durch zwei Stack-Overflow-Fehler. Durch die sechste Lücke gelangt der Angreifer an Informationen, auf die er keinen Zugriff haben dürfte (Information Disclosure).

Flash ist bis Version 10.3.183.7 unter allen Desktop-Betriebssystemen verwundbar. Unter Android sind alle Versionen einschließlich 10.3.186.6 angreifbar, die fehlerbereinigte Version trägt die Versionsnummer 10.3.186.7. Den in Chrome integrierten Flash-Player hat Google bereits vor zwei Tagen mit dem Update auf Chrome 14.0.835.186 auf den aktuellen Stand gebracht. Die derzeit installierte Version des Flash-Player kann man bei Adobe in Erfahrung bringen.

Quelle: Heise.de

Firefox user koennen hier : Überprüfen Sie Ihre Plugins anschauen welche Plugins Aktualisiert werden muessen.

Share

Microsoft warnt vor kritischer IE-Lücke

Wer an den bevorstehenden Feiertagen mit dem Internet Explorer im Netz unterwegs ist, muss Vorsicht walten lassen: Durch eine kritische Sicherheitslücke im IE, für die seit Kurzem auch ein Exploit kursiert, kann man seinen Rechner beim Besuch einer verseuchten Webseite mit Schadcode infizieren. Jetzt warnt auch Microsoft in einem Advisory vor der Gefahr und bestätigt die Berichte, nach denen die Internet-Explorer-Versionen 6 bis 8 unter sämtlichen Windows-Ausgaben verwundbar sind.

Der Exploit nutzt eine Schwachstelle bei der Verarbeitung des @import-Tags in Cascading Style Sheets (CSS), um Datenausführungsverhinderung (DEP) und Adress Space Layout Randomisation (ASLR) zu überwinden. Als Workaround empfiehlt der Hersteller, den Prozess iexplore.exe mit dem kostenlosen Sicherheitstool EMET abzuhärten. Einen ausführlichen Hintergrundartikel finden Sie hierzu bei heise Security. Ein Patch ist derzeit in Arbeit, jedoch will sich Microsoft noch nicht festlegen, ob dieser außer der Reihe oder erst am nächsten Patchday erscheint.

Quelle heise.de

Share

Release Candidate von VLC 1.1 dekodiert H.264-Videos im Grafik-Chip

Das VideoLAN-Projekt hat den Release Candidate des Video-Players VLC 1.1 mit dem Code-Namen “The Luggage” veröffentlicht. Neu in VLC 1.1 ist unter anderem die Möglichkeit, H.264, VC-1/WMV und MPEG-Videos unter Windows und unter Linux direkt vom Grafik-Chip dekodieren zu lassen. Unter Windows nutzt der VLC media player dazu DirectX Video Acceleration  (DxVA2), unter Linux die Video Acceleration API (VAAPI).

Durch die bevorstehende Veröffentlichung von VLC 1.1 wird die aktuelle Version 1.0.6 wohl nicht mehr für Windows und für Linux erscheinen. Dem Projekt fehlt es an Freiwilligen, die sich um das Packaging von VLC für Windows und Mac OS kümmern. Daher sind Windows- und Mac-Nutzer nach wie vor auf die verwundbare Version 1.0.5 angewiesen. Die Entwickler raten, auf den gerade veröffentlichten Release Candidate auszuweichen.

quelle : heise.de

Share

Lücke im Internet Explorer: Gute und schlechten Nachrichten

US-Medienberichten zufolge will Microsoft noch in dieser Woche einen Emergency Patch veröffentlichen, der die für Angriffe auf Unternehmen wie Google ausgenutzte Lücke im Internet Explorer schließen soll. Derzeit führen die Redmonder noch eine Qualitätssicherung des Patches durch.

Bleibt zu hoffen, dass die Redmonder die Ankündigung wahr machen, denn die Einschläge kommen näher. Mehrere Berichte von Sicherheitsspezialisten widersprechen nämlich Microsofts IE-Verwundbarkeitsmatrix, wonach eigentlich nur Anwender des Internet Explorer 6 unter Windows 2000 und XP besonders gefährdet seien. Microsoft empfiehlt aktuell, auf den Internet Explorer 8 zu wechseln, da dieser zwar die Lücke aufweise, diese dort aufgrund der aktivierten Datenausführungsverhinderung (DEP) nicht ausnutzbar sei.

Dies trifft zwar für den zuerst veröffentlichten Exploit zu. Der Browserspezialist Dino Dai Zovi hat jedoch nach eigenen Angaben einen Exploit entwickelt, der auch mit dem Internet Explorer 7 unter Vista funktioniert.

quelle : heise.de, Hier klicken um den vollen Artikel zu lesen.

Share

Gefälschtes PayPal-Zertifikat täuscht IE, Chrome und Safari

Ein auf der Sicherheitsmailing-Liste Full Disclosure veröffentlichtes SSL-Trickzertifikat für www.paypal.com und der dazugehörige private Schlüssel dürften Microsoft, Google und Apple in Zugzwang bringen, nun endlich Updates zum Beseitigen der NULL-Prefix-Schwachstelle zu veröffentlichen. Phisher können das Zertifikat etwa für Phishing-Angriffe ausnutzen und ihren Server als legitimen Bankserver ausgeben – was erst bei genauerer Prüfung des Zertifikats auffliegen würde. Aber auch Man-in-the-Middle-Angriffe im LAN funktionieren damit problemlos.

Durch Einfügen eines Nullzeichens in den Common Name des Zertifikats lesen verwundbare Browser die Zeichenkette nur bis zum Erreichen dieses Zeichens, obwohl das Zertifikat eigentlich für eine andere Domain ausgestellt ist. Der Browser glaubt im vorliegenden Fall, ein gültiges Zertifikat für www.paypal.com zu erkennen. Die Lücke ist seit mehreren Wochen in diversen Browsern bekannt. Bislang fallen von den populären Browsern nur Firefox und Opera nicht auf den Trick herein.

quelle : heise.de, Hier klicken um den vollen Artikel zu lesen.

Share

Kritische Lücken in allen Windows-Versionen geschlossen

Microsofts Ankündigung, im September fünf Patch-Pakete zu veröffentlichen, hat sich bewahrheitet: fünfmal Schadcodeausführung übers Netz in Windows, fünfmal ist die Einstufung kritisch. Im Einzelnen betreffen die Updates die JScript-Engine, die unter anderem die Ausführung von JavaScript-Code im Internet Explorer übernimmt, den automatischen Konfigurationsdienst für WLAN-Netzwerke, mehrere Schwachstellen in den Bibliotheken für das Windows-Media-Format WMF, eine Verwundbarkeit im TCP/IP-Netzwerk-Stack, sowie das ActiveX-Control zum Editieren von DHTML-Inhalten.

quelle : heise.de, Hier klicken um den vollen Artikel zu lesen.

Share

Schadcode greift aeltere WordPress-Blogs an

Der WordPress-Gründer Matt Mullenweg warnt in Form von einem Blogeintrag vor Attacken auf die beliebte und häufig eingesetzte Blogsoftware. Angeblich gehen die Angriffe von einem Wurm aus.

Ziel dieses Unterfangens sind veraltete und ungepatchte Versionen von WordPress. Die momentan aktuelle Version 2.8.4 sowie die Vorgängerversion sind den offiziellen Angaben zufolge nicht verwundbar. Allen anderen Anwendern legt Mullenweg ein Upgrade dringend nahe.

Auf diese Weise könnte man vielen Unannehmlichkeiten aus dem Weg gehen, teilte er mit. Diesbezüglich verweist der Firmen-Chef auf eine herausgegebene Anleitung, in der die wichtigen Schritte verdeutlicht werden.

In dem Blogeintrag hieß es, dass der Schadcode gezielt nach älteren Versionen von WordPress Ausschau hält. Sofern eine verwundbare Ausführung entdeckt wird, registriert sich der Wurm als normaler Nutzer und kann durch eine Schwachstelle in die Link-Struktur eindringen. Dort angelangt kann der Schädling mit administrativen Rechten die jeweiligen Links manipulieren.

quelle : winfuture.de, Hier klicken um den vollen Artikel zu lesen.

Share