16. Mai 2008
Durch speziell manipulierte Webseiten können Angreifer über den Internet Explorer Schadcode einschleusen und ausführen. Entdeckt wurde dies durch Aviv Raff.
Es wird eine Cross-Zone-Lücke ausgenutzt, durch diese Lücke kann Webseiten Code anstatt in der Internet-Zone in der lokalen Zonen ausführt werden. Die Benutzer müssen allerdings dazu beitragen das die Lücke genutzt werden kann.
Eine Beispiel Webseite demonstriert die Lücke in dem sie den Windows-Taschenrechner aufruft.
Sobald der Benutzer die Webseite, mit aktiviertem “Liste der Links ausdrucken”, ausdruckt wird der Taschenrechner gestartet. Dabei ist es irrelevant ob man die Ausführung von aktiven Inhalten zulässt oder nicht.
Der Fehler tritt in der aktuellen Internet Explorer Version 7 auf Windows XP mit SP2 auf.
Sobald ein Benutzer eine Webseite ausdrucken möchte, nutzt der Browser ein lokales Skript, welches eine neue HTML Datei erzeugt. Die neu erstellte Seite wird dann gedruckt.
Das HTML enthält eine Kopf- und Fußzeile sowie das Hauptelement. Zusätzlich kann eine Liste der Links erstellt werden.
Das Problem besteht darin dass das lokale Skript die URLs nicht überprüft, der URL-Code wird direkt übernommen.
Lokale Skripte vom Internet Explorer laufen meist in der Internet-Zone, das Skript zum ausdrucken allerdings in der lokalen Zone. Dies reißt die Sicherheitslücke auf und ermöglicht JavaScript mit beliebigen Code auf den Rechner des Benutzers einzuspielen.
Das Problem besteht auch bei der Beta vom Internet Explorer 8.
Unter Windows XP kann man belieben Code ausführen, unter Windows Vista mit aktivierter Benutzerkontensteuerung (UAC) ist nur das ausspähen von Informationen möglich.
Solange kein Patch von Microsoft bereitgestellt wird sollten Benutzer auf das ausdrucken mit aktiver Linkliste verzichten.
Diskussion zur Nachricht
Keine Kommentare » | 
Sicherheit | Getaggt: code, cross, explorer, Internet, java, lücke, sicherheitslücke, skript, vista, windows, zone | 
Permalink
Verfasst von ReneDD
24. April 2008
Sun hat das Update 6 für die Java-Laufzeitumgebungen in Version 1.6.0 veröffentlicht.
Meist werden bei den Updates auch Sicherheitslücken geschlossen, Details sind dazu aber keine bekannt.
Den Release-Notes ist eine Aktualisierung der Zeitzonen-Informationen zu entnehmen.
Java WebStart soll schlanker geworden sein und weniger Speicher als bisher verbrauchen.
Kritisch kann ein Problem in den Krypto-Klassen eingestuft werden. Durch Speicherlecks bei der Nutzung von Kerberos-Authentifzierung zusammen mit einem LoginContext kann es zum Absturz kommen.
Das Java-Update deinstalliert die Vorgängerversion nicht, diese muss manuell deinstalliert werden.
Download Java-Updates
Diskussion zur Nachricht
Keine Kommentare » | Update | Getaggt: java, kerberos, klassen, kritisch, krypto, nutzung, problem, speicherlecks, Update, updates | Permalink
Verfasst von ReneDD
23. April 2008
Heute wurden unsere Foren auf den neuesten Stand gebracht. Die neue Foren Software beinhaltet einige Bug-Fixes.
Weiterhin wurden mehrere Sicherheitslücken geschlossen. Funktionen sind aktuell keine neuen hinzugekommen.
Besucht unsere Foren doch einmal.
Probleme mit dem PC? Probleme mit Software? Probleme im Internet?
Computer & Software ist das richtige Forum für dich.
Probleme mit DSL? Probleme mit dem Router? WLAN will nicht so richtig?
Handy, Telefon & DSL ist das richtige Forum für dich.
Probleme mit deinem Server? Dem Apache oder MySQL?Dein GameServer startet nicht?
Server & GameServer ist das richtige Forum für dich.
Probleme mit der eigenen Homepage? Probleme mit dem Windows Scripting Host? Probleme mit Java oder Ajax?
Website & Scripting ist das richtige Forum für dich.
Keine Kommentare » | Nicht kategorisiert | Getaggt: ajax, dsl, gameserver, java, phpbb, probleme, Scripting, server, Software, website | Permalink
Verfasst von ReneDD
3. April 2008
Der Firefox 3.0 Beta 5 enthält 750 Änderungen im Vergleich zur Beta 4 des Firefox 3.0.
Es wurde an der Kompatibilität und der Stabilität gearbeitet. Änderungen an der Oberfläche und einigen anderen Funktionen sind auch durchgeführt wurden.
Der Firefox 3.0 Beta 5 enthält für Windows und Mac OS jeweils ein eigenes Design.
Insgesamt soll der Firefox 3.0 schneller als der Vorgänger werden. Dies wird zum Beispiel über eine verbesserte Java Engine erreicht.
Googlemail oder ähnliche Web-Programme sollen deutlich schneller werden.
Die Beta 5 soll die letzte Beta Version des Firefox 3.0 sein. Danach folgen Release Candidates und im Juni wahrscheinlich die finale Version.
Diskussion zur Nachricht
Keine Kommentare » | Software | Getaggt: Beta, firefox, googlemail, java, mac, os, programme, version, web, windows | Permalink
Verfasst von ReneDD
2. April 2008
Vor kurzem ist bekannt geworden das man auf einen Windows XP Computer illegal, per FireWire, zugreifen kann.
Jetzt gibt es eine Möglichkeit sich illegal Zugriff auf einen Windows Vista Computer zu verschaffen.
Dan Griffin, ein ehemaliger Microsoft Mitarbeiter, hat ein Tool entwickelt welches über SmartCards Zugriff auf Windows Vista erlaubt.
In der Software eines nicht genannten Herstellers von SmartCards sollen Lücken vorhanden sein. Diese Lücken werden durch das Programm ausgenutzt und ermöglichen Zugriff auf den Vista Computer.
Dazu wird der Minitreiber angegriffen und mit gefälschten Daten beliefert. Per Java-Software vom Hersteller der SmartCards kann die Software auf die SmartCards geschrieben werden
Wird die SmartCard in einen unbeaufsichtigten Rechner geschoben kann man Vista oder ein einzelnes Programm abstürzen lassen. Es ist sogar möglich die Kontrolle über den Computer zu übernehmen.
Auch Windows XP soll betroffen sein.
Diskussion zur Nachricht
Keine Kommentare » | Sicherheit | Getaggt: Software, windows, vista, illegal, lücken, zugriff, java, smartcards, computer, programm | Permalink
Verfasst von ReneDD
