16. Mai 2008
Durch speziell manipulierte Webseiten können Angreifer über den Internet Explorer Schadcode einschleusen und ausführen. Entdeckt wurde dies durch Aviv Raff.
Es wird eine Cross-Zone-Lücke ausgenutzt, durch diese Lücke kann Webseiten Code anstatt in der Internet-Zone in der lokalen Zonen ausführt werden. Die Benutzer müssen allerdings dazu beitragen das die Lücke genutzt werden kann.
Eine Beispiel Webseite demonstriert die Lücke in dem sie den Windows-Taschenrechner aufruft.
Sobald der Benutzer die Webseite, mit aktiviertem “Liste der Links ausdrucken”, ausdruckt wird der Taschenrechner gestartet. Dabei ist es irrelevant ob man die Ausführung von aktiven Inhalten zulässt oder nicht.
Der Fehler tritt in der aktuellen Internet Explorer Version 7 auf Windows XP mit SP2 auf.
Sobald ein Benutzer eine Webseite ausdrucken möchte, nutzt der Browser ein lokales Skript, welches eine neue HTML Datei erzeugt. Die neu erstellte Seite wird dann gedruckt.
Das HTML enthält eine Kopf- und Fußzeile sowie das Hauptelement. Zusätzlich kann eine Liste der Links erstellt werden.
Das Problem besteht darin dass das lokale Skript die URLs nicht überprüft, der URL-Code wird direkt übernommen.
Lokale Skripte vom Internet Explorer laufen meist in der Internet-Zone, das Skript zum ausdrucken allerdings in der lokalen Zone. Dies reißt die Sicherheitslücke auf und ermöglicht JavaScript mit beliebigen Code auf den Rechner des Benutzers einzuspielen.
Das Problem besteht auch bei der Beta vom Internet Explorer 8.
Unter Windows XP kann man belieben Code ausführen, unter Windows Vista mit aktivierter Benutzerkontensteuerung (UAC) ist nur das ausspähen von Informationen möglich.
Solange kein Patch von Microsoft bereitgestellt wird sollten Benutzer auf das ausdrucken mit aktiver Linkliste verzichten.
Diskussion zur Nachricht
Keine Kommentare » | 
Sicherheit | Getaggt: code, cross, explorer, Internet, java, lücke, sicherheitslücke, skript, vista, windows, zone | 
Permalink
Verfasst von ReneDD
15. Mai 2008
Der beliebte Ego-Shooter Call of Duty 4: Modern Warfare enthält eine Sicherheitslücke. Über diese können DoS-Attacken (Denial of Service) auf den Server gestartet werden.
Secunia, ein Sicherheitsdienstleister, hat die Lücke in der Version 1.5 von CoD 4 festgestellt. Es ist durchaus möglich dass die Lücke auch andere Versionen betrifft.
Die Sicherheitslücke entsteht bei der Verarbeitung von Type 7 ’stats’ Befehlen. Diese Befehle werden an den Server gesendet.
Durch Manipulation der Pakete kann der Angreifer die DoS-Attacke starten. Dies führt zu einem Absturz des Servers.
Ein Patch ist derzeit noch nicht verfügbar.
Diskussion zur Nachricht
Keine Kommentare » | Gaming | Getaggt: befehle, call, cod, dos, duty, lücke, modern, server, sicherheitslücke, stats, type, warfare | Permalink
Verfasst von ReneDD
26. April 2008
Heute wurde eine neue Version von WordPress veröffentlicht. WordPress 2.5.1 behebt eine kritische Sicherheitslücke.
Die WordPress Community empfiehlt das Update sofort zu installieren. Nähere Informationen zu der Lücke liegen noch nicht vor, sollen aber bald folgen.
Download WordPress 2.5.1
Diskussion zur Nachricht
Keine Kommentare » | Sicherheit | Getaggt: community, download, informationen, kritische, lücke, sicherheitslücke, Update, wordpress | Permalink
Verfasst von ReneDD
22. April 2008
Secunia meldet eine kritische Sicherheitslücke im beliebten Messenger ICQ. Über diese Lücke kann Schadcode auf den Computer eingeschleust werden.
Die Lücke wird durch einen Fehler beim setzen des persönlichen Status ausgelöst.
Sollte ein Benutzer mit aktiven persönlichen Status eine Nachricht erhalten, so kann diese Nachricht einen Pufferüberlauf auslösen. Dieser ermöglicht das einschleusen von Schadcode.
Secunia stellt diese kritische Sicherheitslücke bei der ICQ Version 6 Build 6043 fest. ICQ verbreitet über das automatische Update-System schon eine bereinigte Version.
Diskussion zur Nachricht
Keine Kommentare » | Sicherheit | Getaggt: version, icq, lücke, build, sicherheitslücke, kritische, schadcode, status, secunia | Permalink
Verfasst von ReneDD
2. April 2008
Heute ist die neue Version von Firefox erschienen. In der Version 2.0.13 werden mehrere Sicherheitslücken geschlossen.
Durch die Sicherheitslücken konnte Schadcode eingeschleust werden oder Seiteninhalte gefälscht werden.
Durch Lücken im Javascript konnten Angreifer schadhaften Code mit vollen Rechten ausführen. Zudem war Cross-Site-Scripting möglich.
Durch eine weitere Lücke konnte der Angreifer per Java-Applets auf alle Ports des Rechners zugreifen.
Sun hatte zwischenzeitlich schon reagiert und Routinen zum Schutz in sein Javascript eingebaut. Nun hat auch Mozilla das Problem beseitigt.
Eine weitere Sicherheitslücke betrifft rahmenlose Popups. Es war möglich das Popup unbemerkt vor den eigentlichen Seiteninhalt zu schieben und somit Logindaten abzufangen und auszuspionieren.
Auch Thunderbird wurde auf Version 2.0.0.13 gepatcht. Seamonkey gibt es in Version 1.1.9. Die Sicherheitslücken sind auch dort vorhanden.
Noch werden die Updates nicht automatisch ausgeliefert. Man sollte sie trotzdem schnellst möglich installieren.
Diskussion zur Nachricht
Keine Kommentare » | Sicherheit | Getaggt: angreifer, javascript, mozilla, popup, popups, routinen, seiteninhalt, sicherheitslücke, sicherheitslücken, version | Permalink
Verfasst von ReneDD
