2. Mai 2008
Nachdem vor zwei Wochen Firefox aktualisiert wurde, erscheint heute die neue Version von Thunderbird.
Die Version 2.0.0.14 des beliebten Mozilla Mail-Client’s behebt zwei kritische Sicherheitslücken. Die beiden Lücken, durch die Schadcode eingeschleust werden kann, betreffen Javaskript.
Im Thunderbird ist Javaskript standardmäßig deaktiviert, von einer Aktivierung wird durch die Mozilla-Entwickler abgeraten.
In der Sicherheitsmeldung MFSA2008-15 werden Abstürze behandelt, bei denen Speicherbereiche durcheinander geraten. Dadurch ist es möglich Schadcode einzuschleusen.
In der Sicherheitsmeldung MFSA2008-14 wird darüber berichtet das Angreifer durch präpariertes Javaskript ihre Rechte erweitern und Schadcode ausführen können.
Die integrierte Update-Funktion von Thunderbird bietet das Update bereits zu Download an.
Alternativ kann es bei Mozilla heruntergeladen werden.
Download Mozilla Thunderbird 2.0.0.14
Diskussion zur Nachricht
Keine Kommentare » | 
Sicherheit | Getaggt: download, javaskript, mfsa2008, mozilla, schadcode, sicherheitsmeldung, speicherbereiche, thunderbird, Update, version | 
Permalink
Verfasst von ReneDD
26. April 2008
Heute wurde eine neue Version von WordPress veröffentlicht. WordPress 2.5.1 behebt eine kritische Sicherheitslücke.
Die WordPress Community empfiehlt das Update sofort zu installieren. Nähere Informationen zu der Lücke liegen noch nicht vor, sollen aber bald folgen.
Download WordPress 2.5.1
Diskussion zur Nachricht
Keine Kommentare » | Sicherheit | Getaggt: community, download, informationen, kritische, lücke, sicherheitslücke, Update, wordpress | Permalink
Verfasst von ReneDD
24. April 2008
Sun hat das Update 6 für die Java-Laufzeitumgebungen in Version 1.6.0 veröffentlicht.
Meist werden bei den Updates auch Sicherheitslücken geschlossen, Details sind dazu aber keine bekannt.
Den Release-Notes ist eine Aktualisierung der Zeitzonen-Informationen zu entnehmen.
Java WebStart soll schlanker geworden sein und weniger Speicher als bisher verbrauchen.
Kritisch kann ein Problem in den Krypto-Klassen eingestuft werden. Durch Speicherlecks bei der Nutzung von Kerberos-Authentifzierung zusammen mit einem LoginContext kann es zum Absturz kommen.
Das Java-Update deinstalliert die Vorgängerversion nicht, diese muss manuell deinstalliert werden.
Download Java-Updates
Diskussion zur Nachricht
Keine Kommentare » | Update | Getaggt: java, kerberos, klassen, kritisch, krypto, nutzung, problem, speicherlecks, Update, updates | Permalink
Verfasst von ReneDD
22. April 2008
In Adobe Photoshop CS3, After Effects CS 3 und der Photoshop Album Starter Edition wurden durch Scott Laurie Sicherheitslücken entdeckt die es erlauben schadhaften Code auszuführen.
Durch speziell präparierte BMP Bilder können Trojaner eingeschleust werden. Photoshop überprüft den Header der Datei nicht, dies kann zu einem Pufferüberlauf führen.
Updates die diese Lücke schließen gibt es noch nicht.
Besonders brisant ist diese Lücke da z.B. die Photoshop Album Starter Edition beim einstecken von z.B. USB-Sticks diese automatisch durchsucht. Schon alleine dadurch kann schadhafter Code eingeschleust werden. Dies funktioniert sogar wenn der Rechner gesperrt ist.
Adobe hat noch keine Updates bereit gestellt. Deshalb sollte man BMP Dateien derzeit nur mit Vorsicht genießen und nur im Notfall öffnen.
Diskussion zur Nachricht
Keine Kommentare » | Nicht kategorisiert | Getaggt: adobe, album, bmp, code, edition, lücke, photoshop, starter, Update | Permalink
Verfasst von ReneDD
22. April 2008
Das Service Pack 3 (SP3) für Windows XP ist fertiggestellt, allerdings noch nicht für jeden erhältlich. Derzeit ist es nur für große Firmenkunden mit Volumenlizenzen und OEM-Partner verfügbar.
Chris Keroack, Release Manager für Windows XP Service Pack 3, gab auf Microsoft TechNet bekannt dass das Service Pack 3 produktiv gesetzt wurde.
MSDN- und TechNet-Abonnenten sollen das Service Pack 3 ab nächsten Monat downloaden können.
Ab dem 29. April soll das Service Pack 3 für alle im Microsoft Download Center sowie über Windows Update verfügbar sein.
Die automatische Verteilung an Privatkunden soll ab Anfang Sommer starten.
Das Service Pack 3 ist für alle Windows XP 32-Bit-Versionen geeignet.
Wie bisher bei jedem Service Pack gibt es 2 Varianten, die große beinhaltet Updates für alle Versionen und ist 320 MB groß. Die Variante die per Windows Update Funktion angeboten wird ist rund 70 MB groß, dort werden nur die benötigten Updates heruntergeladen.
Um das Service Pack 3 installieren zu können muss das SP1 oder SP2 installiert sein. Microsoft spricht offiziell davon dass ein Update nur vom SP2 möglich ist. Dies liegt am eingestellten Support für SP1 Versionen von Windows XP.
Die große Version des Service Pack 3 enthält anscheinend alle Updates für eine frische Windows Installation. Sonst wäre die Möglichkeit eine Installations-CD, mit Service Pack 3 zu erstellen, nicht möglich.
Das Service Pack enthält zusätzlich zu Patches und Updates noch:
- Background Intelligent Transfer Service (Bits) 2.5
- Windows Installer 3.1
- Management-Console (MMC) 3.0
- Core XML Services 6.0
Aktuelle Versionen vom Internet Explorer oder dem Media Player sind nicht enthalten.
Wie bisher bekannt soll das Service Pack 3 das letzte Service Pack für Windows XP werden. Sicherheitskritische Lücken will Microsoft noch bis 2014 beheben.
Diskussion zur Nachricht
Keine Kommentare » | Betriebssysteme | Getaggt: microsoft, pack, service, sp1, sp2, sp3, technet, Update, versionen, windows | Permalink
Verfasst von ReneDD
18. April 2008
Apple wurde für die Verbreitung seines Safari Browsers per i-Tunes Update scharf kritisiert.
Der Safari Browser für Windows wurde im i-Tunes Update automatisch ausgewählt. Der Benutzer bemerkt dies erst mal nicht und installiert den Browser direkt mit dem Update für i-Tunes.
Apple hat das Update Tool nun geändert. Es wird jetzt zwischen “Updates” und “Neue Software” unterschieden. Leider ist der Safari immer noch standardmäßig ausgewählt.
Auf die Aufschreie der Kritiker wurde somit nur teilweise reagiert.
“Mit der jüngsten Version machen wir es Kunden einfacher, zwischen Software-Updates und neuen Anwendungen zu unterscheiden”, so ein Sprecher von Apple gegenüber Computerworld.
Die Nachfrage ob der Hacken noch deaktiviert wird wurde nicht kommentiert.
Diskussion zur Nachricht
Keine Kommentare » | Software | Getaggt: anwendungen, apple, browser, kunden, safari, Software, tunes, Update, updates, version | Permalink
Verfasst von ReneDD
17. April 2008
Microsoft hat am letzten Patch-Day einige Updates für Windows Vista veröffentlicht. Darunter auch das Update KB938371.
Dieses bereitet nun bei manchen Benutzern Probleme mit angeschlossen USB-Geräten. Das Update wird ständig erneuert und verbessert.
Es sorgt normal dafür dass die Leistung und Zuverlässigkeit von Windows Vista verbessert wird.
Mittlerweile ist bekannt und von Microsoft bestätigt dass das Update KB938317 Probleme mit USB Geräten bereitet.
Es kann durchaus passieren das USB-Flash-Speicher oder USB-Mäuse nicht mehr erkannt werden.
Die Probleme werden derzeit bei Microsoft untersucht. Wann eine Lösung verfügbar sein wird ist derzeit nicht bekannt.
Diskussion zur Nachricht
Keine Kommentare » | Betriebssysteme | Getaggt: flash, geräten, kb938317, microsoft, probleme, speicher, Update, usb, vista, windows | Permalink
Verfasst von ReneDD
17. April 2008
Mozilla hat die Version 2.0.14 von Firefox veröffentlicht. Apple hat die Version 3.1.1 von Safari veröffentlicht.
In beiden Browsern werden Sicherheitslücken behoben. Die neuen Versionen sollten schnellst möglich eingespielt werden da sie Phishing und das ausführen von Schadcode erlauben.
Die Lücke im Firefox betrifft den JavaScript-Garbage-Collector. Im letzten Update wurden Änderungen vorgenommen die nun zu einem Absturz führen können.
Das Problem besteht darin das durch diese Lücke wahrscheinlich auch Schadcode eingeschleust werden kann.
Die Lücken betreffen auf Thunderbird und Seamonkey. Leider sind für diese beiden Programme noch keine Updates erschienen.
Zwei Lücken im Safari betreffen nur die Windows Version, zwei weitere die Mac OS und Windows Version.
Durch präparierte Downloads kann der Browser zum Absturz gebracht werden, zudem ist es möglich dadurch Schadcode auszuführen.
Eine andere Lücke betrifft gefälschte Adresszeilen im Browser welche Phishing Attacken erlauben.
Das interessante daran ist, im der Version 3.0.2 Safari Beta wurden die Lücken geschlossen. In der Version 3.1 wieder eingebaut.
Die anderen Lücken betreffen Regular Expressions in JavaScript und können zu einem Pufferüberlauf führen. Durch diesen kann Schadcode eingeschleust und ausgeführt werden.
Die zweite Lücke, die beide Betriebssystem betrifft, ermöglicht Cross-Site-Scripting. Dazu muss nur die Adresszeile einer Website mit einem Doppelpunkt versehen werden.
Beide Browser, Safari und Firefox, werden automatisch über die interne Update Funktion aktualisiert.
Alternativ kann man sie auch manuell downloaden.
Firefox 2.0.14
Safari 3.1.1
Diskussion zur Nachricht
Keine Kommentare » | Sicherheit | Getaggt: browser, firefox, javascript, lücke, lücken, safari, schadcode, Update, version, windows | Permalink
Verfasst von ReneDD
11. April 2008
Vor kurzem hat Microsoft mehrere Updates bereitgestellt. Darunter das Update MS08-021 für den Internet Explorer.
Dieses Update behebt eine kritische Sicherheitslücke die es dem Angreifer ermöglicht schadhaften Code einzuschleusen.
Symantec, Hersteller von Antiviren- und Firewallprodukten, hat Webseiten entdeckt welche eine Lücke ausnutzen die mit dem Update MS08-021 geschlossen wurde.
Eine spezielle Bilddatei nutzt eine Lücke in der Grafikschnittstelle GDI. Dadurch lässt sich beliebiger Code auf den Rechner des Benutzers einschleusen.
Das Problem an dieser Lücke ist, sie kann beim normalen surfen oder E-Mail lesen ausgenutzt werden. Es reicht die spezielle Bilddatei aufzurufen.
Es ist also äußerst wichtig das Update einzuspielen. Betroffen sind derzeit Windows 2000, XP, Vista (SP1 ebenfalls.), Server 2003 und 2008.
Diskussion zur Nachricht
Keine Kommentare » | Sicherheit | Getaggt: Update, windows, rechner, vista, sp1, code, server, lücke, problem, gdi | Permalink
Verfasst von ReneDD
