16. Mai 2008
Durch speziell manipulierte Webseiten können Angreifer über den Internet Explorer Schadcode einschleusen und ausführen. Entdeckt wurde dies durch Aviv Raff.
Es wird eine Cross-Zone-Lücke ausgenutzt, durch diese Lücke kann Webseiten Code anstatt in der Internet-Zone in der lokalen Zonen ausführt werden. Die Benutzer müssen allerdings dazu beitragen das die Lücke genutzt werden kann.
Eine Beispiel Webseite demonstriert die Lücke in dem sie den Windows-Taschenrechner aufruft.
Sobald der Benutzer die Webseite, mit aktiviertem “Liste der Links ausdrucken”, ausdruckt wird der Taschenrechner gestartet. Dabei ist es irrelevant ob man die Ausführung von aktiven Inhalten zulässt oder nicht.
Der Fehler tritt in der aktuellen Internet Explorer Version 7 auf Windows XP mit SP2 auf.
Sobald ein Benutzer eine Webseite ausdrucken möchte, nutzt der Browser ein lokales Skript, welches eine neue HTML Datei erzeugt. Die neu erstellte Seite wird dann gedruckt.
Das HTML enthält eine Kopf- und Fußzeile sowie das Hauptelement. Zusätzlich kann eine Liste der Links erstellt werden.
Das Problem besteht darin dass das lokale Skript die URLs nicht überprüft, der URL-Code wird direkt übernommen.
Lokale Skripte vom Internet Explorer laufen meist in der Internet-Zone, das Skript zum ausdrucken allerdings in der lokalen Zone. Dies reißt die Sicherheitslücke auf und ermöglicht JavaScript mit beliebigen Code auf den Rechner des Benutzers einzuspielen.
Das Problem besteht auch bei der Beta vom Internet Explorer 8.
Unter Windows XP kann man belieben Code ausführen, unter Windows Vista mit aktivierter Benutzerkontensteuerung (UAC) ist nur das ausspähen von Informationen möglich.
Solange kein Patch von Microsoft bereitgestellt wird sollten Benutzer auf das ausdrucken mit aktiver Linkliste verzichten.
Diskussion zur Nachricht
Keine Kommentare » | 
Sicherheit | Getaggt: code, cross, explorer, Internet, java, lücke, sicherheitslücke, skript, vista, windows, zone | 
Permalink
Verfasst von ReneDD
15. Mai 2008
Jeden Monat veröffentlicht Microsoft am Patchday Updates. Am Mai Patchday wurden vier Updates veröffentlicht die sechs Lücken schließen.
Vier Lücken werden von Microsoft als kritisch eingestuft, da über diese Schadcode eingeschleust werden kann.
Die Sicherheitsmeldungen MS08-026 und MS08-027 behandeln zwei Lücken in Word und eine im Publisher. Durch spezielle Dokumente konnten diese Lücken ausgenutzt werden und Schadcode eingeschleust werden.
Betroffen sind Office 2000, XP, 2003 und 2007, der Word-Viewer 2003, das Kompatibilitätspack für Office-2007-Dateiformate sowie Office 2004 und 2008 für Mac.
Mit den neuen Updates werden auch Warnmeldungen hinzugefügt. Sollte ein Word-Dokument SQL Befehle ausführen, so wird eine Warnung angezeigt. Dies hängt mit einer Lücke in der MS-Jet-Engine zusammen.
Die Sicherheitsmeldung MS08-028 fügt eine Überprüfung für eine Datenstruktur in die MS-Jet-Engine ein.
Betroffen davon sind alle Windows-Versionen vor XP mit Service Pack 3 und Server 2003 Service Pack 2. Windows Vista und Server 2008 sind von Haus aus nicht anfällig und beinhalten die bereinigte Version der msjet40.dll.
Ein weiteres Update schließt 2 Denial-of-Service-Lücken (DoS) in Microsofts Malware Protection Engine. Die Engine steckt in OneCare, Forefront, Antigen und dem Windows-Defender.
Laut der Fehlermeldung MS08-029 kommt es durch fehlerhafte Überprüfungen beim Verarbeiten von bestimmten Dateiformaten zu Speicherlecks. Diese belegen dann den ganzen Festplattenplatz oder legen den Rechner lahm.
Zudem wird das Malicious Software Removal Tool (MSRT) aktualisiert und soll neue Schädlinge erkennen.
Diskussion zur Nachricht
Keine Kommentare » | Update | Getaggt: windows, vista, office, server, engine, word, patchday, ms08-026, ms08-027, ms08-028, ms08-029 | Permalink
Verfasst von ReneDD
24. April 2008
Total Commander, ein sehr beliebter Datei-Manager, ist in Version 7.03 erschienen.
Laut Christian Ghisler, Entwickler von Total Commander, wurden in der neuen Version vor allem Bugs behoben.
Zusätzlich wurde die Unterstützung von FTPS über HTTP-Proxys eingefügt.
Alle Änderungen kann man der umfangreichen Change-Log entnehmen.
Der Total Commander läuft unter Windows 95, 98, ME, NT, 2000 XP und Vista.
Total Commander ist Shareware und kann 30 Tage getestet werden. Eine Einzelplatz-Lizenz kostet rund 26 Euro.
Download Total Commander 7.03
Diskussion zur Nachricht
Keine Kommentare » | Update | Getaggt: commander, download, einzelplatz, euro, log, shareware, total, version, vista, windows | Permalink
Verfasst von ReneDD
22. April 2008
Das Service Pack 3 (SP3) für Windows XP ist fertiggestellt, allerdings noch nicht für jeden erhältlich. Derzeit ist es nur für große Firmenkunden mit Volumenlizenzen und OEM-Partner verfügbar.
Chris Keroack, Release Manager für Windows XP Service Pack 3, gab auf Microsoft TechNet bekannt dass das Service Pack 3 produktiv gesetzt wurde.
MSDN- und TechNet-Abonnenten sollen das Service Pack 3 ab nächsten Monat downloaden können.
Ab dem 29. April soll das Service Pack 3 für alle im Microsoft Download Center sowie über Windows Update verfügbar sein.
Die automatische Verteilung an Privatkunden soll ab Anfang Sommer starten.
Das Service Pack 3 ist für alle Windows XP 32-Bit-Versionen geeignet.
Wie bisher bei jedem Service Pack gibt es 2 Varianten, die große beinhaltet Updates für alle Versionen und ist 320 MB groß. Die Variante die per Windows Update Funktion angeboten wird ist rund 70 MB groß, dort werden nur die benötigten Updates heruntergeladen.
Um das Service Pack 3 installieren zu können muss das SP1 oder SP2 installiert sein. Microsoft spricht offiziell davon dass ein Update nur vom SP2 möglich ist. Dies liegt am eingestellten Support für SP1 Versionen von Windows XP.
Die große Version des Service Pack 3 enthält anscheinend alle Updates für eine frische Windows Installation. Sonst wäre die Möglichkeit eine Installations-CD, mit Service Pack 3 zu erstellen, nicht möglich.
Das Service Pack enthält zusätzlich zu Patches und Updates noch:
- Background Intelligent Transfer Service (Bits) 2.5
- Windows Installer 3.1
- Management-Console (MMC) 3.0
- Core XML Services 6.0
Aktuelle Versionen vom Internet Explorer oder dem Media Player sind nicht enthalten.
Wie bisher bekannt soll das Service Pack 3 das letzte Service Pack für Windows XP werden. Sicherheitskritische Lücken will Microsoft noch bis 2014 beheben.
Diskussion zur Nachricht
Keine Kommentare » | Betriebssysteme | Getaggt: microsoft, pack, service, sp1, sp2, sp3, technet, Update, versionen, windows | Permalink
Verfasst von ReneDD
19. April 2008
Für die neue Version 8.04 von Ubuntu wurde der Release Candidate veröffentlicht. Ursprünglich sollte er einen Tag eher erscheinen.
Die neue Version trägt den Namen Hardy Heron, zu deutsch Kühner Reiher. Ubuntu 8.04 wird nach Ubuntu 6.06 mit Long Term Support (LTS) erscheinen.
Für die Server-Version gibt es fünf Jahre Update-Garantie, für die Desktop-Version drei Jahre.
Zum Download steht die 32 Bit (i386) und die 64 Bit (amd64) Version für Server sowie Desktops zur Verfügung. Auch eine “Alternate install” Version steht, für spezielle Bedürfnisse, zum Download bereit.
Mit dem Kernel 2.6.24, X.org 7.3 und Gnome 2.22 wurde Ubuntu 8.04 auf den neuesten Stand gebracht.
Für Windows Benutzer kommt ein interessantes Werkzeug. Wubi, ein neuer Installer, erlaubt Ubuntu aus einem laufenden Windows System heraus zu installieren.
Die finale Version soll am 24. April erscheinen.
Diskussion zur Nachricht
Keine Kommentare » | Betriebssysteme | Getaggt: windows, version, server, download, system, bit, ubuntu, desktop, alternate, amd64 | Permalink
Verfasst von ReneDD
17. April 2008
Microsoft hat am letzten Patch-Day einige Updates für Windows Vista veröffentlicht. Darunter auch das Update KB938371.
Dieses bereitet nun bei manchen Benutzern Probleme mit angeschlossen USB-Geräten. Das Update wird ständig erneuert und verbessert.
Es sorgt normal dafür dass die Leistung und Zuverlässigkeit von Windows Vista verbessert wird.
Mittlerweile ist bekannt und von Microsoft bestätigt dass das Update KB938317 Probleme mit USB Geräten bereitet.
Es kann durchaus passieren das USB-Flash-Speicher oder USB-Mäuse nicht mehr erkannt werden.
Die Probleme werden derzeit bei Microsoft untersucht. Wann eine Lösung verfügbar sein wird ist derzeit nicht bekannt.
Diskussion zur Nachricht
Keine Kommentare » | Betriebssysteme | Getaggt: microsoft, Update, windows, probleme, vista, speicher, flash, usb, geräten, kb938317 | Permalink
Verfasst von ReneDD
17. April 2008
Mozilla hat die Version 2.0.14 von Firefox veröffentlicht. Apple hat die Version 3.1.1 von Safari veröffentlicht.
In beiden Browsern werden Sicherheitslücken behoben. Die neuen Versionen sollten schnellst möglich eingespielt werden da sie Phishing und das ausführen von Schadcode erlauben.
Die Lücke im Firefox betrifft den JavaScript-Garbage-Collector. Im letzten Update wurden Änderungen vorgenommen die nun zu einem Absturz führen können.
Das Problem besteht darin das durch diese Lücke wahrscheinlich auch Schadcode eingeschleust werden kann.
Die Lücken betreffen auf Thunderbird und Seamonkey. Leider sind für diese beiden Programme noch keine Updates erschienen.
Zwei Lücken im Safari betreffen nur die Windows Version, zwei weitere die Mac OS und Windows Version.
Durch präparierte Downloads kann der Browser zum Absturz gebracht werden, zudem ist es möglich dadurch Schadcode auszuführen.
Eine andere Lücke betrifft gefälschte Adresszeilen im Browser welche Phishing Attacken erlauben.
Das interessante daran ist, im der Version 3.0.2 Safari Beta wurden die Lücken geschlossen. In der Version 3.1 wieder eingebaut.
Die anderen Lücken betreffen Regular Expressions in JavaScript und können zu einem Pufferüberlauf führen. Durch diesen kann Schadcode eingeschleust und ausgeführt werden.
Die zweite Lücke, die beide Betriebssystem betrifft, ermöglicht Cross-Site-Scripting. Dazu muss nur die Adresszeile einer Website mit einem Doppelpunkt versehen werden.
Beide Browser, Safari und Firefox, werden automatisch über die interne Update Funktion aktualisiert.
Alternativ kann man sie auch manuell downloaden.
Firefox 2.0.14
Safari 3.1.1
Diskussion zur Nachricht
Keine Kommentare » | Sicherheit | Getaggt: browser, firefox, javascript, lücke, lücken, safari, schadcode, Update, version, windows | Permalink
Verfasst von ReneDD
11. April 2008
Vor kurzem hat Microsoft mehrere Updates bereitgestellt. Darunter das Update MS08-021 für den Internet Explorer.
Dieses Update behebt eine kritische Sicherheitslücke die es dem Angreifer ermöglicht schadhaften Code einzuschleusen.
Symantec, Hersteller von Antiviren- und Firewallprodukten, hat Webseiten entdeckt welche eine Lücke ausnutzen die mit dem Update MS08-021 geschlossen wurde.
Eine spezielle Bilddatei nutzt eine Lücke in der Grafikschnittstelle GDI. Dadurch lässt sich beliebiger Code auf den Rechner des Benutzers einschleusen.
Das Problem an dieser Lücke ist, sie kann beim normalen surfen oder E-Mail lesen ausgenutzt werden. Es reicht die spezielle Bilddatei aufzurufen.
Es ist also äußerst wichtig das Update einzuspielen. Betroffen sind derzeit Windows 2000, XP, Vista (SP1 ebenfalls.), Server 2003 und 2008.
Diskussion zur Nachricht
Keine Kommentare » | Sicherheit | Getaggt: Update, windows, rechner, vista, sp1, code, server, lücke, problem, gdi | Permalink
Verfasst von ReneDD
9. April 2008
Vor kurzem wurde die neue Version 174.74 von GeForce veröffentlicht.
Im gleichen Schritt wurde der Name für die Grafikkartentreiber geändert. Bisher hießen die Treiber ForceWare. Nun heißen sie Geforce.
Der Namenswechsel erfolgt um Verwechslungen mit dem nForce-Chipsatz zu vermeiden. Bis 2003 hießen die Treiber noch Detonator.
Der neue Treiber wird um einige Funktionen für Windows Vista erweitertet. In Windows XP gab es diese Optionen schon.
Nach gut einem Jahr Windows Vista wird die Möglichkeit für benutzerspezifische Auflösungen, Video-Farbeinstellungen, die Größe von HDTV-Desktops und Bildposition der analogen Anzeige hinzugefügt.
Zusätzlich wurde für die GeForce 9 Serie die HD-Videowiedergabe verbessert. Es soll nun möglich sein 2 HD Streams per Bild in Bild abzuspielen.
Unter Windows Vista soll die Desktop Oberfläche nicht mehr von Windows Aero-Glass auf Aero-Basic wechseln.
Diskussion zur Nachricht
Keine Kommentare » | Hardware | Getaggt: aero, analogen, bild, bildposition, desktops, geforce, hdtv, treiber, vista, windows | Permalink
Verfasst von ReneDD
