Google hat die Version 4.1.249.1064 des Browsers Chrome fertiggestellt, in der drei Sicherheitslücken beseitigt wurden. Laut Bericht handelt es sich bei den neuen Problemen um einen Fehler in der Bibliothek GURL, durch die Angreifer die Same Origin Policy aushebeln können.

Die neue Version steht für Windows 7, Vista und XP bereit. Das Update gelangt über den automatischen Update-Mechanismus auf den PC – es lässt sich aber auch manuell anstoßen.

Die Version 1.0.6 des freien Medienspielers und -Streamers VLC media player beseitigt neun Sicherheitslücken und verbessert die Stabilität. Einige der Fehler lassen sich vermutlich zum Einschleusen und Ausführen von Codes durch präparierte Media-Dateien ausnutzen.

Eine vollständige Liste aller Änderungen ist hier zu finden:

http://mailman.videolan.org/pipermail/videolan-announce/2010-April/000154.html

McAfee hat ein fehlerhaftes Update für den Virenscanner „McAfee Virus Scan“ veröffentlicht. Dieses Update kann dazu führen, dass die WIndows Systemdatei „svchost.exe“ als Schadsoftware „w32/wecorl.a“ erkannt und je nach Einstellung in Quarantäne verschoben oder gelöscht wird.

Betroffen sind MS Windows XP SP3-Systeme mit installiertem „McAfee VirusScan“.

Windows 2000, Windows 2003, Windows XP SP1/SP2, Windowas Vista und Windows 7 sind nicht betroffen!

Nutzer, die McAfee VirusScan einsetzen, sollten sicherstellen, dass das fehlerhafte Update (DAT 5958) nicht eingespielt wird!

Ein aktualisiertes Update gibt es hier:

http://www.mcafee.com/apps/downloads/security_updates/dat.asp?region=us&segment=enterprise

Google hat die Windows Version 4.1.249.1059 des Browsers Chrome veröffentlicht, die sieben Sicherheitslücken schließt. Vier dieser Lücken werden als kritisch eingestuft. Die neue Version steht für Windows 7, Vista und XP bereit.

Das Update gelangt über den automatischen Update-Mechanismus auf den PC – es lässt sich aber auch manuell starten.

Apple hat das Sicherheitsupdate 2010-003 für Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.3 und Mac OS X Server v 10.6.3 veröffentlicht. Das Update schließt Lücken, die es ermöglichen, via Safari in ein Mac System einzudringen und Code in ein System einzuschleusen.  Der Fehler ist im Apple Type Service des Betriebssystems zu finden.

Adobe hat die Sicherheits-Updates 9.3.2 und 8.2.2 für Adobe Reader (Windows, Mac, Unix) und Acrobat (Windows und Mac) veröffentlicht, mit denen der Herrsteller 15 Sicherheitslücken beseitigt, die das Einschleusen und Ausführen von Codes ermöglichen.

Um Opfer eines Angriffs zu werden, muss man aber nicht zwangsläufig ein PDF-Dokument manuell öffnen. In der Regel genügt es schon, mit einem verwundbaren Reader-Plug-in im Browser eine manipulierte Website zu besuchen.

Darüber hinaus hat Oracle im Rahmen seines Critical Patch Update insgesamt 47 Lücken geschlossen. Einige der Lücken stuft Oracle als kritisch ein. Daher sollen Administratoren nicht zögern, die Updates schnellstens zu installieren.

Weitere Informationen gibt es hier:

http://www.adobe.com/support/security/bulletins/apsb10-09.html

http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2010.html#AppendixSUN

Mit fünf kritischen, fünf wichtigen und einem als mittel eingestuften Update beseitigt Microsoft Sicherheitslücken in Windows, MS-Office und Exchange. Aber auch die Lücken im MS Office Publisher, in Visio, im MP3-Codec sowei in Media Player und Services sind mit einem Exploitability Index von 1 versehen. Das bedeutet, dass Sicherheitsexperten es für sehr wahrscheinlich halten, dass demnächst gefährlicher Exploit-Code auftauchen wird.

Bei dem als ebensfalls kritisch eingestuften Patch für den SMB-Client, gehen die Experten aber davon aus, dass die möglichen Exploits wohl eher unzuverlässig bleiben werden.

Wie vermutet gibt es noch kein Update für ein im Februar bekannt gewordenes Cross-Domain-Problem des Internet Explorer. Trotzdem sollten Windows Anwender und -Administratoren dafür sorgen, dass die Updates möglichst bals eingespielt werden.

Gleiches gilt für auch für die verfügbaren Service Packs für Vista und XP.  Der offizielle Support für Windows XP Service Pack 2 läuft nur noch bis zum 13. Juli 2010.

Weitere aktuelle Infos gibt es auch hier: http://www.microsoft.com/technet/security/bulletin/ms10-apr.mspx

Wie schon vorgestern berichtet, kann ein anonymer Angreifer durch eine Schwachstelle im „Java Deployment Toolkit“ mit den Rechten des Anwenders  beliebige Codes zur Anwendung bringen.

Unter Firefox empfiehlt es sich unter „Extras -> Add ons-> Plugins“ das Plugin „Java Deployment Toolkit“ zu deaktivieren.

Wer den Microsoft Internet Explorer nutzt, kann das Kill-bit setzen. Details finden Sie hier:

http://lists.grok.org.uk/pipermail/full-disclosure/2010-April/074036.html

Die Entwickler des CMS-Framework Typo3 schlagen in einem Mailing an [email protected] Alarm. In den Typo3-Versionen  4.3.0, 4.3.1 und 4.3.2 (ebenso in bisherigen Entwicklerversionen des 4.4-Zweigs) kann ein Angreifer PHP-Code von einem externen Server einschleusen und innerhalb von Typo3 ausführen.

Das Advisory SA-2010-008 (http://typo3.org/teams/security/security-bulletins/typo3-sa-2010-008/) beschreibt detailliert, wie sich Abhilfe schaffen lässt. Zum einen löst ein Upgrade auf Version 4.3.3 das Problem. Es gibt überdies drei PHP-Schalter, von denen mindestens einer auf „off“ stehen muss, damit die Lücke nicht ausgenutzt werden kann:

• register_globals
• allow_url_include
• allow_url_fopen

Die Chancen stehen gut, dass einer davon bereits standardmäßig abgeschaltet ist und es ist eine gute Idee, alle abzuschalten. Aber erstens gibt das in manchen Fällen Kompatibiltätsprobleme und zweitens hat man als Kunde eines Web-Hosters unter Umständen nur sehr eingeschränkte Möglichkeiten, die PHP-Einstellungen selbst zu verändern.

Im Java Deployment Toolkit (JDT) ist unter Windows eine Sicherheitslücke aufgedeckt worden, durch die präparierte Webseiten beliebige Anwendungen auf einem Windows-PC starten können. Möglich wäre beispielsweise, per FTP einen Trojaner nachzuladen und zu starten. JDT ist seit Java 6 Update 10 im Lieferumfang von Java enthalten und soll Entwicklern das Verteilen von Anwendungen erleichtern. Das Problem beruhe auf der mangelnden Filterung von URLs, durch die sich beliebige Parameter an das zugrunde liegende Java Web Start (JWS) übergeben lassen.

Tavis Ormandy, der die Sicherheitslücke entdeckt hat, hat Sun (jetzt Oracle) nach eigenen Angaben über das Problem informiert. Laut seinem Bericht fand der Hersteller die Schwachstelle jedoch nicht kritisch genug, um einen Notfall-Patch außerhalb des dreimonatigen Patch-Zyklus zu veröffentlichen.

Weitere hilfreiche Hinweise gibt es hier:

http://support.microsoft.com/kb/240797