Archiv für die Kategorie ‘CERT’

VCL 1.0.6 erhöht Stabilität und schließt Lücken

26. April 2010

Die Version 1.0.6 des freien Medienspielers und -Streamers VLC media player beseitigt neun Sicherheitslücken und verbessert die Stabilität. Einige der Fehler lassen sich vermutlich zum Einschleusen und Ausführen von Codes durch präparierte Media-Dateien ausnutzen.

Eine vollständige Liste aller Änderungen ist hier zu finden:

http://mailman.videolan.org/pipermail/videolan-announce/2010-April/000154.html

Fehlerhaftes McAfee Signatur-Update

22. April 2010

McAfee hat ein fehlerhaftes Update für den Virenscanner „McAfee Virus Scan“ veröffentlicht. Dieses Update kann dazu führen, dass die WIndows Systemdatei „svchost.exe“ als Schadsoftware „w32/wecorl.a“ erkannt und je nach Einstellung in Quarantäne verschoben oder gelöscht wird.

Betroffen sind MS Windows XP SP3-Systeme mit installiertem „McAfee VirusScan“.

Windows 2000, Windows 2003, Windows XP SP1/SP2, Windowas Vista und Windows 7 sind nicht betroffen!

Nutzer, die McAfee VirusScan einsetzen, sollten sicherstellen, dass das fehlerhafte Update (DAT 5958) nicht eingespielt wird!

Ein aktualisiertes Update gibt es hier:

http://www.mcafee.com/apps/downloads/security_updates/dat.asp?region=us&segment=enterprise

Sieben Lücken weniger in Googles Webbrowser Chrome

Google hat die Windows Version 4.1.249.1059 des Browsers Chrome veröffentlicht, die sieben Sicherheitslücken schließt. Vier dieser Lücken werden als kritisch eingestuft. Die neue Version steht für Windows 7, Vista und XP bereit.

Das Update gelangt über den automatischen Update-Mechanismus auf den PC – es lässt sich aber auch manuell starten.

Apple-Patch schließt Lücke in Mac OS X

15. April 2010

Apple hat das Sicherheitsupdate 2010-003 für Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.3 und Mac OS X Server v 10.6.3 veröffentlicht. Das Update schließt Lücken, die es ermöglichen, via Safari in ein Mac System einzudringen und Code in ein System einzuschleusen.  Der Fehler ist im Apple Type Service des Betriebssystems zu finden.

Adobe und Oracle stopfen zahlreiche Löcher in ihren Produkten

14. April 2010

Adobe hat die Sicherheits-Updates 9.3.2 und 8.2.2 für Adobe Reader (Windows, Mac, Unix) und Acrobat (Windows und Mac) veröffentlicht, mit denen der Herrsteller 15 Sicherheitslücken beseitigt, die das Einschleusen und Ausführen von Codes ermöglichen.

Um Opfer eines Angriffs zu werden, muss man aber nicht zwangsläufig ein PDF-Dokument manuell öffnen. In der Regel genügt es schon, mit einem verwundbaren Reader-Plug-in im Browser eine manipulierte Website zu besuchen.

Darüber hinaus hat Oracle im Rahmen seines Critical Patch Update insgesamt 47 Lücken geschlossen. Einige der Lücken stuft Oracle als kritisch ein. Daher sollen Administratoren nicht zögern, die Updates schnellstens zu installieren.

Weitere Informationen gibt es hier:

http://www.adobe.com/support/security/bulletins/apsb10-09.html

http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2010.html#AppendixSUN

Microsoft April-Patchday mit 11 Updates

Mit fünf kritischen, fünf wichtigen und einem als mittel eingestuften Update beseitigt Microsoft Sicherheitslücken in Windows, MS-Office und Exchange. Aber auch die Lücken im MS Office Publisher, in Visio, im MP3-Codec sowei in Media Player und Services sind mit einem Exploitability Index von 1 versehen. Das bedeutet, dass Sicherheitsexperten es für sehr wahrscheinlich halten, dass demnächst gefährlicher Exploit-Code auftauchen wird.

Bei dem als ebensfalls kritisch eingestuften Patch für den SMB-Client, gehen die Experten aber davon aus, dass die möglichen Exploits wohl eher unzuverlässig bleiben werden.

Wie vermutet gibt es noch kein Update für ein im Februar bekannt gewordenes Cross-Domain-Problem des Internet Explorer. Trotzdem sollten Windows Anwender und -Administratoren dafür sorgen, dass die Updates möglichst bals eingespielt werden.

Gleiches gilt für auch für die verfügbaren Service Packs für Vista und XP.  Der offizielle Support für Windows XP Service Pack 2 läuft nur noch bis zum 13. Juli 2010.

Weitere aktuelle Infos gibt es auch hier: http://www.microsoft.com/technet/security/bulletin/ms10-apr.mspx

Schwachstelle im „Java Deployment Toolkit“

12. April 2010

Wie schon vorgestern berichtet, kann ein anonymer Angreifer durch eine Schwachstelle im „Java Deployment Toolkit“ mit den Rechten des Anwenders  beliebige Codes zur Anwendung bringen.

Unter Firefox empfiehlt es sich unter „Extras -> Add ons-> Plugins“ das Plugin „Java Deployment Toolkit“ zu deaktivieren.

Wer den Microsoft Internet Explorer nutzt, kann das Kill-bit setzen. Details finden Sie hier:

http://lists.grok.org.uk/pipermail/full-disclosure/2010-April/074036.html

Typo3 – Remote Command Execution via PHP möglich

10. April 2010

Die Entwickler des CMS-Framework Typo3 schlagen in einem Mailing an typo3-announce@lists.typo3.org Alarm. In den Typo3-Versionen  4.3.0, 4.3.1 und 4.3.2 (ebenso in bisherigen Entwicklerversionen des 4.4-Zweigs) kann ein Angreifer PHP-Code von einem externen Server einschleusen und innerhalb von Typo3 ausführen.

Das Advisory SA-2010-008 (http://typo3.org/teams/security/security-bulletins/typo3-sa-2010-008/) beschreibt detailliert, wie sich Abhilfe schaffen lässt. Zum einen löst ein Upgrade auf Version 4.3.3 das Problem. Es gibt überdies drei PHP-Schalter, von denen mindestens einer auf „off“ stehen muss, damit die Lücke nicht ausgenutzt werden kann:

  • register_globals
  • allow_url_include
  • allow_url_fopen

Die Chancen stehen gut, dass einer davon bereits standardmäßig abgeschaltet ist und es ist eine gute Idee, alle abzuschalten. Aber erstens gibt das in manchen Fällen Kompatibiltätsprobleme und zweitens hat man als Kunde eines Web-Hosters unter Umständen nur sehr eingeschränkte Möglichkeiten, die PHP-Einstellungen selbst zu verändern.

Java-Exploit startet lokale Windows-Anwendungen

Im Java Deployment Toolkit (JDT) ist unter Windows eine Sicherheitslücke aufgedeckt worden, durch die präparierte Webseiten beliebige Anwendungen auf einem Windows-PC starten können. Möglich wäre beispielsweise, per FTP einen Trojaner nachzuladen und zu starten. JDT ist seit Java 6 Update 10 im Lieferumfang von Java enthalten und soll Entwicklern das Verteilen von Anwendungen erleichtern. Das Problem beruhe auf der mangelnden Filterung von URLs, durch die sich beliebige Parameter an das zugrunde liegende Java Web Start (JWS) übergeben lassen.

Tavis Ormandy, der die Sicherheitslücke entdeckt hat, hat Sun (jetzt Oracle) nach eigenen Angaben über das Problem informiert. Laut seinem Bericht fand der Hersteller die Schwachstelle jedoch nicht kritisch genug, um einen Notfall-Patch außerhalb des dreimonatigen Patch-Zyklus zu veröffentlichen.

Das Tool AxBan (http://portal.erratasec.com/axb/AxBan.exe) soll Abhilfe schaffen.

Weitere hilfreiche Hinweise gibt es hier:

http://support.microsoft.com/kb/240797

PDF-Exploit funktioniert ohne konkrete Sicherheitslücke

6. April 2010

Der PDF-Sicherheitsspezialist Didier Stevens hat ein PDF-Dokument entwickelt, das – ohne eine konkrete Schwachstelle auszunutzen – einen PC infizieren könnte. Stevens macht sich dabei nach eigenen Angaben die Option „Launch Actions/Launch File“ zunutze, die sogar im PDF eingebettete Skripte oder EXE-Dateien starten kann – diese Option ist Bestandteil der PDF-Spezifikation.

Im Adobe Reader hilft es, unter Einstellungen/Berechtigungen die Option „Nicht-PDF-Dateianlagen dürfen in externen Anwendungen geöffnet werden.“ zu deaktivieren – standardmäßig ist sie aktiviert. Danach startet der Demo-Exploit beim Öffnen im Adobe Reader keine Eingabeaufforderung mehr.

Standort Schnellsuche

oder

Seit 22 Jahren für Sie im Einsatz.

Ihr IT-Experte seit 1996 - Ihr digitaler Vorsprung. So leicht wie 1+1=2. Bundesweit.

Homepage

Zur PC112 - Hauptseite

Ihr digitaler Vorsprung. So leicht wie 1+1=2.