Typo3 – Remote Command Execution via PHP möglich

10. April 2010 von Stefan Suhr

Die Entwickler des CMS-Framework Typo3 schlagen in einem Mailing an typo3-announce@lists.typo3.org Alarm. In den Typo3-Versionen  4.3.0, 4.3.1 und 4.3.2 (ebenso in bisherigen Entwicklerversionen des 4.4-Zweigs) kann ein Angreifer PHP-Code von einem externen Server einschleusen und innerhalb von Typo3 ausführen.

Das Advisory SA-2010-008 (http://typo3.org/teams/security/security-bulletins/typo3-sa-2010-008/) beschreibt detailliert, wie sich Abhilfe schaffen lässt. Zum einen löst ein Upgrade auf Version 4.3.3 das Problem. Es gibt überdies drei PHP-Schalter, von denen mindestens einer auf „off“ stehen muss, damit die Lücke nicht ausgenutzt werden kann:

  • register_globals
  • allow_url_include
  • allow_url_fopen

Die Chancen stehen gut, dass einer davon bereits standardmäßig abgeschaltet ist und es ist eine gute Idee, alle abzuschalten. Aber erstens gibt das in manchen Fällen Kompatibiltätsprobleme und zweitens hat man als Kunde eines Web-Hosters unter Umständen nur sehr eingeschränkte Möglichkeiten, die PHP-Einstellungen selbst zu verändern.

Java-Exploit startet lokale Windows-Anwendungen

von Stefan Suhr

Im Java Deployment Toolkit (JDT) ist unter Windows eine Sicherheitslücke aufgedeckt worden, durch die präparierte Webseiten beliebige Anwendungen auf einem Windows-PC starten können. Möglich wäre beispielsweise, per FTP einen Trojaner nachzuladen und zu starten. JDT ist seit Java 6 Update 10 im Lieferumfang von Java enthalten und soll Entwicklern das Verteilen von Anwendungen erleichtern. Das Problem beruhe auf der mangelnden Filterung von URLs, durch die sich beliebige Parameter an das zugrunde liegende Java Web Start (JWS) übergeben lassen.

Tavis Ormandy, der die Sicherheitslücke entdeckt hat, hat Sun (jetzt Oracle) nach eigenen Angaben über das Problem informiert. Laut seinem Bericht fand der Hersteller die Schwachstelle jedoch nicht kritisch genug, um einen Notfall-Patch außerhalb des dreimonatigen Patch-Zyklus zu veröffentlichen.

Das Tool AxBan (http://portal.erratasec.com/axb/AxBan.exe) soll Abhilfe schaffen.

Weitere hilfreiche Hinweise gibt es hier:

http://support.microsoft.com/kb/240797

PDF-Exploit funktioniert ohne konkrete Sicherheitslücke

6. April 2010 von Stefan Suhr

Der PDF-Sicherheitsspezialist Didier Stevens hat ein PDF-Dokument entwickelt, das – ohne eine konkrete Schwachstelle auszunutzen – einen PC infizieren könnte. Stevens macht sich dabei nach eigenen Angaben die Option „Launch Actions/Launch File“ zunutze, die sogar im PDF eingebettete Skripte oder EXE-Dateien starten kann – diese Option ist Bestandteil der PDF-Spezifikation.

Im Adobe Reader hilft es, unter Einstellungen/Berechtigungen die Option „Nicht-PDF-Dateianlagen dürfen in externen Anwendungen geöffnet werden.“ zu deaktivieren – standardmäßig ist sie aktiviert. Danach startet der Demo-Exploit beim Öffnen im Adobe Reader keine Eingabeaufforderung mehr.

Quick-Time Update für Windows

von Stefan Suhr

Für Windows 7, Vista und XP stellt Apple Quick-Time 7.6.6 zum Download bereit. Das Update stopft 16 Sicherheitslücken, die das Einschleusen und Ausführen von Code auf einem PC mit den Rechten des Nutzers ermöglichen.

Das Update gibt es hier: http://www.apple.com/de/quicktime/download/

Firefox Update 3.6.3

von Stefan Suhr

Mozilla stellt für die Firefox Version 3.6 ein Update zur Verfügung und empfiehlt dringend, eine Aktualisierung durchzuführen.

Mozilla Firefox 3.6.3 steht hier zum Download bereit: http://www.mozilla.com/de/

Update für Thunderbird

31. März 2010 von Stefan Suhr

Mit einem neuen Sicherheitsupdate schließt Mozilla ab sofort aktuelle Sicherheitslücken im Thunderbird. Die neue Version 3.0.4 gibt es hier:

http://de.www.mozillamessaging.com/de/thunderbird/

Internet Explorer: Neues Update

von Stefan Suhr

Der Internet Explorer kommt nicht zur Ruhe. Microsoft hat jetzt außerplanmäßig ein neues Sicherheitsupdate für den IE veröffenlticht. Von Sicherheitslücken betroffen sind die Versionen 5.01., 6, 7 und 8. Über einen Besuch der „Windows Update“ Webseite kann man das Update am einfachsten installieren:

http://update.microsoft.com/windowsupdate/

Eine weitere Möglichkeit ist die Aktivierung von automatischen Updates im Microsoft Sicherheitscenter:

http://windows.microsoft.com/de-DE/windows-vista/Turn-automatic-updating-on-or-off

Neue Sicherheitsupdates von Apple

30. März 2010 von Stefan Suhr

Mit seinem neuen Sicherheitsupdate 2010-002 schließt Apple insgesamt 92 Sicherheitslücken im Betriebssystem Mac OS.  Wir empfehlen allen Apple-Nutzern die zeitnahe Installation des  Sicherheitsupdates, um die Schwachstellen zu schließen. Dies geschieht am besten über die Apple-Funktion „Softwareaktualisierung“ oder über  einen Besuch der Download-Webseite unter:

http://support.apple.com/downloads/

Weitere Infos:

Apple Sicherheitsupdate 2010-002
http://support.apple.com/kb/HT4077?viewlocale=de_DE

Firefox 3.6.2. verfügbar

23. März 2010 von Stefan Suhr

Ab heute steht der neue Firefox 3.6.2. zum Herunterladen bereit. In ihm hat Mozilla aktuelle Sicherheitslücken geschlossen. Wir empfehlen die zeitnahe Installation des Updates.

Die geht unkompliziert über den Pfad Menü  „Hilfe“/ „Nach Updates suchen…“.

Alternativ steht Mozilla Firefox 3.6.2 auch hier zum Herunterladen bereit:

http://www.mozilla.com/de/

Sicherheitswarnung für Mozilla Firefox 3.6

19. März 2010 von Stefan Suhr

Der Mozilla Foundation wurde eine Sicherheitslücke gemeldet. Wir empfehlen, bis zur Veröffentlichung der Mozilla Firefox Version 3.6.2 die Nutzung alternativer Browser. Firefox 3.6.2 soll ab Dienstag, den 30. März 2010 verfügbar sein.

Weitere Informationen:

http://blog.mozilla.com/security/2010/03/18/update-on-secunia-advisory-sa38608

Standort Schnellsuche

oder

Seit 22 Jahren für Sie im Einsatz.

Bundesweiter IT-Service seit 1996 - über 600.000 gelöste IT-Probleme

Homepage

Zur PC112 - Hauptseite

IT so leicht wie 1 + 1 = 2.


{lang: 'de'} */ ?>