Im Java Deployment Toolkit (JDT) ist unter Windows eine Sicherheitslücke aufgedeckt worden, durch die präparierte Webseiten beliebige Anwendungen auf einem Windows-PC starten können. Möglich wäre beispielsweise, per FTP einen Trojaner nachzuladen und zu starten. JDT ist seit Java 6 Update 10 im Lieferumfang von Java enthalten und soll Entwicklern das Verteilen von Anwendungen erleichtern. Das Problem beruhe auf der mangelnden Filterung von URLs, durch die sich beliebige Parameter an das zugrunde liegende Java Web Start (JWS) übergeben lassen.

Tavis Ormandy, der die Sicherheitslücke entdeckt hat, hat Sun (jetzt Oracle) nach eigenen Angaben über das Problem informiert. Laut seinem Bericht fand der Hersteller die Schwachstelle jedoch nicht kritisch genug, um einen Notfall-Patch außerhalb des dreimonatigen Patch-Zyklus zu veröffentlichen.

Weitere hilfreiche Hinweise gibt es hier:

http://support.microsoft.com/kb/240797

Der PDF-Sicherheitsspezialist Didier Stevens hat ein PDF-Dokument entwickelt, das – ohne eine konkrete Schwachstelle auszunutzen – einen PC infizieren könnte. Stevens macht sich dabei nach eigenen Angaben die Option „Launch Actions/Launch File“ zunutze, die sogar im PDF eingebettete Skripte oder EXE-Dateien starten kann – diese Option ist Bestandteil der PDF-Spezifikation.

Im Adobe Reader hilft es, unter Einstellungen/Berechtigungen die Option „Nicht-PDF-Dateianlagen dürfen in externen Anwendungen geöffnet werden.“ zu deaktivieren – standardmäßig ist sie aktiviert. Danach startet der Demo-Exploit beim Öffnen im Adobe Reader keine Eingabeaufforderung mehr.

Für Windows 7, Vista und XP stellt Apple Quick-Time 7.6.6 zum Download bereit. Das Update stopft 16 Sicherheitslücken, die das Einschleusen und Ausführen von Code auf einem PC mit den Rechten des Nutzers ermöglichen.

Das Update gibt es hier: http://www.apple.com/de/quicktime/download/

Mozilla stellt für die Firefox Version 3.6 ein Update zur Verfügung und empfiehlt dringend, eine Aktualisierung durchzuführen.

Mozilla Firefox 3.6.3 steht hier zum Download bereit: http://www.mozilla.com/de/

Mit einem neuen Sicherheitsupdate schließt Mozilla ab sofort aktuelle Sicherheitslücken im Thunderbird. Die neue Version 3.0.4 gibt es hier:

http://de.www.mozillamessaging.com/de/thunderbird/

Der Internet Explorer kommt nicht zur Ruhe. Microsoft hat jetzt außerplanmäßig ein neues Sicherheitsupdate für den IE veröffenlticht. Von Sicherheitslücken betroffen sind die Versionen 5.01., 6, 7 und 8. Über einen Besuch der „Windows Update“ Webseite kann man das Update am einfachsten installieren:

http://update.microsoft.com/windowsupdate/

Eine weitere Möglichkeit ist die Aktivierung von automatischen Updates im Microsoft Sicherheitscenter:

http://windows.microsoft.com/de-DE/windows-vista/Turn-automatic-updating-on-or-off

Mit seinem neuen Sicherheitsupdate 2010-002 schließt Apple insgesamt 92 Sicherheitslücken im Betriebssystem Mac OS.  Wir empfehlen allen Apple-Nutzern die zeitnahe Installation des  Sicherheitsupdates, um die Schwachstellen zu schließen. Dies geschieht am besten über die Apple-Funktion „Softwareaktualisierung“ oder über  einen Besuch der Download-Webseite unter:

http://support.apple.com/downloads/

Weitere Infos:

Apple Sicherheitsupdate 2010-002
http://support.apple.com/kb/HT4077?viewlocale=de_DE

Ab heute steht der neue Firefox 3.6.2. zum Herunterladen bereit. In ihm hat Mozilla aktuelle Sicherheitslücken geschlossen. Wir empfehlen die zeitnahe Installation des Updates.

Die geht unkompliziert über den Pfad Menü  „Hilfe“/ „Nach Updates suchen…“.

Alternativ steht Mozilla Firefox 3.6.2 auch hier zum Herunterladen bereit:

http://www.mozilla.com/de/

Der Mozilla Foundation wurde eine Sicherheitslücke gemeldet. Wir empfehlen, bis zur Veröffentlichung der Mozilla Firefox Version 3.6.2 die Nutzung alternativer Browser. Firefox 3.6.2 soll ab Dienstag, den 30. März 2010 verfügbar sein.

Weitere Informationen:

http://blog.mozilla.com/security/2010/03/18/update-on-secunia-advisory-sa38608

Aus Sicherheitsgründen empfehlen wir allen Google Chrome-Nutzern ein Update auf die aktuellste Version 4.1.249.1036. Am einfachsten geht dies über die integrierte Update-Funktion:

Schraubenschluessel-Symbol -> Menüpunkt „Info zu Google Chrome“ -> Button „Jetzt aktualisieren“

Alternativ gibt es die aktuellste Version als Download unter http://www.google.com/chrome/