10. April 2010 von Stefan Suhr
Im Java Deployment Toolkit (JDT) ist unter Windows eine Sicherheitslücke aufgedeckt worden, durch die präparierte Webseiten beliebige Anwendungen auf einem Windows-PC starten können. Möglich wäre beispielsweise, per FTP einen Trojaner nachzuladen und zu starten. JDT ist seit Java 6 Update 10 im Lieferumfang von Java enthalten und soll Entwicklern das Verteilen von Anwendungen erleichtern. Das Problem beruhe auf der mangelnden Filterung von URLs, durch die sich beliebige Parameter an das zugrunde liegende Java Web Start (JWS) übergeben lassen.
Tavis Ormandy, der die Sicherheitslücke entdeckt hat, hat Sun (jetzt Oracle) nach eigenen Angaben über das Problem informiert. Laut seinem Bericht fand der Hersteller die Schwachstelle jedoch nicht kritisch genug, um einen Notfall-Patch außerhalb des dreimonatigen Patch-Zyklus zu veröffentlichen.
Weitere hilfreiche Hinweise gibt es hier:
http://support.microsoft.com/kb/240797
Tags: Java, windows
Veröffentlich in CERT | Kommentare deaktiviert für Java-Exploit startet lokale Windows-Anwendungen
6. April 2010 von Stefan Suhr
Der PDF-Sicherheitsspezialist Didier Stevens hat ein PDF-Dokument entwickelt, das – ohne eine konkrete Schwachstelle auszunutzen – einen PC infizieren könnte. Stevens macht sich dabei nach eigenen Angaben die Option „Launch Actions/Launch File“ zunutze, die sogar im PDF eingebettete Skripte oder EXE-Dateien starten kann – diese Option ist Bestandteil der PDF-Spezifikation.
Im Adobe Reader hilft es, unter Einstellungen/Berechtigungen die Option „Nicht-PDF-Dateianlagen dürfen in externen Anwendungen geöffnet werden.“ zu deaktivieren – standardmäßig ist sie aktiviert. Danach startet der Demo-Exploit beim Öffnen im Adobe Reader keine Eingabeaufforderung mehr.
Tags: Adobe, PDF-Exploit
Veröffentlich in CERT | 1 Kommentar »
von Stefan Suhr
Für Windows 7, Vista und XP stellt Apple Quick-Time 7.6.6 zum Download bereit. Das Update stopft 16 Sicherheitslücken, die das Einschleusen und Ausführen von Code auf einem PC mit den Rechten des Nutzers ermöglichen.
Das Update gibt es hier: http://www.apple.com/de/quicktime/download/
Tags: Quick-Time, Update, Vista, windows 7, XP
Veröffentlich in CERT | 1 Kommentar »
von Stefan Suhr
Mozilla stellt für die Firefox Version 3.6 ein Update zur Verfügung und empfiehlt dringend, eine Aktualisierung durchzuführen.
Mozilla Firefox 3.6.3 steht hier zum Download bereit: http://www.mozilla.com/de/
Tags: firefox, mozilla, Update
Veröffentlich in CERT | Kommentare deaktiviert für Firefox Update 3.6.3
31. März 2010 von Stefan Suhr
Mit einem neuen Sicherheitsupdate schließt Mozilla ab sofort aktuelle Sicherheitslücken im Thunderbird. Die neue Version 3.0.4 gibt es hier:
http://de.www.mozillamessaging.com/de/thunderbird/
Tags: mozilla, thunderbird, Update
Veröffentlich in CERT | Kommentare deaktiviert für Update für Thunderbird
von Stefan Suhr
Der Internet Explorer kommt nicht zur Ruhe. Microsoft hat jetzt außerplanmäßig ein neues Sicherheitsupdate für den IE veröffenlticht. Von Sicherheitslücken betroffen sind die Versionen 5.01., 6, 7 und 8. Über einen Besuch der „Windows Update“ Webseite kann man das Update am einfachsten installieren:
http://update.microsoft.com/windowsupdate/
Eine weitere Möglichkeit ist die Aktivierung von automatischen Updates im Microsoft Sicherheitscenter:
http://windows.microsoft.com/de-DE/windows-vista/Turn-automatic-updating-on-or-off
Tags: Explorer, ie, internet explorer, Update
Veröffentlich in CERT | Kommentare deaktiviert für Internet Explorer: Neues Update
30. März 2010 von Stefan Suhr
Mit seinem neuen Sicherheitsupdate 2010-002 schließt Apple insgesamt 92 Sicherheitslücken im Betriebssystem Mac OS. Wir empfehlen allen Apple-Nutzern die zeitnahe Installation des Sicherheitsupdates, um die Schwachstellen zu schließen. Dies geschieht am besten über die Apple-Funktion „Softwareaktualisierung“ oder über einen Besuch der Download-Webseite unter:
http://support.apple.com/downloads/
Weitere Infos:
Apple Sicherheitsupdate 2010-002
http://support.apple.com/kb/HT4077?viewlocale=de_DE
Tags: apple, mac, Update
Veröffentlich in CERT | Kommentare deaktiviert für Neue Sicherheitsupdates von Apple
23. März 2010 von Stefan Suhr
Ab heute steht der neue Firefox 3.6.2. zum Herunterladen bereit. In ihm hat Mozilla aktuelle Sicherheitslücken geschlossen. Wir empfehlen die zeitnahe Installation des Updates.
Die geht unkompliziert über den Pfad Menü „Hilfe“/ „Nach Updates suchen…“.
Alternativ steht Mozilla Firefox 3.6.2 auch hier zum Herunterladen bereit:
http://www.mozilla.com/de/
Tags: mozilla, Update
Veröffentlich in CERT | Kommentare deaktiviert für Firefox 3.6.2. verfügbar
19. März 2010 von Stefan Suhr
Der Mozilla Foundation wurde eine Sicherheitslücke gemeldet. Wir empfehlen, bis zur Veröffentlichung der Mozilla Firefox Version 3.6.2 die Nutzung alternativer Browser. Firefox 3.6.2 soll ab Dienstag, den 30. März 2010 verfügbar sein.
Weitere Informationen:
http://blog.mozilla.com/security/2010/03/18/update-on-secunia-advisory-sa38608
Tags: firefox, mozilla
Veröffentlich in CERT | Kommentare deaktiviert für Sicherheitswarnung für Mozilla Firefox 3.6
von Stefan Suhr
Aus Sicherheitsgründen empfehlen wir allen Google Chrome-Nutzern ein Update auf die aktuellste Version 4.1.249.1036. Am einfachsten geht dies über die integrierte Update-Funktion:
Schraubenschluessel-Symbol -> Menüpunkt „Info zu Google Chrome“ -> Button „Jetzt aktualisieren“
Alternativ gibt es die aktuellste Version als Download unter http://www.google.com/chrome/
Tags: chrome, google, Google Chrome, Update
Veröffentlich in CERT | Kommentare deaktiviert für Neues Update für Google Chrome