Sicherheitslücke in Apple-Browser ermöglicht Drive-by-Downloads

von Ryan Naraine und Stefan Beiersmann

Secunia bestätigt die Schwachstelle in Safari 4.0.5 für Windows. Möglicherweise besteht der Fehler auch in anderen Versionen des Browsers. Ein Angreifer kann über eine manipulierte Website beliebigen Schadcode einschleusen und ausführen. weiter

Microsoft warnt vor XSS-Lücke in SharePoint Server 2007

von Ryan Naraine und Stefan Beiersmann

Die Schwachstelle besteht auch in den SharePoint Services 3.0. Ein Angreifer kann darüber beliebigen JavaScript-Code einschleusen und ausführen. Microsoft arbeitet schon an einem Patch für die Lücke. weiter

Microsoft kündigt Update für XSS-Filter des IE 8 an

von Ryan Naraine und Stefan Beiersmann

Der Softwareanbieter reagiert damit auf einen Hinweis zweier Sicherheitsforscher. Demnach ermöglicht ein Fehler im XSS-Filter Cross-Site-Scripting auf sonst nicht anfälligen Websites. Der Patch soll im Juni erscheinen. weiter

XSS-Filter des IE 8 ist anfällig für Cross-Site-Scripting

von Ryan Naraine und Stefan Beiersmann

Das Problem besteht beim Besuch populärer Websites wie Bing.com, Google.com und Wikipedia.org. Microsoft hat es teilweise schon mit zwei Updates behoben. Sicherheitsforscher raten trotzdem zur Deaktivierung des XSS-Filters. weiter

Zeus-Malware nutzt Lücke in PDF-Spezifikation aus

von Ryan Naraine und Stefan Beiersmann

Die neue Variante verbreitet sich per E-Mail. Die Nachrichten stammen angeblich von der britischen Royal Mail. Eine daran angehängte PDF-Datei enthält einen Installer für den Zeus-Bot. weiter

Update für kritische Java-Lücke veröffentlicht

von Ryan Naraine und Stefan Beiersmann

Es beseitigt eine Ende vergangener Woche entdeckte Schwachstelle im Java Web Start Utility. Ein Angreifer kann darüber die Kontrolle über einen Rechner übernehmen. AVG hat auf Servern in Russland Exploit-Code für die Lücke gefunden. weiter

Apple stopft kritische Sicherheitslücke in Mac OS X

von Ryan Naraine und Stefan Beiersmann

Das Update betrifft Nutzer von Mac OS X 10.5 Leopard und 10.6 Snow Leopard. Der Fehler besteht in Apple Type Services bei der Behandlung eingebetteter Schriften. Es handelt sich um eine beim Hacker-Wettbewerb Pwn2Own demonstrierte Lücke. weiter

Adobe stopft 15 Löcher in Reader und Acrobat

von Ryan Naraine und Stefan Beiersmann

Sie bestehen in den Versionen 9.3.1, 8.2.1 und früher unter Windows, Mac OS X und Unix. Angreifer können über Speicherfehler und Pufferüberläufe beliebigen Schadcode einschleusen und ausführen. Zudem aktiviert Adobe eine neue Updatefunktion. weiter

Tausende WordPress-Blogs zu schädlichen Websites umgeleitet

von Jan Kaden und Ryan Naraine

Die Zugangsdaten für WordPress-Datenbanken liegen im Klartext vor. Die Hacker griffen über falsch konfigurierte Apache-Webserver auf die Passwörter zu. Der hauptsächlich betroffene Provider Network Solutions will das Problem inzwischen gelöst haben. weiter

US-Forscher entwickeln sicheres Betriebssystem

von Ryan Naraine und Stefan Beiersmann

Die National Science Foundation finanziert das Projekt mit 1,15 Millionen Dollar. Das "Ethos" benannte Betriebssystem wird auf dem Hypervisor Xen basieren. Aktuell sucht man noch nach Kernel-Hackern. weiter

Sicherheitsforscher warnen vor Zero-Day-Lücke in Java

von Ryan Naraine und Stefan Beiersmann

Der Fehler besteht im Java Web Start Utility. Ein Angreifer kann mithilfe einer manipulierten Website die Kontrolle über einen Rechner übernehmen. Betroffen sind Windows-Betriebssysteme - unabhängig vom Browser. weiter

Adobe empfiehlt Workaround für Lücke in PDF-Spezifikation

von Ryan Naraine und Stefan Beiersmann

Nutzer von Adobe Reader und Acrobat müssen dafür eine Einstellung ändern. Sie verhindert das Ausführen von Nicht-PDF-Dateianlagen. Möglicherweise wird Adobe das Problem mit einem künftigen Sicherheitsupdate beheben. weiter

Exploit für neue Internet-Explorer-Lücke veröffentlicht

von Ryan Naraine und Stefan Beiersmann

Ein Blogeintrag von McAfee liefert einem Hacker die benötigten Informationen. Moshe Ben Abu findet eine Codeanfälligkeit in der Datei "iepeers.dll". Sein Exploit ist nun Bestandteil der Penetrationstest-Suite Metasploit. weiter

Forscher demonstrieren mobiles Botnetz aus 8000 Smartphones

von Ryan Naraine und Stefan Beiersmann

Damit wollen sie auf Sicherheitsrisiken von Drittanbieter-Anwendungen hinweisen. Um das Netzwerk aufzubauen, veröffentlichten sie eine Wetter-Applikation. Nach einem Tag wurde sie bereits 1862-mal heruntergeladen. weiter

Adobe schließt zwei kritische Lücken in Reader und Acrobat

von Ryan Naraine und Stefan Beiersmann

Betroffen sind die Versionen 9.3 sowie 8.2 und früher. Die Fehler treten unter Windows, Mac OS X und Unix auf. Eine Codeanfälligkeit ermöglicht das Einschleusen von beliebigem Schadcode nach einem provozierten Absturz. weiter

Microsoft kündigt 13 Updates für Office und Windows an

von Markus Pytlik und Ryan Naraine

Sie schließen insgesamt 26 Sicherheitslücken. Elf Patches beseitigen Schwachstellen in Windows, die beiden anderen stopfen Codelücken in der Bürosoftware Microsoft Office. Fünf Aktualisierungen sind als kritisch eingestuft. weiter

Patch für kritische Internet-Explorer-Lücke erscheint heute

von Ryan Naraine und Stefan Beiersmann

Das Update steht ab etwa 19 Uhr deutscher Zeit zur Verfügung. Es behebt mehrere Schwachstellen im Microsoft-Browser. Außer dem Internet Explorer sind auch Office-Programme wie Outlook, Word und Excel betroffen. weiter

Adobe patcht kritische Lücken im Shockwave Player

von Ryan Naraine und Stefan Beiersmann

Betroffen sind alle Versionen bis 11.5.2.602 unter Windows und Mac OS X. Angreifer können über die Schwachstellen Schadcode einschleusen und ausführen. Vor Installation des Updates muss eine alte Shockwave-Version entfernt werden. weiter

Forscher: Google bezahlt für Werbung in Spyware

von Jan Kaden und Ryan Naraine

Der Suchgigant soll Google Ads über die Spyware WhenU ausliefern. Deren Pop-ups bewerben die Sites, auf denen sich der Surfer ohnehin schon befindet. Harvard-Dozent Ben Edelman fordert eine Ende der Verbindung. weiter