Arcadewelten.eu

Das PHP-Entwicklerteam hat einen erneuten Versuch unternommen, die kritische Schwachstelle beim Zusammenspiel mit CGI in den Griff zu bekommen. PHP interpretiert im CGI-Mode bestimmte URL-Parameter als Kommandozeilenparamter. Dadurch liefert ein betroffener Server den Quellcode einer Seite aus, wenn man die Zeichenkette ?-s an das Ende einer URL hängt (http://www.heise.de/?-s). Auch das Ausführen von Code ist auf diese Weise möglich.

Quelle: Heise.de

Mit dem am Freitag veröffentlichten Flash-Update schließt Adobe eine kritische Schwachstelle, die bereits aktiv für gezielte Angriffe ausgenutzt wird. Durch die Lücke kann ein Angreifer unter Umständen die Kontrolle über einen fremden Rechner übernehmen. Bei den von Adobe beobachteten Angriffen wurden Mails verschickt, welche die Empfänger dazu animiert haben, die angehängte Datei auszuführen.

Quelle: heise.de / zum Artikel

Parallel zu Microsoft hat auch Adobe am gestrigen Dienstag seinen April-Patchday abgehalten. Das Unternehmen schließt vier kritische Lücken in seinem Reader sowie dem PDF-Editor Acrobat, die sich potenziell zum Einschleusen von Schadcode eignen. Bei den Lücken handelt es sich unter anderem um einen Integer Overflow, der bei der Verarbeitung von TrueType-Schriftarten auftritt. Zwei kritische Speicherfehler finden sich in der JavaScript-Engine.

Quelle: heise.de

Arbeitnehmer sollten einen kritischen Blick auf ihre Januar-Gehaltsabrechnung werfen. Es könnten sich Fehler eingeschlichen haben. Grund: Da die elektronische Lohnsteuerkarte noch nicht gilt, gilt eine frühere Lohnsteuerkarte.

Weil sich der Start der elektronischen Lohnsteuerkarte verzögert hat, gilt weiterhin die Lohnsteuerkarte 2010 oder eine entsprechende Ersatzbescheinigung, erklärt der Bundesverband der Lohnsteuerhilfe (BDL) in Berlin. Möglicherweise haben sich inzwischen Änderungen ergeben. Diese werden bei der Lohnabrechnung möglicherweise nicht übernommen.

Quelle: n-tv.de

In dieser Woche hat 'Adobe' ein Update für den Flash Player veröffentlicht, mit dem zahlreiche Sicherheitslücken aus der Welt geschaffen werden. Den Nutzern wird die Installation daher dringend empfohlen.

Mehrere dieser geschlossenen Schwachstellen könnte ein Angreifer dazu nutzen, um Schadcode auf die Systeme der Opfer einzuschleusen und diese letztlich möglicherweise sogar zu übernehmen. Insgesamt handelt es sich laut Adobe um zwölf geschlossene Schwachstellen im Flash Player.

Wegen diesen teilweise kritischen Problemen hat man im Hause Adobe die Entscheidung getroffen, außerhalb des Quartalspatchdays das besagte Update freizugeben. Über die offiziellen Anlaufstellen können die Updates für Windows, Mac OS X, Android, Solaris und Linux heruntergeladen werden.

Quelle : winfuture.de / Zum Artikel

Die neuen Sicherheitsupdates für Windows sind da. Aktuell stopft Microsoft ein kritisches Wurmloch und repariert drei minder schwere Löcher in seinen Betriebssystemen – nur Windows XP bekommt diesmal keinen Softwareflicken ab.

Microsoft liefert insgesamt vier neue Update-Pakete für Windows 7 und Vista aus, von denen eines mit der höchsten Gefahrenstufe kritisch eingestuft wird. Der Grund: Die mit Patch MS11-083 geschlossene Lücke ließe sich für eine Wurmattacke missbrauchen. Schon die Verbindung mit dem Internet genügt hierfür. Wurm-Schädlinge verbreiten sich eigenständig und könnten beispielsweise blitzschnell Viren und Trojaner in Tausende von PC einschleusen. Noch werde das Leck nicht für Wurm-Angriffe ausgenutzt, warnt Microsoft.
Windows-Update für Netzwerksicherheit

Mit weiteren Updates beseitigt Microsoft unter anderem Schwachstellen in Windows Mail sowie Windows Meeting Space und im Kernelmodus-Treiber. Sie alle erhöhen die Netzwerksicherheit. So verhindert Patch MS11-085, dass Windows-7-Nutzer über präparierte Netzwerk-Verzeichnisse heimlich Schadsoftware untergeschoben bekommen. Das Update für den Kernel-Treiber korrigiert den Umgang mit schädlichen TrueType-Schriftart-Dateien, über die Angreifer einen Windows-PC schlimmstenfalls außer Gefecht setzen könnten.

Der Sicherheitsexperte Jose A. Vazquez macht auf eine als kritisch eingestufte Schwachstelle in mehreren Versionen des Opera-Browsers aufmerksam. Die Entwickler hat er bereits vor geraumer Zeit darüber informiert.

Allerdings blieb eine Reaktion auf die beschrieben Schwachstelle von den Entwicklern aus Norwegen bislang aus. Vor über einem Jahr wurde der Sicherheitsexperte schon auf diese Problematik, die sich ein Angreifer zunutze machen könnte, aufmerksam. Wann mit einem entsprechenden Update zu rechnen ist, teilte man bisher noch nicht mit.

Quelle : winfuture.de

Zur Zeit häufen sich auf Facebook immer wieder die Videos mit dem Titel "Schockierendes Video vom Oktoberfest" Im Moment sind es 2 verschiedene Postings welche herumschwirren. Das eine zeigt eine Hochschaubahn und das andere ein Kindergesicht. Hinter diesen Postings stecken immer wieder Fan-Seiten und beide haben enorm viel Fans da die Facebook-Nutzer immer auf "Gefällt mir" und "Teilen" klicken müssen um das Video sehen zu können! Ein Video bekommt man (wie immer) natürlich nicht zu sehen aber dafür kann man an Gewinnspielen teilnehmen und hinter diesen Gewinnspielen verbirgt sich eine Abofalle! Wie die Postings aussehen haben wir in diesem Artikel beschrieben!

So sehen die beiden Postings aus:

Nach einem Klick landet man hier:

oder hier:

Adobe hat wie angekündigt einen Notfall-Patch (Version 10.3.183.10) für den Flash-Player veröffentlicht, der einige kritische Lücken schließt. Der Hersteller muss außerplanmäßig reagieren, da eine der Schwachstellen bereits aktiv für Angriffe ausgenutzt wird: Durch die Cross-Site-Scripting-Lücke können Angreifer die Same-Origin-Policy umgehen und so etwa auf das Webmailkonto des Opfers zugreifen oder seine Cookies stehlen. Hierzu muss der Angreifer sein Opfer lediglich auf eine präparierte Webseite locken.

Zu den übrigen fünf Lücken macht Adobe nur spärliche Angaben. Durch vier der Lücken kann ein Angreifer aus der Ferne Schadcode ins System schleusen, unter anderem durch zwei Stack-Overflow-Fehler. Durch die sechste Lücke gelangt der Angreifer an Informationen, auf die er keinen Zugriff haben dürfte (Information Disclosure).

Flash ist bis Version 10.3.183.7 unter allen Desktop-Betriebssystemen verwundbar. Unter Android sind alle Versionen einschließlich 10.3.186.6 angreifbar, die fehlerbereinigte Version trägt die Versionsnummer 10.3.186.7. Den in Chrome integrierten Flash-Player hat Google bereits vor zwei Tagen mit dem Update auf Chrome 14.0.835.186 auf den aktuellen Stand gebracht. Die derzeit installierte Version des Flash-Player kann man bei Adobe in Erfahrung bringen.

Die Spieleentwickler aus dem Hause Zynga, bekannt für Spiele wie beispielsweise Farmville oder Mafia Wars, wurden auf eine Reihe kritischer Sicherheitslücken von deutschen Security-Experten aufmerksam gemacht.

Nach einer einfachen Überprüfung stellte sich heraus, dass sich teilweise umfassende Folgen und erhebliche Gefahren für die Nutzer von Zynga-Diensten ergeben könnten, berichten die Experten von 'Sicherheit-Online'. Neben verschiedenen Angriffsszenarien wurde unter anderem eine Phishing-Attacke erfolgreich simuliert.

Ferner könnte ein Angreifer geschützte Informationen eines Nutzers ausspähen oder die Systeme der potentiellen Opfer mit Schadcode infizieren. Die Experten konnten im Rahmen der Untersuchung beispielsweise Facebookprofile übernehmen und auf diese Weise auf persönliche Daten zugreifen.

Quelle : winfuture.de / Zum Artikel

Auf einer Unterseite der Online-Auktionsplattform eBay wurde ein URL-Parameter kürzlich bekannt gewordenen Informationen zufolge nur unzureichend geprüft. Dadurch ergab sich eine kritische XSS-Lücke.

Ein Angreifer hätte durch das erfolgreiche Ausnutzen dieser Schwachstelle möglicherweise fremde eBay-Konten übernehmen können. Zu diesem Zweck musste man zunächst in den Besitz der zugehörigen Cookies kommen. Angeblich konnten Links erstellt werden, bei denen im Kontext der offiziellen eBay-Domain beliebiger JavaScript-Code ausgeführt wurde.

Daniel Sparka wurde auf diese Problematik aufmerksam und hat sich nicht nur an 'Heise Security' mit diesem Thema gewendet, sondern auch eBay selbst darüber informiert. Von den Betreibern der Plattform erhielt er allerdings lediglich den Hinweis, die temporären Dateien in seinem Browser zu löschen. Ganz offensichtlich wurde der eingesendete Tipp in diesem Fall falsch verstanden.

Quelle : winfuture.de

Der medienwirksame Zugriff der Ermittlungsbehörden im Fall von kino.to mag zwar ein richtiger und vor allem wichtiger Schritt gegen Online-Kriminelle sein. Aber er hat nicht nur für Zustimmung gesorgt. Es gibt auch kritische Stimmen, weil sich die Staatsanwaltschaften in anderen Bereichen wie beispielsweise der Abzocke im Internet sehr schwer tun.

Quelle: Bayernpartei.de / Zum Artikel

Via: Antiabzockenet.blogspot.com / Zum Artikel

via 2: abzocknews.de

Microsoft hat angekündigt, am kommenden Dienstag insgesamt 16 Patches zu veröffentlichen, die 34 Sicherheitslücken schließen. Neun der Patches beheben kritische Lücken, durch die Angreifer aus der Ferne Schadcode ins System einschleusen können. Elf der Patches betreffen Lücken in Windows; zumeist sind alle Windows-Versionen ab XP SP3 betroffen – ältere Versionen werden von Microsoft nicht länger gepflegt. Für den Internet Explorer wird es zwei Patches geben, beide schließen laut Hersteller kritische Lücken.

Quelle : heise.de

Soeben wurde WordPress 3.1.2 veröffentlicht. Diese Version ist ein Sicherheitsrelease und behebt eine kritische Sicherheitslücke sowie einige kleinere Fehler. Durch das Sicherheitsproblem können User mit der Benutzerrolle “Mitarbeiter” (Contributor) unberechtigt Beiträge veröffentlichen.

Eine Aktualisierung auf die neue Version 3.1.2 wird dringend empfohlen, insbesondere für Installationen, die eine Benutzerregistrierung zulassen oder die nicht vertrauenswürdige Benutzer haben.

Quelle und downloads fuer WP 3.1.2: wordpress-deutschland.org

Blogger die Versionen vor 3.1 nutzen sollten auch bedenken das es keiner Updates fuer ihre Blog Versionen mehr gibt. ! Also genau der richtige Zeitpunkt auf Version 3.1 Upzudaten :)

Erst vor einigen Monaten flog auf, dass das führende Online-Netzwerk den Zugang zu einer Facebook-kritischen Satire-Seite blockiert. Damals entschuldigte sich das Unternehmen. Doch nun zensiert es offenbar wieder.

Quelle : focus.de