Arcadewelten.eu

Die Android-Smartphones Score M und Skate des chinesischen Herstellers ZTE enthalten mit der Anwendung /system/bin/sync_agent eine Hintertür: Damit können sich Angreifer unbemerkt Root-Rechte auf dem Smartphone verschaffen, wie ein Posting auf der Website Pastebin ans Licht brachte. Laut einem Blog-Beitrag auf Threatpost, dem News-Dienst von Kaspersky Lab, hat der Hersteller die Sicherheitslücke mittlerweile bestätigt. ZTE will sie mit einem Patch schließen, der bis Ende Mai als Over-the-Air-Update bereit stehen soll.

Quelle : heise.de

Auch für den Speedport W 504V steht nun eine neue Firmware bereit, die die Ende April bekannt gewordene WLAN-Lücke schließt. Für die beiden anderen betroffenen Modelle W 723V (Typ B) und W 921V hatte das Unternehmen bereits fehlerbereinigte Firmware-Versionen veröffentlicht.

Quelle: heise.de /Zum Artikel

Das Update auf iOS 5.1.1 soll nicht nur die Stabilität verbessern, Apple hat auch einige Sicherheitslücken geschlossen. So sorgt etwa ein Speicherfehler in Safari dafür, dass Angreifer potenziell Code aus dem iOS-Gerät aufrufen, wenn man eine speziell präparierte Webseite besucht – eine Lücke, die sicherlich auch in der Jailbraking-Szene ihre Fans gefunden hätte.

Quelle: heise.de /Zum Artikel

Das PHP-Entwicklerteam hat einen erneuten Versuch unternommen, die kritische Schwachstelle beim Zusammenspiel mit CGI in den Griff zu bekommen. PHP interpretiert im CGI-Mode bestimmte URL-Parameter als Kommandozeilenparamter. Dadurch liefert ein betroffener Server den Quellcode einer Seite aus, wenn man die Zeichenkette ?-s an das Ende einer URL hängt (http://www.heise.de/?-s). Auch das Ausführen von Code ist auf diese Weise möglich.

Quelle: Heise.de

Mit dem am Freitag veröffentlichten Flash-Update schließt Adobe eine kritische Schwachstelle, die bereits aktiv für gezielte Angriffe ausgenutzt wird. Durch die Lücke kann ein Angreifer unter Umständen die Kontrolle über einen fremden Rechner übernehmen. Bei den von Adobe beobachteten Angriffen wurden Mails verschickt, welche die Empfänger dazu animiert haben, die angehängte Datei auszuführen.

Quelle: heise.de / zum Artikel

Kunden die einen Router Speedport W 504V, W 723V Typ B oder W 921V erworben haben, haben bzw. sollten in den Letzten Tagen eine Mail von der Telekom bekommen haben mit dem Folgenden Inhalt :

Sie haben in der Vergangenheit von uns einen Speedport W 504V, W 723V Typ B oder W 921V erworben. Unter bestimmten Voraussetzungen kann es hierbei zu einer Sicherheitslücke mit der WPS-Funktion kommen. WPS (Wifi Protected Setup) ist eine Funktionalität, die das einfache Verbinden mit verschlüsselten WLAN-Netzen ermöglicht, ohne dass dabei Informationen wie Passwort und Nutzerkennung aufwendig eingegeben werden müssen.

Die Deutsche Telekom arbeitet an einer möglichst schnellen Behebung des Fehlers, so dass zukünftig die Sicherheit des Gerätes wiederhergestellt ist.
Sobald eine neue Software für Ihr Gerät vorliegt, wird diese über die Easy Support Funktion Ihres Speedports automatisch auf Ihrem Gerät installiert, sofern diese Funktion aktiviert ist. Zusätzlich wird die neue Software auf den Downloadseiten veröffentlicht, so dass Sie im Falle einer Deaktivierung der Easy Support Funktion die neue Software manuell laden und installieren können.

Mit dem Update auf WordPress 3.3.2 schließen die Entwickler einige Sicherheitslücken in der weit verbreitetem Blog-Software und ihren Komponenten. In den Bibliotheken Pluploa, SWFUpload und SWFObject wurden nicht näher beschriebene Schwachstellen geschlossen, die vertraulich von Sicherheitsexperten gemeldet wurden. Die Bibliotheken dienen unter anderem dem Hochladen und Einbetten von Mediendateien.

Quelle: heise.de /Zum Artikel

Parallel zu Microsoft hat auch Adobe am gestrigen Dienstag seinen April-Patchday abgehalten. Das Unternehmen schließt vier kritische Lücken in seinem Reader sowie dem PDF-Editor Acrobat, die sich potenziell zum Einschleusen von Schadcode eignen. Bei den Lücken handelt es sich unter anderem um einen Integer Overflow, der bei der Verarbeitung von TrueType-Schriftarten auftritt. Zwei kritische Speicherfehler finden sich in der JavaScript-Engine.

Quelle: heise.de

Microsoft hat anlässlich seines April-Patchdays sechs Bulletins veröffentlicht, die elf Schwachstellen schließen; unter anderem in Internet Explorer, Windows und Office. Die meisten Lücken befinden sich im Internet Explorer. Durch einige der sechs Schwachstellen kann man sein System beim Besuch einer speziell präparierten Webseite mit Schadcode infizieren. Dies funktioniert unter anderem dann, wenn die JavaScript-Engine auf ein bereits freigegebenes Objekt im Speicher zugreift ("use-after-free").

Quelle: Heise.de

In dieser Woche hat 'Adobe' ein Update für den Flash Player veröffentlicht, mit dem zahlreiche Sicherheitslücken aus der Welt geschaffen werden. Den Nutzern wird die Installation daher dringend empfohlen.

Mehrere dieser geschlossenen Schwachstellen könnte ein Angreifer dazu nutzen, um Schadcode auf die Systeme der Opfer einzuschleusen und diese letztlich möglicherweise sogar zu übernehmen. Insgesamt handelt es sich laut Adobe um zwölf geschlossene Schwachstellen im Flash Player.

Wegen diesen teilweise kritischen Problemen hat man im Hause Adobe die Entscheidung getroffen, außerhalb des Quartalspatchdays das besagte Update freizugeben. Über die offiziellen Anlaufstellen können die Updates für Windows, Mac OS X, Android, Solaris und Linux heruntergeladen werden.

Quelle : winfuture.de / Zum Artikel

In bekannte Manier haben sich die Entwickler von 'Microsoft' auch in diesem Monat wieder eine Woche vor dem Patch-Day zu den bevorstehenden Updates geäußert. Am Dienstag will man 20 Sicherheitslücken schließen.

Zu diesem Zweck wird Microsoft im Rahmen des monatlichen Patch-Days, der immer am zweiten Dienstag im Monat stattfindet, 14 Patches zum Download freigegeben. Die Installation der Updates wird allen Windows-Nutzern empfohlen. Die angesprochenen Patches betreffen in diesem Monat die Windows-Betriebssysteme, den Internet Explorer und Office.

Aus den offiziellen Angaben geht hervor, dass drei Sicherheitslücken als kritisch eingestuft werden, da hierbei eine akute Gefahr für die Benutzer besteht. Ein Angreifer könnte die Schwachstellen unter Umständen ausnutzen, um Schadcode aus der Ferne auf die Systeme der Opfer einzuschleusen.

Die restlichen 11 Updates stuft Microsoft in die Kategorie „wichtig“ ein. Diese betreffen neben Windows-Systemen wie bereits angesprochen auch Microsoft Office und den Internet Explorer. Teilweise könnte ein Angreifer auch diese Schwachstellen zur Ausführung von Schadcode nutzen. Allerdings besteht hierbei keine größere Gefahr, so Microsoft.

Der bekannte Sicherheitsexperte Charlie Miller, der schon manche Lücke in iOS und Mac OS X entdeckt hat, zeigt in einem Video eine Möglichkeit, das in Apples Mobilbetriebssystem obligatorische Codesigning auszuhebeln. Dazu erstellte Miller eine unschuldig wirkende Börsenticker-App, die Apple auch durch den App-Store-Review-Prozess ließ. Das Programm telefoniert beim Start nach Hause und fragt Millers Server nach einer Payload. Aktiviert er das Nachladen, wird die (unsignierte) Payload ausgeführt. Als Demonstration rief Miller ein YouTube-Video auf, in einer weiteren Variante öffnete er eine Shell für einen Fernzugriff unter anderem auf das Adressbuch des iPhone.

Quelle : heise.de / Zum Artikel

Die neuen Sicherheitsupdates für Windows sind da. Aktuell stopft Microsoft ein kritisches Wurmloch und repariert drei minder schwere Löcher in seinen Betriebssystemen – nur Windows XP bekommt diesmal keinen Softwareflicken ab.

Microsoft liefert insgesamt vier neue Update-Pakete für Windows 7 und Vista aus, von denen eines mit der höchsten Gefahrenstufe kritisch eingestuft wird. Der Grund: Die mit Patch MS11-083 geschlossene Lücke ließe sich für eine Wurmattacke missbrauchen. Schon die Verbindung mit dem Internet genügt hierfür. Wurm-Schädlinge verbreiten sich eigenständig und könnten beispielsweise blitzschnell Viren und Trojaner in Tausende von PC einschleusen. Noch werde das Leck nicht für Wurm-Angriffe ausgenutzt, warnt Microsoft.
Windows-Update für Netzwerksicherheit

Mit weiteren Updates beseitigt Microsoft unter anderem Schwachstellen in Windows Mail sowie Windows Meeting Space und im Kernelmodus-Treiber. Sie alle erhöhen die Netzwerksicherheit. So verhindert Patch MS11-085, dass Windows-7-Nutzer über präparierte Netzwerk-Verzeichnisse heimlich Schadsoftware untergeschoben bekommen. Das Update für den Kernel-Treiber korrigiert den Umgang mit schädlichen TrueType-Schriftart-Dateien, über die Angreifer einen Windows-PC schlimmstenfalls außer Gefecht setzen könnten.

Eine Schwachstelle in Adobes allgegenwärtigem Flash-Player erlaubte jüngst Website-Betreibern nach Angaben eines Sicherheitsexperten, die Webcam und das Mikrofon der Computer von Internet-Nutzern ohne deren Wissen anzuzapfen.

Damit dies funktionierte, musste der Anwender lediglich eine speziell präparierte Website besuchen und bestimmte Schaltflächen anklicken. Ohne eine weitere Warnung wurden dadurch die Webcam und das Mikrofon aktiviert, so dass ein Angreifer die entsprechenden Streams mitschneiden konnte.

Im Jahr 2008 war bereits eine ähnliche Clickjacking-Lücke im Flash-Player aufgetreten. Adobe hat nach eigenen Angaben bereits einen entsprechenden Fix für die Schwachstelle entwickelt und seine Systeme bereits aktualisiert. Die Lücke geht auf Fehler im Einstellungs-Manager des Flash-Players zurück.

Quelle : winfuture.de

Gestern wurde bekannt, dass Facebook per Cookies auch dann die Nutzer-Aktivitäten nachverfolgt, wenn man sich ausgeloggt hat. Die Lücke hat viel Staub aufgewirbelt, Facebook will sie nun innerhalb von 24 Stunden schließen.

Das soziale Netzwerk hat bestätigt, dass die von Blogger Nik Cubrilovic entdeckte Tracking-Funktion der von Facebook angelegten Cookies tatsächlich Informationen übermittelt, auch wenn man ausgeloggt ist. Beim Aufruf jeder mit Facebook verbundenen Seite wird eine eigene und eindeutig zuordenbare Identifikation an das soziale Netzwerk übermittelt. Wer diese Nachverfolgung ausschalten wollte, dem blieben bisher nur die Möglichkeiten, das Cookie manuell jedes Mal zu löschen oder einen anderen Browser für Facebook zu verwenden.

Quelle : winfuture.de