(jp) – Laut einem Bericht von Secunia wird die Schwachstelle in Version 0.60 Build 654 des Perl Moduls Net::DNS gemeldet. Andere Versionen sind unter Umständen ebenfalls betroffen. Die Schwachstelle entsteht bei der Verarbeitung von DNS-Anfragen durch Net::DNS.
Durch gezielte Manipulation dieser Anfragen können Angreifer eine Denial-of-Service Attacke gegen Applikationen ausführen, die das betroffene Perl Modul verwenden. Die neuste Version 0.63 von Net::DNS beseitigt diese Sicherheitslücke.
Quelle: TEC Channel
(am) – Um Musik auf Websites abzuspielen, nutzt der RealPlayer im Internet Explorer ein ActiveX-Control, über das er sich Code unterschieben lässt.
Auf der Mailingliste Full Disclosure wurde ein Exploit für das Leck gepostet. Ein Fix von RealNetworks ist noch nicht verfügbar. Das Internet Storm Center empfiehlt einstweilen, das Killbit für das ActiveX-Control rmoc3260.dll zu setzen oder auf einen Browser ohne ActiveX umzusteigen.
Quelle: PC Professionell
(vr) – Die Möglichkeit von Hackerangriffen auf Herzschrittmacher haben Experten für
Computersicherheit der University of Massachusetts Amherst und der University of Washington aufgezeigt. In einem Laborexperiment konnten sie über eine drahtlose Verbindung auf einen implantierbaren Kardioverter-Defibrillator (ICD) zugreifen.
Neben potenziell tödlichen Manipulationen des Geräts war auch der Diebstahl von Patientendaten möglich. Die Ergebnisse sollen bei einem Symposium des Institute of Electrical and Electronics Engineers (IEEE) im Mai 2008 offiziell vorgestellt werden.
Weiterlesen
(vr) – Die Entwickler von MaxDB haben zwei hoch kritische Sicherheitslücken geschlossen.
Erfolgreich ausgenutzt lassen die Sicherheitslücken die Ausweitung von Rechten und im schlimmsten Fall Systemzugriffe zu. Durch einen Fehler in der vserver-Komponente lässt sich mittels speziell präparierten Paketen ein Buffer Overflow erzwingen. Ein erfolgreicher Angriff könnte das Ausführen beliebigen Codes nach sich ziehen. Der zweite Fehler liegt im Programm sdbstarter bei der Behandlung von Umgebungsvariablen. Dadurch könnte ein lokaler Anwender beliebigen Code mit root-Rechten ausführen. Der Angreifer muss außerdem Mitglied der sdba-Gruppe sein.
Die Schwachstellen sind für Version 7.6.0.37 bestätigt. Andere Versionen könnten ebenfalls betroffen sein. Bereinigt sollen die Fehler in der nächsten Version sein. Anwender sollen für weitere Informationen den Hersteller kontaktieren.
Quelle: TEC Channel
(vr) – Die Experten von Secunia haben ungepatchte Sicherheitslücken in IBM Informix Dynamic Server gemeldet.
Die Sicherheitslücken erlauben DoS-Attacken und im schlimmsten Fall Systemzugriff. Insgesamt sind drei Schwachstellen gemeldet. Ein Fehler in DBPATH lässt sich ausnutzen, um Buffer Overflows zu erzwingen. Dieselbe Auswirkung hat ein Fehler bei der Verarbeitung von Passwörtern. Speziell präparierte Pakete können einen nicht näher spezifizierten Fehler auslösen. Die Angriffe sind allerdings nur aus dem lokalen Netzwerk möglich.
Bestätigt sind die Schwachstellen für IBM Informix Dynamic Server 7.x, 9.x, 10.x und 11.x. Administratoren sollten den Netzwerkzugriff auf die betroffenen Systeme einschränken.
Quelle: TEC Channel
(ag) - Die Entwickler haben eine neue Version von TrueCrypt zum Download zur Verfügung gestellt. In der Version 5.1 wird jetzt auch der Hibernation-Modus auf verschlüsselten Partitionen unterstützt. Außerdem wurde die Verschlüsselung um bis zu 90% in der Geschwindigkeit erhöht.
Weiterlesen
