(vr) – Über eine Schwachstelle in DekiWiki können Angreifer per XSS beliebigen HTML- und Scriptcode einspeisen. Ein Patch beseitigt diesen Mangel.
Laut einer Meldung von Secunia tritt die Sicherheitslücke in allen Versionen von DekiWiki vor Version 8.05.1 auf. Die Schwachstelle entsteht durch die mangelhafte Bereinigung eines Parameters, der innerhalb der Suchfunktion übergeben wird. Durch gezielte Manipulation dieses Parameters können Angreifer beliebigen HTML- und Scriptcode in die Browsersitzung anderer DekiWiki Benutzer einspeisen. Die Sicherheitslücke wird in Version 8.05.1 behoben.
Quelle: TEC Channel
(vr) – Die neuste Version von SurgeMail schließt eine Sicherheitslücke, die Angreifer für eine DoS-Attacke gegen ein betroffenes System ausnutzen können.
Laut einer Meldung von Secunia tritt die Sicherheitslücke in SurgeMail vor Version 3.9g2 auf. Aus Sicherheitsgründen gehen die Experten von Secunia nicht im Detail auf die Schwachstelle ein. Entstehen soll diese bei der Verarbeitung von verschiedenen IMAP-Kommandos. Angreifer, die diese Lücke ausnutzen, können SurgeMail zum Absturz bringen. Die neuste Version 3.9g2 von SurgeMail behebt diesen Mangel. Das Upgrade wird dringend empfohlen.
Quelle: TEC Channel
(vr) – Ein von Microsoft kostenlos erhältlicher Bildschirmschoner wird von anderen Websites mit Adware verseucht zum Download angeboten. Dabei werden auch betrügerische Anti-Spyware-Programme installiert.
Der Bildschirmschoner “Bluescreen” von Sysinternals ist seit Jahren kostenlos erhältlich. Er wird auch nach der Übernahme durch Microsoft weiterhin angeboten – ganz ohne unvermutete Beigaben. Der Antivirus-Hersteller McAfee meldet nun, dass dieser Bildschirmschoner im Web als Paket mit Adware und betrügerischen Sicherheitsprogrammen zum Download angeboten wird.
Das von McAfee als “FakeAlert-AG” bezeichnete Adware-Bündel wird mit verschiedenen Bildschirmschonern angeboten, darunter eben auch der bekannte “Bluescreen”. Neben dem Bildschirmschoner installiert das Setup-Programm jedoch auch vorgebliche Sicherheits-Software aus der berüchtigten “WinFixer”-Familie. Diese wird unter verschiedenen Fantasienamen unters Volk gebracht, darunter auch solche, die bewusst ähnlich klingen wie die legitimer Anti-Spyware-Programme.
Weiterlesen
(vr) – Über eine Schwachstelle in OFFSystem können Angreifer per Pufferüberlauf beliebigen Code einspeisen. Die neuste Version beseitigt diesen Mangel.
Laut einem Bericht der Sicherheitsexperten von Secunia tritt die Sicherheitslücke in OFFSystem vor Version 0.9.14 auf. Die Schwachstelle wird nicht im Detail beschrieben, sie soll jedoch durch einen Begrenzungsfehler bei der Verarbeitung von HTTP Kopfzeilen auftreten. Durch gezielte Manipulation solcher Kopfzeilen können Angreifer eine Denial-of-Service Attacke ausführen oder per Pufferüberlauf beliebigen Schadcode in ein betroffenes System einspeisen. In der neusten Version 0.9.14 von OFFSystem wird diese Sicherheitslücke geschlossen.
Quelle: TEC Channel
(vr) – Big Blue hat ein Update für die IBM Hardware Management Console (HMC) zur Verfügung gestellt, die eine Cross-Site-Scripting-Lücke schließt.
IBM hat eine Sicherheitslücke in HMC bestätigt, die Angreifer für Cross-Site-Scripting-Attacken ausnutzen können. Der Fehler ist in der Webserver-Software Apache 2.0.x oder 2.2.x beheimatet. Eingaben in via „HTTP Method“ überprüft die Software vor einer Weiterbearbeitung nicht ausreichend, bevor es den Fehler „413 Request Entity Too Large“ an den Anwender zurückgibt. Somit lässt sich unter Umständen beliebiger HTML- oder Script-Code in der Browser-Session eines Benutzers ausführen.
Die Hersteller empfehlen ein Update auf HMC 6.1.3 PTF MH01110. Die Anweisung im Original finden Sie bei IBM. Die Sicherheitsexperten von Secunia stufen die Sicherheitslücke als weniger kritisch ein.
Quelle: TEC Channel
(vr) – Symantec will Anwender erneut dafür sensibilisieren, nicht auf alles zu klicken, was in E-Mails enthalten ist.
Laut Symantec sind die Erschaffer des Sturm-Wurms wieder aktiv. Diesmal benutzen sie die schrecklichen Ereignisse in China, um unvorsichtigen Opfern aufzulauern. Die Spam-Mails beinhalten laut Symantec einen Link, der auf eine Datei Namens beijing.exe zeigt. Diese enthält den Schadcode Trojan.Peacomm.D.
Bisher gesichtete Betreffszeilen beinhalten Schlagzeilen wie zum Beispiel „The most powerful quake hits China“, „Countless victims of earthquake in China“, „2008 Olympic Games are under the threat“, „Death toll in China exceeds 1000000“ und so weiter. Weitere Informationen erhalten Sie im Forum von Symantec.
Quelle: TEC Channel
(jp) – Über eine Sicherheitslücke im Content Management System BASIC-CMS können Angreifer beliebigen SQL-Code in die Datenbank eines betroffenen Systems einschleusen.
Laut einer Meldung von Secunia tritt die Sicherheitslücke in der aktuellen Version des Content Management System BASIC-CMS auf. Andere Versionen sind unter Umständen ebenfalls betroffen. Die Schwachstelle entsteht durch die mangelhafte Bereinigung von Eingaben an den Parameter „page_id“ vor dessen Verwendung in SQL-Abfragen. Durch gezielte Manipulation dieses Parameters können Angreifer SQL-Abfragen beliebig verändern. Ein Patch gegen das Problem ist bislang nicht bekannt.
Quelle: TEC Channel
(am) – Ab heute steht Ihnen die neue Version des Passwortgenerators zur Verfügung.
Neben dem einfachen Erstellen und Überprüfen eines Passworts steht jetzt eine ‘Genauere Passwort Analyse’ zur Verfügung. Diese zeigt Ihnen anhand verschiedener Kriterien an welchen Punkten das Passwort nicht den Anforderungen gewachsen ist. Entsprechend werden Minuspunkte vergeben und die Gesamtwertung in Form einer Prozentanzeige wird reduziert. Unter der Beachtung einiger Tipps können Sie aber satte Bonuspunkte einheimsen und die Gesamtwertung verbessert sich.
Passwortgenerator v3.1.06 Download (502 KB)
Windows XP und Vista ab Internet Explorer 7.0 geeignet | KEINE Installation nötig!
Powered by sl.studio
(am) – Die Sicherheitslücke betrifft auch Version 2 des Mozilla-Browsers
Nur etwa fünf Stunden nach der Veröffentlichung hat die Zero Day Initiative von Tipping Point eine kritische Schwachstelle in Firefox 3 entdeckt und an Mozilla gemeldet. Die Sicherheitslücke, die auch die Version 2 des Mozilla-Browsers betrifft, kann für die Ausführung beliebigen Codes missbraucht werden. Tipping Point betonte, dass ein erfolgreicher Angriff eine Aktion des Nutzers voraussetzt, wie den Klick auf einen Link in einer E-Mail oder auf einer manipulierten Webseite.
Nach Angaben von Tipping Point arbeitet Mozilla bereits an einem Patch für den Fehler. Bis zur Bereitstellung eines Updates wollte das Sicherheitsunternehmen keine weiteren Details zu der Schwachstelle nennen, die für die Entwicklung eines Exploits missbraucht werden könnten.
Weiterlesen
