(jp) – Das soziale Netzwerk Facebook warnt seine Nutzer neuerdings vor dem Aufruf externer Websites, die im Verdacht stehen Spam oder Malware zu verbreiten. Von Nutzern erstellte Facebook-Anwendungen können ein Vertrauenssiegel erhalten.
Soziale Netzwerke wie Facebook, Myspace oder StudiVZ sind inzwischen beliebte Tummelplätze für Spammer und Phisher geworden. Facebook ist mit seiner weit gehenden Öffnung der Programmierschnittstellen (API) für die Nutzer besonders attraktiv für kriminelle Elemente. Die Betreiber von Facebook haben neue Sicherheitsfunktionen eingebaut, die zumindest in die richtige Richtung weisen.
Weiterlesen
(jp) - Wenige Tage nach dem letzten Patch Day wird eine Sicherheitslücke im Windows Media Encoder bereits aktiv ausgenutzt. Microsoft hatte am 9. September ein Sicherheits-Update für den Media Encoder bereit gestellt.
Beim Patch Day am 9. September hat Microsoft auch das Security Bulletin MS08-053 veröffentlicht, das eine Anfälligkeit im Windows Media Encoder 9 behandelt. Bereits am 13. September ist ein Demo-Exploit veröffentlicht worden, der eine Schwachstelle in der ActiveX-Komponente WMEX.DLL ausnutzt. Modifizierte Versionen dieses Demo-Exploits werden inzwischen für reale Angriffe eingesetzt.
Weiterlesen
(jp) – Über eine Sicherheitslücke in phsBlog können Angreifer beliebigen SQL-Code in die Datenbank eines betroffenen Systems einspeisen.
Laut einem Bericht von Secunia wurde die Sicherheitslücke in Version 0.2 von phsBlog nachgewiesen. Andere Versionen der Anwendung sind unter Umständen ebenfalls betroffen. Die Schwachstelle entsteht durch die fehlende Bereinigung von Eingaben an den Parameter „sql_cid“ in der Datei „upload/index.php“. Angreifer, die diesen Wert entsprechend manipulieren, können beliebigen SQL-Code in die Datenbank eines betroffenen Systems einspeisen. Ein Patch liegt bislang nicht vor.
Quelle: TEC Channel
(jp) – Über eine Sicherheitslücke in StingRay FTS, einem dedizierten File-Transfer-Server, können Angreifer per XSS beliebigen Script- und HTML-Code injizieren.
Laut einer Meldung der Sicherheitsexperten von Secunia tritt die Schwachstelle in der aktuellen Version von StingRay FTS auf. Die Sicherheitslücke entsteht durch die mangelhafte Bereinigung von Eingaben, die im Management Interface an den Parameter „form_username“ (Datei: „login.asp“) übergeben werden. Durch gezielte Manipulation dieser Eingaben können Angreifer beliebigen HTML- und Scriptcode in die Browser-Sitzung anderer Benutzer einspeisen. Ein Patch liegt bislang nicht vor.
Quelle: TEC Channel
(am) - Update behebt diverse Fehler und schließt fast drei Dutzend Sicherheitslücken
Apple hat sein Betriebssystem Mac OS X auf Version 10.5.5 aktualisiert. Das Update behebt nicht nur Fehler in Mac OS X 10.5, es schließt auch fast drei Dutzend Schwachstellen. Für Mac OS X 10.4 hat Apple die Patches in Form des Security Update 2008-006 bereitgestellt.
Zu den korrigierten Fehlern in Mac OS X 10.5 gehört ein Problem bei der Wiedergabe von Videos auf dem MacBook Air. Andere Verbesserungen betreffen das Adressbuch, iCal, das Disk Utility, das Directory Utility, Mail, Time Machine und Mobile Me. Mit dem Update verspricht Apple auch, die Grafikleistung des Betriebssystems deutlich zu verbessern.
Weiterlesen
