(am) - Der Hersteller Sun Microsystems hat eine neue Java-Version bereit gestellt. Java 6 Update 17 beseitigt eine ganze Reihe von Schwachstellen der Vorversionen. Einige davon eignen sich zum Einschleusen von Code.
Java ist eine der wichtigsten Programmiersprachen aus der Frühzeit des Web-Booms. Für praktisch jeden gängigen Browser gibt es ein Java-Plugin, das in Web-Seiten integrierte Java-Applets ausführt. Der Java-Hersteller Sun Microsystems, in diesem Frühjahr von Oracle übernommen, hat das neue Sicherheits-Update Java 6 Update 17 (1.6.0_17, 6u17) bereit gestellt, um etliche Schwachstellen zu beseitigen.
Zu den wichtigeren Neuerungen zählt, dass sich das Browser-Plugin JRE (Java Runtime Environment, Laufzeitumgebung) nun auch auf Windows-Versionen in anderen Sprachen als Englisch über die eingebaute Update-Funktion aktualisieren kann, wenn eine neue Java-Version bereit steht. Bis einschließlich Java 6 Update 16 funktioniert das nämlich nicht, Anwender deutscher Windows-Versionen müssen JRE-Updates von Hand einspielen – nun hoffentlich ein letztes Mal.
Weiterlesen
(am) – Adobe hat vier Sicherheitslücken im Shockwave Player abgedichtet, die zum Einschleusen von Code oder Denial-of-Service-Angriffe genutzt werden konnte.
Adobe empfiehlt ein Update auf den Shockwave Player 11.5.1.601, da die Sicherheitslücken als kritisch eingestuft werden. Eines der Lecks taugt für DoS-Angriffe, die anderen vier zum Einschleusen von Code. Dafür genügt bereits der Aufruf einer Website mit manipulierten Shockwave-Dateien.
Quelle: PC Professionell
(am) - Microsoft hat in den letzten Tagen eine Reihe von Sicherheits-Updates nachgebessert, die beim Patch Day im Oktober veröffentlicht wurden. Dies betrifft zum Beispiel die Updates für den Internet Explorer und die Crypto-API.
Es ist nur noch eine Woche bis zum nächsten Microsoft Patch Day. Microsoft hat die Zeit seit dem Rekord-Patch-Day am 13. Oktober auch genutzt, um Korrekturen an einigen der Updates vorzunehmen. So ist etwa das Security Bulletin MS09-054 (Internet Explorer) überarbeitet worden, ebenso MS09-056 (Crypto-API), das Probleme mit dem Microsoft Communications Server verursacht hat.
Das kumulative Sicherheits-Update für den Internet Explorer (MS09-054) beseitigt vier Sicherheitslücken im IE, die das Einschleusen von beliebigem Code ermöglichen. Bei einigen Anwendern hat die Installation des Updates jedoch zu Darstellungsproblemen mit einigen Web-Seiten geführt. Microsoft hat im KB-Artikel 976749 ein Update bereit gestellt, das den Fehler beheben soll. Es sollte nur installiert werden, wenn zuvor das Sicherheits-Update (974455) aus den Security Bulletin MS09-054 installiert worden ist.
Weiterlesen
(jp) – Gumblar geht wieder um. Bereits mehrere zehntausend Websites sind gehackt und mit schädlichem Script-Code präpariert worden. Dieser infiziert die Rechner von Besuchern legitimer Seiten mit Malware.
Bereits im Frühjahr gab es eine Welle von Server-Hacks, bei denen viele tausend Websites mit schädlichem Code verseucht wurden. Bei den auch als “Gumblar-Angriffe” bezeichneten Aktionen haben Online-Kriminelle legitime, ehemals harmlose Web-Seiten so präpariert, dass die Rechner von Besuchern mit Malware verseucht wurden. Diese Angriffe sind nun in einer zweiten Welle zurück und haben bereits zu mehreren zehntausend verseuchten Websites geführt.
Michael Molsner von Antivirushersteller Kaspersky Lab berichtet im Blog des Unternehmens über die jüngsten Entwicklungen. Allein in Deutschland hat sich demnach die Zahl der infizierten Websites über das Wochenende von 500 auf über 1000 verdoppelt. In Russland und der Türkei sind ähnliche Zuwächse zu verzeichnen. Die meisten der kompromittierten Server, knapp 8000, stehen in den USA, es sind jedoch Websites in mehr als 200 Ländern betroffen. Auffallend viele dieser Websites gehören zu Regierungsbehörden und Bildungseinrichtungen wie Universitäten.
Weiterlesen
(jp) – Die Sciherheitsprogramme von McAfee und F-Secure haben Sicherheitslücken, die auf ähnlichen Fehlern beruhen. Beide Hersteller haben ihre Produkte aktualisiert.
Der Sicherheitsexperte Thierry Zoller hat Sicherheitslücken in diversen McAfee- sowie in diversen F-Secure-Produkten entdeckt. Angreifer können die Schwachstellen ausnutzen, um die Scan-Funktionalität zu umgehen, die den Rechner vor schädlichem Code schützen soll. Bei McAfee liegt der Fehler im Umgang mit TAR-Archiven und PDF-Dateien. Durch speziell erstellte Archive oder PDF-Dokumente lässt sich der Scanner umgehen.
Die PDF-Schwachstelle tritt auch in den Produkten von F-Secure auf. Beide Hersteller haben bereits reagiert und die Bypass-Lücke geschlossen. Die Liste mit der jeweils betroffenen Software findet sich bei McAfee und F-Secure. F-Secure-Nutzer erhalten die neue Version über die Software-Update-Funktion, bei McAfee gibt es einen eigenen Download-Link.
Quelle: com.de
