(am) - Über eine kritische Sicherheitslücke beim Abruf von POP3 Nachrichten besteht die Chance, dass Angreifer beliebigen Schadcode einspeisen und ausführen können.
Nach einem Bericht von Security Reason tritt die Sicherheitslücke in der aktuellen Version 4.51 sowie Version 4.41 von Pegasus Mail auf. Aufgrund seines kompakten Umfangs von nur 13 MByte ist Pegasus Mail auch bei zahlreichen USB-Software-Sammlungen eine häufig verbreitete E-Mail-Lösung. Die Schwachstelle wird mit einem einfachen Proof-of-Concept beschrieben, der eine Reihe von NOP-Operationen in das Zielsystem einspeist und zum Absturz von Pegasus Mail führt. Unter Berücksichtigung der korrekten Einsprungsvektoren ließe sich der Angriff jedoch auch zur Einspeisung von Schadcode per Pufferüberlauf missbrauchen. Ein Patch liegt bislang nicht vor.
Quelle: TEC Channel
(am) - Über eine kritische Sicherheitslücke im Active-X-Steuerelement ConsoleUtilities kann Schadcode einspeist werden. Es kommt in Symantec Anwendungen zum Einsatz.
Laut einer Meldung von Security Reason wird das Active-X-Steuerelement in folgenden Symantec Produkten verwendet:
- Altiris Deployment Solution
- Altiris Notification Server
- Altiris Management Platform
Die Sicherheitslücke wurde im September 2009 an Symantec gemeldet und ist mittlerweile durch einen Patch behoben. Sie entsteht bei der Installation des Active-X-Steuerelements und lässt sich durch die gezielte Manipulation einer Webseite auslösen. Der Bericht enthält einen entsprechenden Proof-of-Concept, wie die Sicherheitslücke zur Einspeisung von Schadcode ausgenutzt werden kann.
Quelle: TEC Channel
(am) - Bei dem Schädling handelt es sich um ein Mini-Spiel im Stil von Space Invaders. Schießt der Spieler ein gegnerisches Raumschiff ab, wird gleichzeitig eine Datei aus dem Home-Verzeichnis gelöscht. Skurrilerweise weist der Autor der Software explizit darauf hin.
Symantec warnt aktuell vor einem Trojaner, der Dateien auf Mac-Rechnern angreift und zerstört. Der auf den Namen “OSX.Loosemaque” getaufte Schädling tarnt sich dem Sicherheitsunternehmen zufolge als Mini-Spiel, das in seiner Aufmachung an die Arcade-Klassiker Space Invaders und Galaga erinnert. Jedes Mal, wenn der Spieler ein gegnerisches Raumschiff abschießt und dadurch Punkte erhält, wird gleichzeitig eine Datei aus dem Home-Verzeichnis gelöscht.
Das Ungewöhnliche daran: Der Entwickler des Spiels mit dem Titel “lose/lose”, Zach Gage, weist Nutzer auf seiner Website ausdrücklich auf diese Tatsache hin. Die Alien-Raumschiffe feuerten im Spielverlauf niemals selbst auf den Spieler, was dessen Mission in Frage stelle, heißt es dort. Zudem werde das vermeintliche Missionsziel, die Gegner zu zerstören, nie explizit genannt, sondern leite sich lediglich aus der klassischen Spielmechanik ab. “Warum nehmen wir automatisch an, wenn uns jemand eine Waffe in die Hand gibt und wir dafür belohnt werden, sie zu nutzen, dass diese Handlungsweise richtig ist?”, fragt Gage.
Weiterlesen
(am) – Mit Firefox 3.5.5 werden einige Stabilitätsprobleme behoben. Sicherheitskritische Bugs sind nicht darunter.
Firefox 3.5.5 steht ab sofort zum Download bereit. Insgesamt fünf Bugs haben die Entwickler in der neuen Version beseitigt, unter anderem im GIF-Decoder. Die Bugs machten Firefox instabil und konnten in einigen Fällen zum Absturz des Browsers führen. Darüber hinaus gehende Änderungen bringt Firefox 3.5.5 nicht mit.
Quelle: PC Professionell
(am) – Google hat in seinem Browser zwei Sicherheitslücken gestopft und sich um einige Bugs gekümmert.
Die neue Chrome-Version trägt die Versionsnummer 3.0.195.32 und stopft ein von Google als kritisch eingestuftes Leck in der Gears SQL API, durch das Speicherfehler ausgelöst werden können. Ein Angreifer könnte das ausnutzen, um Code ausführen zu lassen – vorausgesetzt das Opfer bestätigt den Gears-Dialog auf der Webseite.
Zudem führt Google mit der neuen Chrome-Version Warnungen ein, dass einige Dateitypen wie SVG, MHT oder XML auch Javascript enthalten können, das der Browser ausführt. Weiterhin behebt man einige Programmfehler, etwa eine Endlos-Schleife im AAC-Decoder, in der History beim Zurück-Blättern in den Google Maps sowie im Zusammenspiel mit dem Adobe Reader 9.2, der in einigen Fällen keine Inhalte anzeigte.
Quelle: PC Professionell
(am) - Die Art und Weise, wie Browser bis heute mit Cookies umgehen, ermöglicht im Zusammenspiel mit falschen Annahmen von Website-Betreibern Angriffe auf Web-Server und nachfolgend auf deren Besucher.
Das nachvollziehbare Bedürfnis einfache Lösungen zu nutzen sowie falsche Annahmen darüber, wie das Domänen-Konzept in der Praxis funktioniert, machen Web-Server anfällig für Angriffe krimineller Hacker durch die Seitentür. Unternehmen binden Websites von Drittanbietern als Subdomains ein. Findet ein Angreifer in diesen Websites eine Schwachstelle, kann er über Cookies auch auf Daten von Besuchern des Haupt-Servers zugreifen. Der Sicherheitsforscher Michael Bailey, seit August 2009 bei Foreground Security, hat in seiner noch jungen Karriere bereits eine Reihe von Schwachstellen in prominenten Websites aufgedeckt. Bailey hat kürzlich einen Aufsatz über so genannte CSRF-Angriffe (Cross-site Request Forgery) veröffentlicht, in dem er darstellt, wie Schwachstellen in Subdomains (etwa: www.xyz.firma.com) ausgenutzt werden können, um Besucher des Haupt-Servers (www.firma.com) anzugreifen und Daten auszuspähen. Bailey nennt auch konkrete Fälle wie Google oder McAfee. Eine Mitschuld trifft die gängigen Browser und ihrem Umgang mit Cookies.
Die Einbindung der Website einen Drittanbieters über das DNS (Domain Name Service) er schient zunächst logisch und sicher. Ein Server www.firma.com hat Kontrolle über www.xyz.firma.com – nicht jedoch umgekehrt, denn das System und die Vertrauensstellungen sind hierarchisch. Doch im Browser kehrt sich das Ganze um. Ein Server www.abc.firma.com kann, vereinfacht ausgedrückt, Cookies für www.firma.com setzen und auslesen.
Weiterlesen
(am) - Sie schließen 15 Sicherheitslücken. Vier Patches beseitigen Schwachstellen in Windows 2000, Windows XP, Windows Server 2003, Windows Vista und Windows Server 2008. Die beiden Aktualisierungen für Office sind als wichtig eingestuft.
Microsoft hat für den monatlichen Patchday am kommenden Dienstag sechs Updates angekündigt, die insgesamt 15 Sicherheitslücken schließen sollen. Vier Patches adressieren Lücken in Windows, die beiden anderen schließen Schwachstellen in Office. Drei der Windows-Updates hat Microsoft als kritisch eingestuft.
Die Fixes betreffen die Betriebssysteme Windows 2000, Windows XP, Windows Server 2003, Windows Vista und Windows Server 2008. Darüber hinaus bestehen Fehler in Office XP, Office 2003, Office 2007, Office 2004 für Mac, Office 2008 für Mac sowie dem Open-XML-Konverter für Mac, den Viewern für Word- und Excel-Dateien und dem Office Compatibility Pack für die Dateiformate von Office 2007.
Weiterlesen
