(am) – Sie ist in Quicktime 7.x und 6.x unter Windows 7, Vista und XP zu finden. Der Fehler umgeht die Sicherheitstechnologien ASLR und DEP. Ein Angreifer könnte darüber die vollständige Kontrolle über ein ungepatchtes System übernehmen.
Das spanische Sicherheitsunternehmen Wintercore hat vor einer Zero-Day-Lücke in Apples Media-Player Quicktime gewarnt. Sie ermöglicht es einem Angreifer, die Kontrolle über einen Computer zu übernehmen, auf dem der Internet Explorer ausgeführt wird.
Laut Ruben Santamarta, Sicherheitsforscher bei Wintercore, sind Quicktime 7.x und 6.x unter Windows 7, Vista und XP anfällig, wenn ein Nutzer eine manipulierte Website besucht. Der Fehler sei entstanden, da Apple-Entwickler alten Code für neuere Quicktime-Versionen verwendet hätten. Das Problem sei ein Parameter des ActiveX-Steuerelements QTPlugin.ocx, das in neueren Versionen nicht mehr enthalten sei. “Ich schätze, jemand hat vergessen, den Code zu bereinigen”, sagte Santamarta.
Weiterlesen
(am) – Sie bestehen unter anderem in den Apple Type Services und CoreGraphics. Auch die Open-Source-Komponenten PHP und Samba sind betroffen. Das Update steht für Mac OS X 10.5 Leopard und 10.6 Snow Leopard zur Verfügung.
Apple hat das Sicherheitsupdate 2010-005 zum Download bereitgestellt. Es schließt 13 Sicherheitslücken in den Client- und Serverversionen von Mac OS X 10.5 Leopard und Mac OS X 10.6 Snow Leopard.
Der Patch behebt einen Fehler in den Apple Type Services, der sich durch manipulierte Schriften ausnutzen lässt. Zudem kann ein Angreifer über eine manipulierte PDF-Datei einen Absturz von CoreGraphics provozieren, um beliebigen Schadcode einzuschleusen und auszuführen. Weitere Anfälligkeiten bestehen in den Open-Source-Komponenten ClamAV, PHP und Samba.
Weiterlesen
(am) – In der neuen Windows-Version 7.6.7 seiner Multimedia-Software Quicktime Player hat Apple eine Sicherheitslücke geschlossen, die das Einschleusen von Malware ermöglichen kann.
Apples Quicktime Player hat eine lange Historie mehr oder weniger kritischer Sicherheitslücken. Das letzte Sicherheits-Update für Quicktime gab es Ende März. Jetzt hat Apple den Quicktime Player 7.6.7 bereit gestellt, der eine Sicherheitslücke der bisherigen Windows-Versionen behebt.
Die Schwachstelle resultiert aus einem Bug in der Fehlerprotokollierung von Quicktime. Dadurch kann es unter Umständen zu einem Pufferüberlauf kommen, der zum Absturz des Programms führt. Diese Lücke lässt sich mit speziell präparierten MOV-Dateien ausnutzen, um beliebigen Code einzuschleusen und auszuführen. Apple hat das Problem dadurch gelöst, dass es die Fehlerprotokollierung einfach abgeschaltet hat.
Weiterlesen
(am) – Das Update korrigiert zwei Schwachstellen in iOS. Es behebt einen Fehler bei der Verarbeitung von PDF-Dateien. Foxit hat kürzlich die PDF-Lücke in seinem gleichnamigen PDF-Reader geschlossen.
Apple wird im Lauf noch diese Woche ein Sicherheitsupdate für iOS bereitstellen. Der Patch soll zwei Lücken stopfen, die etwa JailbreakMe.com für einen browserbasierten Jailbreak ausnutzt.
Das Update wird für iPhone, iPad und iPod Touch zur Verfügung stehen. Es behebt einen Fehler bei der Verarbeitung von PDF-Dateien sowie eine Schwachstelle, die es erlaubt, Code mit allen Rechten außerhalb der Sandbox auszuführen. Über die PDF-Lücke ließ sich ein Absturz der Anwendung auslösen sowie beliebierer Schadcode einschleusen und ausführen. Der Patch wird im Rahmen von Apples atomatischem Softwareupdate ausgeliefert.
Weiterlesen
(am) – Sicherheits-Experte Charlie Miller findet die Arbeit der Hacker wunderschön und gleichzeitig beunruhigend.
Vor wenigen Tagen wurde JailbreakMe 2.0 für das iPhone 4 veröffentlicht. Bekannt war, dass die Entwickler eine PDF-Schwacshtelle in Safari nutzen, um das Apple-Gadget zu knacken. Sicherheits-Experte und zweimaliger Pwn2Own-Gewinner Charlie Miller findet, dass es sich hier um eine wundervolle Arbeit handle. Aber es sei auch erschreckend, wie einfach Apples Sicherheits-Architektur zu umgehen sei.
Die präparierten PDF-Dateien lassen auch Adobe Reader und Foxit unter Windows abstürzen, hat F-Secure festgestellt. Auch wenn die Dateien keinen Schaden anrichten, haben man Sie als Exploit:W32/Pidief aufgenommen. Eine Lücke sei schließlich eine Lücke. Weil es keinen eigenständigen PDF-Viewer im iPhone gebe, attackieren die Jailbreaker das entsprechende Safari-Modul. Eine kaputte Schriftart lässt CFF (Compact Font Format) abstürzen und die Hacker haben ihr Ziel erreicht. Wenigstens ist das Knacken von iPhones laut einer US-Behörde nun nicht mehr illegal.
Quelle: TEC Channel
(am) – Sie können unter anderem in der Safari Extensions Gallery heruntergeladen werden. Zu den Anbietern gehören Bing, New York Times, Twitter, Ebay und Amazon. Damit schließt Apple zu den Konkurrenten Firefox und Chrome auf.
Apple hat seinen Anfang Juni vorgestellten Browser Safari 5.0 für Windows und Mac OS X auf Version 5.0.1 aktualisiert. Die Software unterstützt jetzt wie die Konkurrenten Firefox und Chrome Erweiterungen.
Sie können aus der Safari Extensions Gallery oder von unabhängigen Websites geladen werden. Jede Erweiterung muss mit einem digitalen Zertifikat von Apple versehen werden, um Fälschungen zu verhindern und sicherzustellen, dass Updates zur Extension vom ursprünglichen Entwickler kommen.
Weiterlesen
(am) – Die Streaming-Komponente von Apples Quicktime hat eine Sicherheitslücke, die es Angreifern erlaubt, aus dem Internet auf einen PC zuzugreifen. Betroffen ist nur die Windows-Version.
Der Sicherheitsexperte Kryistian Koslowski hat eine schwer wiegende Lücke im Streaming-Anteil von Quicktime entdeckt. Der Fehler tritt beim Schreiben einer Debug-Logdatei auf. Angreifer, die die Programmlücke ausnutzen und einen Anwender dazu bringen, eine speziell manipulierte Webseite anzusurfen, können einen Speicherüberlauf provozieren und im Anschluss schädlichen Code auf dem PC ausführen. Wie Secunia berichtet, gibt es noch keine Lösung für das Problem. Koslowski hat den Fehler in Quicktime 7.6.6. für Windows nachgewiesen. Es ist aber möglich, dass er auch in anderen Versionen auftritt.
Sicherheitslücken in Quicktime sind meist hochgradig kritisch, da die Multimedia-Komponente von Apple vielen Programmen zugrunde liegt. So greifen etwa iTunes, das Avid-Schnittprogramm oder Adobe Premiere auf Quicktime zurück. Daher ist der Verbreitungsgrad der Software hoch. Auf den meisten Rechnern – Macs oder PCs – findet sich eine Version der Multimedia-Software.
Quelle: com.de
(am) – Angreifer könnten mit speziell präparierten Internetseiten an Informationen kommen, auf die sie eigentlich keinen Zugriff haben sollten.
Safari 5.x enthält eine Sicherheitslücke, die von den Sicherheitsexperten bei Secunia als weniger kritisch eingestuft wird. Die Schwachstelle in der AutoFill-Funktion könnte sensible Daten enthüllen. Angreifer können das Loch von außerhalb ausnutzen, indem sie Webseiten speziell präparieren.
Ein Update gibt es derzeit nicht. Anwender könnten allerdings die AutoFill-Funktion für Adressbuch-Karten-Informationen deaktivieren. Sie finden auch weitere Informationen im Blog des Entdeckers, Jeremiah Grossman.
Quelle: TEC Channel
(am) – Das Update behebt unter anderem Probleme mit inkompatiblen Plug-ins sowie Drag and drop. Performance und Stabilität wurden ebenfalls verbessert. Auch für iBooks steht eine Aktualisierung zum Download bereit.
Apple hat iTunes auf Version 9.2.1 aktualisiert, die die Stabilität und Leistung der Medienverwaltung verbessert. Das Update ist rund 100 MByte groß und kann entweder über die Softwareaktualisierung oder direkt von der Apple-Website heruntergeladen werden.
iTunes 9.2.1 behebt unter anderem Probleme mit inkompatiblen Plug-ins von Drittherstellern, beim Drag and drop von Objekten sowie bei der Aktualisierung auf iOS 4 für iPhones oder iPods Touch mit verschlüsselten Backups. Leistungseinbrüche beim ersten Synchronisieren mancher Geräte mit iTunes 9.2 sollen ebenfalls der Vergangenheit angehören.
Weiterlesen
(am) – Das Update ändert die Anzahl der angezeigten Signalbalken. Es richtet sich an iPhone 4, iPhone 3G S und iPhone 3G. Einige Nutzer berichten von Problemen bei der Installation. Apple hat zudem iOS 3.2.1 für iPad veröffentlicht.
Apple hat iOS 4.0.1 für iPhone 4, iPhone 3G S und iPhone 3G bereitgestellt. Es verbessert nach Herstellerangaben “die Formel, mit der berechnet wird, wie viele Balken für die Signalstärke angezeigt werden.”
Das Update hatte Apple vor rund zwei Wochen in einer Stellungnahme zum Antennenproblem angekündigt. Darin heißt es, dass seit dem ersten iPhone eine falsche Formel zur Berechnung der Darstellung der Signalstärke verwendet werde. Zuvor war vermutet worden, dass das Problem erst mit iOS 4.1 gelöst werde, das derzeit als Betaversion für Entwickler vorliegt.
Weiterlesen
