(jp) - In Apples Browser Safari sind acht Sicherheitslücken vorhanden, für die momentan noch kein Update bereitsteht.
Über diese Sicherheitslücken können Angreifer Schadcode auf den Rechnern ausführen lassen.
Da die Sicherheitslücken mittlerweile öffentlich bekannt sind und Apple noch keinen Schutz bereitstellen konnte, sollten Sie einen anderen Browser verwenden, bis die Sicherheitslücken geschlossen wurden.
(jp) – Apple in der Kritik – die iPhone-App “SpyPhone” soll Mail-Adressen, Aufenthaltsort und Safari-Suchergebnisse von iPhone-Nutzern ausspähen.
Auf der Black-Hat-Konferenz in Washington kritisiert Sicherheitsexperte Nicolas Seriot den Schutz der Privatsphäre auf Apples iPhone. Das iPhone grenzt Apps mit einer Liste von Regeln vom Kernel ab, um Schadcode-Übergriffe zu vermeiden. Seriot aber hält diese Regeln für viel zu locker.
Weiter bezweifelt er, dass Apple behaupten könne, dass eine App nie Zugriff auf Daten einer anderen App erlangen könne. Als Beispiel führt er die Apps “Aurora Feint” und “mogoRoad” an, die anfangs im App-Store zu haben waren. Beide sammelten Daten ihres Besitzers, um sie dem Entwickler zu senden. Mit steigender Verbreitung des iPhones steigen auch die Schwierigkeiten schadhafte Apps rechtzeitig zu entlarven, so Seriot.
(am) - Die Macher der Malware Koobface nehmen inzwischen Nutzer von Mac OS ins Visier zu nehmen. Scheinbar entwickeln sie eine spezielle Strategie, um Mac-Nutzern mit Scareware abzuzocken.
Der Sicherheitsforscher Dancho Danchev hat in seinem Blog eine Analyse veröffentlicht. Demnach scheinen die Hintermänner der Koobface-Malware mittlerweile Nutzer von Mac OS ins Visier zu nehmen. Scheinbar setzen sie darauf, dass Mac-Nutzer einsam sind, denn die spezielle Version der Koobface-Malware leitet die Nutzer auf die Affiliate-Seite AdultFriendFinder weiter. Über manipulierte Dating-Seiten sollen die Nutzer um geringe Summen erleichtert werden, das Ziel ist, die Summe durch möglichst viele Opfer zu erhöhen.
Die Attacken auf Mac-Nutzer scheinen in den letzten Jahren deutlich zuzunehmen. Das mag mit einer höheren Verbreitung von Macs zu tun haben, außerdem setzen die Kriminellen wohl darauf, dass Mac-Nutzer weniger Sicherheitsbedenken gegenüber fremden Programmen haben. Im April 2009 wurde zudem ein Botnet gefunden, das lediglich aus Mac-Systemen bestand.
Quelle: TEC Channel
(am) - Drei der Probleme ermöglichen Hackern Zugriff aus der Ferne. Sie stecken in der Behandlung von MP4- und TIFF-Dateien sowie in Webkits FTP-Behandlung. Eine weitere Schwachstelle hebelt den Passwortschutz von iPhone und iPod Touch aus.
Apple hat einen Patch für iPhone und iPod Touch veröffentlicht. Er schließt fünf Sicherheitslecks, darunter drei, über die ein Angreifer aus der Ferne die Kontrolle über das Telefon übernehmen könnte.
Für einen erfolgreichen Angriff müsste der Benutzer eine präparierte Audio- oder Bilddatei öffnen oder auf einen FTP-Server zugreifen, so Apple. Die Fehler stecken in der Behandlung von MP4-Soundfiles und von TIFF-Bildern. Das FTP-Problem bringt die Browser-Engine Webkit mit, die Apple zufolge FTP-Verzeichnisse nicht korrekt behandelt.
(am) - Das Update ist 90 MByte groß. Es korrigiert unter anderem Fehler bei der Synchronisierung und der Hardware-Erkennung. Performance und Stabilität wurden ebenfalls verbessert.
Apple hat iTunes auf Version 9.0.3 aktualisiert. Das Update ist rund 90 MByte groß und kann entweder über die Aktualisierungsfunktion von iTunes oder direkt von der Apple-Supportseite heruntergeladen werden.
iTunes 9.0.3 behebt vor allem einige Fehler, beispielsweise bei der Synchronisierung von intelligenten Wiedergabelisten und Podcasts. Auch Probleme bei der Erkennung eines angeschlossenen iPod wurden Apple zufolge gelöst.
Zudem merkt sich iTunes jetzt Passwörter für den iTunes-Store, falls der Anwender diese Option aktiviert hat. Die allgemeine Stabilität und Performance des Programms haben die Entwickler ebenfalls verbessert.
Quelle: ZDNet
(am) – Kriminelle nutzen den aktuellen Hype um Apples iPad, um Apple-Fans und Internetnutzer mit Spam-Mails zu Ködern. Laut der dänischen Sicherheitsfirma Spamfighter ist der Anteil von unerwünschten E-Mails, die Apple als Thema haben, seit der Vorstellung des iPad um 30 Prozent gestiegen.
Das zeige, dass Spammer immer öfter mit aktuellen Trends gehen, um Empfänger dazu zu überreden, die Mails zu öffnen und auf einen Link zu klicken. Die Spam-Mails versprechen oft besonders günstige Angebote, etwa iPods und iPhones zum Niedrigpreis. Sie titelten “Dont miss unbelievable savings on Apple Macintosh” oder “Come get your Apple iPhone”. Bald solle auch das iPad in den Spam-Nachrichten auftauchen.
Wie Martin Thorborg, Mitbegründer von Spamfighter sagt, sei das der Versuch, ahnungslose Anwender mit dubiosen Versprechen auf Webseiten zu locken, die persönliche Informationen angreifen oder gar Malware verteilen wollen. Spamfighter rechnet damit, dass sich der Anteil an Apple-Spam in den nächsten Tagen noch exponentiell steigern wird. Der Tipp der Experten: Die User sollten in E-Mails unbekannter Herkunft niemals auf einen Link klicken – ganz egal, wie gut der vermeintliche Deal klingt, der da angeboten wird.
Quelle: PC Professionell
(jp) - Eine Spamwelle zielt derzeit auf die Nutzer von iPhones, meldet die Sicherheitsfirma Sophos. Abgefragt wird die IMEI-Nummer, den Nutzern würde dafür eine einjährige Garantieverlängerung versprochen – die es nicht gibt.
Das Sophos-Blog meldet eine seltene gezielte Spam- und Phising-Attacke auf die Nutzer von Apples iPhone. In der E-Mail würde eine einjährige Verlängerung der Garantie angeboten – man müsse dazu nur auf die vermeintliche Apple-Homepage gehen und dort die IMEI des Smartphones eingeben.
Seltsamerweise fragen die Phisher keine persönlichen Daten ab (etwa Rufnummer oder Name), sondern sind nur an der IMEI, Seriennummer und iPhone-Typ interessiert. Richard Cohen von Sophos mutmaßt, dass diese Informationen unter Umständen genutzt werden können, um gestohlene iPhones „zu waschen“.
Das iPhone geriet bereits Ende 2009 in den Fokus der Kriminellen. In kürzester Zeit sind drei verschiedene Malware-Typen aufgetaucht. Allerdings waren damals lediglich iPhones mit Jailbrake und Standard-SSH-Passwort davon betroffen.
Quelle: TEC Channel
(am) - Das Sicherheitsupdate behebt zwölf Schwachstellen in den Versionen 10.5.8 und 10.6.2. Betroffen sind das Flash-Player-Plug-in und Komponenten wie Core Audio, Image RAW und OpenSSL. Durch sie kann ein Angreifer beliebigen Schadcode einschleusen und ausführen.
Apple hat das Sicherheitsupdate 2010-001 sowie eine Aktualisierung von Boot Camp zum Download bereitgestellt. Es behebt elf Schwachstellen in den Client- und Serverversionen von Mac OS X 10.5.8 und 10.6.2. Eine weitere Anfälligkeit besteht nur in Mac OS X Leopard.
Alleine sieben Lücken stopft Apple im Flash-Player-Plug-in, das nun in der Version 10.0.42 vorliegt. Zudem bestehen Fehler in Core Audio und Image RAW, die zu Pufferüberläufen und Abstürzen führen können, die durch manipulierte MP4- beziehungsweise DNG-Dateien ausgelöst werden. In allen drei Fällen kann ein Angreifer beliebigen Schadcode einschleusen und ausführen.
(jp) - In Apples Quicktime Player ist eine Schwachstelle entdeckt worden, die das Einschleusen von Code ermöglicht. Eine fehlerbereinigte Version des Gratis-Programms ist noch nicht erhältlich.
Der von Apple für Windows und Mac kostenlos bereit gestellte Quicktime Player enthält bis einschließlich Version 7.6.5 sowie Quicktime X (für Mac) eine Sicherheitslücke. Sie ermöglicht das Einschleusen und Ausführen von Code mit Hilfe präparierter MOV-Dateien. Auch iTunes ist betroffen, da es Quicktime enthält.
Symantecs Sicherheitsportal SecurityFocus benennt iTunes 8.0.2.20 bis 9.0.1.8 sowie Quicktime ab Version 7.3.4 bis QuickTime X als anfällige Software. Eine erst heute veröffentlichte Aktualisierung schließt nunmehr auch die aktuelle Version 7.6.5 für Windows ausdrücklich ein. Der Fehler liegt demnach darin, dass der Quicktime Player vom Benutzer übergebene Daten nicht oder unzureichend prüft, bevor er sie in einen unterdimensionierten Puffer kopiert. Dieser kann überlaufen und Daten in angrenzenden Speicherbereichen werden überschrieben.
(jp) – Sicherheitsexperten warnen vor einer aktuellen Lücke in den Apple-Betriebssystemen. Angreifer könnten darüber auf dem System Anwendungen ausführen, einen Patch gibt es noch nicht.
Die Forscher der eher unbekannten Firma Security Reason warnen vor einer kritischen Schwachstelle. Damit ist es laut den Forschern möglich, in MacOS X Leopard (10.5) und Snow Leopard (10.6) einen Pufferüberlauf zu erzeugen, anschließend könnte der Angreifer Code auf dem System ausführen. Das Problem trete in der Implementierung von dtoa auf.
Die Lücke selbst ist nichts Neues. Sie wurde bereits in verschiedenen Systemen, darunter NetBSD, Google Chrome, Firefox, FreeBSD oder OpenBSD gefunden und dort auch bereits behoben. Die Forscher haben nun ein Proof-of-Concept veröffentlicht, über das sie ein auf dem attackierten Mac-System Code ausführen konnten. Ein Patch steht von Seiten Apples noch nicht bereit.
Quelle: TEC Channel
Sophos Top-10-Viren
