(jp) - Als erster Browser bringt Opera 10.50 eine Lösung für eine alle Browser und Web-Server betreffende Schwachstelle in der Spezifikation des TLS-/SSLv3-Protokolls, die Man-in-the-Middle-Attacken erlaubt.
Verschlüsselte Web-Verbindungen wie HTTPS sollen sicher stellen, dass die übertragenen Daten weder belauscht noch manipuliert werden können. Doch die Spezifikation enthält einen Fehler, der Man-in-the-Middle-Angriffe ermöglicht. Mit der gerade veröffentlichten Version Opera 10.50 bringt die norwegische Browser-Schmiede den ersten Browser heraus, der seinen Teil zur Lösung beiträgt.
Der Fehler in der Spezifikation des TLS- und des SSLv3-Protokolls ist seit November 2009 bekannt. Ein Angreifer kann sich durch Auslösen einer Neuvereinbarung (Renegotiation) von Sitzungsparametern einer verschlüsselten Verbindung zwischen Client und Server einklinken (Man-in-the-Middle-Angriff) und von beiden unbemerkt Daten hinzu fügen. Er könnte etwa beim Online-Banking eine weitere Überweisung einfügen.
Weiterlesen
(jp) - In Apples Browser Safari sind acht Sicherheitslücken vorhanden, für die momentan noch kein Update bereitsteht.
Über diese Sicherheitslücken können Angreifer Schadcode auf den Rechnern ausführen lassen.
Da die Sicherheitslücken mittlerweile öffentlich bekannt sind und Apple noch keinen Schutz bereitstellen konnte, sollten Sie einen anderen Browser verwenden, bis die Sicherheitslücken geschlossen wurden.
(am) - Die Sicherheitsexperten von Secunia warnen vor einer Sicherheitslücke in McAfee LinuxShield 1.x. Schuld ist ein Feler im nailsd-Daemon.
Ein Sicherheitsproblem in nailsd lässt sich ausnutzen, um administrative Rechte auf einem betroffenen Rechner zu ergaunern. Danach könnte der Einbrecher zum Beispiel die Konfiguration ändern oder beliebigen Code mit root-Rechten ausführen. Die Schwachstelle ist allerdings als weniger kritisch eingestuft, da ein Anwender ein lokales Konto auf dem Linux-Rechner braucht.
Bestätigt ist die Sicherheitslücke für McAfee LinuxShield 1.5.1. Andere Varianten könnten ebenfalls betroffen sein. McAfee rät Anwendern ein Update auf Version 1.5.1 und danach ein Einspielen des Hotfix HF550192. Weitere Informationen und Download-Links finden Sie in der Sicherheitsanweisung von McAfee.
Quelle: TEC Channel
(am) - Die Zahl unerwünschter E-Mails nimmt gegenüber Januar um 5,5 Prozent zu. Weltweit steigt der Spam-Anteil auf 89,4 Prozent. Hauptgrund dafür sind dem Sicherheitsunternehmen zufolge zunehmende Aktivitäten der Botnetze “Grum” und “Rustock”.
Symantec hat im Februar eine Zunahme des Spam-Aufkommens um 5,5 Prozent gegenüber Januar ermittelt. Der Anteil unerwünschter Nachrichten an allen weltweit verschickten E-Mails betrug im vergangenen Monat 89,4 Prozent. Als Hauptgrund für die Entwicklung hat das Sicherheitsunternehmen die Botnetze “Grum” und “Rustock” ausgemacht.
Nach durchschnittlichen Aktivitäten im vergangenen Jahr habe Grum im Februar bis zu 51 Prozent mehr Spam produziert als zuvor, so Symantec. Das Botnetz sei zeitweise für 26 Prozent des weltweiten Spams verantwortlich gewesen. Rustock habe zudem am 17. Februar für einen Anstieg des Spam-Aufkommens um 25 Prozent gesorgt. 65 Prozent aller im Februar verschickten Spam-Mails hätten Werbung für pharmazeutische Produkte enthalten.
Weiterlesen
(am) - Das neue Update prüft vor der Installation verschiedene Systemdateien auf Veränderungen. Zudem erkennt ein Fix-it-Tool mögliche Kompatibilitätsprobleme. Microsoft arbeitet weiterhin an einer Lösung zur Entfernung des Alureon-Rootkits.
Microsoft hat das im Februar zurückgezogene Update für eine 17 Jahre alte Sicherheitslücke in Windows überarbeitet und die neue Version zum Download bereitgestellt. Unter Windows XP löste der ursprüngliche Patch auf Computern, die mit einem Rootkit infiziert waren, wiederholte Neustarts aus. Die neue Version MS10-015 enthält eine Routine, die vor einer Installation nach Anzeichen des Alureon-Rootkits sucht.
“Wenn ungewöhnliche Veränderungen an bestimmten Dateien des Betriebssystems entdeckt werden, scheitert das Update und es wird eine Fehlermeldung mit weiteren Support-Informationen angezeigt”, schreibt Microsoft-Sprecher Jerry Bryant in einem Blogeintrag. Microsoft wolle betroffenen Kunden dabei helfen, das Problem zu lösen.
Weiterlesen
(vr) – Das dritte Update für Version 3 des E-Mail-Clients korrigiert einen Fehler, der nach der Installation der Vorgängerversion auftreten konnte. Einzelne Postfächer oder sogar die gesamte Orderübersicht wurden dadurch nicht mehr angezeigt.
Mozilla Messaging hat ein drittes Update für Thunderbird 3 veröffentlicht. Version 3.0.3 behebt einen Fehler der Vorgängerversion, durch den nach einem Update unter Umständen einzelne E-Mail-Verzeichnisse nicht mehr angezeigt werden oder die gesamte Ordnerübersicht leer bleibt
Das vor rund einer Woche veröffentlichte Update 3.0.2 hatte in erster Linie die Sicherheit und Stabilität des E-Mail-Clients verbessert. Außerdem korrigierte es einige Fehler bei der Implementierung des Internet Message Access Protocol und Probleme beim Upgrade von Thunderbird 2. Insgesamt wurden 120 Bugs beseitigt.
Thunderbird 3.0.3 steht ab sofort für Windows, Mac OS X und Linux zum Download bereit. Windows-Versionen vor Windows 2000 sowie Mac OS X 10.3 und älter werden nicht mehr unterstützt.
Im April soll das erste größere Update auf Version 3.1 erscheinen, das eine neue Browser-Engine und eine überarbeitete Startseite liefert. Eine frühe Alphaversion ist seit Anfang Februar verfügbar.
Quelle: ZDNet
(am) – Der norwegische Opera Browser besitzt von Haus aus einen integrierten Werbeblocker. Mit unserem Partner urlfilter.de bekommen Sie eine vorgefertigte und effektive Liste geboten.
Die ausführliche Liste aller blockierten Adressen und den Download der urlfilter.ini mit dem Stand März 2010 finden Sie hier. Falls Ihnen das noch nicht genügen sollte, können Sie jederzeit Feedback beim Betreiber der Seite abgeben oder Sie legen sich einfach selbst einige Regeln an. Wie das funktioniert lesen Sie in diesem Artikel.
Zu den wichtigsten Änderungen in der März Version zählen, der Austausch von “www” und “http” mit einem Sternchen, welches als Wildcard fungiert und damit Beispielsweise auch “https” Verbindungen (Verschlüsselte Verbindungen) werbefrei bleiben. Zudem ist im Dateikopf der urlfilter.ini ab jetzt eine Version mit Datumsangabe und Urheberlink zu finden.
(jp) – Einem unbekannten Hacker ist es gelungen, das Benutzerkonto eines WoW-Spielers zu knacken, obwohl dieser den Hardwareschutz “Authenticator” eingesetzt hat. Blizzard untersucht nun, wie die virtuellen Besitztümer des Spielers geklaut werden konnten.
Bei dem Authenticator handelt es sich um eine Art Schlüsselanhänger, der auf Knopfdruck einen Zusatzcode für die Anmeldung bei World of Warcraft generiert. Laut Blizzard soll der Zugriff auf ein Benutzerkonto für Unbefugte damit so gut wie unmöglich werden. Dennoch ist genau dies einem Hacker gelungen, der die gestohlenen Gegenstände nun zu Geld machen kann.
Weiterlesen
(jp) – Wie aus den aktuellen Release Notes von ISC zu Bind hervorgeht, wurden seit Version 9,6.1 eine Reihe von Sicherheitslücken geschlossen. So wurde beispielsweise das Caching von Out-of-Bailiwick Daten korrigiert; vor einer Neuabfrage werden die Daten aus der Originalquelle geholt, anstatt auf einen für Angriffe anfälligen Cache zurückzugreifen. Auf Fehler und Sicherheitslücken beim Caches richten sich auch zwei weitere Security Bugfixes, die in der neusten Version 9.6.2 von Bind verfügbar sind. Das Update wird daher dringend empfohlen.
Quelle: TEC Channel
(jp) – Datev, eine viel verwendete Verwaltungssoftware in Anwalts- und Steuerkanzleien, hat eine schwere Sicherheitslücke. Angreifer, die sie ausnutzen, können sich über das Internet Zugang zum Computersystem der Kanzlei verschaffen. Der Hersteller hat seine Software aktualisiert. Wer sie nutzt, sollte den Patch so schnell wie möglich einspielen.
Der Sicherheitsexperte Nikolas Sotiriu hat eine ernste Sicherheitslücke in Datev entdeckt. Anwälte und Steuerberater nutzen die Software zum Verwalten ihrer Mandantendaten. Wie Secunia berichtet, liegt der Fehler in einer Active-X-Kontrolle. Angreifer können ihn ausnutzen, indem sie Anwender auf eine schädliche Webseite locken und von dort aus Befehle ausführen. Der Fehler ist in Datev Version 1.0.0.1 nachgewiesen, kann aber auch in anderen Versionen auftreten. Genauere Informationen über die Schwachstelle als Text und Video finden sich auf der Webseite ihres Entdeckers Sotiriu. Datev hat schnell reagiert und ein Sicherheitsupdate für seine Software herausgegeben, das die Lücke schließt. Genauere Informationen zur Aktualisierung und zum Update-Prozess gibt es auf der Seite des Unternehmens.
Quelle: com.de
