Schlagwort "bugfix"

(am) – Microsoft hat einen Hotfix (KB 2748349) veröffentlicht, der einen Fehler im Volumenschattenkopie-Dienst von Windows korrigiert. Durch diesen kann es dazu kommen, dass ein Backup inkonsistente Daten enthält und daher beim Wiederherstellen nicht alle Informationen korrekt zurückgeschrieben werden.

Das Problem besteht laut Microsoft bei Backup-Anwendungen, die unter Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 oder Windows Server 2008 R2 laufen und den Microsoft-Service für Volumenschattenkopien nutzen. Allerdings tritt es nur auf, wenn das Volumen mindestens 8 GByte größer als 8 GByte ist und die ursprüngliche Größe des erweiterten Volumens ein Vielfaches von 8 GByte betragen hat. Die Wahrscheinlichkeit des Auftretens nimmt zu, wenn es zudem mehrfach um ein Vielfaches von 8 GByte erweitert wurde.

Der von Microsoft bereitgestellte Hotfix erfordert nach der Installation einen Neustart. Er ersetzt keine früheren Updates, sie sollten also zuvor alle eingespielt werden.

Weiterlesen

(am) – Google hat die Final von Chrome 27 zum Download freigegeben. Die neue Version schließt 14 Sicherheitslücken. Das von ihnen ausgehende Risiko stuft das Unternehmen in elf Fällen als hoch ein. Ein Angreifer könnte die Schwachstellen ausnutzen und Schadcode innerhalb der Sandbox des Browsers ausführen. Darüber hinaus soll die neue Browser-Version Websites fünf Prozent schneller laden als der Vorgänger.

Den Versionshinweisen zufolge treten die Sicherheitsprobleme unter anderem bei der Verarbeitung von SVG-Dateien sowie im Zusammenhang mit Widgets, Spracheingaben und der Zwischenablage auf. Ein weiterer Fehler steckt im Media Loader. Zudem beseitigt Chrome 27 ein Speicherproblem in Web Audio.

Den Findern der Sicherheitslücken zahlt Google eine Belohnung von insgesamt 14.633,70 Dollar. Davon gehen 3133,70 Dollar an Atte Kettunen von der University of Oulu in Finnland, 2000 Dollar an den Sicherheitsforscher Chamal de Silva und weitere 2500 Dollar an zwei Mitarbeiter von MWR InfoSecurity. Die Höhe der Prämie richtet sich nach der Schwere der gefundenen Anfälligkeiten.

Weiterlesen

(am) – Apple hat ein Update für seine Multimedia-Software iTunes veröffentlicht. Version 11.0.3 verbessert den kürzlich eingeführten MiniPlayer und beschleunigt das Durchsuchen und Sortieren großer iTunes-Mediatheken. Sie schließt auch 40 Sicherheitslücken. Ein Angreifer könnte die Schwachstellen ausnutzen, um einen Absturz der Anwendung auszulösen und die Kontrolle über ein betroffenes System zu übernehmen.

39 Schwachstellen stecken einer Sicherheitsmeldung zufolge in der von iTunes verwendeten Browserengine WebKit. Darunter ist eine Lücke, die seit Oktober 2012 bekannt ist und von einem Hacker, der sich selbst “Pinkie Pie” nennt, im Rahmen des von Google ausgeschriebenen Wettbewerbs Pwnium 2 demonstriert worden war. Apple zufolge lassen sich die Anfälligkeiten in iTunes nur für Man-in-the-Middle-Angriffe während der Nutzung des iTunes Store nutzen.

Darüber hinaus korrigiert iTunes 11.0.3 einen Fehler, der die Manipulation von HTTPS-Server-Zertifikaten erlaubt. Das eigentliche Problem besteht bei der Gültigkeitsprüfung, die Apple nach eigenen Angaben nun überarbeitet hat. Dadurch soll verhindert werden, dass Unbefugte Zugriff auf vertrauliche Informationen erhalten.

Weiterlesen

(am) – Microsoft hat wie angekündigt zwei Sicherheitsupdates veröffentlicht, die insgesamt zwölf als kritisch eingestufte Anfälligkeiten in Internet Explorer beseitigen. Der erste Patch korrigiert elf Fehler in IE 6, 7, 8, 9 und 10, darunter eine während des Hackerwettbewerbs Pwn2Own aufgedeckte Schwachstelle (MS13-037). Der zweite Fix (MS13-038) schließt die kürzlich entdeckte Zero-Day-Lücke in IE8, die für Angriffe auf US-Forscher genutzt wurde, die unter anderem an der Entwicklung von Atomwaffen beteiligt sind.

Das zweite IE-Update steht allerdings auch für die Version 9 des Microsoft-Browsers zur Verfügung. Sie blockiere in der Standardkonfiguration zwar die im fraglichen Bulletin beschriebenen Angriffsmethoden, das Sicherheitsupdate sei aber eine zusätzliche “tief greifende Verteidigungsmaßnahme” für Internet Explorer 9, teilte Microsoft mit.

Insgesamt bringt der Mai-Patchday zehn Bulletins, die 33 Schwachstellen beschreiben. Die restlichen acht Updates beheben Anfälligkeiten, von denen nach Unternehmensangaben ein “hohes” Risiko ausgeht. Dazu zählt ein Fehler in der Datei “HTTP.sys”, der zu Denial-of-Service-Angriffen führen kann, eine Lücke in .NET Framework, die Spoofing erlaubt, und eine Anfälligkeit in den Kernelmodustreibern, die eine Erhöhung von Berechtigungen ermöglicht. Davon betroffen sind Nutzern von Windows XP, Server 2003, Vista, Server 2008, 7, Server 2008 R2, 8, Server 2012 und Windows RT.

Weiterlesen

(am) – Mozilla hat die Final von Firefox 21 für Windows, Mac OS und Linux veröffentlicht. Sie liefert unter anderem erweiterte Einstellungsmöglichkeiten für die Do-Not-Track-Funktion, die das Aufzeichnen des Surfverhaltens durch Websites verhindern soll. Zudem intergriert der Browser nun zusätzliche Social Networks wie MSN Now und Cliqz, sodass Nutzer ihr Netzwerk jederzeit im Blick haben.

Bisher konnten Anwender in Firefox nur zwischen dem Ein- und Ausschalten von Do Not Track (DNT) wählen. Sid Stamm, Lead Privacy Engineer für Firefox bei Mozilla, beschreibt die Optionen als “Nutzer sagt nichts” und “Nutzer sagt, nicht nachverfolgen”. Laut Tom Lowenthal, einem weiteren Sicherheitsexperten für Firefox, gibt es aber tatsächlich drei Zustände für Do Not Track: Neben der Zustimmung und Ablehnung auch kein Signal, durch das weder das eine noch das andere kommuniziert wird.

Firefox 21 lässt Nutzer im Datenschutzmenü nun zwischen diesen drei Optionen wählen. “Wenn DNT nicht aktiv ist, heißt das nicht automatisch ‘bitte verfolge mich’. Es bedeutet, dass der Nutzer dem Browser noch keine Entscheidung mitgeteilt hat”, schreibt Lowenthal in einem Blogeintrag. Bei der ersten Installation übermittle Firefox den Weder-noch-Zustand, so dass die Wahl allein beim Nutzer liege.

Weiterlesen

(am) – Adobe hat Sicherheitsupdates für den Flash Player und Adobe Reader veröffentlicht. Mit den Updates werden kritische Lücken geschlossen.

Adobe hängt sich auch im Mai an den Patch-Day von Microsoft und hat ebenfalls diverse Sicherheitsupdates für seine Produkte veröffentlicht. Mit den Sicherheitsupdates werden laut Angaben von Adobe insgesamt 27 Sicherheitslücken in Adobe Acrobat und im Adobe Reader geschlossen. Eine dieser Lücken wird bereits von Angreifern aktiv für Angriffe genutzt. Der Adobe-Sicherheitsempfehlung für Acrobat und Reader zufolge, könnten Angreifer 24 der 27 Lücken dazu ausnutzen, um einen potentiell schädlichen Code auf einem angegriffenen System ablaufen zu lassen. Eine weitere Lücke erlaube den Angreifern die Umgehung des Sandbox-Schutzes im Adobe Reader.

Insgesamt 13 Sicherheitslücken stopft Adobe im Flash Player. Auch hier könnten die Angreifer die Lücken ausnutzen, um die Kontrolle über ein angegriffenes System zu übernehmen. Daher empfiehlt Adobe den Anwendern, den Flash-Player sofort zu aktualisieren. Windows- und Mac-Nutzer sollten dazu den Flash Player 11.7.700.202 und Linux-Nutzer den Flash Player 11.2.202.285 installieren, wie der Sicherheitsempfehlung für Flash-Nutzer zu entnehmen ist.

Quelle: PC Welt

(am) – Microsoft hat einen Fix für die kürzlich entdeckte Zero-Day-Lücke in Internet Explorer 8 bereitgestellt. Er beseitigt eine kritische Schwachstelle, die Angreifer zum Einschleusen und Ausführen von Schadcode ausnutzen können. Dazu müssen sie ihr Opfer lediglich dazu verleiten, eine entsprechend präparierte Website zu besuchen.

Die Sicherheitslücke wurde schon für Angriffe auf US-Forscher genutzt, die unter anderem an der Entwicklung von Atomwaffen beteiligt sind. Nach Angaben mehrerer Sicherheitsfirmen richteten sich die Attacken gegen Mitarbeiter des US Department of Labor und des US Department of Energy.

Invincea meldete vergangenen Freitag, die kompromittierte Seite verteile den Trojaner Poison Ivy per Drive-by-Download. FireEye hat bei einer Analyse des Schadprogramms festgestellt, dass es speziell auf Computer mit Windows XP ausgerichtet ist. Der Exploit lasse sich aber auch gegen Internet Explorer 8 unter Windows 7 einsetzen.

Weiterlesen

(am) – Der Hersteller D-Link hat ein Firmware-Update veröffentlicht, mit dem kürzlich entdeckte Sicherheitslücken in einigen seiner IP-Kamera-Modellen gestopft werden.

Sicherheitsexperten hatten kürzlich in der Firmware von IP-Video-Kameras des Herstellers D-Link einige gefährliche Sicherheitslücken entdeckt. Vor der Veröffentlichung der Informationen über die Lücken war D-Link informiert worden. Kurz nachdem nun die Informationen publik geworden sind, hat D-Link mit der Veröffentlichung eines Firmware-Updates reagiert.

Die Firmware-Updates finden sich in diesem Eintrag im D-Link-Forum. Dabei wird ausdrücklich darauf hingewiesen, dass es sich um Beta-Versionen der Sicherheitsupdates handelt. Die finalen Versionen sollen innerhalb der nächsten 30 Tage veröffentlicht werden. Bei einigen der betroffenen Modelle wird das Update dann auch automatisch heruntergeladen und installiert werden.

Quelle: PC Welt

(am) – Oracle hat wie geplant ein weiteres Update für Java SE veröffentlicht. Es schließt insgesamt 42 Sicherheitslücken, von denen sich 39 aus der Ferne und ohne Eingabe von Anmeldedaten ausnutzen lassen. Apple aktualisiert zudem Java für Mac OS X ab Version 10.6 Snow Leopard.

Einem Advisory zufolge stecken die Schwachstellen in Java 7 Update 17 oder früher, Version 6 Update 43 oder früher sowie Version 5 Update 41 oder früher. Darüber hinaus ist auch JavaFX 2.2.7 oder früher anfällig.

Das Risiko, das von 19 Lücken ausgeht, stuft Oracle als kritisch ein. Sie sind im zehnstufigen Common Vulnerability Scoring System mit 10.0 bewertet und lassen sich durch nicht vertrauenswürdige Java-Web-Start-Anwendungen sowie Webdienste ausnutzen, die Daten an Programmierschnittstellen senden. Einem Eintrag in Oracles Software Security Assurance Blog zufolge sind in zwei Fällen auch Server-Installationen der Laufzeitumgebung betroffen.

Weiterlesen

(am) – Wie Microsoft stellt auch Adobe seit gestern Abend mehrere Sicherheitsupdates bereit. Sie sollen insgesamt acht als kritisch eingestufte Schwachstellen in Flash Player und Shockwave beseitigten. Das Risiko, das von zwei weiteren Lücken in ColdFusion ausgeht, bewertet das Unternehmen mit “hoch”.

Einer Sicherheitswarnung zufolge sind Flash Player 11.6.602.180 und früher für Windows und Mac OS X, Flash Player 11.2.202.275 und früher für Linux sowie die Versionen 11.1.115.48 und früher für Android 4.x und 11.1.111.44 und früher für Android 3.x und 2.x anfällig. Ein Angreifer könnte einen Absturz der Anwendung auslösen oder möglicherweise auch die Kontrolle über ein betroffenes System übernehmen.

Die fehlerbereinigte Version 11.7.700.169 für Windows und Mac OS X soll einen Integer-Überlauf sowie drei Speicherfehler beseitigen. Entdeckt wurden die Fehler von Mitarbeitern des Google Security Team sowie vom französischen Sicherheitsunternehmen Vupen. Für Linux steht die Version 11.2.202.280 sowie für Android die Versionen 11.1.115.54 und 11.1.115.50 zur Verfügung. Microsoft und Google aktualisieren zudem den in ihren Browsern Chrome sowie IE 10 für Windows 8 integrierten Flash Player auf die Version 11.7.700.179 beziehungsweise 11.7.700.169.

Weiterlesen