You are here: Home » Aktuelle Meldungen » Archiv
Sorry, this page is not translated yet.

Archiv für November 2006

November 2006

  • [Generic/ProFTPd] Schwachstelle in ProFTP 1.3.0 (2006-11-28)
    Eine off-by-one-Schwachstelle im verbreiteten FTP-Serversystem ProFTP für UNIX/Linux-Systeme kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des proftpd auf dem beherbergenden Rechnersystem auszuführen.
    • [Generic/ProFTPd] zwei Schwachstellen in ProFTP 1.3.0a (2006-12-04)
      Eine Pufferüberlaufschwachstelle im Modul mod_tls für ProFTP der erst kürzlich veröffentlichten Version 1.3.0a und früher kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des ProFTP-Daemons auf dem beherbergenden Rechnersystem auszuführen (CVE-2006-6170). Eine weitere Pufferüberlaufschwachstelle in den Routinen zur Verarbeitung von FTP-Kommandos kann offenbar von einem Angreifer dazu ausgenutzt werden, den Dienst in einen unbenutzbaren Zustand zu versetzen (Denial-of-Service) und potentiell beliebigen Programmcode auf dem beherbergenden Rechnersystem auszuführen. Dies ist jedoch umstritten, insbesondere die ProFTP-Entwickler zweifeln an der Ausnutzbarkeit. Sie argumentieren, dass die relevanten Speicherbereiche vor Wiederverwendung explizit überschrieben würden und daher nicht für einen Angriff ausgenutzt werden könnten. (CVE-2006-6171)
  • [Generic/GnuPG] Pufferüberlaufschwachstelle in GnuPG 1.4 und 2.0 (2006-11-28)
    Eine Pufferüberlaufschwachstelle im kryptographischen Werkzeug GnuPG kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des gpg-Benutzers auf dem beherbergenden Rechnersystem auszuführen.
    • [Generic/GnuPG] Weitere Schwachstelle in GnuPG (2006-12-08)
      In den GnuPG-Versionen vor 1.4.6 und 2.0.2 kann eine Schwachstelle von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des gpg aufrufenden Benutzers auf dem beherbergenden Rechnersystem auszuführen.
  • [Generic/GNU Radius] Schwachstelle in GNU Radius 1.2 und 1.3 (2006-11-27)
    Eine Pufferüberlaufschwachstelle in den Versionen 1.2 und 1.3 der freien RADIUS-Implementierung GNU Radius mit aktiviertem SQL-Accounting kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit administrativen Privilegien auf dem beherbergenden Rechnersystem auszuführen. Die nicht verwundbare Version 1.4 ist verfügbar. Als Workaround wird das Abschalten des SQL-Accountings und Umsteigen auf eine alternative Accounting-Methode empfohlen. (CVE-2006-4181)
  • [Generic/GNU gv] Schwachstelle in GNU GhostView (2006-11-21)
    Eine Pufferüberlaufschwachstelle im Postscript-Betrachtungsprogramm GNU GhostView kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des betrachtenden Beutzers auf dem beherbergenden Rechnersystem auszuführen.
  • [MS/WinZip] Schwachstelle im WinZip ActiveX Control (2006-11-16)
    Eine Schwachstelle im ActiveX Control WZFILEVIEW.FileViewCtrl.61, das im Lieferumfang von WinZip 10.0 enthalten ist, enthält eine Schwachstelle, die von einem Angreifer dazu ausgenutzt werden kann, beliebigen Programmcode mit den Privilegien des aufrufenden Benutzers auf dem beherbergenden Rechnersystem auzuführen. Da bei der Installation von Winzip das Control so eingebunden wird, dass es z.B. beim Download einer ZIP-Datei durch den Internet Explorer automatisch aufgerufen wird, genügt es, dass ein Benutzer eine entsprechend präparierte Datei z.B. von einer Webseite herunterlädt, um Opfer eines erfolgreichen Angriffs zu werden. (CVE-2006-5198)
  • [MS/Windows] Microsoft Security Bulletin Summary für November 2006 behebt 13 Sicherheitslücken (2006-11-14)
    Im Rahmen des Microsoft Security Bulletin Summary für November 2006 werden sechs Bulletins veröffentlicht, die Updates zur Behebung von Schwachstellen im Client Service für Net Ware, im Internet Explorer, im Microsoft Agent, im Macromedia Flash Player, im Workstation Service sowie in den XML Core Services, bereitstellen. Die Schwachstellen ermöglichen bis auf eine Denial-of-Service-Schwachstelle jeweils die Ausführung von Programmcode auf dem beherbergenden Rechnersystem.
  • [MS/WLAN] Schwachstellen in diversen WLAN-Treibern (UPDATE 2) (2006-11-14)
    Im Rahmen des "Month of Kernel Bugs" Projektes wurde Information über Schwachstellen in zwei Treibern für WLAN-Hardware unter Microsoft-Betriebssystemen veröffentlicht, die von Angreifern dazu ausgenutzt werden können, beliebigen Programmcode mit administrativen Privilegien auf dem beherbergenden Rechnersystem auszuführen. Mittlerweile sind Schwachstellen in drei weiteren Treibern bekannt geworden.
  • [MS/Active-X] Weitere Schwachstelle in Active-X wird aktiv ausgenutzt (2006-11-09)
    Eine Schwachstelle in der msxml4.dll, die bei der Ausführung der setRequestHeader() Methode des Active-X-Controls XMLHTTP 4.0 greift, kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des browsenden Benutzers auf dem beherbergenden System auszuführen. Das Control ermöglicht interaktiven Webseiten, XML-Code mittels HTTP zu senden und zu empfangen. Es ist im Lieferumfang von Windows XP nicht enthalten, kann jedoch leicht installiert werden und ist im Lieferumfang zahlreicher Applikationen enthalten. Insbesondere die Integration von Active-X in den Internetexplorer stellt ein Einfallstor für Angriffe von außerhalb dar, diese Schwachstelle ausnutzend: ein Benutzer muss lediglich eine entsprechend präparierte HTML-Seite, z.B. im Web oder in einer E-Mail-Nachricht, betrachten, um Opfer eines solchen Angriffes zu werden. Patches existieren noch nicht, daher wird die generelle Abschaltung des ActiveScripting insbesondere im Internetexplorer empfohlen. Ebenfalls beschreibt Microsoft einen Workaround, der die Ausführung des verwundbaren Codes unterbindet.
    Die Schwachstelle wird nach Information des CERT/CC bereits aktiv ausgenutzt.
    (CVE-2006-5745, VU#585137, Secunia Advisoy SA22687)
    • [MS/WinZip] Schwachstelle im WinZip ActiveX Control (2006-11-16)
      Eine Schwachstelle im ActiveX Control WZFILEVIEW.FileViewCtrl.61, das im Lieferumfang von WinZip 10.0 enthalten ist, enthält eine Schwachstelle, die von einem Angreifer dazu ausgenutzt werden kann, beliebigen Programmcode mit den Privilegien des aufrufenden Benutzers auf dem beherbergenden Rechnersystem auzuführen. Da bei der Installation von Winzip das Control so eingebunden wird, dass es z.B. beim Download einer ZIP-Datei durch den Internet Explorer automatisch aufgerufen wird, genügt es, dass ein Benutzer eine entsprechend präparierte Datei z.B. von einer Webseite herunterlädt, um Opfer eines erfolgreichen Angriffs zu werden. (CVE-2006-5198)
    • [MS/Windows] Microsoft Security Bulletin Summary für November 2006 behebt 13 Sicherheitslücken (2006-11-14)
      Im Rahmen des Microsoft Security Bulletin Summary für November 2006 werden sechs Bulletins veröffentlicht, die Updates zur Behebung von Schwachstellen im Client Service für Net Ware, im Internet Explorer, im Microsoft Agent, im Macromedia Flash Player, im Workstation Service sowie in den XML Core Services, bereitstellen. Die Schwachstellen ermöglichen bis auf eine Denial-of-Service-Schwachstelle jeweils die Ausführung von Programmcode auf dem beherbergenden Rechnersystem.

Andere Monate

2017

2016

2015

2014

2013

2012

2011

2010

2009

2008

2007

2006

2005

2004

2003

2002

2001

2000