Archiv für 2009

Dezember 2009

• [Generic/Flash Player] Mehrere Schwachstellen im Flash Player (2009-12-09)
  Mehrere Schwachstellen im Flash Player 10.0.12.36 sowie in AIR 1.5 und früheren Versionen, erlauben einem Angreifer mittels speziell präparierter Flash- oder Bilddateien beliebigen Programmcode auf dem beherbergenden System auszuführen. Die Schwachstellen wurden im Flash Player 10.0.42.34 sowie AIR 1.5.3 behoben. Es wird empfohlen, raschest möglich auf diese Versionen umzusteigen.
• [MS/Windows] Microsoft stellt Patches für insgesamt zwölf Schwachstellen bereit (2009-12-09)
  Im Rahmen seines Security Bulletin Summary for December 2009 stellt Microsoft Patches für insgesamt zwölf Schwachstellen bereit. Sie betreffen den Internet Authentication Service, Microsoft Office Project, den Internet Explorer, den Local Security Authority Subsystem Service, die Active Directory Federation Services sowie WordPad und die Office Text Converters. Da sie z.T. einem Angreifer die Ausführung beliebigen Programmcodes auf dem beherbergenden System erlauben, wird die rasche Installation der bereitgestellten Patches empfohlen.

November 2009

• [MS/IE] Schwachstelle im Internet Explorer 8 (2009-11-26)
  Eine Schwachstelle im Internet Explorer 8 erlaubt einem Angreifer, Cross-Site-Scripting-Angriffe (XSS) auch über Webanwendungen auszuführen, die selbst nicht gegen XSS-Angriffe verwundbar sind.
• [MS/Windows] Microsoft stellt Patches für insgesamt 15 Schwachstellen bereit (2009-11-10)
  Im Rahmen seines Security Bulletin Summary for November 2009 stellt Microsoft Patches für insgesamt 15 Schwachstellen bereit. Die Schwachstellen betreffen die Web Services on Devices API (WSDAPI), den Microsoft License Logging Server, den Windows Kernel, Microsoft Active Directory, Microsoft Excel sowie Microsoft Word. Die meisten der behandelten Schwachstellen erlauben einem Angreifer die Ausführung beliebigen Programmcodes auf dem beherbergenden System, weshalb die Installation der bereitgestellten Patches dringend empfohlen wird.
• [Generic/TLS] Entwurfsschwachstelle in TLS (SSL) (2009-11-05)
  Ein Entwurfsfehler im Transaction Layer Security Protokoll (schließt auch SSL ein) kann von einem Angreifer dazu ausgenutzt werden, im Rahmen eines sogenannten Man in the Middle Angriffs Daten in einen kryptographisch abgesicherten Datenstrom einzuschießen und so z.B. unautorisiert Daten an einen Server oder vermeintlich von einem vertauenswürdigen Server stammende Daten an einen Klienten senden. Die Schwachstelle lässt sich auf mehrere Arten ausnutzen und betrifft alle Applikationen und Protokolle, die zur Absicherung ihrer Kommunikation TLS bzw. SSL verwenden.

Oktober 2009

• [MS/Windows] Microsoft stellt Patches für insgesamt 34 Schwachstellen bereit (2009-10-14)
  Im Rahmen seines Security Bulletin Summary for October 2009 stellt Microsoft Patches für insgesamt 34 Schwachstellen bereit. Die Schwachstellen betreffen den Windows Kernel, den Windows Local Security Authority Subsystem Service, SMBv2, den Media Audio Voice Decoder, den Media Audio Compression Manager, den Media Player, den Internet Explorer, verschiedene ActiveX Controls, verschiedene Teile der .NET Umgebung, GDI+, den FTP-Server der IIS, die CryptoAPI sowie den Indexing Service. Sie ermöglichen einem Angreifer zum großen Teil die Ausführung beliebigen Programmcodes auf dem beherbergenden System, z.T. mit administrativen Privilegien. Die Installation der bereitgestellten Patches und Updates wird dringend empfohlen.
• [Generic/Adobe] Acrobat Reader und Acrobat 8.1.7 und 9.2 beheben zahlreiche Schwachstellen (2009-10-13)
  Die neuen Versionen 8.1.7 und 9.2 der PDF-Anzeige und -Verabeitungswerkzeuge Adobe Reader und Acrobat beheben zahlreiche Schwachstellen. Die Schwachstellen erlauben einem Angreifer zum Teil die Ausführung beliebigen Programmcodes auf dem beherbergenden System. Es wird dringend empfohlen, verwundbare Versionen auf die nun bereitgestellten neuen Versionen zu aktualisieren. Alternativ sollte auf andere Programme zur Be- und Verarbeitung von PDF-Dateien umgestiegen werden.
• [Generic/Adobe] Schwachstelle in Adobe Acrobat und Adobe Reader (aktualisiert) (2009-10-09)
  Eine Schwachstelle in den aktuellen Versionen des Adobe Readers sowie Acrobats für Microsoft Windows, Macintosh OS X, GNU/Linux sowie den verschiedenen UNIX-Derivaten kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System auszuführen. Es ist bereits funktionierender Exploitcode, der die Schwachstelle über JavaScript ausnutzt, in Umlauf. Mittlerweile wurden neue Versionen veröffentlicht, die das Problem beheben. (Aktualisiert am 2009-10-13)
  • [Generic/Adobe] Acrobat Reader und Acrobat 8.1.7 und 9.2 beheben zahlreiche Schwachstellen (2009-10-13)
    Die neuen Versionen 8.1.7 und 9.2 der PDF-Anzeige und -Verabeitungswerkzeuge Adobe Reader und Acrobat beheben zahlreiche Schwachstellen. Die Schwachstellen erlauben einem Angreifer zum Teil die Ausführung beliebigen Programmcodes auf dem beherbergenden System. Es wird dringend empfohlen, verwundbare Versionen auf die nun bereitgestellten neuen Versionen zu aktualisieren. Alternativ sollte auf andere Programme zur Be- und Verarbeitung von PDF-Dateien umgestiegen werden.
• [Generic/Chrome] Schwachstelle in Google Chrome (2009-10-02)
  Eine Pufferüberlaufschwachstelle in den Routinen zur Umrechnung von Strings in Gleitkommazahlen von Googles Chrome-Browser kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien der Chrome Sandbox auf dem beherbergenden System auszuführen. Die neue Version 3.0.195.24 des Browsers behebt das Problem.

September 2009

• [Generic/VLC] Schwachstelle in VLC (2009-09-23)
  Mehrere Schwachstellen in den Routinen zur Verarbeitung von MP4-, AVI- und ASF-Dateien des verbreiteten VLC media player können durch einen Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System auszuführen.

August 2009

• [MS/Windows] Microsoft stellt Patches für insgesamt 19 Schwachstellen bereit (2009-08-11)
  Im Rahmen seines Security Bulletin Summary for August 2009 stellt Microsoft Patches für insgesamt 19 Schwachstellen bereit. Die Schwachstellen betreffen Microsoft Windows, die Office Web Components, Routinen zur Verarbeitung von Mediendateien, Remote Desktop Connection, die Active Template Library, den Wirkstation Service, das Message Queuing, ASP.NET und die Telnet-Implementierung. Die Schwachstellen ermöglichen Angreifern zum großen Teil die Ausführung beliebigen Programmcodes auf dem beherbergenden System, weshalb die Installation der bereitgestellten Updates dringend empfohlen wird.

Juli 2009

• [MS/IE] Schwachstelle im Internet Explorer und in Visual Studio (2009-07-29)
  Im Rahmen des Microsoft Security Advisory (973882), das außerhalb des üblichen Zyklus veröffentlicht wird, stellt Microsoft Patches für den Internet Explorer und Visual Studio bereit. Die Schwachstellen betreffen die Microsoft Active Template Library (ATL), die im Lieferumfang von Visual Studio enthalten sind und zur Erstellung und Nutzung von COM-Komponenten einschließlich ActiveX-Steuerelementen dienen. Die Patches sind zur Behebung der Schwachstellen an der Wurzel (ATL bz. Visual Studio) als auch beim Hauptnutzer (IE) vorgesehen.
  • [MS/Windows] Microsoft stellt Patches für insgesamt 19 Schwachstellen bereit (2009-08-11)
    Im Rahmen seines Security Bulletin Summary for August 2009 stellt Microsoft Patches für insgesamt 19 Schwachstellen bereit. Die Schwachstellen betreffen Microsoft Windows, die Office Web Components, Routinen zur Verarbeitung von Mediendateien, Remote Desktop Connection, die Active Template Library, den Wirkstation Service, das Message Queuing, ASP.NET und die Telnet-Implementierung. Die Schwachstellen ermöglichen Angreifern zum großen Teil die Ausführung beliebigen Programmcodes auf dem beherbergenden System, weshalb die Installation der bereitgestellten Updates dringend empfohlen wird.
• [Generic/Adobe] Schwachstelle in Adobe Reader, Acrobat und Flash Player (2009-07-23)
  Eine Schwachstelle in einer Bibliothek, die in Flash Player Version 9.0.159.0 und 10.0.22.87 Adobe Reader 9.1.2 und Adobe Acorbat 9.1.2 sowie jeweils früheren Versionen enthalten ist, kann von einem Angreifer mittels einer präparierten PDF- oder Flash-Datei dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System auszuführen.
• [Generic/Firefox] Firefox 3.0.12 und 3.5.1 beheben mehrere Schwachstellen (2009-07-22)
  Die Versionen 3.0.12 und 3.5.1 des verbreiteten Webbrowsers Firefox schließen zehn zum allergrößten Teil kritische Schwachstellen der Versionen 3.0.11 und 3.5. Die Schwachstellen ermöglichen zum Großteil Ausführung beliebigen Programmcodes oder JavaScript-Codes auf dem beherbergenden System. Eine Aktualisierung des Browsers wird daher dringend empfohlen.
• [Generic/Firefox] Kritische Schwachstelle in Firefox 3.5 (2009-07-16)
  Eine Schwachstelle im Just-In-Time Compiler für JavaScript (JIT) des Webbrowsers Firefox 3.5 kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System auszuführen. Ein Patch ist in Vorbereitung, in der Zwischenzeit wird die Abschaltung der JIT empfohlen.
  • [Generic/Firefox] Firefox 3.0.12 und 3.5.1 beheben mehrere Schwachstellen (2009-07-22)
    Die Versionen 3.0.12 und 3.5.1 des verbreiteten Webbrowsers Firefox schließen zehn zum allergrößten Teil kritische Schwachstellen der Versionen 3.0.11 und 3.5. Die Schwachstellen ermöglichen zum Großteil Ausführung beliebigen Programmcodes oder JavaScript-Codes auf dem beherbergenden System. Eine Aktualisierung des Browsers wird daher dringend empfohlen.
• [Unixoid/dhclient] Schwachstelle im DHCP client von ISC (2009-07-15)
  Eine Pufferüberlaufschwachstelle im DHCP-Client dhclient des Internet Systems Consortiums kann von einem Angreifer dazu ausgenutzt werden, mittels einer entsprechend präparierten DHCP-Nachricht beliebigen Programmcode mit administrativen Privilegien auf dem beherbergenden System auszuführen.
• [MS/Windows] Microsoft stellt Patches für insgesamt neun Schwachstellen bereit (2009-07-15)
  Im Rahmen seines Security Bulletin Summary for July 2009 stellt Microsoft Patches für insgesamt neun Schwachstellen bereit. Die Schwachstellen betreffen die Embedded OpenType (EOT) Font Engine, DirectShow, das Microsoft Video ActiveX Control, Microsoft Virtual PC und Microsoft Virtual Server, den Microsoft Internet Security and Acceleration (ISA) Server 2006 sowie den Microsoft Office Publisher und ermöglichen z.T. die Ausführung beliebigen Programmcodes auf dem beherbergenden System.
• [MS/Windows] Schwachstelle in den Office Web Components (2009-07-13)
  Eine Schwachstelle in den Microsoft Office Web Components, mittels derer Office Anwendungen über ActiveX direkt aus Webseiten heraus gestartet werden können, kann von einem Angreifer durch eine entsprechend präparierte Webseite dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System auszuführen.
• [DV-Recht] Zugangserschwerungsgesetz passiert Bundesrat (2009-07-10)
  Das Gesetz zur Bekämpfung der Kinderpornographie in Kommunikationsnetzen (aka Zugangserschwerungsgesetz, abgekürzt ZugErschwG) ist in der 860. Plenarsitzung des Bundesrates nach kurzer Aussprache durchgewunken worden.
• [Generic/Safari] Schwachstellen in Apples Webbrowser Safari (2009-07-09)
  Die neue Version 4.0.2 des Browsers Safari behebt zwei Schwachstellen, die von einem Angreifer zur Ausführung beliebigen Programmcodes auf dem beherbergenden System bzw. zu einem cross site scripting ausgenutzt werden können.
• [MS/Windows] Schwachstelle im Microsoft Video ActiveX Control (2009-07-07)
  Eine Schwachstelle im Microsoft Video ActiveX Control über das z.B. in Webseiten integrierte Videodaten bei Besuch mittels des Internet Explorers gestartet werden, kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System auszuführen.
  • [MS/Windows] Microsoft stellt Patches für insgesamt 19 Schwachstellen bereit (2009-08-11)
    Im Rahmen seines Security Bulletin Summary for August 2009 stellt Microsoft Patches für insgesamt 19 Schwachstellen bereit. Die Schwachstellen betreffen Microsoft Windows, die Office Web Components, Routinen zur Verarbeitung von Mediendateien, Remote Desktop Connection, die Active Template Library, den Wirkstation Service, das Message Queuing, ASP.NET und die Telnet-Implementierung. Die Schwachstellen ermöglichen Angreifern zum großen Teil die Ausführung beliebigen Programmcodes auf dem beherbergenden System, weshalb die Installation der bereitgestellten Updates dringend empfohlen wird.
• [Generic/nagios] Schwachstelle in nagios (2009-07-06)
  Eine Schwachstelle im Skript statuswml.cgi kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergendenn System auszuführen.
• [Generic/VMware] Schwachstelle in der ESX Service Console (2009-07-02)
  Eine Schwachstelle in der Kerberos5-Komponente der der Virtualisierungssoftware VMware ESX kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf der ESX-Installation mit administrativen Privilegien auszuführen. Die Schwachstelle wurde bereits im April 2009 generisch beschrieben, VMware stellt nun Patches zu ihrer Behebung bereit.
• [Generic/HP OpenView] Schwachstelle in HP OpenView (2009-07-01)
  Eine Schwachstelle in Hewlett-Packards OpenView Network Node Manager kann von einem Angreifer über eine Netzwerkverbindung dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System mit administrativen Privilegien auszuführen. Es wird dringend empfohlen, die bereitgestellten Patches zu installieren.

Juni 2009

• [MS/VLC] Schwachstelle im VLC Media Player (2009-06-26)
  Eine Pufferüberlaufschwachstelle in der Verarbeitung von URLs in playlists des verbreiteten Medienabspielprogramms VLC kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System mit den Privilegien des VLC-Prozesses auszuführen. Die Schwachstelle tritt nur auf Microsoft Windows Plattformen auf.
• [MS/Adobe Shockwave Player] Schwachstelle im Adobe Shockwave Player (2009-06-24)
  Eine Pufferüberlaufschwachstelle im Adobe Shockwave Player auf Microsoft Windows Plattformen kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System auszuführen. Die Schwachstelle tritt bei der Verarbeitung ensprechend präparierter Shockwave Player 10 Daten, die z.B. in einer Webseite enthalten sein können auf.
• [DV-Recht] Auch Hochschulen und Behörden müssen die Kinderporno-Sperre umsetzen (2009-06-24)
  Am 2009-06-18 hat der Bundestag das Zugangserschwerungsgesetz beschlossen, das allen Diensteanbietern mit mehr als 10.000 Benutzern unter Androhung einer Geldbuße die Sperrung von durch das BKA in einer Sperrliste zur Verfügung gestellten Adressen auferlegt. Entgegen dem ursprünglichen Entwurf vom 2009-05-05 müssen auch Hochschulen diese Auflagen gegebenenfalls erfüllen und die Sperrung implementieren.
  • [DV-Recht] Zugangserschwerungsgesetz passiert Bundesrat (2009-07-10)
    Das Gesetz zur Bekämpfung der Kinderpornographie in Kommunikationsnetzen (aka Zugangserschwerungsgesetz, abgekürzt ZugErschwG) ist in der 860. Plenarsitzung des Bundesrates nach kurzer Aussprache durchgewunken worden.
• [Generic/Chrome] Schwachstelle in Google Chrome (2009-06-24)
  Eine Pufferüberlaufschwachstelle in Googles Browser Chrome kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System mit den Privilegien des Chrome-Prozesses auszuführen. Dies sind im Allgemeinen die Privilegien des den Browser startenden Benutzers. Die Schwachstelle tritt bei der Verarbeitung einer speziell präparierten HTTP-Antwort eines Servers auf.
• [MS/Windows] Microsoft stellt Patches für insgesamt 31 Schwachstellen bereit (2009-06-10)
  Im Rahmen seines Security Bulletin Summary for June 2009 stellt Microsoft Patches für insgesamt 31 Schwachstellen bereit, die zum großen Teil dazu ausgenutzt werden können, beliebigen Programmcode auf dem beherbergenden System auszuführen. Die Schwachstellen betreffen den Windows Kernel, Active Directory, Active Directory Application Mode, den Internet Explorerer, Excel, Word, IIS und Windows Search.

Mai 2009

• [MS/IIS] Schwachstelle in der WebDAV-Erweiterung der Internet Information Services (2009-05-22)
  Eine Schwachstelle in der WebDAV-Erweiterung der IIS 5.0, 5.1 und 6.0 kann von einem Angreifer dazu ausgenutzt werden, konfigurierte Authentifizierungsmechanismen zu umgehen und auf geschützte Bereiche zuzugreifen. Zur erfolgreichen Ausnutzung der Schwachstelle ist es lediglich erforderlich, Anfragen an den Webserver senden zu können.
• [Generic/ntp] Schwachstellen in ntpd sowie ntpq (2009-05-19)
  Eine Pufferüberlaufschwachstelle im Network Time Protocol Daemon (ntpd) mit einkompilierter OpenSSL-Unterstützung kann von einem Angreifer durch das Senden eines entsprechend präparierten Requests dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System mit den Privilegien des ntpd-Prozesses auszuführen. Eine weitere Schwachstelle im ntp-Anfragewerkzeug ntpq kann durch das Senden einer entsprechend manipulierten ntp-Antwort dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System mit den Privilegien des ntpq-Prozesses auszuführen.
• [Generic/Adobe] Patches für Adobe Reader und Acrobat (2009-05-13)
  Adobe stellt Patches für zwei Pufferüberlaufschwachstellen im Adobe Reader und Acrobat der Versionen für Micosoft Windows, Apple Mac OS X sowie den verschiedenen UNIX- und Linux-Derivate bereit.
• [MS/Windows] Microsoft stellt Patches für insgesamt 14 Schwachstellen bereit (2009-05-12)
  Im Rahmen seines Security Bulletin Summary for May 2009 stellt Microsoft Patches für insgesamt 14 Schwachstellen bereit. Die Schwachstellen betreffen allesamt Microsoft PowerPoint, PowerPoint für Mac, PowerPoint Viewer und Microsoft Works und ermöglichen einem Angreifer, beliebigen Programmcode auf dem beherbergenden System auszuführen. Es wird dringend empfohlen, die bereitgestellten Patches zu installieren.
• [Generic/libwmf] Schwachstelle in der Grafikbibliothek libwmf (2009-05-06)
  Eine Schwachstelle in der Grafikbibliothek libwmf kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des Funktionen der Bibliothek aufrufenden Prozesses auf dem beherbergenden System auszuführen. Neue Versionen bzw. Pakete, die die Schwachstelle beheben, sind verfügbar.

April 2009

• [Generic/Chrome] Mehrere Schwachstellen in Google Chrome (2009-04-22)
  Zwei Schwachstellen in Googles Browser Chrome können dazu ausgenutzt werden, beliebigen Code in der Chrome Sandbox oder auf dem beherbergenden System auszuführen. Die neue Version Chrome 1.0.154.64 behebt die Schwachstellen.
• [MS/Windows] Microsoft stellt Patches für insgesamt 21 Schwachstellen bereit (2009-04-14)
  Im Rahmen seines Microsoft Security Bulletin Summary for April 2009 stellt Microsoft Patches für insgesamt 21 Schwachstellen bereit. Die Schwachstellen betreffen Windows, WordPad und Office Textkonverter, die Windows HTTP Services, Microsoft DirectShow, den Internet Explorer, Excel, den Microsoft ISA Server und das Forefront Threat Management Gateway sowie SearchPath. Neben dem Versetzen des beherbergenden Systems in einen unbenutzbaren Zustand erlauben die Schwachstellen z.T. die Ausführung beliebigen Programmcodes auf dem beherbergenden System. Es wird daher dringend empfohlen, die bereitgestellten Updates zu installieren.
• [Generic/JBIG2] Schwachstelle in der PDF-Verarbeitungsbibliothek jbig2dec, zahlreiche Anwendungen betroffen (UPDATE) (2009-04-12)
  Eine Schwachstelle in Ghostscript-Bibliothek jbig2dec, die von vielen Applikationen zur Verarbeitung von PostScript- und PDF-Dokumenten verwendet wird, kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System auszuführen. Neben GhostScript und GhostView sind auch xpdf, Adobe Reader und Acrobat betroffen. Patches bzw. neue Versionen der jeweiligen Anwendungen sind verfügbar.
• [Generic/MIT Kerberos] Mehrere Schwachstellen in MIT Kerberos (2009-04-08)
  Mehrere Schwachstellen in der Authentifizierungs-Suite Kerberos des Michigan Insitute of Technology (MIT) können von Angreifern dazu ausgenutzt werden, den Kerberos Administration Daemon (kadmin) oder das Key Distribution Center (KDC) zum Absturz zu bringen oder beliebigen Programmcode auf dem beherbergenden System auszuführen.
  • [Generic/VMware] Schwachstelle in der ESX Service Console (2009-07-02)
    Eine Schwachstelle in der Kerberos5-Komponente der der Virtualisierungssoftware VMware ESX kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf der ESX-Installation mit administrativen Privilegien auszuführen. Die Schwachstelle wurde bereits im April 2009 generisch beschrieben, VMware stellt nun Patches zu ihrer Behebung bereit.
• [Generic/VMware] Neue VMware-Versionen beheben mehere Schwachstellen (2009-04-08)
  VMware stellt Patches für insgesamt neun Schwachstellen bereit. Betroffen sind diverse Versionen von VMware Workstation, VMware Player, VMware ACE, VMWare ESX(i) sowie VMWare Server. Die Schwachstellen erlauben zum Teil die Ausführung beliebigen Programmcodes, sowie das System in einen unbenutzbaren Zustand zu versetzen (DoS).
• [MS/PowerPoint] Schwachstelle in Microsoft PowerPoint (UPDATE) (2009-04-06)
  Eine Schwachstelle in PowerPoint kann von einem Angreifer mittels einer speziell präparierten Präsentationsdatei dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System auszuführen. Ein Patch zur Behebung des Problems ist derzeit noch nicht verfügbar. UPDATE: Ein Patch zur Behebung der Schwachstelle ist nun verfügbar.
  • [MS/Windows] Microsoft stellt Patches für insgesamt 14 Schwachstellen bereit (2009-05-12)
    Im Rahmen seines Security Bulletin Summary for May 2009 stellt Microsoft Patches für insgesamt 14 Schwachstellen bereit. Die Schwachstellen betreffen allesamt Microsoft PowerPoint, PowerPoint für Mac, PowerPoint Viewer und Microsoft Works und ermöglichen einem Angreifer, beliebigen Programmcode auf dem beherbergenden System auszuführen. Es wird dringend empfohlen, die bereitgestellten Patches zu installieren.

März 2009

• [Generic/OpenSSL] Neue Version OpenSSL behebt mehrere Schwachstellen (2009-03-28)
  Drei Schwachstellen in den Routinen zur Verarbeitung von ASN.1-Daten sowie CMS-Nachrichten des Kryptographie-Paketes OpenSSL können von einem Angreifer dazu ausgenutzt werden, den OpenSSL-Prozess (Client, Server oder Applikationen, die OpenSSL verwenden), in einen unbenutzbaren Zustand zu versetzen bzw. potentiell beliebigen Programmcode auf dem beherbergenden System auszuführen oder ungültige Signaturattribute gültig erscheinen zu lassen. OpenSSL 0.9.8k ist verfügbar und behebt die Schwachstellen.
• [Generic/HP OpenView] Mehrere Schwachstellen im HP OpenView Network Node Manager (2009-03-24)
  Mehrere Pufferüberlaufschwachstellen in Hewlett-Packards Netzwerkadministrationswerkzeug OpenView Network Node Manager können von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System auszuführen.
• [MS/TSM] Schwachstelle im Tivoli Storage Manager Client (2009-03-13)
  Eine Schwachstelle im Windows Client von IBMs Tivoli Storage Manager (TSM) für das Hierarchical Storage Management (HSM) kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System auszuführen.
• [Generic/TSM] Schwachstelle im Tivoli Storage Manager Server (2009-03-13)
  Eine kritische Schwachstelle im IBM Tivoli Storage Manager (TSM) kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System auszuführen.
• [Generic/Adobe] Schwachstelle in Adobe Reader und Adobe Acrobat, Patches verfügbar (UPDATE 2) (2009-03-11)
  Eine kritische Schwachstelle in Adobe Reader und Adobe Acrobat kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System auszuführen. UPDATE (2009-03-11): Mittlerweile hat sich herausgestellt, dass die Schwachstelle auf Microsoft Windows-Systemen noch leichter ausgenutzt werden kann als bisher gedacht. Auch ermöglicht sie die Ausführung beliebigen Programmcodes auf dem beherbergenden System mit administrativen Privilegien. Adobe stellt Patches für Microsoft Windows sowie für Mac OS X bereit.
  • [Generic/JBIG2] Schwachstelle in der PDF-Verarbeitungsbibliothek jbig2dec, zahlreiche Anwendungen betroffen (UPDATE) (2009-04-12)
    Eine Schwachstelle in Ghostscript-Bibliothek jbig2dec, die von vielen Applikationen zur Verarbeitung von PostScript- und PDF-Dokumenten verwendet wird, kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System auszuführen. Neben GhostScript und GhostView sind auch xpdf, Adobe Reader und Acrobat betroffen. Patches bzw. neue Versionen der jeweiligen Anwendungen sind verfügbar.
• [MS/Windows] Microsoft stellt Patches für insgesamt acht Schwachstellen bereit (2009-03-10)
  Im Rahmen seines Security Bulletin Summary for March 2009 stellt Microsoft Patches für insgesamt acht Schwachstellen bereit. Sie betreffen den Windows Kernel, die Microsoft-Implementierung der SSL/TLS-Authentifizierungsprotokolle SChannel, die DNS-Impmentierung in Windows sowie Microsoft WINS. Die Schwachstellen erlauben z.T. die Ausführung beliebigen Programmcodes mit administrativen Privilegien, weshalb die Installation der angebotenen Updates und Patches dringend empfohlen wird.
• [Generic/Mozilla] Mehrere Schwachstellen in Firefox, Thunderbird und Seamonkey (2009-03-06)
  Mehrere Schwachstellen in Firefox 3.0.6 können von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System auszuführen, Daten fremder Seiten auszulesen oder den angezeigten URI im Adressfeld zu manipulieren. Die Schwachstellen betreffen auch Thunderbird und Seamonkey, da sie die entsprechenden Funktionen des Browsers verwenden. Die neue Version Firefox 3.0.7 behebt die Schwachstellen. Aufgrund des Gefahrenpotentials einiger dieser Schwachstellen ist die unverzügliche Aktualisierung des Firefox-Browsers auf die neue Version dringend empfohlen.
• [Generic/Opera] Schwachstelle in Opera 9.63 (2009-03-05)
  Eine Schwachstelle in der Verarbeitung von JPEG-Bildern des Webbrowsers Opera der Versionen 9.63 und früher kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des Browserprozesses auf dem beherbergenden System auszuführen. Die Version 9.64 behebt diese Schwachstelle.

Februar 2009

• [MS/Excel] Schwachstelle in Excel wird aktiv ausgenutzt (2009-02-24)
  Eine Schwachstelle in Microsoft Excel kann von einem Angreifer mittels eines speziell präparierten Excel-Dokumentes dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System mit den Privilegien des das Excel-Dokument öffnenden Benutzers ausführen. Die Schwachstelle wird bereits aktiv ausgenutzt. Ein Patch steht noch nicht zur Verfügung. Aus diesem Grund sollten Excel-Dokumente, die man über unsichere Kanäle erhält, mit äußerster Vorsicht behandelt werden.
• [Generic/libpng] Schwachstelle in PNG-Bibliothek libpng (2009-02-24)
  Eine Schwachstelle in der Bibliothek libpng zur Verarbeitung von PNG-Bildern kann von einem Angreifer dazu ausgenutzt werden, die entsprechenden Prozesse zum Absturz zu bringen, bzw. beliebigen Programmcode auf dem beherbergenden System auszuführen. Die Bibliothek wird von zahlreichen Applikationen, darunter auch Webbrowsern, verwendet.
  • [Generic/Mozilla] Mehrere Schwachstellen in Firefox, Thunderbird und Seamonkey (2009-03-06)
    Mehrere Schwachstellen in Firefox 3.0.6 können von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System auszuführen, Daten fremder Seiten auszulesen oder den angezeigten URI im Adressfeld zu manipulieren. Die Schwachstellen betreffen auch Thunderbird und Seamonkey, da sie die entsprechenden Funktionen des Browsers verwenden. Die neue Version Firefox 3.0.7 behebt die Schwachstellen. Aufgrund des Gefahrenpotentials einiger dieser Schwachstellen ist die unverzügliche Aktualisierung des Firefox-Browsers auf die neue Version dringend empfohlen.
• [Generic/TYPO3] Schwachstellen in TYPO3 (2009-02-18)
  Der Mechanismus für die Analyse der Zugriffe auf Webseiten und angebotenen Dateien gibt einen geheimen Hash preis, mit dem die Zugangskontrolle für jegliche Dateien auf dem Webserver umgangen werden kann indem man den korrekten Wert kennt. Weiterhin existiert eine Cross-Site-Scripting Schwachstelle im Benutzerinterface des Backends. In den neuen Versionen TYPO3 4.0.12, 4.1.10 sowie 4.2.6 sind die Schwachstellen behoben.
• [MS/Windows] Microsoft stellt Patches für insgesamt acht Schwachstellen bereit (2009-02-10)
  Im Rahmen seines Microsoft Security Bulletin Summary for February 2009 stellt Microsoft Patches für insgesamt acht Schwachstellen bereit, die dazu ausgenutzt werden können, beliebigen Programmcode auf dem beherbergenden System auszuführen bzw. es in einen unbenutzbaren Zustand zu versetzen. Die Schwachstellen betreffen den Intenet Explorer, den SQL Server, Microsoft Exchange und Microsoft Visio.
• [HP/LaserJet] Schwachstelle im eingebetteten Webbrowser zahlreicher HP Drucker (2009-02-09)
  Eine Directory Traversal Schwachstelle im enthaltenen Webserver zahlreicher HP LaserJet-Drucker sowie HP Digital Sender kann von einem Angreifer dazu ausgenutzt werden, beliebige Dateien des Dateisystems des Druckers auszulesen.
• [Generic/Mozilla] Mehrere Schwachstellen in Firefox, Thunderbird und Seamonkey (2009-02-04)
  Mehrere Schwachstellen im verbreiteten Webbrowser Firefox, können von einem Angreifer dazu ausgenutzt werden, Programmcode auf dem beherbergenden System auszuführen, ausführbaren Code in angezeigte Seiten einzuschleusen (cross-site scripting) oder beliebige Dateien oder Cookies auszulesen. Die Schwachstellen betreffen z.T. auch Thunderbird und Seamonkey.

Januar 2009

• [GI/IMF 2009] Call for Papers für die IMF 2009 (2009-01-22)
  Der Call for Papers für die fünfte internationale Konferenz zur IT-Sicherheitsvorfallsbearbeitung (Incident Response) und IT-Forensik ist veröffentlicht. Interessierte sind aufgerufen, bis zum 18. Mai 2009 wissenschaftliche Papiere (full papers) oder Praxispapiere (practice papers) zu den genannten Themen einzureichen. Daneben können auch Vorschläge zu Workshops eingereicht werden. Die IMF arbeitet mit der IEEE Computer Society zusammen und der Konferenzband wird ab diesem Jahr in der IEEE CS Proceedings Reihe veröffentlicht.
  Das RUS-CERT fungiert als Mitveranstalter der IMF-Konferenzreihe.
• [DV-Recht/iPatente] Neue Petition zur Verhinderung von Softwarepatenten (2009-01-21)
  Nachdem das Europäische Parlament 2003 den Vorstoß der Kommission, Softwarepatente in Europa zu legalisieren und damit eine wesentliche Aussage des Europäischen Patetübereinkommens außer Kraft zu setzen, abgeschmettert hatte und es an der Softwarepatentefront ruhiger geworden war, scheint nun wieder Bewegung in die Sache zu kommen. Die Gefahr, dass ein erneuter Vorstoß der Befürworter gestartet wird, Softwarepatente in Europa doch noch zulässig werden und damit die Softwarebranche in eine tiefe Krise gestürzt wird, ist nicht gebannt. Aus diesem Grund hat Förderverein für eine Freie Informationelle Infrastruktur (FFII e.V.) eine erneute Petition zur endgültigen Beendigung der Betrebungen der Einführung von Softwarepatenten gestartet und ruft besorgte Bürger, Vereine, Firmen und Verbände auf, diese zu unterzeichnen.
• [MS/SAP GUI] Schwachstelle in SAP GUI 6.40 und 7.10 (2009-01-13)
  Eine Schwachstelle in der SAP Client-Software SAP GUI unter Microsoft Betriebssystemen kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System auszuführen.
• [MS/Windows] Microsoft stellt Patches für insgesamt drei Schwachstellen bereit (2009-01-13)
  Im Rahmen des Microsoft Security Bulletin Summary for January 2009 stellt Microsoft Patches für insgesamt drei Schwachstellen bereit, die dazu ausgenutzt werden können, das beherbergende System in einen unbenutzbaren Zustand zu versetzen sowie potentiell beliebigen Programmcode auf dem beherbergenden System auszuführen.

Andere Monate

2013

• Juni 2013
• Mai 2013
• April 2013
• März 2013
• Februar 2013
• Januar 2013

2012

• Dezember 2012
• November 2012
• Oktober 2012
• September 2012
• Juni 2012
• Mai 2012
• Februar 2012
• Januar 2012

2011

• Dezember 2011
• November 2011
• Oktober 2011
• September 2011
• August 2011
• Juli 2011
• Juni 2011
• Mai 2011
• April 2011
• März 2011
• Februar 2011
• Januar 2011

2010

• Dezember 2010
• November 2010
• Oktober 2010
• September 2010
• August 2010
• Juli 2010
• Juni 2010
• Mai 2010
• April 2010
• März 2010
• Februar 2010
• Januar 2010

2009

• Dezember 2009
• November 2009
• Oktober 2009
• September 2009
• August 2009
• Juli 2009
• Juni 2009
• Mai 2009
• April 2009
• März 2009
• Februar 2009
• Januar 2009

2008

• Dezember 2008
• November 2008
• Oktober 2008
• September 2008
• Juli 2008
• Juni 2008
• Mai 2008
• April 2008
• März 2008
• Februar 2008
• Januar 2008

2007

• Dezember 2007
• November 2007
• Oktober 2007
• September 2007
• August 2007
• Juli 2007
• Juni 2007
• Mai 2007
• April 2007
• März 2007
• Februar 2007
• Januar 2007

2006

• Dezember 2006
• November 2006
• Oktober 2006
• September 2006
• Juli 2006
• Juni 2006
• Mai 2006
• April 2006
• März 2006
• Februar 2006
• Januar 2006

2005

• Dezember 2005
• November 2005
• Oktober 2005
• September 2005
• August 2005
• Juli 2005
• Juni 2005
• April 2005
• März 2005
• Februar 2005
• Januar 2005

2004

• Dezember 2004
• November 2004
• Oktober 2004
• September 2004
• August 2004
• Juli 2004
• Juni 2004
• Mai 2004
• April 2004
• März 2004
• Februar 2004
• Januar 2004

2003

• Dezember 2003
• November 2003
• Oktober 2003
• September 2003
• August 2003
• Juli 2003
• Juni 2003
• Mai 2003
• April 2003
• März 2003
• Februar 2003
• Januar 2003

2002

• Dezember 2002
• November 2002
• Oktober 2002
• September 2002
• August 2002
• Juli 2002
• Juni 2002
• Mai 2002
• April 2002
• März 2002
• Februar 2002
• Januar 2002

2001

• Dezember 2001
• November 2001
• Oktober 2001
• September 2001
• August 2001
• Juli 2001
• Juni 2001
• Mai 2001
• April 2001
• März 2001
• Februar 2001
• Januar 2001

2000

• Dezember 2000
• November 2000
• Oktober 2000