Laut heise.de ist ein Designfehler im SSL/TLS-Protokoll bekannt geworden. Mit diesem lassen sich die Inhalte einer geschützten Verbindung manipulieren und z.B. Schadcode einzuschleusen. Betroffen sind HTTPS und andere durch TLS geschützte Protokolle wie IMAP. Eine genauere Beschreibung und weitere Links liefert der heise-Artikel.
[Update]
Durch diese Lücke soll, laut einer Meldung auf heise.de, Passwortklau möglich sein!
Für WordPress steht ein Update bereit. In der Version 2.8.6 wurden auch einige Sicherheitslücken gefixt. Eine deutsche Version steht auch schon bereit und bringt auch wieder eingedeutschte Elemente zurück. Beim letzten Update waren einige engliche Bezeichnungen nicht übersetzt worden. Also – nix wie einspielen. Dieser Blog läuft bereits auf der aktuellen Version.
Im SMB-Client von Windows 7 und Windows Server 2008 R2 ist eine Schwachstelle enthalten, welche das ganze System lahmlegen kann. Eine manipulierte Webseite mit einem entsprechenden Link auf einen SMB-Server, welcher fehlerhafte NetBIOS-Header sendet, reicht aus, um den SMB-Client in eine Endlosschleife zu bringen. Weitergehende Informationen gibt es im entsprechenden Beitrag auf heise.de.
Laut Secunia soll das freie Zeichenprogramm GIMP eine Schwachstelle aufweisen. Bei der Verarbeitung manipulierter BMP-Dateien kann Schadcode auf dem System ausgeführt werden. Die Entwickler arbeiten bereits an einem Patch. Dieser ist laut heise.de bereits im Quellcode-Repositiory vorhanden. Wer nutzt eigentlich noch BMP?
Apple hat heute ein Sicherheitsupdate für Safari veröffentlicht. Die Windowsversionen des Browsers schließen zwei kritische Lücken mit denen Schadsoftware eingeschleust werden kann. Die anderen Schwachstellen in libxml und Webkit betreffen alle Versionen und führen lediglich zum Absturz. Trotzdem: bitte updaten!
Die neue Version von Google Chrome behebt Sicherheitslücken bei der Behandlung von den Dateitypen SVG, MHT und XML. Außerdem wird ein Fehler in der Gears SQL API behoben. Nähere Details finden Sie hier.
Laut heise.de ist ein Designfehler im SSL/TLS-Protokoll bekannt geworden. Mit diesem lassen sich die Inhalte einer geschützten Verbindung manipulieren und z.B. Schadcode einzuschleusen. Betroffen sind HTTPS und andere durch TLS geschützte Protokolle wie IMAP. Eine genauere Beschreibung und weitere Links liefert der heise-Artikel.
Aufgrund einer Lücke im Linux-Kernel kann ein Benutzer root-Rechte auf einem Linux-System erlangen. Der Fehler wird erst in dem in Entwicklung befindlichen Kernel 2.6.32 RC6 behoben. In älteren Kernelversionen kann man jedoch durch das Setzen der Kernel-Systemvariable mmap_min_addr auf einen Wert größer Null den Angriff verhindern. Laut heise Security wird möglicherweise noch heute ein ensprechender Exploit veröffentlicht!
In Ubuntu ist dieser Wert standardmäßig auf 65536 gesetzt. In Debian und Red Hat-Distributionen dagegen ist ein Angriff möglich. Sicherheitsupdates für diese Distributionen folgen sicherlich in den nächsten Stunden. Gleiches gilt auch für FreeBSD und deren Derivaten.
Den aktuellen Wert kann man wie folgt ermitteln:
sysctl vm.mmap_min_addr
Der Wert der Systemvariable kann wie folgt auf einen höheren Wert gesetzt werden:
sysctl -w vm.mmap_min_addr="4096"
Änderungen an dieser Variable sind jedoch nur bis zum nächsten Reboot gültig!
Sun hat ein Update seiner Java Laufzeitumgebung veröffentlicht. Durch dieses Update (Java 6 Update 17) werden mehrere Sicherheitslücken geschlossen. Die neueste Version von Java erhält man wie immer unter java.com.
Adobe hat ein Update für den Shockwave Player veröffentlicht. Der Shockwave Player ist jedoch nicht der Adobe Flash Player. Dieser ist jedoch im Shockwave Player enthalten. Die meisten Nutzer haben sicherlich nur den Flash Player installiert. Zur Sicherheit sollte man aber vielleicht doch mal seine Softwareliste durchschauen.