Das Insecurity Bulletin widmet sich aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. Sie können das Bulletin per RSS-Feed abonnieren.

Invision Power Board ist ein Webforen-System, das auf PHP mit Anbindung an eine MySQL-, MS-SQL- oder Oracle-Datenbank basiert. Kürzlich ist eine Sicherheitslücke in dem Programm bekannt geworden, über die ein entfernter Angreifer Cross-Site-Scripting-Attacken durchführen kann. Cross-Site-Scripting-Attacken sind sehr verbreitet und beruhen im Kern darauf, dass ein Angreife...

Google hat mehrere Sicherheitslücken im Chrome-Browser geschlossen. Ein Angreifer war zuvor in der Lage, Befehle mit den Rechten des Anwenders und Cross-Site-Scripting-Attacken durchzuführen. Die Attacken erfolgen über speziell konstruierte Webseiten. Unter anderem wurden folgende Schwachstellen geschlossen: Cross-Site-Scripting-Fehler beim Verarbeiten...

Die "libraptor"- und "librdf"-Bibliotheken stellen einfache C-APIs zum Verarbeiten von Resource Description Framework (RDF) Triples bereit. Unterstütze Syntax-Formate sind beispielsweise RDF/XML, N-Quads, N-Triples, RSS und noch einige mehr. "libraptor" ist eine Komponente von "librdf" und kommt in zahlreichen Open-Source-Lösungen zum Behandeln...

Format-String-Fehler waren vor mehr als zehn Jahren weit verbreitet. Heute sind sie weitestgehend aus den Schwachstellen-Statistiken verschwunden. Dies liegt vor allem daran, dass Programmierer wesentliche mehr darauf achten, solche Fehler zu vermeiden. Ein weiterer Grund für die Besserung besteht in ausgefeilten Compilern, die versuchen, etwaige Format-String-Attacken trotz falscher...

Mozilla hat mehrere Sicherheitslücken in Firefox, Seamonkey und Thunderbird korrigiert. Durch einige dieser Schwachstellen war ein entfernter Angreifer in der Lage, Befehle mit den Rechten des Anwenders auszuführen. Daneben waren auch Cross-Site-Scripting-Attacken möglich. Die Angriffe sind über speziell konstruierte HTML-Seiten durchführbar. Unter anderem wu...

Wie das IT-Sicherheitsunternehmen LSE vor kurzem meldete, findet sich eine kritische Sicherheitslücke in den PAM Python Bindings (PyPam). Laut Advisory ist ein entfernter Angreifer dadurch in der Lage, Befehle mit höheren Rechten auszuführen. PyPam kommt häufig zum Einsatz, da es im Vergleich zum C-API viel einfacher zu verwenden ist. Die nun entdeckte Schwachstelle entst...

Die Font-Engine Freetype wurde kürzlich in Version 2.4.9 veröffentlicht, die zahlreiche Sicherheitslecks vorheriger Versionen schließt. Unter anderem wurden folgende Schwachstellen in der neuen Version korrigiert: Buffer (Stack und Heap) Overflows beim Verarbeiten von zahlreicher Schriftarten Nullzeiger-Dereferenzfehler beim Verarbeiten von Truetype-Schriften Int...