Auf dem Chaos Communication Congress (28C3) Ende Dezember 2011 haben Alexander Klink und Julian Wälde eine Schwachstelle (Advisory als PDF) in den Hash-Funktionen zahlreicher Programmiersprachen beschrieben. Auch wenn die dargestellte Problematik und daraus resultierende Attacken nichts Neues...

Just when you think the copyright and patent laws have reached their peak, more atrocities whack you in the face. After all these years I find out that according to US patent law (35 U.S.C. 161 Patents for Plants) my grandmother was a thief! My grandmother loved plants. Every year seed...

In Mozilla Firefox, Seamonkey und Thunderbird wurden kürzlich zahlreiche <a href="http://www.mozilla.org/security/announce/2011/mfsa2011-53.html">Sicherheitslöcher</a> gestopft. Im Einzelnen wurden folgende Schwachstellen korrigiert: *Ein Fehler im Speichermanagement führte dazu,...

Thomas Cannon hat kürzlich in einem Videoclip demonstriert, wie er erfolgreich eine Remote-Shell ohne spezielle Internet-Rechte auf einem Android-Smartphone installieren konnte. Diese basiert nicht auf einer bestimmten Android-Schwachstelle sondern nutzt die reguläre API in geschickter Weise...

Dear friends, dear colleagues, dear fellows, I really missed to fill my blog with interesting and exciting content this year - but, be assured, not due to a lack of interest, but rather due to a lack of time. Now that the days get more silent and Christmas is approaching with huge steps, I...

Liebe Leserin, Lieber Leser, ich gebe zu - schmerzlich vernachlässigt habe ich es in diesem Jahr, mein Blog. Doch das lag, seien Sie versichert, nicht etwa an mangelndem Interesse, sondern schlichtweg an fehlender Zeit. Und so möchte ich die Tage vor Weihnachten dazu nutzen, mich wieder einmal...

Im Smartcard-Support von Qemu ist eine Sicherheitslücke entdeckt worden, die es einem lokalen Angreifer erlaubt, höhere Rechte zu erlangen und Denial-of-Service-Attacken durchzuführen. Die Schwachstelle befindet sich in der Implementierung des Passthru-Protokolls, welches über VSCard (Virtual...

Eine Sicherheitslücke in der PRC-Komponente von Acrobat und Adobe Reader hat zur Folge, dass ein entfernter Angreifer Befehle mit den Rechten des Anwenders ausführen kann. Eine Attacke ist mit Hilfe einer geschickt konstruierten PDF-Datei möglich. Diese löst dann einen Fehler im...

Der Linux-Kernel bietet Lese- und Schreibzugriff auf HFS-Dateisysteme. Eine Sicherheitslücke in der Linux-Implementierung von HFS hat zur Folge, dass ein Angreifer Befehle mit Root-Rechten ausführen kann. Das Hierarchical File System (HFS) ist ein Dateisystem, das Apple für Mac OS entwickelt...

Die Bibliothek Libarchive ermöglicht es, verschiedene Streaming-Archiv-Formate zu lesen und zu schreiben. Die Libarchive-Entwickler haben einige Sicherheitslücken behoben. Im Einzelnen handelt es sich um die folgenden Schwachstellen: (1) Buffer-Overflow-Schwachstelle beim Lesen von...

Der freie Webserver Lighttpd arbeitet ressourcenschonend und punktet vor allem bei parallelem Zugriff auf große Dateien gegenüber Apache. Youtube beispielsweise setzt eine modifizierte Lighttpd-Variante ein. Eine kürzlich entdeckte Sicherheitslücke hat zur Folge, dass ein entfernter Angreifer...

Anfang November hat sich eine kleine Schlacht auf dem Launchpad-Konto der E-Book-Software Calibre abgespielt. Ursache war die Meldung verschiedener Sicherheitslücken in Calibre, auf die der Hauptentwickler alles andere als sachlich reagierte. Das Ganze begann am 2.11. recht harmlos mit einem...

Ab sofort stehen die Termine für die Open-Source-Treffen 2012 fest. Wie gewohnt treffen wir uns freitagabends ab 18 Uhr im Café Netzwerk, und das an jedem vierten Freitag im Monat: * Freitag, 27. Januar 2012 * Freitag, 24. Februar 2012 * Freitag, 23. März 2012 * Freitag, 27. April 2012 *...

Eine Schwachstelle im Ruby-on-Rails-Modul zur Internationalisierung hat zur Folge, dass ein entfernter Angreifer Cross-Site-Scripting-Attacken durchführen kann. Das Rails-API zur Internationalisierung (I18n) ermöglicht es, auf einfache Art Programme für verschiedene Landessprachen zu entwickeln....

Am 11. November ist die Wiki-/CMS-/Groupware-Software Tiki in Version 8.1 erschienen. Neben zahlreichen Änderungen wie verbesserter Internationalisierung, Update von Smarty 2 auf Smarty 3 und neuen Plugins, haben die Entwickler auch zwei kurz zuvor entdeckte Sicherheitslücken behoben. Die beiden...

"The times they are a changing"(Bob Dylan, 1964 ) Oft genug habe ich an dieser Stelle negative Meldungen verarbeitet und gegen die großen, mächtigen Monopolistenkonzerne gewettert. Doch in den letzten Tagen stellt sich bei mir immer mehr der Eindruck ein, es könnte sich vielleicht doch noch mal...

GnuTLS ist eine freie Implementierung von SSL- und TLS-Protokollen zum Aufbau von verschlüsselten Netzwerkverbindungen, die ein einfaches C-API bereitstellt. Wer einen TLS-Client programmieren möchte findet in der GnuTLS-Dokumentation zahlreiche Beispiele, die dies erklären. Wie sich kürzlich...

Eine Sicherheitslücke im FTP-Server ProFTPD hat zur Folge, dass ein entfernter, angemeldeter Angreifer Befehle mit den Rechten des Servers ausführen kann. Zahlreiche Applikationen und insbesondere zeitkritische Systeme verwenden zur dynamischen Speicher-Allokation ein Wrapper-System basierend...

Eine Schwachstelle im Caching-Proxy Squid hat zur Folge, dass ein entfernter Angreifer mit speziellen DNS-Einträgen Denial-of-Service-Attacken durchführen kann, die zum Absturz von Squid führen. Die erste Meldung zu dieser Sicherheitslücke gab es schon am 6.6.2011, als ein Benutzer der Squid...