Im Linux-Kernel sind kürzlich zwei Integer-Overflow-Schwachstellen entdeckt worden. Diese haben zur Folge, dass entfernte und lokale Angreifer Befehle mit Kernel-Rechten ausführen können.Erster Integer Overflow: XFS-ACL-Zähler Wie Xi Wang in seinem Blog berichtet, findet sich ein Integer...
Blogs
Anfang Januar hat ein längeres offizielles Advisory auf mehrere Schwachstellen in OpenSSL hingewiesen. Dabei handelt es sich um verschiedene Sicherheitslücken, die im Dezember letzten Jahres und Januar bekannt wurden. Anfällig für diese gemeldeten Schwachstellen sind OpenSSL-Versionen vor 0.9.8s...
In Google Chrome sind kürzlich mehrere Schwachstelle korrigiert worden. Ein entfernter Angreifer wäre durch die Sicherheitslücken in der Lage, Befehle mit den Rechten des Anwenders auszuführen. Die Attacken sind durch geschickt konstruierte Websites möglich. Im Einzelnen handelt es sich um die...
Eine Sicherheitslücke im Verschlüsselungs-Feature von Kerberos hat zur Folge, dass ein entfernter Angreifer Befehle mit Root-Rechten ausführen kann. Die Attacke lässt sich ohne Authentifizierung durchführen und wird laut offiziellem Advisory derzeit aktiv ausgenutzt. Der Programmierfehler...
Auf dem Chaos Communication Congress (28C3) Ende Dezember 2011 haben Alexander Klink und Julian Wälde eine Schwachstelle (Advisory als PDF) in den Hash-Funktionen zahlreicher Programmiersprachen beschrieben. Auch wenn die dargestellte Problematik und daraus resultierende Attacken nichts Neues...
Just when you think the copyright and patent laws have reached their peak, more atrocities whack you in the face. After all these years I find out that according to US patent law (35 U.S.C. 161 Patents for Plants) my grandmother was a thief! My grandmother loved plants. Every year seed...
In Mozilla Firefox, Seamonkey und Thunderbird wurden kürzlich zahlreiche <a href="http://www.mozilla.org/security/announce/2011/mfsa2011-53.html">Sicherheitslöcher</a> gestopft. Im Einzelnen wurden folgende Schwachstellen korrigiert: *Ein Fehler im Speichermanagement führte dazu,...
Thomas Cannon hat kürzlich in einem Videoclip demonstriert, wie er erfolgreich eine Remote-Shell ohne spezielle Internet-Rechte auf einem Android-Smartphone installieren konnte. Diese basiert nicht auf einer bestimmten Android-Schwachstelle sondern nutzt die reguläre API in geschickter Weise...
Dear friends, dear colleagues, dear fellows, I really missed to fill my blog with interesting and exciting content this year - but, be assured, not due to a lack of interest, but rather due to a lack of time. Now that the days get more silent and Christmas is approaching with huge steps, I...
Liebe Leserin, Lieber Leser, ich gebe zu - schmerzlich vernachlässigt habe ich es in diesem Jahr, mein Blog. Doch das lag, seien Sie versichert, nicht etwa an mangelndem Interesse, sondern schlichtweg an fehlender Zeit. Und so möchte ich die Tage vor Weihnachten dazu nutzen, mich wieder einmal...
Im Smartcard-Support von Qemu ist eine Sicherheitslücke entdeckt worden, die es einem lokalen Angreifer erlaubt, höhere Rechte zu erlangen und Denial-of-Service-Attacken durchzuführen. Die Schwachstelle befindet sich in der Implementierung des Passthru-Protokolls, welches über VSCard (Virtual...
Eine Sicherheitslücke in der PRC-Komponente von Acrobat und Adobe Reader hat zur Folge, dass ein entfernter Angreifer Befehle mit den Rechten des Anwenders ausführen kann. Eine Attacke ist mit Hilfe einer geschickt konstruierten PDF-Datei möglich. Diese löst dann einen Fehler im...
Der Linux-Kernel bietet Lese- und Schreibzugriff auf HFS-Dateisysteme. Eine Sicherheitslücke in der Linux-Implementierung von HFS hat zur Folge, dass ein Angreifer Befehle mit Root-Rechten ausführen kann. Das Hierarchical File System (HFS) ist ein Dateisystem, das Apple für Mac OS entwickelt...
Die Bibliothek Libarchive ermöglicht es, verschiedene Streaming-Archiv-Formate zu lesen und zu schreiben. Die Libarchive-Entwickler haben einige Sicherheitslücken behoben. Im Einzelnen handelt es sich um die folgenden Schwachstellen: (1) Buffer-Overflow-Schwachstelle beim Lesen von...
Der freie Webserver Lighttpd arbeitet ressourcenschonend und punktet vor allem bei parallelem Zugriff auf große Dateien gegenüber Apache. Youtube beispielsweise setzt eine modifizierte Lighttpd-Variante ein. Eine kürzlich entdeckte Sicherheitslücke hat zur Folge, dass ein entfernter Angreifer...














