Mozilla hat zahlreiche Schwachstellen in Firefox, Thunderbird und Seamonkey korrigiert. Die nun geschlossenen Sicherheitslücken erlaubten es einem entfernten Angreifer, Befehle mit den Rechten des Anwenders auszuführen und an sensible Informationen zu gelangen. Außerdem war möglich, verschiedene...
Dass Android-Geräte vermehrt ins Visier von Angreifern geraten, ist eine Folge ihrer Popularität. Android-Designschwächen erleichtern Crackern bislang ihr Tun. Das SE-Linux-Projekt der NSA ist dabei, mit SE Android zumindest die Auswirkungen von Exploits drastisch zu mindern.
Die GNU-C-Bibliothek besitzt mit FORTIFY_SOURCE eine eingebaute Armierung, die Formatstring-Exploits verhindert. Doch erst kürzlich haben die Glibc-Entwickler eine mehr als ein Jahr alte Sicherheitslücke geschlossen, über die sich die Schutzeinrichtung umgehen ließ.
Eine Sicherheitslücke in den ASN.1-Routinen von OpenSSL führt dazu, dass ein entfernter Angreifer Befehle mit den Rechten der Anwendung ausführen kann. Ursache ist ein Programmierfehler in der Funktion "asn1_d2i_read_bio()", der dazu führt, dass der Angreifer einen Heap Overflow provozieren...
Die Reihe "Insecurity Bulletin" widmet sich Sicherheitsschwächen in Linux und Open-Source-Software. Diesmal geht es um eine Schwachstelle im Linux-Kernel, die einem lokalen Angreifer Rootrechte verschafft. Sie lässt sich über das Proc-Dateisystem ausnutzen.
Die hinter dem populären Apache Webserver stehende Foundation kündigt ein Security- und Bugfix-Release für die Linie 2.4 an.
Das Update der Samba-Server auf die Versionen 3.6.4, 3.5.14 und 3.4.16 schließt eine Sicherheitslücke.
Kürzlich sind im Paketmanager RPM mehrere Sicherheitslücken korrigiert worden. Diese hatten zur Folge, dass ein entfernter Angreifer Befehle mit den Rechten des Anwenders ausführen konnte. Attacken sind über speziell präparierte RPM-Dateien möglich. Die folgenden Funktionen waren fehlerhaft und...
Invision Power Board ist ein Webforen-System, das auf PHP mit Anbindung an eine MySQL-, MS-SQL- oder Oracle-Datenbank basiert. Kürzlich ist eine Sicherheitslücke in dem Programm bekannt geworden, über die ein entfernter Angreifer Cross-Site-Scripting-Attacken durchführen kann....
Google hat mehrere Sicherheitslücken im Chrome-Browser geschlossen. Ein Angreifer war zuvor in der Lage, Befehle mit den Rechten des Anwenders und Cross-Site-Scripting-Attacken durchzuführen. Die Attacken erfolgen über speziell konstruierte Webseiten. Unter anderem wurden folgende...
Format-String-Fehler waren vor mehr als zehn Jahren weit verbreitet. Heute sind sie weitestgehend aus den Schwachstellen-Statistiken verschwunden. Dies liegt vor allem daran, dass Programmierer wesentliche mehr darauf achten, solche Fehler zu vermeiden. Ein weiterer Grund für die Besserung...
Mozilla hat mehrere Sicherheitslücken in Firefox, Seamonkey und Thunderbird korrigiert. Durch einige dieser Schwachstellen war ein entfernter Angreifer in der Lage, Befehle mit den Rechten des Anwenders auszuführen. Daneben waren auch Cross-Site-Scripting-Attacken möglich. Die Angriffe sind über...
Wie das IT-Sicherheitsunternehmen LSE vor kurzem meldete, findet sich eine kritische Sicherheitslücke in den PAM Python Bindings (PyPam). Laut Advisory ist ein entfernter Angreifer dadurch in der Lage, Befehle mit höheren Rechten auszuführen. PyPam kommt häufig zum Einsatz, da es im Vergleich...
Nachdem bereits im Februar der Support für Debian 5.0 endete, gibt es mit Debian 5.0.10 nun ein letztes Update.
Die Font-Engine Freetype wurde kürzlich in Version 2.4.9 veröffentlicht, die zahlreiche Sicherheitslecks vorheriger Versionen schließt. Unter anderem wurden folgende Schwachstellen in der neuen Version korrigiert: Buffer (Stack und Heap) Overflows beim Verarbeiten von zahlreicher Schriftarten...
