Ihr Browser wurde leider nicht Erkannt
BitSicher°
  • Meldungen°
  • Programme°
  • Ratschläge°
  • Softwareaktualisierung°
  • Antivirenprodukte von Symantec weisen schwerwiegenden Overflow-Bug auf

    17. Mai, 2016 Meldungen°

    Google-Sicherheitsforscher Tavis Ormandy hat einen Fehler in Symantecs Antivirus Engine entdeckt. Das Parsen präparierter Header-Informationen einer Datei im Format Portable-Executable (PE) kann zu einem Puffer-Überlauf führen.

    „Solche deformierten PE-Dateien können per E-Mail eingehen, durch Downloads eines Dokuments oder einer Anwendung, und auch durch Besuch einer bösartigen Website“, heißt es in Symantecs inzwischen verfügbarem Advisory. „Eine Nutzerinteraktion ist nicht nötig, um das Parsen der Datei auszulösen.“ Die Lücke wurde als CVE-2016-2208 klassifiziert.

    Auf der Seite von Googles Project Zero heißt es, unter Linux, OS X oder anderen Unix-artigen Systemen führe der Exploit dazu, dass ein Heap Overflow ausgelöst werde. Unter Windows hingegen werde die Scan-Engine in den Kernel geladen, „was dies zu einer aus der Ferne nutzbaren ring0-Speicherkorruptions-Schwachstelle macht – etwa das Schlimmste, was passieren konnte.“

    Weiterlesen

    iTunes 12.4 vereinfacht Navigation durch zurückgekehrte Seitenleiste

    17. Mai, 2016 Softwareaktualisierung°

    Apple hat am Pfingstmontag seine Multimediaverwaltung iTunes auf Version 12.4 aktualisiert. Das vierte Major Update für iTunes 12 liefert unter anderem eine überarbeitete Oberfläche, die dank der zurückgekehrten Seitenleiste und einer veränderten Menüstruktur die Navigation erleichtern soll.

    Die dauerhaft am linken Bildrand zu findende Seitenleiste erinnert an die Anfangstage von iTunes. Sie vereinfacht den Wechsel zwischen verschiedenen Inhaltskategorien, wie „zuletzt hinzugefügt“, Künstler, Alben, Lieder oder Genre. Mit ihrer Hilfe lassen sich auch einfacher Wiedergabelisten erstellen oder ändern, indem Songs per Drag and drop hinzugefügt werden. Nutzer können die Leiste nach ihren Wünschen anpassen, so dass sie etwa nur ausgewählte Elemente anzeigt.

    Gleiches gilt für die verbesserte Medienauswahl (Media Picker), die einen einfachen Wechsel zwischen Musik, Filmen, TV-Serien oder Podcasts erlaubt. Die Navigation zwischen Musikbibliothek, Apple Music oder iTunes Store wird durch neue Vor- und Zurücktasten erleichtert.

    Weiterlesen

    iOS 9.3.2 schließt 39 Sicherheitslücken und behebt zahlreiche Fehler

    17. Mai, 2016 Softwareaktualisierung°
    Quelle: Apple

    Apple hat ein weiteres Bugfix-Update für iOS 9.3 veröffentlicht. Die Version 9.3.2 korrigiert aber nicht nur Fehler im Zusammenhang mit Bluetooth-Zubehör und Mobile-Device-Management-Lösungen, es schließt auch 39 Sicherheitslücken. Darunter ist auch eine Schwachstelle in Siri, die einen unberechtigten Zugriff auf Kontakte und Fotos erlaubt.

    Die Lücke wurde vom Sicherheitsforscher Jose Rodriguez entdeckt, der schon im September 2013 und im September 2015 auf ähnliche Sicherheitslecks in iOS 7 respektive iOS 9 hingewiesen hatte. Wenn Siri bei gesperrtem Gerät aktiv ist, war es möglich, die Gerätesperre zu umgehen. Da dafür auch 3D-Touch benötigt wird, sind nur iPhone 6S und 6S Plus betroffen.

    Als Behelfslösung fügte Apple nur einen Tag später serverseitig eine zusätzliche Sicherheitsabfrage ein. Nutzer müssen seitdem zunächst ihr iPhone entsperren, bevor sie Siri vom Sperrbildschirm aus für eine Suche auf Twitter verwenden können. Nach der Installation von iOS 9.3.2 werden nun zusätzlich bestimmte „Daten-Detektoren“ in Twitter deaktiviert, wenn die Gerätesperre aktiv ist.

    Weiterlesen

    Freies Packprogramm 7-Zip weist schwerwiegende Sicherheitslücken auf

    13. Mai, 2016 Meldungen°

    Sicherheitsforscher von Ciscos Security Intelligence and Research Group Talos haben schwerwiegende Schwachstellen in dem freien Archivierungsprogramm 7-Zip aufgedeckt. Wie Marcin Noga und Jaeson Schultz in einem Blogbeitrag ausführen, können die beiden Lücken in den 7-Zip-Bibliotheken auch „Sicherheitsgeräte oder Antivirenprodukte“ sowie andere Software betreffen.

    7-Zip ist ein Open-Source-Packprogramm mit optionaler AES-256-Bit-Verschlüsselung, Support für große Dateien und der Möglichkeit, jegliche Kompressions-, Konvertierungs- und Verschlüsselungsmethode zu nutzen. Es wird nicht nur von Hunderttausenden Anwendern eingesetzt, sondern Drittanbieter und Entwickler implementieren es auch häufig in ihre Produkte. Diese sind durch die Schwachstellen ebenfalls gefährdet.

    Welche Auswirkungen es haben kann, wenn ein grundlegender Teil einer Software Sicherheitslöcher aufweist, zeigte sich kürzlich schon bei der ImageMagick-Lücke. In solch einem Fall ist nämlich nicht nur die Software selbst betroffen, sondern auch alle Websites, Systeme oder andere Lösungen, die darauf basieren.

    Weiterlesen

    Adobe schließt 25 kritische Sicherheitslücken in Flash Player

    13. Mai, 2016 Softwareaktualisierung°

    Adobe hat wie angekündigt ein Sicherheitsupdate für den Flash Player veröffentlicht. Es stopft insgesamt 25 Löcher, die das Unternehmen als kritisch einstuft. Darunter ist auch eine Zero-Day-Lücke, die bereits aktiv für zielgerichtete Angriffe benutzt wird. Davon Betroffen sind alle aktuellen Flash-Versionen inklusive der in den Browsern Chrome, Internet Explorer 11 und Edge enthaltenen Plug-ins.

    Einem Sicherheitsbulletin zufolge kann ein Angreifer mithilfe der Anfälligkeiten Schadcode einschleusen und ausführen. Dadurch ist es unter Umständen möglich, die vollständige Kontrolle über ein betroffenes System zu übernehmen.

    Fehlerhaft sind Flash Player 21.0.0.226 sowie 18.0.0.343 und früher für Windows und Mac OS X, Flash Player 11.2.202.616 für Linux, Flash Player für Chrome 21.0.0.216 und Flash Player 21.0.0.213 für Edge und IE 11 unter Windows 10 und IE 11 unter Windows 8.1. Darüber hinaus können die Schwachstellen auch gegen Nutzer von AIR, AIR SDK und AIR SDK und Compiler 21.0.0.198 und früher eingesetzt werden.

    Weiterlesen

    Google schließt erneut schwerwiegende Sicherheitslücken in Chrome 50

    12. Mai, 2016 Softwareaktualisierung°

    Google hat ein weiteres Sicherheitsupdate für Chrome 50 veröffentlicht. Die Version 50.0.2661.102 für Windows, OS X und Linux stopft insgesamt fünf Löcher. Von drei Anfälligkeiten geht ein hohes Risiko aus. Ein Angreifer kann mit ihrer Hilfe Schadcode einschleusen und innerhalb der Sandbox des Browsers ausführen. Darüber hinaus aktualisiert das Release das integrierte Flash-Plug-in auf die Version 21.0.0.242.

    Beseitigt haben die Entwickler zwei Fehler, die das Umgehen der Same-Origin-Richtlinie erlauben. Einer davon steckt in DOM, der andere in der Schnittstelle zwischen der Browserengine Blink und der JavaScript-Engine V8. Als „High“ stuft Google zudem einen Pufferüberlauf in V8 ein.

    Den Entdeckern der fünf Schwachstellen zahlt Google eine Belohnung von 20.337 Dollar. Davon gehen 15.500 Dollar an den Sicherheitsforscher Mariusz Mlynski, der zwei Lücken gemeldet hat. Weitere 3000 Dollar überweist Google an Choongwoo Han und 1337 Dollar an einen nicht näher genannten Nutzer.

    Weiterlesen

    Microsoft stopft kritische Löcher in Windows, IE und Edge

    11. Mai, 2016 Softwareaktualisierung°

    Microsoft hat an seinem Mai-Patchday 15 Sicherheitsupdates veröffentlicht, die insgesamt 33 Schwachstellen schließen. Als kritisch eingestufte Löcher stecken in Internet Explorer, Edge, JScript und VBScript, Office sowie allen Windows-Versionen. Microsoft macht zudem darauf aufmerksam, dass eine Anfälligkeit, die Internet Explorer, JScript und VBScript angreifbar macht, bereits aktiv für Hackerangriffe ausgenutzt wird.

    Davon betroffen sind Internet Explorer 9, 10 und 11 sowie JScript und VBScript unter Windows Vista und Server 2008. CVE-2016-0189 erlaubt Microsoft zufolge das Einschleusen und Ausführen von Schadcode. Dafür muss ein Opfer lediglich auf eine speziell gestaltete Website gelockt werden. Die Schwachstelle kann aber auch über manipulierte Anzeigen ausgenutzt werden.

    Speziell präparierte Office-Dokumente können wiederum mehrere Speicherfehler unter Office 2007, 2010, 2013 und 2013 RT, 2016 sowie Office für Mac 2011 und Office 2016 für Mac auslösen. Auch sie erlauben dann eine Remotecodeausführung. Davon betroffen sind auch Word Viewer, das Office Compatibility Pack, die Office Web Apps 2010 und die Word-Automatisierungsdienste unter SharePoint Server 2010 Service Pack 2.

    Weiterlesen

    Adobe warnt vor Zero-Day-Lücke in Flash Player

    11. Mai, 2016 Meldungen°

    Adobe warnt vor einer Zero-Day-Lücke in Flash Player, für die bereits ein Exploit im Umlauf ist. Das Unternehmen stuft die Anfälligkeit mit der Kennung CVE-2016-4117 als kritisch ein. Ein Angreifer kann also unter Umständen die vollständige Kontrolle über ein betroffenes System übernehmen. Darüber hinaus stopft Adobe zahlreiche Löcher in seinen PDF-Anwendungen Reader und Acrobat.

    Der Fehler steckt in Flash Player 21.0.0.226 und früher für Windows, Mac OS X, Linux und Chrome OS. Einen Patch will Adobe bereits morgen zur Verfügung stellen. Entdeckt wurde die Schwachstelle von Genwei Jiang vom Sicherheitsanbieter FireEye.

    Die jüngsten Updates für Acrobat DC und Reader DC schließen indes 92 als kritisch eingestufte Sicherheitslücken. Betroffen sind die Versionen 15.010.20060 und früher sowie 15.006.30121 und früher für Windows und Mac OS X. Auch Acrobat XI und Reader XI (Version 11.0.15 und früher) sind nicht mehr sicher.

    Adobe beseitigt zahlreiche Use-after-free-Bugs sowie Speicherfehler, die das Einschleusen und Ausführen von Schadcode erlauben. Darüber hinaus ist es möglich, Ausführungseinschränkungen des JavaScript-API zu umgehen. Eine Schwachstelle kann dazu führen, dass die PDF-Anwendungen persönliche Informationen preisgeben.

    Weiterlesen

    Sicherheitsforscher: Angriffe auf ImageMagick-Lücke nehmen zu

    11. Mai, 2016 Meldungen°

    Angriffe auf Websites, die möglicherweise von einer Sicherheitslücke im freien Softwarepaket ImageMagick betroffen sind, nehmen offenbar zu. Das berichten Forscher von CloudFlare und Sucuri. Die auch als ImageTragick bezeichnete Anfälligkeit erlaubt eine Remotecodeausführung. Hacker können unter Umständen die Kontrolle über einen Webserver übernehmen.

    CloudFlare zufolge haben inzwischen zahlreiche Exploit Kits die Schwachstelle mit der Kennung CVE-2016-3714 implementiert. Besonders gefährlich sei jedoch ein auf der Skriptsprache Python basierender Exploit. „Die Parameter für das Program sind die die IP-Adresse und der Port der zu kontaktierenden Maschine. Der Python-Code stellt die Verbindung zu der Maschine her und öffnet dem Angreifer auf dem Webserver eine Shell. Ab diesem Punkt kann der Angreifer direkt mit dem Webserver interagieren“, so die Forscher.

    Für den Fernzugriff sei also nur ein einziger Exploit notwendig. Danach könnten Hacker auf alle anderen Bereiche des Servers zugreifen, „so wie es ihnen gerade passt.“

    Weiterlesen

    Cyberkriminelle nutzen Open-Source-Software zur Spionage

    10. Mai, 2016 Meldungen°

    Cyberkriminelle setzen zunehmend freie Software ein, die für seriöse Zwecke wie Penetrationstests geschaffen wurde. Indem sie Open-Source-Software nutzen, können sie sich die Entwicklung eigener spezialisierter Malware oder ihren Zukauf ersparen. Das berichtet die Sicherheitsfirma Kaspersky und nennt mehrere Cyberspionage-Kampagnen, die nach diesem Muster arbeiten.

    Als Beispiele für die Nutzung von Open-Souce-Software nennt Kaspersky Kampagnen wie Newsbeef / Newscaster, Crouching Yeti oder TeamSpy APT. Möglich wurde so auch weniger erfahrene Hackergruppen mit geringeren Ressourcen, eigene Kampagnen für Cyberspionage an den Start zu bringen.

    Beliebtestes Mittel der Wahl ist dabei das Browser Exploitation Framework (BeEF). Dieser Baukasten für Browser-Penatrationstests ist dazu gedacht, die Sicherheit von Browsern zu überprüfen. Es handelt sich eigentlich um eine Sammlung von Tools und Tricks, die teilweise seit Jahren bekannt sind. Zusammen aber sind sie leistungsfähig genug, um sich effektiv im Browser eines Besuchers einzuhaken, der eine präparierte Website besucht. In BeEF integriert ist zudem der Exploit Metasploit, der ebenfalls auf einem freien Open-Source-Projekt für Sicherheitstests basiert.

    Weiterlesen