News Archiv 1. Quartal 2008

Schlagzeilen * Details

Schlagzeilen:


zur Übersicht

Details:



29.03.2008 - OpenOffice.org 2.4 ist fertig

Nach sechs Vorabversionen und ein paar Terminverschiebungen ist OpenOffice.org 2.4 endlich fertig. Gleich vorneweg, wer mit Version 2.3.1 wunschlos glücklich ist, muss vorerst nicht updaten, denn ein Sicherheitsupdate stellt Version 2.4 (bisher) nicht dar.

Doch die neue Ausgabe hat wieder ein paar nette Funktionen und Überarbeitungen spendiert bekommen, die für manche Anwender die Mühen des Updates rasch vergessen lassen werden. In der Textverarbeitung 'Writer' kann nun z.B. Text auch Blockweise (ALT-Taste gedrückt halten) anstatt Zeilenweise markiert werden, und die Sprache des markierten Textes kann durch einen Klick in die Statusleiste schneller als zuvor geändert werden.

In der Tabellenkalkulation 'Calc' wurde das in der Vorversion generalüberholte Diagramm-Modul weiter verbessert. Das Datenbankmodul 'Base' beherrscht nun auch den Import von Daten aus Access 2007 Dateien. Dokumente auf WEBDAV Servern lassen sich jetzt auch über verschlüsselte HTTPS-Verbindungen im Team bearbeiten. Abspeichern kann man jetzt im ISO-zertifizierten Archivstandard PDF/A-1 (ISO 19005-1), und ein Masterpasswort kann eingegebene Internet- und E-Mail-Passwörter absichern.

Das sind nur die prominentesten neuen Funktionen. Insgesamt wurden über 50 neue Funktionen eingebaut, und 150 weitere erhielten Verbesserungen. Alle Neuerungen (in englischer Sprache) finden Sie auf der Website 'Feature Freeze Testing 2.4'.

Mit OpenOffice.org 2.4 wird aber auch das Ende der 2.x Reihe eingeläutet. Die nächste große Version wird schon die für Herbst angekündigte Version 3.0 sein, die etliche Neuerungen bringen wird. Vor allem auf deutlich verkürzte Startzeiten, nur einer von vielen Punkten auf der Agenda der Entwickler, dürfen sich OpenOffice.org Anwender dann freuen.

Download: OpenOffice.org v2.4.0, andere Betriebssysteme

Quelle: OpenOffice.org Pressemitteilung vom 27.03.2008

Quelle: Feature Freeze Testing 2.4 (Ausführliche Liste der Neuerungen in Version 2.4)

zur Übersicht

29.03.2008 - Adobe Photoshop Express - Gratis aber bedenklich!

Adobe hat eine erste Testversion seines kostenlosen Photoshop-Derivats veröffentlicht. Photoshop Express ist eine Web 2.0 Anwendung, läuft also im Browser des Anwenders. Somit kann man das 'Programm' zwar ohne Installation nutzen, erhält aber im Gegenzug nicht annähernd den Funktionsumfang von Photoshop, oder Photoshop Elements. Alles was man benötigt, ist eine kostenlose Registrierung bei Photoshop Express.

Und genau hier ist der Haken an der Sache. In der Lizenzvereinbarung, der man bei der Registrierung zustimmen muss, nimmt sich Adobe so ziemlich alle Rechte an den eingestellten/bearbeiteten Bildern. Und nicht nur für sich selbst, Adobe darf die Bilder der Benutzer auch an Dritte weiterverkaufen. All diese Rechte übergibt man Adobe mit der Registrierung ohne Widerrufrecht.

Das heißt, wenn man Bilder auf den Adobe Photoshop Express Webserver hochlädt, um sie dort zu bearbeiten oder zu speichern, hat Adobe das Recht, diese Bilder zu veröffentlichen, zu verändern und weiterzuverkaufen. Hier werden wohl einige Benutzer noch ihr blaues Wunder erleben, wenn ihre (privaten!) Bilder in Zukunft von völlig fremden Firmen zu Werbezwecken verwendet werden, um nur ein mögliches Szenario darzustellen.

Fazit: Technisch ist Photoshop Express schön gemacht, rechtlich ist es aber mehr als bedenklich. Wir können Anwendern daher nur empfehlen von dem Dienst die Finger zu lassen, oder zumindest sehr genau aufzupassen, WAS man Adobe anvertraut. Diese Empfehlung gilt allerdings für alle Dienste, die persönliche Dateien entgegennehmen. Privates bleibt eben doch besser auf der Festplatte des heimischen PCs, und nicht in der Datenbank einer Firma, die 'irgendwo' auf der Welt eine Serverfarm betreibt.

Quelle: 'Web-2.0-Bildbearbeitung Photoshop Express ist online' auf Heise Online

zur Übersicht

29.03.2008 - Firefox 2.0.0.13 behebt Sicherheitslücken

Insgesamt sechs Sicherheitslücken hat Mozilla in der neuesten Version seines Webbrowsers behoben, zwei davon stuft der Hersteller selbst als kritisch ein. Firefox Anwender, die nicht zum sichereren Opera wechseln wollen, sollte auf jeden Fall auf die neuste Version von Firefox updaten. Am einfachsten gelingt dies über die eingebaute Updatefunktion im Hilfemenü. Anwender, die lieber das komplette Installationspaket herunterladen wollen, finden den Link im Anschluss.

Quelle: Firefox-Update schließt kritische Sicherheitslücken' auf Heise Online

Download: Aktuelle Firefox Versionen von der Mozilla Homepage

Download: Aktuelle Opera Versionen

zur Übersicht

29.03.2008 - Wieder Sicherheitslücke in MPlayer und VLC Media Player (UPDATE)

Das 'Realtime Streaming Protokoll' kurz RTSP war in der Vergangenheit schon auffällig oft Auslöser für Sicherheitslücken in Media Playern. Wieder einmal verursacht es in MPlayer und VLC Media Player Sicherheitslücken, die zur Infektion mit Viren führen können.

Wer auf VLC verzichten kann, bis eine korrigierte Version verfügbar ist, sollte den Player deinstallieren. Denn anders als zuletzt bei der Untertitel Problematik, lässt sich das Problem nicht einfach umgehen, da sich RTSP im VLC nicht abschalten lässt. Wer auf VLC nicht verzichten kann, sollte zumindest eventuell installierte VLC-Browser-Plugins löschen. Für Opera und Firefox muss man nach der Datei 'npvlc.dll' suchen, wer (trotz unserer ständigen Hinweise es nicht zu tun) den Internet Explorer verwendet, muss die Datei 'axvlc.dll' suchen. In beiden Fällen sollte man die komplette Festplatte(n) durchsuchen, und die gefundenen Dateien löschen oder umbenennen. Wenn man dann noch einen Bogen um fremde Playlist-Dateien macht, sollte man relativ sicher sein.

Anwendern von MPLayer können wir generell nur zur Deinstallation raten, da es viele verschiedene MPlayer Distributionen gibt, und für jede davon sind unterschiedliche Abhilfen denkbar.

UPDATE:
Der Sicherheitsdienstleister Secunia hat auch noch ein Problem bei der Verarbeitung von MP4 Dateien in VLC entdeckt, durch das sich ebenfalls Viren einschleichen können. Hier hilft auch die Entfernung der Browser-Plugins nicht mehr, insofern lautet die Empfehlung auch hier - Deinstallation!

Quelle: Auch MPlayer und VLC Mediaplayer von RTSP-Lücke betroffen' auf Heise Online

zur Übersicht

29.03.2008 - Gefährliche(r) Safari

Wie wir in unserer Nachricht zum Apple Software Update schon erwähnt hatten, befinden sich in der Windows Fassung des Apple Webbrowsers 'Safari 3' zwei kritische Sicherheitslücken. Zum einen ermöglicht der Browser, dass Angreifer Inhalte fremder Websites gegen eigene Daten ersetzen können, was Passwort-Dieben in die Hände spielt. Die zweite Lücke ermöglicht wahrscheinlich die Infektion des Computers mit Viren, auch wenn der Beweis hierfür noch aussteht.

Wir können allen Windows Anwendern nur raten, von Safari vorerst die Finger zu lassen. Der Browser hatte einen äußerst holprigen Start, und die negativen Erfahrungen während seiner Einführung werden mit solchen Fehlern auch nicht so schnell in Vergessenheit geraten.

Quelle: 'Zwei Schwachstellen in Windows-Safari' auf Heise Online

zur Übersicht

24.03.2008 - Wieder neue MS-Office (Word) Sicherheitslücke

Die Liste der ungelösten Sicherheitsprobleme in Microsoft Word (Teil von Microsoft's Office Paketen) wird wieder etwas länger. Einmal mehr lässt sich eine Lücke ausnutzen, um Computer über manipulierte Word-Dateien mit Viren zu infizieren. Ein Update, welches die Lücke schließt, ist weder verfügbar, noch angekündigt. Alle Word Versionen (auch das aktuelle Word 2007) sind von dem Fehler betroffen. Wer auf Windows Vista (und Windows Server 2003 SP2) arbeitet, muss sich über diese eine Lücke hingegen keine Gedanken machen.

Allen Anwendern können wir nur einmal mehr empfehlen, bei unverlangt zugesendeten oder heruntergeladenen Office Dateien erhöhte Vorsicht walten zu lassen. Am besten arbeitet man mit dem kostenlosen OpenOffice.org, oder prüft eingegangene Dateien zumindest damit. Die einzige sichere Windows-Office Kombination von Microsoft ist dagegen zurzeit Windows Vista mit MS-Office 2007.

Quelle: 'Word führt fremden Code aus' auf Heise Online

zur Übersicht

24.03.2008 - Apple Software Update jetzt noch umstrittener

Wir haben schon öfter darauf hingewiesen, dass Apple sein Updateprogramm 'Apple Software Update' missbraucht, um Anwendern ungewollte Software aufzudrängen. Bisher war es so, dass Apple Anwendern die Quicktime installiert hatten, immer auch iTunes aufschwatzen wollte.

Nun geht Apple noch einen Schritt weiter, und markiert auch seinen Browser Safari automatisch zum Download. Anwender, die den Dialog einfach mit OK bestätigen, und eigentlich nur ein Programm (z.B. Quicktime) verwenden wollen, bekommen so gleich zwei weitere nicht benötigte Programme mitinstalliert.

Vor allem iTunes macht sich negativ bemerkbar, weil es den PC spürbar langsamer macht. Safari hingegen hatte unter Windows von Anfang an mit (unter anderem) Sicherheitsproblemen zu kämpfen, und enthält auch gegenwärtig noch mehrere schwer wiegende Sicherheitslücken.

Dementsprechend verurteilt auch Mozilla-Chef John Lilly Apples Vorgehen. Er vergleicht die Apple Praxis mit der von Autoren von Schadsoftware.

Windows Anwender, die auf eines der Apple Programme angewiesen sind, sollten tunlichst darauf achten, dass überflüssige Programme nicht als 'Zugabe' zu Sicherheitsupdate installiert werden.

Quelle: 'Apple verbreitet Safari im Gepäck von iTunes-Updates' auf Heise Online

zur Übersicht

24.03.2008 - Sicherheitsrisiko DoNotReply

Viele Firmen verwenden E-Mail-Adressen in Form von 'donotreply@firmenname.com', um Empfängern zu verdeutlichen, dass an diese Adresse keine E-Mails retourniert werden sollen. Doch immer wieder übersehen Anwender diese Hinweise, und senden teils vertrauliche Informationen an diese Adressen. In obigem Fall, wäre das auch noch gar nicht so schlimm, da das Mail zumeist zumindest an die richtige Firma gesendet wird.

Manche Absender geben aber eine Adresse in Form von 'irgendwas@donotreply.com' als Antwortadresse an. Senden hier Anwender versehentlich eine Antwort, geht diese nicht an die gewünschte Firma, sondern an Chet Faliszek, den Besitzer der Domain donotreply.com. Und er bekommt viele Mails, hunderttausende täglich. Manche von ihnen werden veröffentlicht, um deren Absender auf besonders eindringliche Art und Weise auf Ihr Missgeschick hinzuweisen. Dabei entfernt er jedoch die teils sensiblen Daten. Schließlich geht es darum die Leute zu sensibilisieren, nicht darum geheime Daten zu publizieren.

Sogar Geheimdienste der USA sind nicht von solchen Pannen gefeit. Aktuelle kann man einen Fall mit 'Homeland Security' auf der Seite nachlesen. Faliszek konnte problemlos Daten lesen, die die nationale Sicherheit der USA betreffen.

Versender solcher Mails sollten sich im klaren sein, was Mails mit vermeintlich nicht existierenden Antwort-Adressen bewirken können. Vor allem für Organisationen, die mit vertraulichen Daten hantieren, wie z.B. Banken, können sich solche Fauxpas einfach nicht leisten. Auf der anderen Seite sollten auch die Anwender aufpassen, an wen sie welche Daten senden.

Quelle: 'Und ich sach noch: Bitte nicht auf diese E-Mail antworten' auf Heise Online

Quelle: Chet Faliszek's Blog auf www.donotreply.com (Englisch)

zur Übersicht

24.03.2008 - Sicherheitslücken in Flash 8 und CS3 werden nicht behoben!

Zuerst, Anwender, die (nur) das Flash Player Plugin installiert haben, sind von dieser Meldung nicht betroffen. PCs, auf denen aber Flash Basic 8, Flash Professional 8 oder Flash Professional CS3 installiert ist, können über präparierte FLA Dateien mit Viren infiziert werden. FLA Dateien enthalten die Quelltexte von Flash Animationen, und werden standardmäßig mit den zuvor genannten Programmen geöffnet.

Adobe hat den Fehler bereits bestätigt, hat aber zugleich auch angekündigt, dass der Fehler erst in der nächsten 'Major Release', also vermutlich 'Flash CS4' behoben wird. Anwendern der genannten Programme bleibt daher nur übrig, erhöhte Vorsicht walten zu lassen, wenn man fremde FLA Dateien öffnet. Dass es für die alten Versionen kein entsprechendes Sicherheitsupdate geben wird, können wir ja noch einigermaßen nachvollziehen. Aber, dass Adobe nicht einmal in seiner neuesten Produktpalette derartige Fehler korrigiert, ist für uns unverständlich, und wirft kein gutes Licht auf den Hersteller.

Quelle: 'Sicherheitsleck in Adobes Flash Basic, Professional und CS3 Professional' auf Heise Online

Quelle: 'Potential vulnerability in Flash CS3 Professional, Flash Professional 8 and Flash Basic 8' von Adobe.com (Englisch)

zur Übersicht

18.03.2008 - Microsofts Excel verrechnet sich wieder!

Es ist nicht allzu lange her, als wir die letzte Meldung über Berechnungsfehler in Excel veröffentlichten. Nun ist es wieder so weit. Seit den letzten Excel Sicherheitsupdates, verrechnet sich Excel wieder. Allerdings ist es diesmal bedeutend schwerer, das Problem nachzuvollziehen. Anwender die nur einfach ein paar Werte berechnen, sind nicht betroffen. Nur wer über die Programmierschnittstelle 'Visual Basic für Anwendungen' auf Excel Daten zugreift, kann den Ergebnissen nicht unbedingt trauen.

Eine neue Ausgabe des Sicherheitsupdate MS08-014 ist in Vorbereitung, aber noch nicht verfügbar. Bis dahin, müssen betroffene Anwender zwischen Sicherheit und korrekten Ergebnissen abwegen. Als sicher gilt aber ohnehin nur die aktuelle Excel 2007 Version. Alle älteren Versionen enthalten mehr oder weniger gravierende Sicherheitslücken, so dass eine Lücke mehr oder weniger kaum noch ins Gewicht fällt.

Quelle: 'Excel verrechnet sich nach Microsoft-Patch' auf Heise Online

zur Übersicht

17.03.2008 - Wieder Sicherheitslücke in VLC Mediaplayer

Wieder wurde eine Schwachstelle im VLC Mediaplayer bekannt. Diesmal können mit Videos mitgelieferte Untertitel-Dateien zur Infektion mit Viren führen. Ein Sicherheitsupdate ist bisher nicht verfügbar, Anwender können das Problem aber relativ leicht umgehen, indem die automatische Verwendung von Untertitelspuren einfach abgeschaltet wird. Hier eine kurze Anleitung dazu:

Im Programmfenster von VLC auf den Menüeintrag EINSTELLUNGEN klicken und dort nochmal auf EINSTELLUNGEN. In dem sich daraufhin öffnenden Einstellungsfenster klickt man auf das Pluszeichen vor Video, dann auf UNTERTITEL / OSD. Nun kann man im rechten Teil des Fensters die Option 'Untertiteldateien automatisch erkennen' deaktivieren (Haken entfernen). Ein Klick auf 'Sichern' links unten speichert die Einstellung, und schließt das Fenster.

Wir empfehlen allen Anwendern von VLC diese Option zu deaktivieren, bis eine neue Version veröffentlicht wurde, die das Problem löst. Untertiteldateien sind hauptsächlich bei sogenannten Rips vorhanden, also (meist illegalen) Kopien von DVDs. Wer sich nicht in diesen Kreisen bewegt, dürfte die abgeschaltete Untertitelfunktion kaum bemerken.

Quelle: 'VLC Mediaplayer stolpert über Untertitel' auf Heise Online

zur Übersicht

17.03.2008 - Inakzeptable Fehler in Adobe Lightroom 1.4 und Camera Raw 4.4

Wenige Tage, nachdem Adobe neue Versionen von Lightroom und Camera Raw veröffentlicht hat, zieht der Hersteller besagte Dateien wieder vom Download zurück. Grund dafür ist, dass sich zwei 'inakzeptable Fehler' (Zitat Adobe) eingeschlichen haben. Genauer gesagt handelt es sich um ein Problem mit den in den Bildern mitgespeicherten EXIF Informationen, sowie um ein Problem mit dem Adobe DNG Konverter. Beide Fehler sind nicht sicherheitsrelevant, können Fotografen aber eine Menge Arbeit aufhalsen, wenn man die Fehler wieder rückgängig machen muss.

Wir können uns Adobe's Empfehlung nur anschließen, und allen Anwendern, die eine der besagten Programme heruntergeladen haben, nahe legen, diese wieder zu deinstallieren, und gegen die Vorversion zu ersetzen. Adobe wird eine fehlerbereinigte Version der Updates anbieten, sobald diese die erforderlichen Tests erfolgreich absolviert haben.

Quelle: 'Adobe zieht Lightroom 1.4 zurück' auf Heise Online

zur Übersicht

13.03.2008 - Mehrere Sicherheitslücken in Adobe Produkten

Adobe hat Sicherheitsupdates für eine ganze Reihe seiner Produkte veröffentlicht. Betroffen sind folgende Anwendungen: Adobe Form Designer 5.0, Adobe Form Client 5.0, ColdFusion MX 7, ColdFusion 8, LiveCycle Workflow 6.2. Mehr Details zu den Sicherheitslücken, sowie Links zu den Updates finden Sie im verlinkten Heise Online Artikel. Wir empfehlen allen Anwendern, die eines der genannten Software Pakete einsetzen, die entsprechenden Updates zu installieren.

Quelle: 'Patch-Reigen von Adobe' auf Heise Online

zur Übersicht

12.03.2008 - Microsofts Office weiter unsicher

Beim gestrigen 'Tag des Updates' hat Microsoft fast ausschließlich Sicherheitsupdates für seine Office Produkte veröffentlicht. Doch die 4 Updates, die insgesamt 12 Sicherheitslücken schließen, verbessern die Sicherheitsbilanz der älteren Office Pakete kaum. Und unter 'älter' versteht Microsoft alle Office Pakete, mit Ausnahme des Jahrgangs 2007. Letzteres ist das Einzige, das keine bekannten Sicherheitslücken enthält. Alle Ausgaben davor lassen sich auf vielfache Art ausnützen, um Anwendern Viren unterzuschieben.

Einmal mehr können wir deshalb nur dazu raten, unverlangt zugesendete oder heruntergeladene Dateien erst mit OpenOffice zu überprüfen, oder wenn möglich gleich ganz zu dem kostenlosen Office Paket zu wechseln. Was mit Word, Excel und Powerpoint Dateien meist reibungslos klappt, kann auf Access Dateien jedoch nicht 1:1 angewandt werden. Wer auf Access angewiesen ist, muss daher entweder sehr vorsichtig sein, oder eine 2007er Version kaufen.

Quelle: 'Microsoft schließt zwölf Lücken in Office-Programmen' auf Heise Online

Download: aktuelle OpenOffice.org Version

zur Übersicht

12.03.2008 - RealPlayer + Internet Explorer = Gefahr

Der Realplayer von Real Networks installiert wieder einmal ein unsicheres ActiveX Plugin in den ohnehin unsicheren Internet Explorer. Das Ergebnis ist einmal mehr ein enormes Risiko für Anwender, da Viren über diese Kombination leichtes Spiel haben.

Wir empfehlen einmal mehr den Internet Explorer nicht zu benutzen, und statt dessen auf Opera zu wechseln. Wer zusätzlich unsere Anleitung zum Abriegeln des Internet Explorers befolgt, muss den Real Player nicht deinstallieren. Wer weiterhin den Internet Explorer benutzen will, sollte den Real Player unbedingt deinstallieren.

Quelle: 'Sicherheitsleck in RealPlayer-ActiveX' auf Heise Online

Download: aktuelle Opera Versionen

Artikel: Internet Explorer abriegeln

zur Übersicht

12.03.2008 - Schwachstelle in Ghostscript und PDF-Druckertreibern

In Ghostscript 8.61 (und vermutlich allen Versionen davor) wurde eine Schwachstelle entdeckt, die über manipulierte Postscript Dateien ausgenutzt werden kann, um den PC mit Viren zu infizieren. Die Ghostscript Entwickler haben bereits eine neue Version (8.62) veröffentlicht, die diesen Fehler behebt. Dieses Update ist jedoch noch nicht für Windows Systeme verfügbar.

Ghostscript dient unter anderem zur Erstellung von PDF-Dateien, und wird von vielen der kostenlosen PDF-Druckertreiber eingesetzt, wie z.B. 'PDF-Creator'. Hat man so eine Software auf seinem Rechner, ist fast immer auch Postscript mit an Board, und man ist für obige Schwachstelle empfänglich.

Windows Anwender sollten Software zur Erzeugung von PDF-Dateien vorübergehend deinstallieren, bis dafür entsprechende Sicherheitsupdates verfügbar sind. Bei kommerziellen Software Paketen sollte man den Hersteller fragen, ob seine Software ebenfalls Postscript verwendet, und ob gegebenenfalls ein Update verfügbar ist. Die Original Adobe PDF Programme sind von dem Fehler nicht betroffen. Anwender die auf Ghostscript basierende Software einsetzen, und auf diese nicht vorübergehend verzichten können, sollten die Verknüpfung von Postscript Dateien (Dateiendung *.ps) mit Ghostscript aufheben. Das sollten aber nur erfahrene Anwender, bzw. Administratoren tun.

Quelle: 'Fehler in Ghostscript ermöglicht Einschleusen von Schadcode' auf Heise Online

zur Übersicht

12.03.2008 - Neue FTP Sicherheitslücken im Internet Explorer

Neu entdeckte Sicherheitslücken im Internet Explorer 5 und 6 lassen sich ausnutzen, um auf fremden FTP-Servern Dateien zu verändern. Dazu kann der Angreifer auch auf im Browser zwischengespeicherte Anmeldedaten zurückgreifen.

Das sind jedoch nicht die einzigen Probleme des Internet Explorers in Verbindung mit dem FTP-Protokoll. Vor ein paar Monaten schon wurde bekannt, dass der Internet Explorer beim Download mancher Dateitypen das verwendete Passwort in die Datei speichert. Das hat dazu geführt, dass die FTP-Zugangsdaten von vermutlichen tausenden Webseiten für jedermann lesbar im Quelltext eingebettet war. Achtung! Auch der Windows Explorer greift für FTP auf den Internet Explorer zurück ...

Einmal mehr können wir von der Verwendung des Internet Explorers im Allgemeinen, bzw. vor dem Windows Explorer in Verbindung mit FTP Servern nur abraten. Opera für Webseiten, und ein echtes FTP-Programm wie FileZilla sind dem Internet Explorer auf jeden Fall vorzuziehen.

Quelle: 'Fremdgesteuerte FTP-Kommandos durch Lücke im Internet Explorer' auf Heise Online

Download: aktuelle Opera Versionen

Download: aktuelle FileZilla Versionen

zur Übersicht

05.03.2008 - Neue Java Version behebt Sicherheitslücken (Update)

Sun Microsystems hat neue Versionen seiner Java Software veröffentlicht. Während die Liste der Neuerungen der Version 6 Update 5 nur unkritische Neuerungen aufführt, deuten die Änderungen bei Version 5 Update 15 auf mehrere behobene Sicherheitslöcher. Wir empfehlen allen Anwendern der Java Software auf die jeweils aktuelle Version upzudaten. Anwendern, die bisher noch die 5er Serie einsetzen, legen wir ebenfalls die deutlich modernere Version 6 ans Herz.

Update:
Mittlerweile hat Heise Online berichtet, dass auch in Version 6 Update 5 Sicherheitskorrekturen vorgenommen worden sein sollen. Somit sollten auch Anwender der 6er Serie das Update 5 auf jeden Fall installieren.

Download: 'Java Runtime Environment (JRE) 5.0 Update 15' von der Sun Microsystems Website

Quelle: 'Java-Update schließt Sicherheitslücken' auf Heise Online

zur Übersicht

04.03.2008 - Microsoft will Access Sicherheitslöcher nicht beheben!

Microsofts Sicherheitspolitik erweist sich einmal mehr als äußerst willkürlich. Eigentlich gäbe es fixe Regeln von Microsoft, wie lange Produkte gepflegt werden. Doch manchmal werden eigentlich eingestellte Produkte länger mit Updates versorgt als angegeben (Windows 2000) andererseits werden Produkte, die noch mit Updates versorgt werden müssten, einfach links liegen gelassen (Office XP und 2003).

Jetzt stößt eine neue Aussage Microsofts die Anwender der eigenen Büro Pakete vor den Kopf. 'Wir beheben keine Sicherheitslücken, die sich durch die Nutzung von Access Dateien ergeben, da diese von Haus aus als unsicher einzustufen sind', so die sinngemäße Übersetzung dessen, was der Sicherheitsdienstleister Panda auf seiner Website veröffentlichte. Der Original Wortlaut der Microsoft Mitteilung ist dort leider nicht nachzulesen.

Auf gut Deutsch, Microsoft will keine Sicherheitslücken schließen, die sich nur durch die Verwendung von als 'unsicher' eingestuften Dateien ergeben. Blöd nur, dass Microsoft selbst praktisch alle Dateitypen seiner Office Pakete als unsicher einstuft! Da verwundert es dann auch nicht weiter, dass bis auf Office 2007, alle Office Pakete von Microsoft unter mehreren, teils schweren Sicherheitslücken leiden.

Normalerweise raten wir an dieser Stelle immer zur Verwendung von OpenOffice.org, zumindest um unverlangt zugesendete oder heruntergeladene Dateien zu prüfen. Nur ist dies mit Access Dateien nicht ohne weiteres möglich, denn nur Access selbst kann alle Funktionen dieser Dateien problemlos zugänglich machen. Anwender, die darauf angewiesen sind, mit Access Dateien anderer Personen zu arbeiten, sollten also sehr genau aufpassen, dass die Dateien auch wirklich von dem angeblichen Absender stammen. Letztlich bleibt Anwendern leider nur übrig, sehr gut aufzupassen, und zu hoffen, dass alles gut geht. Eine Lösung des Problems ist nicht in Aussicht, und bei der Stellungnahme Microsofts wohl auch nicht mehr zu erwarten ...

Quelle: 'Weitere ungepatchte Lücke in MS Access' auf Heise Online

Quelle: Original Sicherheitswarnung von Panda (Englisch)

zur Übersicht

29.02.2008 - VLC Mediaplayer Sicherheitslücken sind behoben

Es hat länger gedauert als erwartet (unsere Warnung veröffentlichten wir vor 23 Tagen), aber nun ist die RTSP-Sicherheitslücke im VLC Mediaplayer endlich behoben. Das VideoLan Team hat darüber hinaus 4 weitere bisher unbekannte Sicherheitslücken behoben, die ebenfalls die Infektion des Computers mit Viren ermöglichten. Wir empfehlen allen Anwender des VLC Mediaplayers rasch auf die neue Version upzudaten.

Quelle: 'Sicherheitslücken in VLC Mediaplayer gestopft' auf Heise Online

Download: VLC Media Player v0.8.6e, mehrsprachig, Windows » 9,3MB

Download: VLC Media Player v0.8.6e, andere Betriebssysteme

zur Übersicht

29.02.2008 - Neue Thunderbird Version behebt Sicherheitslücken

Mehr als 2 Wochen nach Firefox 2.0.0.12, veröffentlichte Mozilla nun das E-Mail-Programm Thunderbird in eben dieser Versionsnummer. Darin wurden insgesamt 5 Sicherheitslücken behoben, wovon eine von Mozilla selbst als kritisch eingestuft wurde, da sie die Infektion des Computers mit Viren ermöglichte.

Wir empfehlen allen Anwendern von Thunderbird rasch auf die neue Version upzudaten. Am einfachsten gelingt dies über die eingebaute Updatefunktion im Hilfemenü. Natürlich bieten wir aber auch wie üblich den Download des kompletten Installationspaketes an.

Quelle: '5 Sicherheitslücken in Thunderbird gefixt' auf Heise Online

Download: Mozilla Thunderbird 2.0.0.12, Windows, Deutsch » 6,3MB

Download: Mozilla Thunderbird (andere Sprachen und Betriebssysteme)

Quelle: Release Notes zu Thunderbird 2.0.0.12 (Englisch)

zur Übersicht

29.02.2008 - Sicherheitslücke in Instant Messenger ICQ

Eine kritische Sicherheitslücke im Instant Messenger ICQ ermöglicht die Infektion des Computers mit Viren. Nachgewiesen wurde der Fehler in Version 6 Build 6043, aber ältere Versionen sind vermutlich ebenso betroffen. Ein Update, welches das Problem behebt, gibt es bisher noch nicht. ICQ Anwender sollten die Software nicht verwenden, bis ein Update verfügbar ist.

Quelle: 'Kritische Lücke in Instant Messenger ICQ' auf Heise Online

zur Übersicht

23.02.2008 - Neue Kaspersky Versionen beheben Leistungsprobleme

Kaspersky hat vergangene Woche neue Versionen seiner aktuellen Sicherheitslösungen Kaspersky Anti-Virus 7 und Kaspersky Internet Security 7 veröffentlicht. Version 7.0.1.325 behebt vor allem ein paar störende Probleme in Bezug auf die Geschwindigkeit einiger Aktionen. Diese Probleme wurden teilweise erst Anfang dieses Jahres mit Version 7.0.1.321 eingeführt, die ihrerseits einige Verbesserungen in Bezug auf die Sicherheit brachte. Nun müssen Anwender nicht mehr zwischen verbesserter Sicherheit und Leistungsfähigkeit entscheiden, die aktuelle Version liefert beides.

Kaspersky Anwender die sichergehen wollen, dass die neue Version installiert ist, sollten sich nicht auf das automatische Update verlassen, sondern die neue Ausgabe selbst herunterladen und installieren. Wer schon eine 7er Version installiert hat, muss diese davor auch nicht deinstallieren.

Quelle: 'Critical Fix 1 for Internet Security 7.0 and Anti-Virus 7.0' (Englisch) auf Kaspersky.com

zur Übersicht

21.02.2008 - Neue Opera Version behebt 3 Sicherheitslücken

Opera hat in Version 9.26 seines Webbrowsers 3 Sicherheitslücken behoben. Keine der drei Lücken wurde als besonders kritisch eingestuft, dennoch raten wir allen Opera Anwendern zügig auf die neue Version upzudaten. Neben den Sicherheitskorrekturen wurde auch die Kompatibilität zum neuen Internet Information Server 7 (IIS7) verbessert, der Teil des neuen Windows Server 2008 ist.

Nach dem Update ist Operas Sicherheitsbilanz wieder blütenweiß, sprich es gibt keine bekannten offenen Sicherheitslücken. Damit bleibt Opera unsere klare Empfehlung in Sachen Webbrowser. Kein anderer Browser für Windows ist so sicher, und dabei so komfortabel und schnell.

Download: Opera 9.26, alle Betriebssysteme

Quelle: Opera 9.26 Liste der Neuerungen (Englisch)

zur Übersicht

16.02.2008 - Sicherheitslücke in F-Secure Virenscanner

F-Secure hat mehrere Sicherheitsupdates für seine Produkte veröffentlicht. Ein Update, das Fehler bei der Verarbeitung von CAB Dateien behebt, wird per automatischem Update verteilt. Eine zweite Sicherheitslücke erfordert jedoch die manuelle Installation eines Updates durch den Anwender, bzw. den Administrator der jeweiligen Lösung. F-Secure hat in seinem Fehlerbericht eine Übersicht erstellt, welche Updates für welche Produkte nötig sind.

Download: Sicherheitsupdates von der F-Secure Fehlerberichtsseite

Quelle: 'F-Secure patcht Schwachstelle in seinen Antivirenprodukten' auf Heise Online

zur Übersicht

16.02.2008 - Microsoft behebt (wieder nicht alle) Sicherheitslücken

Vergangenen Mittwoch hat Microsoft seine monatlichen Updates veröffentlicht. Wie üblich werden dadurch Sicherheitslücken in Windows, Internet Explorer Office und anderen Microsoft Produkten behoben. Wie gewohnt sind wieder ein paar Updates dabei, die kritische Sicherheitslücken beheben, weshalb Anwender die Updates rasch installieren sollten, sofern dies nicht bereits von dem automatischen Update erledigt wurde. Ein Blick auf die 'Microsoft Update' Website verrät, ob alle Updates installiert sind, bzw. schlägt fehlende Updates zur Installation vor.

Leider müssen wir auch diesen Monat aufs Neue darauf hinweisen, dass kritische Sicherheitslücken in allen Office Versionen (außer Office 2007) wieder nicht geschlossen wurden. MS-Office Anwendern raten wir, zugesendete oder heruntergeladene Office Dateien erst in OpenOffice zu öffnen und zu überprüfen, bevor man sie (falls nötig) in Microsoft Office weiterbearbeitet.

Download: Updates für Windows & Office über 'Microsoft Update' (nur mit Internet Explorer)

Quelle: Microsoft Security Bulletin für Februar

Quelle: Secunia (aktuelle Sicherheitslücken in MS Office)(Englisch)

zur Übersicht

10.02.2008 - Neue Adobe Reader Version behebt Sicherheitslücken

Adobe hat kürzlich eine neue Version seines PDF Readers 'Adobe Reader' veröffentlicht. Der Hersteller hat dabei lapidar auf behobene Sicherheitslücken hingewiesen, ohne aber Details über Art und Auswirkungen der Probleme zu nennen. Einige Experten haben seither Informationen zu dem Thema zusammengetragen, und allen Anschein nach, dürfte die eine oder andere größere Lücke behoben worden sein.

Wir empfehlen daher allen Anwendern möglichst rasch auf die aktuelle Version des Adobe Readers aufzurüsten. Am einfachsten gelingt das über die eingebaute Updatefunktion, die über das Hilfemenü aufgerufen werden kann. Im Anschluss finden Sie aber auch Links zu kompletten Downloads.

Quelle: 'Rätselraten um Update für Adobes Reader' auf Heise Online

Download: Adobe Reader 8.1.2, Windows, Deutsch » 24MB

Download: Adobe Reader 8.1.2 für andere Sprachen oder Betriebssysteme

zur Übersicht

10.02.2008 - Neue Skype Version schließt Sicherheitslücke

Skype hat Version 3.6.0.248 der gleichnamigen Internet-Telefonie-Software veröffentlicht, und darin mindestens eine gravierende Sicherheitslücke behoben. Wir empfehlen allen Skype Anwendern, möglichst rasch auf die neue Version zu aktualisieren.

Quelle: 'Sicherheitsupdate für Skype' auf Heise Online

Download: Aktuelle Skype Version

zur Übersicht

10.02.2008 - Mozilla behebt mehrere Sicherheitslücken in Firefox

Mozilla hat mit Version 2.0.0.12 mehrere Sicherheitslücken in dem Firefox Browser behoben. Anwender die Firefox unbedingt benutzen wollen, sollten dieses Update auf jeden Fall installieren.

Empfehlen können wir Firefox aber eigentlich nicht. Denn immer noch tummeln sich in dem Browser mindestens 4 Sicherheitslücken, wenn auch nicht von solcher Tragweite, wie die eben Geschlossenen. Wir raten seit Jahren zu Opera, dem einzigen uns bekannten Browser für (unter anderem) Windows, der (in der jeweils aktuellen Version) keine bekannten Sicherheitslücken enthält.

Quelle: 'Neue Firefox-Version schließt zahlreiche Sicherheitslücken' auf Heise Online

Quelle: 'Liste der offenen Sicherheitslücken in Firefox' von Secunia (Englisch)

Download: Aktuelle Firefox Version

Download: Aktuelle Opera Version

zur Übersicht

10.02.2008 - Quicktime 7.4.1 behebt Sicherheitslücken

Mit Quicktime 7.4.1 schafft Apple es endlich, Quicktime wieder sicher zu machen. Anwender von Quicktime und iTunes können also erst mal wieder aufatmen. Wie lange dieser Frieden herrschen wird, ist jedoch unklar. Bei der langen Liste an Problemen, die Apple in den letzten Monaten in Quicktime lösen musste, wären wir überrascht, wenn nicht spätestens in ein paar Wochen das nächste Sicherheitsproblem bekannt würde.

Wer ohne Quicktime (iTunes) auskommen kann, sollte daher besser die Finger davon lassen. Denn die Grundregel lautet, Software, die nicht benötigt wird, sollte gar nicht erst installiert werden, bzw. vom Rechner deinstalliert werden. Denn nur nicht vorhandene Software ist garantiert fehlerfrei.

Quelle: 'Apple patcht kritische Lücken in QuickTime und iPhoto' auf Heise Online

Download: Aktuelle Quicktime Version

zur Übersicht

06.02.2008 - Alle Media Player unsicher!?

In den letzten Monaten wurden fast nirgends so viele Sicherheitslücken entdeckt, wie in Media Playern. Manche Hersteller schaffen es schon länger nicht mehr, der Flut an Lücken Herr zu werden, wie z.B. Apple mit Quicktime traurig beweist. Nun hat es zwei weitere Player erwischt.

Zum einen wurden mehrere Fehler in Mplayer gefunden, einem Video Player, der ursprünglich aus der Linux Welt kommt, mittlerweile aber auch für Windows verfügbar ist. Diese Fehler wurden im Quelltext der Software zwar bereits behoben, ob es aber fertige Installationspakete für Windows gibt, die diese Korrekturen bereits enthalten, ist ungewiss. Eine allgemein gültige Antwort, welche Version sicher ist und welche nicht, ist aufgrund der vielen verschiedenen Anbieter kaum möglich. Wer nicht sicher ist, ob sein Player schon aktualisiert wurde oder nicht, sollte die Software deinstallieren.

Ebenfalls neu in die Runde der gefährlichen Player geraten ist der Nero Media Player, der mit dem bekannten Brennprogramm mitgeliefert wird. Hier gibt es zurzeit gar kein Sicherheitsupdate, weshalb auch hier nur die Deinstallation der Software übrig bleibt. Da der Media Player kein eigenständiges Programm ist, muss man es über den (De)Installations-Assistenten der Nero Suite entfernen.

Langsam gehen den Windows Anwendern die Media Player aus. Quicktime (iTunes) und Real Player gelten praktisch permanent als Sicherheitsrisiko. Der an sich sehr sichere VLC-PLayer leidet im Moment ebenfalls unter einer kritischen Sicherheitslücke. Über einige weitere Player haben wir in der letzten Zeit hier berichtet. Ironischerweise kommt der derzeit sicherste Player ausgerechnet von Microsoft. Der aktuelle Windows Media Player 11 enthält, wenn alle Updates installiert sind, keine bekannte Sicherheitslücke. Allerdings beherrscht der Player von sich aus auch kaum Videoformate, sodass man oft auf zusätzliche Codecs angewiesen ist, und darüber können sich dann doch wieder Risiken auftun.

Quelle: 'Mehrere kritische Lücken in Mplayer' auf Heise Online

Quelle: 'Buffer Overflow im Nero Media Player' auf Heise Online

zur Übersicht

06.02.2008 - Weitere unsichere Internet Explorer Plugins

Kurze Gedächtnisauffrischung. Der Internet Explorer von Microsoft ist an sich schon nicht sehr sicher. Noch viel schlimmer wird die Sache dadurch, dass das Plugin-System des Internet Explorers (ActiveX genannt) von Grund auf auf Komfort, und nicht auf Sicherheit ausgelegt wurde. Eine Entscheidung, die sich in den letzten Jahren schon bitter gerächt hat, denn Plugins für den Internet Explorer sind noch öfter Einfallstor für Viren, als der Internet Explorer selbst.

Diesmal hat es mehrere Plugins von Yahoo, und jeweils eines von MySpace und Facebook getroffen. Alle Plugins lassen sich ausnützen, um den PC mit Viren zu infizieren. Die Yahoo Plugins kommen im Handgepäck von Yahoo Messenger und Yahoo Music Jukebox. Die beiden anderen Plugins werden beim Besuch der MySpace bzw. Facebook Webseiten automatisch installiert (sofern man eben den Internet Explorer benutzt).

Microsoft empfiehlt, sogenannte Killbits in der Windows Registry zu setzen. Eine Aufgabe, die wir unerfahreneren Benutzern auf keinen Fall anraten würden, da sich dabei leicht irreversible Schäden in Windows auslösen lassen. Das 'Internet Storm Center' hat ein Programm entwickelt, dass diese Aufgabe vereinfacht (siehe verlinkten Artikel der Fachzeitschrift c't). Wir empfehlen dagegen den Internet Explorer wenn möglich gar nicht zu verwenden, und Opera als sichere Alternative.

Quelle: 'Lücken in zahlreichen ActiveX-Controls' auf Heise Online

zur Übersicht

02.02.2008 - Neue XnView Version behebt Sicherheitslücke

Eine neue Version des für Privatpersonen kostenlosen Bildbetrachters/Konverters XnView behebt eine Sicherheitslücke bei der Verarbeitung von Bildern im Radiance RGBE-Format. In früheren Versionen der Software können manipulierte .hdr Dateien den PC infizieren. Wir empfehlen allen XnView Anwendern auf Version 1.92.1 upzudaten.

Quelle: 'Pufferüberlauf durch präparierte hdr-Bilder in XnView' auf Heise Online

Download: Aktuelle XnView Version

zur Übersicht

27.01.2008 - Zahl der Firefox Sicherheitslücken wächst

Kürzlich wurde eine neue Sicherheitslücke im Firefox Webbrowser entdeckt. Die Schwachstelle ermöglicht es Angreifern zum einen persönliche Daten auszuspähen, und zum anderen dadurch eventuell weitere Schwachstellen zu entdecken, um weiteren Schaden anzurichten.

Ein Sicherheitsupdate ist bislang weder verfügbar, noch konkret absehbar. Wir empfehlen daher einmalmehr Firefox nicht zu verwenden, und auf Opera umzusteigen. Denn, auch wenn Firefox sicherer als Microsofts Internet Explorer ist, an Opera (einziger Browser ohne bekannte Sicherheitslücken) kommt Firefox nicht heran.

Quelle: 'Firefox gibt Informationen preis' auf Heise Online

Download: Aktuelle Opera Version

zur Übersicht

19.01.2008 - Neue Winamp Version behebt Sicherheitslücken

Die nächsten Media Player Sicherheitslücken. Diesmal hat es wieder einmal Winamp erwischt. Zwei Sicherheitslücken können zur Infektion des Computers mit Viren führen. Dazu genügt es, wenn der Anwender eine Website mit einem Radio-Stream besucht. Winamp Hersteller Nullsoft hat aber bereits Version 5.52 veröffentlicht, in der die Fehler behoben sind. Winamp Anwender sollten rasch auf die neue Version updaten. Anwender die Winamp nicht installiert haben, sollten es dabei belassen.

Quelle: 'Unerhörte Gefahr durch Streaming in Winamp' auf Heise Online

Download: Aktuelle Winamp Version von der Hersteller-Website

zur Übersicht

17.01.2008 - Quicktime/iTunes: Und täglich grüßt die Sicherheitslücke

Langsam aber sicher kann man die aktuelle Quicktime 7 Serie als sicherheitstechnische Fehlkonstruktion ansehen. Kein Monat vergeht, an dem nicht mindestens eine Sicherheitslücke in der Multimedia Software entdeckt wird. Vor allem iTunes Anwender wird das Ärgern, da Apple's Musiksoftware auf Quicktime angewiesen ist. Wer Quicktime also wegen der Sicherheitslücken deinstalliert, kann auch iTunes nicht mehr nutzen.

Um eines klarzustellen, wir raten ohnehin von der Benutzung von iTunes ab, da die Software ziemlich aufgeblasen ist, und den PC mit mehreren automatisch startenden Programmen verlangsamt. Aber Käufer von iPods greifen halt hauptsächlich zum mitgelieferten Apple Programm, und nicht zu anderen kostenlosen Alternativen.

Zurück zu Quicktime. Apple hat kürzlich Version 7.4 veröffentlicht, und darin wieder 4 kritische Sicherheitslücken geschlossen. Allerdings NICHT die am 13.01 gemeldete RTSP Schwachstelle. Anwendern, die auf Nummer sicher gehen wollen, bleibt also weiterhin nur übrig, Quicktime zu deinstallieren.

Quelle: 'Vier kritische Lücken in Apples QuickTime' auf Heise Online

zur Übersicht

17.01.2008 - Anwender von Microsoft Excel leben gefährlich

Eine weitere Lücke in Microsofts Tabellenkalkulation Excel wurde entdeckt, über die der Computer des Anwenders mit Viren infiziert werden kann. Auch diese Lücke wird, sogar nach Aussagen von Microsoft selbst, bereits aktiv ausgenützt. Von dieser Lücke nicht betroffen sind Anwender von Excel 2007, sowie Excel 2003, wenn dessen Service Pack 3 installiert ist. Alle früheren Versionen tragen den Fehler in sich, und Microsoft liefert bislang keine Updates dafür. Wohl aber nennt Microsoft eine Möglichkeit, das Problem zu umgehen (siehe verlinkten Heise Online Artikel). Dieser etwas umständliche Ansatz schränkt die Funktion aber teilweise sehr ein.

In Summe kann man ruhigen Gewissens alle Microsoft Office Versionen, mit Ausnahme von 2007, als unsicher bezeichnen. So stecken z.B. in der 2003er Office Ausgabe neben oben genannter noch weitere 5 nicht behobene Sicherheitslücken, nicht wenige davon kritisch. Deshalb empfehlen wir Anwendern von Microsoft Office nebenbei auch noch eine aktuelle OpenOffice.org Version zu installieren, und zugesendete/heruntergeladene Dokumente (wenn überhaupt) erst mit diesem kostenlosen und sicheren Office Paket zu öffnen.

Quelle: 'Kritische Sicherheitslücke in Excel wird aktiv ausgenutzt' auf Heise Online

Download: Aktuelle OpenOffice.org Version

zur Übersicht

17.01.2008 - Affaire um vergessliche USB-Sticks weitet sich aus

Kurz vor Weihnachten hatten wir über USB Sticks berichtet, die die angegebene Speichermenge nicht annähernd zuverlässig speichern können. So merkten sich z.B. Sticks mit angeblich einem Gigabyte Fassungsvermögen, lediglich 400MB an Daten oder noch weniger. Die restlichen Daten waren schlicht nicht mehr vorhanden.

Die Zahl der betroffenen Sticks ist in der Zwischenzeit deutlich angewachsen. So haben sich z.B. Bluemedia, Emtec und Hama in die Reihe der betroffenen Hersteller eingereiht. Letztere beiden bieten ihren Kunden immerhin einen Umtausch an.

Um sicher zu gehen, dass der eigene USB-Stick auch tatsächlich alle Daten zuverlässig speichert, sollte man diesen unbedingt einmalig testen, bevor man Daten darauf ablegt. Harald Bögeholz, Redakteur der Fachzeitschrift c't, bietet dazu eine neue Version seines kostenlosen Testprogramms an.

Quelle: 'Manipulierte USB-Sticks: Das Schwarzer-Peter-Spiel' auf Heise Online

Download: USB-Stick Prüfprogramm der c't Redaktion, Windows, Deutsch » 0,2 MB

zur Übersicht

17.01.2008 - Neue Java Versionen beheben Sicherheitslücken

Sun Microsystems hat Version 6.0 Update 4 seiner Java Software veröffentlicht. Die Liste der Neuerungen nennt auch ein paar, nicht näher beschriebene, Sicherheitsprobleme, die behoben wurden. Auch wenn noch keine konkreten Angriffsszenarien bekannt sind, so empfehlen wir dennoch jetzt schon, auf die neueste Version zu aktualisieren.

Wie üblich ist es dabei wichtig, dass sämtliche alten Versionen von Java deinstalliert werden, bevor man die neueste Ausgabe installiert. Andernfalls könnten verwundbare Komponenten zurückbleiben, und der Anwender wiegt sich in falsche Sicherheit.

Quelle: 'Java 6 Update 4 verfügbar' auf Heise Online

zur Übersicht

13.01.2008 - Sicherheitslücke in VLC und Quicktime (iTunes)

Und schon wieder Sicherheitslücken in gängigen Media Playern. Sowohl Apple als auch VLC hatten erst vor kurzem neue Versionen ihrer Media Player veröffentlicht, da tauchen schon wieder neue Probleme auf. Beide Player patzen bei der Verarbeitung von RTSP Videostreams, und ermöglichen so die Infektion des Computers mit Viren.

Bei VLC kann man erwarten, dass ein Sicherheitsupdate in wenigen Tagen verfügbar ist. Apple hat seine Kunden in letzter Zeit länger im Regen stehen lassen. Vor allem iTunes Anwender werden nicht erfreut sein, dass sie schon wieder Quicktime deinstallieren müssen, wenn sie ein sicheres System haben wollen, denn ohne Quicktime funktioniert auch iTunes nicht.

Quelle: 'Auch Sicherheitslücken in QuickTime und VLC' auf Heise Online

zur Übersicht

13.01.2008 - Sicherheitslücke in Linksys Internet Router

Anwender, die den beliebten Router WRT54GL von Linksys verwenden, sollten Vorsicht walten lassen, wenn sie die Konfiguration ändern. Hat man neben der Konfigurationsoberfläche des Routers noch andere Webseiten im Browser geöffnet, könnten Angreifer die Konfiguration des Routers ändern, was in Folge zu einer ganzen Reihe Sicherheitsproblemen führen könnte.

Auch wenn dieses Problem bisher nur von genanntem Router bekannt ist, so ist es doch leicht vorstellbar, dass viele andere Geräte ähnliche Schwachstellen enthalten. Daher empfehlen wir generell keine weiteren Seiten im Browser zu öffnen, wenn man die Konfigurationsseite des Routers geöffnet hat. Möchte man während der Konfiguration des Routers nach Hilfe im Internet suchen, kann man ja einen zweiten Browser verwenden (nicht ein zweites Fenster desselben Browsers).

Natürlich gelten die bisherigen Regeln für den Umgang mit Routern weiterhin. So sollte auf jeden Fall ein eigenes Passwort für die Konfigurationsseiten vergeben werden, die Fernwartung sollte abgeschaltet werden, wenn man sie nicht benötigt, und bei W-Lan Routern sollte die Verschlüsselung WPA oder WPA2 sein.

Quelle: 'Präparierte Webseite schaltet Firewall im Router aus' auf Heise Online

zur Übersicht

04.01.2008 - Neue Sicherheitslücke in Mozilla Firefox

Im beliebten Webbrowser Firefox wurde wieder eine Sicherheitslücke gefunden, die es Angreifern ermöglicht, den Benutzer falsche Informationen vorzugaukeln, und dadurch an dessen Passwörter zu gelangen. Mozilla hat bisher kein Sicherheitsupdate für diese Lücke fertiggestellt, weshalb wir Firefox Anwendern empfehlen den Browser bis auf Weiteres nicht zu verwenden.

Wir empfehlen Opera als Alternative, den einzigen Browser, dessen Sicherheitsbilanz bei Secunia keine offenen Sicherheitslücken vorzuweisen hat.

Quelle: 'Spoofing-Schwachstelle im Webbrowser Firefox' auf Heise Online

zur Übersicht

04.01.2008 - Sicherheitslücken in Real-, Zoom-, und anderen Media Playern

In zwei bekannten und zwei weniger bekannten Media Playern, wurden in den letzten Tagen Sicherheitslücken entdeckt, die zur Infektion des Computers führen können. Betroffen sind: Real Player, Zoom Player, CoolPlayer und Total Player. Nur der Hersteller des Zoom Players hat bereits reagiert, und die fehlerbereinigte Version 5.01 bereitgestellt. Die anderen drei Player sollte man deinstallieren, bis die Hersteller Sicherheitsupdates veröffentlicht haben.

Quelle: 'Diverse Mediaplayer für Windows angreifbar' auf Heise Online

Quelle: 'Kritische Lücke im RealPlayer' auf Heise Online

Download: Aktuelle Zoom Player Version

zur Übersicht

 

Wir empfehlen:

LibreOffice Logo

Opera Logo

Thunderbird Logo

Kaspersky Logo

c't Logo

Diese Website ist kompatibel zu:

W3C XHTML

Das CSS Logo des W3C