SECURITY NEWSLETTER
Transcription
SECURITY NEWSLETTER
03.12.12, 45990/Best.-Nr. 410385 SECURITY NEWSLETTER 24 12 Analysen und Lösungen zu aktuellen Gefahren für die Daten- und Netzwerksicherheit Editorial Inhalt Mehr Sicherheit für SSL-Verbindungen Alle Betriebssysteme SSL-Verbindungen werden im Web meist dann eingesetzt, wenn sensible Daten über eine Verschlüsselung bei der Übertragung zwischen Server und Rechner des Anwenders geschützt werden sollen. Aber wie bei fast allen Sicherheitsfunktionen gibt es Angriffsformen, die diesen Schutz aushebeln. Entsprechende Gegenmaßnahmen werden allerdings nach einer aktuellen Studie vernachlässigt. Höhere Rechte an der WebSphere DataPower XC10 Appliance ............................................................... 1 Neue Versionen von Firefox, Thunderbird & SeaMonkey ...................................................................... 2 Fehler in HP Autonomy Keyview tangieren zahlreiche Symantec-Lösungen ......................................................... 2 Security-Updates für VMware vSphere API und ESX Service Console ....................................................... 2 Novell File Reporter 1.0.2 mit nicht gepatchten Schwachstellen ................................................................. 3 Das Ausschalten der SSL-Verschlüsselung im Browser durch einen Man-in-the-Middle-Angriff ist eine schwerwiegende Sicherheitslücke, die in ungeschützten Umgebungen wie etwa in öffentlichen WLANs leicht ausgenutzt werden kann. Als Folge eines erfolgreichen Angriff können Unbefugte an sensible Informationen gelangen. In Form eines HTTP-Headers existiert ein Schutzmechanismus, mit dem der Server-Betreiber die Gefahr der erfolgreichen Durchführung eines solchen Angriffs auf ein Minimum reduzieren kann. Notwendig hierfür ist es allerdings, dass er diesen HSTS-Header (HTTP Strict Transport Security) samt der passenden Parameter auf seinen SSL-Seiten einbindet. Und genau dies passiert nach einer Studie von SecureNet nur äußerst selten. Für die Untersuchung „Aktuelle Verbreitung von HTTP Strict Transport Security (HSTS)“* wurden die weltweit eine Million meistbesuchten Websites überprüft, darunter rund 40.000 deutsche Websites. Obwohl diese Schwachstelle seit 2009 bekannt ist und der Header mittlerweile von fast allen Browsern unterstützt wird, schützen weniger als 0,5 Prozent der Websites ihre Benutzer in besagter Weise. Und die wenigen Seiten, die HSTS zur Anwendung bringen, haben diese Schutzfunktion oftmals so konfiguriert, dass sie ihren Zweck kaum erfüllen kann. Frank Gotta Chefredakteur * http://www.securenet.de/fileadmin/papers/HTTP_Strict_Tra nsport_Security_HSTS_Verbreitung.pdf Security Newsletter 24/12 Windows November-Patchday bei Microsoft .................................. 3 Zwei Sicherheitslücken in IBM InfoSphere Discovery.... 3 Unix/Linux Solaris: Neues aus dem Third Party Vulnerability Resolution Blog ............................................................... 4 Kurzmeldungen ................................................................ 3 Impressum ........................................................................ 6 Alle Betriebssysteme ■ Höhere Rechte an der WebSphere DataPower XC10 Appliance Betriebssystem WebSphere DataPower XC10 Appliance Software Firmware Angriffe Erhöhen von Rechten, Denial of Service Schutz Software-Update Mehrere Schwachstellen in der Firmware der WebSphere DataPower XC10 Appliance erlauben es Angreifern, sich höhere Rechte zu verschaffen [1]. Betroffen sind die Firmware-Versionen 2.0.0.0 bis 2.0.0.3 und 2.1.0.0 bis 2.1.0.2. (fgo) Seite 1 Problem 1. Eine ungeschützte Schnittstelle erlaubt es einem nicht autorisierten Anwender, Server-Prozesse ohne die entsprechenden Rechte zu stoppen. 2. Authentifizierte Anwender können beliebige JMX-Befehle ausführen. Das kann dazu führen, dass sie auch administrative Befehle absetzen können, ohne über die entsprechenden Admin-Berechtigungen zu verfügen. 3. Der geheime Schlüssel für die Server-zu-Server-Kommunikation ist unter gewissen Rahmenbedingungen auch Angreifern zugänglich, die sich so quasi als Container-Server mit der XC10-Appliacne verbinden können. Empfehlung IBM stellt korrigierende Updates zum Download [2] bereit. Information [1] http://www-01.ibm.com/support/docview.wss?uid=swg21615783 [2] http://www-01.ibm.com/support/docview.wss?uid=swg24033740 ■ Neue Versionen von Firefox, Thunderbird & SeaMonkey Betriebssystem alle Systeme Software Firefox, Thunderbird, SeaMonkey Angriffe remotes Ausführen von Code, Cross-Site Scripting, Denial of Service, Zugriff auf sensible Informationen, Umgehen von Sicherheitsfunktion Schutz Software-Update Die Programmierer von Mozilla haben mit neuen Versionen diverse Schwachstellen in Firefox beseitigt. Parallel wurden SeaMonkey und Thunderbird aktualisiert. (fgo) Problem 1. Im Changelog für die Firefox-Version 17 sind 16 geschlossene Schwachstellen aufgeführt, darunter sechs als „critical“ eingestufte, die die remote Codeausführung erlauben [1]. 2. Parallel wurden zwölf Sicherheitslücken in SeaMonkey 2.14 geschlossen, von denen fünf als kritisch eingestuft sind [2]. 3. Dritter im Bunde der fehlerbereinigten Software-Pakete ist Thunderbird, das nun parallel zu Firefox in Version 17 vorliegt [3]. Empfehlung Der manuelle Download der neuen Versionen kann über die Projekt-Seiten erfolgen: Firefox 17.0 [4], SeaMonkey 2.14 [5] und Thunderbird 17 [6]. Die ESR-Versionen (Extended Support Release) werden nun parallel nummeriert, hier sind also Firefox 17 [7] und Thunderbird 17 [8] aktuell. Für die 10.x-ESRs von Firefox [9] und Thunderbird [10] stehen ebenfalls Updates zur Verfügung. Information [1] http://www.mozilla.org/security/known-vulnerabilities/firefox.html [2] http://www.mozilla.org/security/known-vulnerabilities/seamonkey.html [3] http://www.mozilla.org/security/known-vulnerabilities/thunderbird.html [4] http://www.mozilla.org/en-US/firefox/all.html [5] http://www.seamonkey-project.org/releases/ [6] http://www.mozilla.org/en-US/thunderbird/all.html [7] ftp://ftp.mozilla.org/pub/firefox/releases/17.0esr/ [8] ftp://ftp.mozilla.org/pub/thunderbird/releases/17.0esr/ Seite 2 [9] ftp://ftp.mozilla.org/pub/firefox/releases/10.0.11esr/ [10] ftp://ftp.mozilla.org/pub/thunderbird/releases/10.0.11esr/ ■ Fehler in HP Autonomy Keyview tangieren zahlreiche Symantec-Lösungen Betriebssystem Windows, Unix, Linux, Appliances Software Symantec Mail Security for Microsoft Exchange 6.5.7 und früher, Symantec Mail Security for Domino 8.1.0 und früher, Symantec Messaging Gateway 9.5.x, Symantec Data Loss Prevention Enforce/Detection Server 11.x, Symantec Data Loss Prevention Endpoint Agents 11.x Angriffe remotes Ausführen von Code, Denial of Service Schutz Software-Update Mehrere Sicherheitslücken in den HP-Autonomy-Keyview-Modulen, die in diversen Symantec-Produkten zum Einsatz kommen, werden über die jetzt veröffentlichten Software-Aktualisierungen geschlossen. (fgo) Problem Die Autonomy-Keyview-Filter kommen teilweise als Systemprozesse oder in deren Kontext zum Einsatz; hier können die Auswirkungen eines erfolgreichen Angriffs am schwerwiegendsten sein. Die Folgen reichen laut Symantec von Denial-of-Service-Attacken bis zur unbefugten remoten Codeausführung. Empfehlung Symantec stellt korrigierende Updates bereit. Updates für SMS for Domino und Microsoft Exchange sind über die Platinum-Support-Website [2] für Platinum-Kunden oder durch die Software Distribution Website von FileConnectElectronic [3] verfügbar. Die Updates für Symantec DLP stehen über Secure File Exchange [4] zur Verfügung. Information [1] http://www.symantec.com/security_response/securityu pdates/detail.jsp?fid=security_advisory&pvid=security_a dvisory&year=&suid=20121120_00 [2] https://www-secure.symantec.com/platinum/login.html [3] https://fileconnect.symantec.com/licenselogin.jsp [4] https://exftpp.symantec.com/ ■ Security-Updates für VMware vSphere API und ESX Service Console Betriebssystem alle Systeme Software VMware vSphere API, ESX Service Console Angriffe Denial of Service, Cross-Site Scripting, Umgehen von Sicherheitsfunktionen, Zugriff auf sensible Daten Schutz Software-Update VMware hat ein Update für die vSphere API veröffentlicht, um eine DoS-Schwachstelle in ESX und ESXi zu beseitigen. Zudem wurde ein Update für die ESX Service Console veröffentlicht, über das Schwachstellen in diversen Open-Source-Komponenten geschlossen werden können [1]. (fgo) Security Newsletter 24/12 Problem 1. Die DoS-Schwachstelle in der vSphere API resultiert aus einer ungenügenden Überprüfung von Eingaben. Mittels einer präparierten API-Anfrage ist es möglich, den Host-Daemon zu deaktivieren. 2. Zu den in der ESX Service Console aktualisierten Anwendungen zählen ISC BIND, der Python SimpleHTTPServer, der ASN.1 Decoder der Network Security Services (NSS) und des Netscape Portable Runtime (NSPR), Python und die Python Distutils sowie Expat. Empfehlung Es stehen korrigierende Patches zum Download [2] zur Verfügung. Information [1] http://www.vmware.com/security/advisories/VMSA-2012-0016.html [2] http://downloads.vmware.com/go/selfsupport-download ■ Novell File Reporter 1.0.2 mit nicht gepatchten Schwachstellen Betriebssystem Windows, Linux, NetWare Software Novell File Reporter 1.0.2 Angriffe remotes Ausführen von Code, Zugriff auf sensible Daten, Dateimanipulationen, Erhöhen von Rechten Schutz Workaround Das US-CERT warnt vor mehreren Schwachstellen im Novell File Reporter 1.0.2 [1], für die ein Proof of Concept existiert [2]. (fgo) Problem Zu den Ursachen für die Sicherheitslücken zählen unter anderem ein Pufferüberlauf auf dem Heap und die Möglichkeit zum unbefugten Download bzw. Upload beliebiger Dateien. Im schwerwiegendsten Fall eines erfolgreichen Angriffs kann Code über das Netzwerk ausgeführt werden. Empfehlung Herstellerseitig existiert bislang noch keine Lösung für die Probleme. Das US-CERT empfiehlt, die Software mittels Firewall abzusichern. Sinnvoll ist es, den von NFRAgent.exe genutzten Port 3037/TCP nach außen zu blockieren. Information [1] http://www.kb.cert.org/vuls/id/273371 [2] https://community.rapid7.com/community/metasploit/bl og/2012/11/16/nfr-agent-buffer-vulnerabilites-cve-2012-4959 Windows ■ November-Patchday bei Microsoft Betriebssystem Windows Software Internet Explorer, Briefcase, Internet Information Services (IIS), .NET Framework, Kernel-ModeTreiber, Excel Angriffe remotes Ausführen von Code, Zugriff auf sensible Informationen, Erhöhen von Rechten Schutz Software-Update Security Newsletter 24/12 Mit sechs neuen Security-Bulletins, die Patches zur Beseitigung von insgesamt 19 Schwachstellen bieten, wartet Microsoft an seinem regulären Patchday im November auf. (fgo) Problem 1. Ein kumulatives Update für den Internet Explorer soll drei kritische Sicherheitslücken schließen, die unter anderem die remote Codeausführung erlauben (MS12071) [1]. 2. Ein Patch behebt zwei kritische Windows-Schwachstellen im Aktenkoffer (Briefcase), die auf Speicherfehlern beruhen und durch manipulierte Aktenkoffer, die vom Anwender geöffnet werden, die unbefugte Ausführung beliebigen Codes über das Netzwerk mit den Rechten des angemeldeten Benutzers erlauben (MS12072) [2]. 3. Zwei Schwachstellen in den Internet Information Services (IIS) erlauben unter anderem durch das Senden speziell gestalteter FTP-Befehle an den Server den Zugriff auf sensible Informationen (MS12-073) [3]. 4. Fünf Schwachstellen im .NET Framework bieten Angreifern im schwerwiegendsten Fall einer erfolgreichen Ausnutzung die Möglichkeit zur remoten Codeausführung (MS12-074) [4]. 5. Die Kernel-Mode-Treiber von Windows weisen drei Schwachstellen auf, die nicht nur eine Erweiterung der Rechte von lokalen Benutzern, sondern auch die Ausführung von Code über das Netzwerk erlauben (MS12075) [5]. 6. Manipulierte XLS-Dateien können beim Öffnen mit Excel dazu führen, dass enthaltener Code mit den Rechten des aufrufenden Benutzers zur Ausführung kommt (MS12-076) [6]. Davon ist auch die Mac-Version der Software betroffen. Empfehlung Die zur Fehlerkorrektur bereitgestellten Updates können entweder über die Security-Bulletins geladen oder über die Funktion Microsoft-Update installiert werden. Information [1] http://technet.microsoft.com/de-de/security/bulletin/ms12-071 [2] http://technet.microsoft.com/de-de/security/bulletin/ms12-072 [3] http://technet.microsoft.com/de-de/security/bulletin/ms12-073 [4] http://technet.microsoft.com/de-de/security/bulletin/ms12-074 [5] http://technet.microsoft.com/de-de/security/bulletin/ms12-075 [6] http://technet.microsoft.com/de-de/security/bulletin/ms12-076 ■ Zwei Sicherheitslücken in IBM InfoSphere Discovery Betriebssystem Software Angriffe Schutz Windows IBM InfoSphere Discovery 4.5.1 Open Redirect, Cross-Site Scripting Software-Update Mehrere unter Windows eingesetzte Produkte der Reihe IBM InfoSphere Discovery weisen zwei Schwachstellen auf. (fgo) Problem Einige Scripts des Hilfesystems sind unsicher programmiert und erlauben Redirects von sicheren auf unsichere Websites und Cross-Site-Scripting-Attacken. Betroffen sind die Version 4.5.1 von InfoSphere Discovery Information Center, InfoSphere Discovery for Information Integration, InfoSphere Discovery for z/OS und InfoSphere Discovery for Information Integration Workgroup Edition [1]. Seite 3 Empfehlung IBM stellt Patches zur Beseitigung der Schwachstellen zur Verfügung. Vor deren Einspielen muss der InfoSphere Discovery Server gestoppt werden. Information [1] http://www-01.ibm.com/support/docview.wss?uid=swg21617872 Unix ■ Solaris: Neues aus dem Third Party Vulnerability Resolution Blog Betriebssystem Solaris 8, 9, 10, 11 Software LibTIFF, Gimp, Foomatic, libxml2, ipmitool, ISC DHCP, ISC BIND, Wireshark, tscd Angriffe remotes Ausführen von Code, Denial of Service, Schutz Software-Update Der Third Party Vulnerability Resolution Blog von Oracle führt zahlreiche neue Schwachstellen in Software und Komponenten auf, die auf Solaris-Systemen genutzt werden. (fgo) Problem 1. Eine Schwachstelle in der Bibliothek LibTIFF erlaubt Denial-of-Service-Attacken [1]. 2. Gimp für Solaris 10 und 11 weist eine Schwachstelle auf, die Angreifern die remote Codeausführung ermöglicht [2]. 3. Mehrere Filterfehler in Foomatic erlauben im schwerwiegendsten Fall das unbefugte Ausführen von Code [3]. 4. Die Bibliothek libxml2 weist mehrere DoS-Sicherheitslücken auf [4] bis [9]. Zudem existiert in dieser Bibliothek die Ursache für einen möglichen Pufferüberlauf, der sich im schwerwiegendsten Fall zur unbefugten Codeausführung über das Netzwerk missbrauchen lässt [10]. 5. In ipmitool wurde eine DoS-Schwachstelle korrigiert [11]. 6. ISC DHCP erlaubt es remoten Angreifern, durch ein Reduzieren der „Expiration Time“ den Server zum Absturz zu bringen [12]. 7. Mehrere remote ausnutzbare Denial-of-Service-Schwachstellen betreffen die Software ISC BIND [13], [14]. 8. Zahlreiche Schwachstellen im Netzwerktool Wireshark ermöglichen es remoten Angreifern im schwerwiegendsten Fall, beliebige Befehle zur Ausführung zu bringen [15]. 9. Eine Schwachstelle in tscd ermöglicht es einem Angreifer, den Daemon über das Netz zum Absturz zu bringen [16]. Empfehlung Über die jeweiligen Einträge im Third Party Vulnerability Resolution Blog sind die Links zu den bereitgestellten Updates verfügbar. [3] https://blogs.oracle.com/sunsecurity/entry/multiple_vul nerabilities_in_foomatic [4] https://blogs.oracle.com/sunsecurity/entry/cve_2011_1944_denial_of [5] https://blogs.oracle.com/sunsecurity/entry/multiple_de nial_of_service_dos2 [6] https://blogs.oracle.com/sunsecurity/entry/multiple_de nial_of_service_dos3 [7] https://blogs.oracle.com/sunsecurity/entry/cve_2012_0841_denial_of [8] https://blogs.oracle.com/sunsecurity/entry/cve_2011_3 102_numeric_errors [9] https://blogs.oracle.com/sunsecurity/entry/cve_2011_0216_denial_of [10] https://blogs.oracle.com/sunsecurity/entry/cve_2008_ 3529_buffer_overflow [11] https://blogs.oracle.com/sunsecurity/entry/cve_2011_ 4339_access_controls [12] https://blogs.oracle.com/sunsecurity/entry/cve_2012_3955_denial_of [13] https://blogs.oracle.com/sunsecurity/entry/cve_2012_5166_denial_of [14] https://blogs.oracle.com/sunsecurity/entry/cve_2012_4244_denial_of [15] https://blogs.oracle.com/sunsecurity/entry/multiple_v ulnerabilities_in_wireshark3 [16] https://blogs.oracle.com/sunsecurity/entry/cve_2012_0698_denial_of Kurzmeldungen Alle Betriebssysteme DoS-Lücke im Tivoli Endpoint Manager for Remote Control Broker Im Tivoli Endpoint Manager for Remote Control Broker Version 8.2 und früher für Windows, AIX und Linux liegt eine nicht näher definierte Denial-of-Service-Schwachstelle vor, deren Ausnutzung dazu führt, dass alle Ressourcen eines betroffenen Systems aufgebraucht werden [1]. Um die fehlerbereinigte Broker-Komponente 8.2.1 (Build 0024) zu installieren, ist das Einspielen des Tivoli Endpoint Manager for Remote Control Fix Packs 8.2.1-TIVTEMRC821-IF0002 notwendig, das diese enthält. (fgo) [1] http://www-01.ibm.com/support/docview.wss?uid=swg21616746 Java-Update für IBM Security Appscan Source Für die Versionen 7.0 bis 8.6.0.1 von IBM Security Appscan Source für die Plattformen Windows, Solaris und Linux stellt IBM nun ein Update auf Version 8.6.0.2 zur Verfügung, über das zahlreiche Schwachstellen im verwendeten Oracle Java geschlossen werden [1]. Bei Oracle war dieses Java-Update im Juni 2012 erfolgt [2]. (fgo) [1] http://www-01.ibm.com/support/docview.wss?uid=swg21616184 [2] http://www.oracle.com/technetwork/topics/security/jav acpujun2012-1515912.html Opera bessert nach Die erst kürzlich erschienene Version Opera 12.10 hat bereits eine Nachbesserung erfahren, um zwei Schwachstellen zu schließen, die sowohl den Zugriff auf Zugriffspfade als auch – schwerwiegender – die unbefugte remote Codeausführung erlauben [1]. Aktuell ist nun die OperaVersion 12.11, die zum Download [2] bereitsteht. (fgo) [1] http://www.opera.com/docs/changelogs/unified/1211/ [2] http://www.opera.com/browser/download/?custom=yes Information [1] https://blogs.oracle.com/sunsecurity/entry/cve_2012_3401_denial_of [2] https://blogs.oracle.com/sunsecurity/entry/cve_2012_4 245_arbitrary_code Seite 4 Security Newsletter 24/12 Schwachstelle im IBM WebSphere Portal geschlossen Eine Schwachstelle im IBM WebSphere Portal 7.0.0.x und 8.0 für AIX, IBM i, Linux, Solaris, Windows und z/OS erlaubt URL-Manipulationen [1]. IBM stellt einen InterimFix für das WebSphere Portal 7.0.0.1 und 7.0.0.2 sowie einen kumulativen Fix für das WebSphere Portal 8.0 zur Verfügung. (fgo) [1] http://www-01.ibm.com/support/docview.wss?uid=swg21617713 Ruby mit Denial-of-Service-Schwachstelle Die Programmiersprache Ruby weist eine Schwachstelle in der Hash-Funktion für die Verarbeitung von Zeichenketten auf, die Angreifern Denial-of-Service-Attacken erlaubt. Abhilfe schafft das Einspielen des Updates auf Version Ruby 1.9.3-p327, die zum Download [2] zur Verfügung steht. (fgo) [1] http://www.ruby-lang.org/en/news/2012/11/09/ruby19hashdos-cve-2012-5371/ [2] http://www.ruby-lang.org/en/news/2012/11/09/ruby-19-3-p327-is-released/ Java von IBM IMS Audit Management Expert für z/OS 1.2 wurde aktualisiert Das Tool IBM IMS Audit Management Expert für z/OS 1.2 nutzt das Java Runtime Environment (JRE) in Version 5, das bekanntlich diverse Schwachstellen aufweist [1]. Entsprechende Updates für das JRE stehen zur Verfügung. (fgo) [1] http://www-01.ibm.com/support/docview.wss?uid=swg21617572 HP Integrated Lights-Out iLO3 und iLO4 mit Sicherheitslücke Bei HP Integrated Lights-Out iLO3 und iLO4 mit den Firmware-Versionen 1.11 bzw. 1.28 wurde eine remote ausnutzbare Schwachstelle gefunden [1]. Sie kann ausgenutzt werden, um unbefugt Informationen von anfälligen Geräten zu erhalten. Ein jetzt bereitgestelltes FirmwareUpdate auf Version 1.13 bzw. 1.50 behebt dieses potenzielle Problem. (fgo) [1] https://h20566.www2.hp.com/portal/site/hpsc/public/k b/docDisplay?docId=emr_na-c03515413 Update von Typo3 angeraten In den Produktivversionen 4.5.0 bis 4.5.20, 4.6.0 bis 4.6.13 und 4.7.0 bis 4.7.5 von TYPO3 wurden verschiedene Schwachstellen gefunden. Sie erlauben Angreifern das Durchführen von Angriffen via SQL-Injection oder CrossSite Scripting, um Zugang zu vertraulichen Daten zu erhalten [1]. Beseitigt werden die Probleme durch das Einspielen der Versionen 4.5.21, 4.6.14 oder 4.7.6 [2]. (fgo) [1] http://typo3.org/support/teams-security-security-bulletins/securitybulletins-single-view/article/several-vulnerabilities-in-typo3-core/ [2] http://typo3.org/download/ Windows Microsoft aktualisiert Security-Bulletin für Visual Basic für Applikationen [1] http://technet.microsoft.com/de-de/security/bulletin/ms12-046 [2] http://support.microsoft.com/kb/2687626/de [3] http://support.microsoft.com/kb/2749655/de Adobe schließt DoS-Schwachstelle in ColdFusion 10 In Adobe ColdFusion 10 Update 1 bis 4 für Windows Internet Information Services (IIS) existiert laut SecurityBulletin APSB12-25 [1] eine nicht näher definierte Denialof-Service-Schwachstelle. Der Hersteller hat reagiert und stellt als Hotfix ColdFusion 10 Update 5 zur Verfügung [2]. Dabei handelt es sich um ein kumulatives Update, das auch vorangegangene Korrekturen enthält. (fgo) [1] http://www.adobe.com/support/security/bulletins/apsb 12-25.html [2] http://helpx.adobe.com/coldfusion/kb/coldfusionsecurity-hotfix-apsb12-25.html Patches für Dell OpenManage Server Administrator verfügbar Dell OpenManage Server Administrator (OMSA) bietet die Möglichkeit zur Verwaltung des Geräts über WebUI oder CLI. OMSA Version 7.1 und früher zeigt eine Lücke, die Cross-Site-Scripting-Angriffe ermöglicht [1]. Patches stehen herstellerseitig zur Verfügung, und zwar als Versionen 6.5.0.1 [2], 7.0.0.1 [3] und 7.1.0.1 [4]. (fgo) [1] http://www.kb.cert.org/vuls/id/558132 [2] http://www.dell.com/support/drivers/us/en/19/DriverD etails/Product/poweredger710?driverId=JJMWP&osCode=WNET&fileId=3082295338 [3] http://www.dell.com/support/drivers/us/en/19/DriverD etails/Product/poweredger710?driverId=PCXMR&osCode=WNET&fileId=3082295344 [4] http://www.dell.com/support/drivers/us/en/19/DriverD etails/Product/poweredger710?driverId=5JDN0&osCode=WNET&fileId=3082293694 Unix Neue Patches für FreeBSD beseitigen Schwachstellen Zu FreeBSD sind drei neue Security-Meldungen samt zugehöriger Patches erschienen. FreeBSD-SA-12:06.bind [1] nimmt diverse Denial-of-Service;Schwachstellen in ISC BIND unter die Lupe. FreeBSD-SA-12:07.hostapd [2] beschäftigt sich mit einer Schwachstelle in HostAP, die es remoten Angreifern erlaubt, den Service mittels präparierter EAP-TLS-Nachrichten zum Absturz zu bringen. In der Meldung FreeBSD-SA-12:08.linux [3] schließlich kommt eine Sicherheitslücke im Kernel zur Sprache, die es lokalen Anwendern erlaubt, sich höhere Rechte am System zu verschaffen. (fgo) [1] http://www.freebsd.org/security/advisories/FreeBSDSA-12:06.bind.asc [2] http://www.freebsd.org/security/advisories/FreeBSDSA-12:07.hostapd.asc [3] http://www.freebsd.org/security/advisories/FreeBSDSA-12:08.linux.asc Microsoft hat das Security-Bulletin MS12-046 [1], das eine Schwachstelle in Visual Basic für Applikationen aufgreift, aktualisiert, um das Update KB2598361 durch das Update KB2687626 [2] für Microsoft Office 2003 Service Pack 3 zu ersetzen und ein Problem mit digitalen Zertifikaten zu beheben, das in der Microsoft-Sicherheitsempfehlung KB2749655 [3] beschrieben ist. (fgo) Security Newsletter 24/12 Seite 5 Mac OS Impressum Microsoft Office für Mac mit Update-Paketen Verlag: WEKA MEDIA GmbH & Co. KG Römerstraße 4, 86438 Kissing Tel.: 0 82 33.23-40 02 Fax: 0 82 33.23-74 00 http://www.weka.de Im Zuge der Beseitigung einer Schwachstelle in MS Excel, die auch die Mac-Version der Tabellenkalkulation betrifft [1], hat Microsoft Update-Pakete für sein Office für Mac veröffentlicht. Zum Download bereit stehen das Update für Office für Mac 2011 14.2.5 [2] und das Update 12.3.5 zu Office 2008 für Mac [3]. (fgo) [1] http://technet.microsoft.com/de-de/security/bulletin/ms12-076 [2] http://support.microsoft.com/kb/2764047 [3] http://support.microsoft.com/kb/2764048 Herausgeber: WEKA MEDIA GmbH & Co. KG Gesellschafter der WEKA MEDIA GmbH & Co. KG sind als Kommanditistin: WEKA Business Information GmbH & Co. KG und als Komplementär: WEKA MEDIA Beteiligungs-GmbH Geschäftsführer: Stephan Behrens, Michael Bruns, Werner Pehland Redaktion: Chefredakteur: Frank Gotta (fgo) Redakteure: Dr. Matthias Leu (ml), Frank Zinkand (fzi) redaktion@security-news.de Erscheinungsweise: Der Security Newsletter erscheint 14-tägig. Abonnentenhotline: info@security-news.de Tel.: 0 82 33.23-73 23 Fax: 0 82 33.23-72 36 Abonnentenverwaltung: Kundenservice Römerstr. 4, 86438 Kissing Tel.: 0 82 33.23-40 02 Fax: 0 82 33.23-74 00 ISBN: 3-8245-0410-3 Preis und Laufzeit des Abonnements: Der Abonnementpreis für ein halbes Jahr (mind. 12 Ausgaben) beträgt 148,00 € (inkl. Versand, zzgl. MWST). Das Abonnement gilt für ein halbes Jahr (mind. 12 Ausgaben) und verlängert sich automatisch um ein weiteres halbes Jahr, wenn nicht 4 Wochen vor Ablauf der Bezugszeit schriftlich gekündigt wird. Haftung: Die WEKA MEDIA GmbH & Co. KG ist bemüht, ihre Produkte jeweils nach neuesten Erkenntnissen zu erstellen. Die inhaltliche Richtigkeit und Fehlerfreiheit wird ausdrücklich nicht zugesichert. Bei Nichtlieferung durch höhere Gewalt, Streik oder Aussperrung besteht kein Anspruch auf Ersatz. Erfüllungsort und Gerichtsstand ist Kissing. Zum Abdruck angenommene Beiträge und Abbildungen gehen im Rahmen der gesetzlichen Bestimmungen in das Veröffentlichungs- und Verbreitungsrecht des Verlags über. Für unaufgefordert eingesandte Beiträge übernehmen Verlag und Redaktion keine Gewähr. Namentlich ausgewiesene Beiträge liegen in der Verantwortlichkeit des Autors. Titel und alle in ihm enthaltenen Beiträge und Abbildungen sind urheberrechtlich geschützt. Jeglicher Nachdruck, auch auszugsweise, ist nur mit ausdrücklicher Genehmigung des Verlags und mit Quellenangabe gestattet. Mit Ausnahme der gesetzlich zugelassenen Fälle ist eine Verwertung ohne Einwilligung des Verlags strafbar. Unter http://www.weka.de/it-security/10317556-%7Eitsecuritynewsletter%7Efsc_formular.html haben Sie mit dem aktuellen Freischaltcode hocjoact Zugriff aufs Archiv. Seite 6 Security Newsletter 24/12