Für Dienstag, den 10. Jänner, kündigt Microsoft sieben Updates für Windows an. Es sollen acht Lücken behandelt werden von jeweils unterschiedlichen Windows-Versionen und "Microsoft Developer Tools and Software". Die Patches schließen eine kritische und sechs weitere als wichtig eingestufte Sicherheitslücken.

Mozilla hat einige Sicherheitslücken in Firefox, Thunderbird und SeaMonkey geschlossen, die Angreifer unter anderem zum Einschleusen von Schadcode missbrauchen können.

Der Sicherheitsexperte Derek Newton hält die Nutzung des populären Online-DienstesDropbox für ein Sicherheitsrisiko. Der Dienst sichert Dateien im Web und synchronisiert sie permanent zwischen unterschiedlichen Rechnern.

Google hat im Chrome-Update 10.0.648.134 für Windows, Linux, Mac und für das Chrome-Frame-Plug-in für den Internet Explorer eine neue Version des Flash Player von Adobe integriert.

Die Mac-Sicherheitsexperten Dino Dai Zovi und Charlie Miller haben am gestrigen Mittwoch auf der vom Dienstleister cirosec veranstalteten Sicherheitskonferenz IT-Defense 20

 Oracle hat Sicherheits-Updates für zahlreiche seiner Produkte veröffentlicht. Sie schließen unter anderem Lücken im Datenbankserver, dem Application-Server, Weblogic, PeopleSoft und OpenOffice.

Microsoft hat eine Aktualisierung für seine vorletzte Mac-Office-Version vorgelegt.

Mit dem Update auf Version 5.0.3 für Windows und Mac OS X hat Apple zahlreiche Lücken in der WebKit-Engine seines Safari-Browsers geschlossen, von denen Angreifer nicht weniger als 23 zum Einschleusen von Schadcode missbrauchen können.

Das außerplanmäßige Update 9.4.1 für Adobe Reader und Acrobat aktualisiert im Wesentlichen die eingebettete Version des Flash Player, um 18 Sicherheitslücken darin zu beseitigen. Eine davon wurde bereits für Angriffe auf Anwender und zur Infektion von PCs missbraucht.

Darüber hinaus schließt das Update eine Lücke im Reader in einer fehlerhaften JavaScript-Funktion (Doc.printSeps), die ebenfalls als kritisch eingestuft wurde.

Microsoft hat drei Bulletins nebst Updates veröffentlicht. Sie schließen elf Lücken in Office und dem Forefront Unified Access Gateway (UAG). Die sieben in Office geschlossenen Lücken erlauben zwar allesamt das Einschleusen und Starten von Code, aber nur eine wurde als kritisch eingestuft, da sie sich über den Aufruf präparierter Webseiten ausnutzen lässt. Bei den anderen sechs muss ein Opfer ein manipuliertes Office-Dokument öffnen.

Eine Zero-Day-Lücke im Internet Explorer lässt sich nach Angaben von Microsoft ausnutzen, um Windows-PCs mit Malware zu infizieren. Nach Analysen von Symantec wurde bei gezielten Angriffen auf Personen in Unternehmen bereits versucht, deren PCs zu kompromittieren. Dazu wurde eine Mail mit einem Link zu einer manipulierten Webseite an die Personen verschickt.

Betroffen sind der Internet Explorer 6, 7 und 8.

Die Sicherheits-Updates für die Versionen 3.6.11 und 3.5.14 des Webbrowsers Firefox schließen zahlreiche Sicherheitslücken, die die Entwickler in neun Berichten zusammengefasst haben. Einige der Berichte beschreiben mehrere Probleme; insgesamt stuft die Mozilla Foundation sieben der Fehler als kritisch ein.

Schwachstellen in den Mediaplayern Winamp und RealPlayer lassen sich ausnutzen, um über präparierte Mediadateien Schadcode in einen Windows-PC zu schleusen und zu starten. Unter Umständen genügt es, eine manipulierte Webseite aufzurufen, um Opfer eines Angriffs zu werden.

Der RealPlayer weist über die veschiedenen Versionen verstreut insgesamt sieben Lücken auf. Updates auf die Versionen SP 1.1.5, 4.0 Beta, RealPlayer Enterprise 2.1.3, Mac RealPlayer 11.0 - 12.0 und Linux RealPlayer 11.0.2.174 lösen die Probleme.

Microsoft erlaubt jetzt auch Kleinunternehmen auf bis zu zehn Geräten die Nutzung seiner kostenlos erhältlichen Security Essentials. Den vor rund 14 Tagen angekündigten Schritt, hat der Konzern jetzt in die Tat umgesetzt. Die Nutzungsbedingungen wurden entsprechend angepasst. Darin ist der Einsatz auf Enterprise-Versionen sowie in Regierungs- oder akademischen Einrichtungen explizit untersagt.

Adobe hat 23 Sicherheitslücken im Reader und Acrobat geschlossen, die Angreifer zum Teil seit Wochen zum Einschleusen von Schadcode missbrauchen. Durch einen Stack Buffer Overflow in der CoolType-Bibliothek führen die verwundbaren Versionen bis einschließlich 9.3.4 und 8.2.4 beider Produkte beliebigen Schadcode aus, wenn man eine präparierte PDF-Datei öffnet.

In den aktuellen Versionen des Adobe Flash Players und des Adobe Readers für alle jeweils unterstützten Betriebssyteme gibt es eine kritische Sicherheitslücke, die Angreifer über das Internet tatsächlich ausnutzen, um Systeme unter ihre Kontrolle zu bringen. Nun hat Adobe angekündigt, zumindest den Flash Player früher als ursprünglich geplant zu korrigieren. In Google Chrome lässt sich die Lücke schon jetzt durch ein Update auf die aktuelle Version des Browsers schließen.

Eine Schwachstelle im 32-Bit-Kompatibilitätsmodus des aktuellen Linux-Kernels für 64-Bit-Systeme lässt sich ausnutzen, um an höhere Rechte zu gelangen. Angreifer könnten dies beispielsweise nach einem Einbruch über eine Lücke im Webserver ausnutzen, um mit Root-Rechten das System vollständig unter ihre Kontrolle zu bekommen.

Apple hat QuickTime 7.6.8 für Windows veröffentlicht, das zwei kritische Sicherheitslücken schließt. Bei einer der Lücken handelt es sich um die Ende August vom Sicherheitsexperten Ruben Santamarta entdeckte Lücke im ActiveX-Plug-in von QuickTime: Ein undokumentierter Parameter ließ sich missbrauchen, um Schadcode einzuschleusen und zu starten.

Microsoft schließt mit 9 Sicherheits-Updates 11 Sicherheitslücken. Lücken im Printer Spooler, dem MPEG-4-Codec, im Unicode-Script-Prozessor und Outlook stufen die Redmonder als kritisch ein. Nach Angaben des Security Response Center ist man auf die Lücke im Spooler während der Analyse des Wurms Stuxnet gestoßen, der in Zusammenhang mit der LNK-Lücke bekannt wurde. Stuxnet hatte nämlich einige nicht ganz offensichtliche Tricks auf Lager.

Neun Updates sollen am kommenden Patchday, Dienstag, den 14. September, insgesamt elf Sicherheitslücken in Windows und Office schließen. Vier der Lücken stufen die Redmonder als kritisch ein. Das Security Response Center erwähnt in seinem Blog neben Windows und Office auch die Internet Information Services (IIS) als Update-Kandidat.

Die AV-Hersteller warnen vor einem E-Mail-Wurm, der sich derzeit schnell im Internet verbreiten soll. Die Mail ("Here you have") enthält einen Link mit dem Versprechen zu einem Sex-Video ("This is The Free Dowload Sex Movies,you can find it Here") oder zu einem angekündigten Dokument zu führen ("This is The Document I told you about, you can find it Here").

Die am heutigen Mittwoch erschienene Version 10.62 des Browsers Opera beschränkt sich weitgehend auf einige Reparaturen an dem vor vier Wochen veröffentlichten Vorgänger. Die wichtigste davon dürfte das Schließen des DLL-Sicherheitsproblems sein, von dem zahlreiche Windows-Anwendungen betroffen sind; Opera stuft die damit verbundene Gefahr als hoch ein. Der Feed-Reader kann nun auch in der Vorschau Bilder anzeigen.

Adobe hat vor einer neuen Lücke im Adobe Reader und Acrobat 9.3.4 sowie früheren Versionen für Windows, Mac und Unix gewarnt, die Angreifer offenbar bereits ausnutzen, um über manipulierte PDF-Dokumente Windows-PCs zu infizieren. Ursache des Problems ist laut Secunia ein Buffer Overflow aufgrund eines Fehlers in der Bibliothek CoolType.dll beim Parsen von Zeichensätzen.

Facebook hat eine Schwachstelle geschlossen, die Spammer Anfang der Woche ausgenutzt hatten, um unerwünschte Werbemails über das System zu verschicken. Dabei genügte es, dass ein Facebook-Nutzer auf einen Link in der Nachricht eines anderen Anwenders klickte, um Spamnachrichten automatisch an alle Freunde zu versenden.
US-Medienberichten zufolge nutzen die beim Klick auf den Link geladenen und gestarteten Facebook-Apps eine Cross-Site-Request-Forgery-Lücke aus, um die Mails ohne Zutun des Anwenders zu versenden.

Eine seit längerem bekannte Lücke im Internet Explorer 8 ermöglicht es Angreifern, durch das Laden von Cascading Style Sheets (CSS) die Same Origin Policy auszutricksen und persönliche Daten ihrer Opfer zu stehlen. Nachdem im Juli zuletzt Mozilla reagiert hat, ist nur noch der Internet Explorer in aktueller Version (und wohl auch älter) auf diese Weise verwundbar.

Microsofts Enhanced Mitigation Experience Toolkit (EMET) vereinfacht in Version 2.0 die Bedienung durch eine grafische Oberfläche und unterstützt neue Schutzfunktionen. EMET soll es Entwicklern, Administratoren und experimentiertfreudigen Anwendern möglich machen, bestimmte Schutzmechanismen in fertigen Binaries zu aktivieren, auch wenn der Quellcode des Programms gar nicht vorliegt.

Zum zweiten Geburtstag seines Browsers hat Google Chrome 6 als stabile Version für Windows, Mac und Linux veröffentlicht. Verglichen mit den Versionssprüngen der Konkurrenten sind die Neuerungen relativ bescheiden, doch folgt Google damit seiner Strategie, seine Software in einer kontinuierlichen Folge zu erneuern. Wie immer rollt Google die Aktualisierung als stilles Update aus, das sich ohne Zutun des Nutzers installiert.

Neben der Integration neuer Funktionen wie des sozialen Netzwerks Ping hat Apple in iTunes 10 auch für mehr Sicherheit gesorgt. Dreizehn kritische Lücken hat der Hersteller in der Windows-Version geschlossen, die sich allesamt in der Webkomponente WebKit finden.

Ab dem 3. Oktober will Microsoft in den USA wieder Family Packs anbieten. Diese Pakete enthalten drei Upgrade-Lizenzen von Windows 7 Home Premium. Voraussetzung für den Erwerb sind drei Lizenzen von Windows XP oder Vista, die nach der Installation der Windows-7-Lizenzen nicht mehr weiter genutzt werden dürfen. In den USA soll ein solches Paket 150 US-Dollar kosten. In Europa soll es ab dem 22.

Secunia PSI 2.0 spürt verwundbare Versionen installierter Programme auf. Secunia hat die zweite Auflage seines Personal Software Inspector (PSI) zum Download freigegeben, die häufig genutzte und dadurch für Angreifer besonders interessante Programme wie Adobe Reader und Flash Player, Firefox sowie Java automatisch aktualisiert.