Thema
Exploits
US-CERT warnt weiterhin vor Einsatz von Java
Oracle will zwei kritische Lücken gepatcht haben. Das US-CERT traut dem Braten nicht, denn Sicherheitsforscher von "Immunity" weisen darauf hin, dass eigentlich nur eine Lücke gestopft wurde. Das BSI gibt hingegen Entwarnung.
Pwn2Own-Teilnehmer knacken auch Internet Explorer
Nachdem auf dem Hacking-Wettbewerb bereits Google Chrome kompromittiert wurde, ist nun auch die aktuelle Version des Internet Explorer fällig.
Google Chrome auf Ansage geknackt
Am ersten Tag der Sicherheitskonferenz CanSecWest gelang es im Rahmen zweier Hacking-Wettbewerbe gleich mehrfach, den Google-Browser zu kompromittieren.
Bestellplattform für Exploits
Bei dem Schwachstellen-Marktplatz Exploit Hub können Pentester nun auch ein Kopfgeld für Exploits ausschreiben. Zum Start sucht der Betreiber nach 12 Exploits, die Lücken in Internet Explorer und Flash ausnutzen. Dabei winken Prämien bis zu 500 US-Dollar.
Exploits exklusiv für Ermittlungsbehörden
Ein Sicherheitsdienstleister verkauft seine Informationen über Schwachstellen nicht mehr nur zum Schutz seiner Kunden, sondern auch für Angriffszwecke. Kunden sollen unter anderem Behörden aus NATO-Ländern, Asien und Australien sein.
Exploits für Strafverfolger im Angebot
Die Bug-Sucher von Vupen bieten Strafverfolgern einen besonderen Service: Sie suchen gezielt nach Exploits in Software, mit deren Hilfe die Behörden Rechner angreifen können. Ob auch deutsche Strafverfolger zu den Abnehmern gehören, ist nicht bekannt.
Merry Haxmas
Das deutsche Untergrundforum carders.cc ist erneut von Hacker-Kollegen angegriffen worden. Außerdem hatten die Verantwortlichen vorübergehend Zugriff auf Server einer Exploit-Datenbank und die Website der Sicherheits-Live-CD Backtrack.
Adobe: Loch zu, Loch auf
Eine weitere Lücke im Adobe Reader lässt sich wahrscheinlich ausnutzen, um ein System zu kompromittieren. Für den Flash Player hat Adobe das Update vorgezogen und schon am heutigen Freitag veröffentlicht.
Java löst Adobe Reader als häufigstes Angriffsziel ab
Nach Beobachtungen des Microsoft Malware Protection Center (MMPC) hat die Zahl der Angriffsversuche auf Java-Lücken in den vergangenen Monaten dramatisch zugenommen.
Microsoft-Härtungstool mit grafischer Oberfläche
Mit dem Tool können Anwender Software gegen bekannte Attacken abhärten – und zwar nachträglich, ohne eine Neuübersetzung des Programms.
Hersteller müssen Sicherheitslücken künftig schneller schließen
Nachdem Google Herstellern zum Patchen von Sicherheitslücken nur noch 60 Tage Zeit geben will, limitiert nun der Schwachstellen-Broker Zero Day Initiative den Zeitraum für das Entwickeln von Sicherheits-Updates.
Microsoft-Lücken: mal Full Disclosure, mal Null Disclosure
Ein Sicherheitsdienstleister hat Lücken in Office 2010 entdeckt, gibt die Informationen aber nur an die eigenen Kunden weiter. Microsoft bleibt zunächst außen vor - und die Lücken offen.
iPhone 4.0 schließt 65 Sicherheitslücken
Die meisten Lücken entfallen auf WebKit und ermöglichten einer präparierten Seite, Schadcode in das iPhone zu schleusen und zu starten – auf dem iPhone 2G und iPods der ersten Generation bleiben die Lücken allerdings vorerst offen.
Microsoft, Windows und Google: "Eine kaum zu übersehende Ironie"
Nach Ansicht von Microsoft ist die Verbannung von Windows durch Google sachlich ungerechtfertigt. Zudem wurde bekannt, dass populäre Download-Portale Spyware für Mac OS X verbreiten.
Metasploit 3.4 mit erweiterter Brute-Force-Unterstützung
Das Exploit-Framework Metasploit 3.4 bringt über 100 neue Exploits und zahlreiche Verbesserungen mit. Zudem ist die kommerzielle Version Metasploit Express verfügbar.
Apple-Patch schließt Pwn2Own-Lücke in Mac OS X
Das Update schließt eine Lücke, durch die sich über den Browser Safari Code in ein System schleusen und starten lässt.
Neue Exploittechnik trickst Speicherschutz aus
Ein Sicherheitsexperte hat die ersten bösartigen PDF-Dateien entdeckt, die die Speicherschutzfunktion Data Execution Prevention (DEP) durch Return Oriented Programming umgehen.
Exploit-Tool Metasploit 3.3 verfügbar
Neben den kürzeren Startzeiten der Metasploit-Konsole und der Module haben die Entwickler eine breitere Unterstützung verschiedener Betriebssysteme erreicht.
Liste der "Top 100 Dirtiest Web sites" veröffentlicht
Symantec hat einen Auszug aus seiner Liste veröffentlicht, bei der bereits der Besuch mit einem verwundbaren PC zu einer Infektion führen kann. Oftmals handelt es sich dabei zwar um eigentlich harmlose, aber schlecht gewartete Auftritte.
Exploit-Portal Milw0rm nimmt Arbeit wieder auf
Dass die Arbeit weitergeht, ist laut str0ke Freunden zu verdanken, die sich bereiterklärt haben, Aufgaben auf Milw0rm zu übernehmen. Zudem liefert nun ein leistungsfähigerer Server die Seiten aus.
Exploit-Portal Milw0rm stellt Arbeit ein [Update]
Eines der größten Exploit-Portale im Internet veröffentlicht keine weiteren Exploits mehr. Grund soll die mangelnde Zeit des Betreibers sein, eingereichte Exploits in einem angemessenen Rahmen zu begutachten und zu veröffentlichen.
lost+found:Wurmschäden, Exploits, Online-Scanner
Conficker und die geschätzen Schäden, Manipulierte Exploits, Umfrage zu WLAN-Sicherheit, Online-Scanner mit Firefox-Unterstützung.
Antivirenhersteller rät vom Einsatz des Adobe Reader ab
Anwender sollten aufgrund der Sicherheitsprobleme des Adobe Reader auf alternative PDF-Anwendungen wechseln, empfahl der technische Direktor des finnischen Antivirenherstellers F-Secure am Rande der aktuell stattfindenden RSA-Konferenz.
25C3: Zuverlässige Exploits für Cisco-Router
Felix "FX" Lindner von Phenoelit präsentierte auf dem CCC-Kongress erstmals öffentlich eine Technik, mit der sich Pufferüberläufe auf Cisco-Routern verlässlich ausnutzen lassen.
Sicherheitsdienstleister FrSIRT benennt sich in VUPEN Security um
Der neue Name soll das Tätigkeitsfeld besser signalisieren als der bisherige. Das Unternehmen will sich auf den neuen "Exploits & PoCs Service" konzentrieren, mit dem VUPEN Herstellern die Möglichkeit gibt, Exploits zu kaufen,
heise online Themen