security newsletter

Transcrição

security newsletter

24.06.13, 45990/Best.-Nr. 410399
SECURITY
NEWSLETTER
13
13
Analysen und Lösungen zu aktuellen Gefahren für die Daten- und Netzwerksicherheit
Editorial
Inhalt
Identitätsdiebstahl als Sorgenkind
Alle Betriebssysteme
Fast drei Viertel aller Deutschen sind sehr besorgt, dass
ihre persönlichen Daten gestohlen oder missbraucht werden.
VMware meldet Schwachstellen in sudo für ESX ........... 1
Security-Updates für Adobe Flash Player und AIR ......... 2
Zwei Schwachstellen im IBM Sterling Control Center.... 2
Zahlreiche Sicherheitslücken in Wireshark...................... 2
Jährlich erfasst Unisys seinen Security-Index, der neben
der persönlichen Sicherheit auch die Meinungen der Menschen zur nationalen, finanziellen und Internet-Sicherheit
erfasst.
Wie auch schon in den Jahren zuvor bleibt die Sorge
Nummer eins der befragten Deutschen das Thema Identitätsdiebstahl. 73 Prozent sind extrem oder sehr besorgt
darüber, dass ihre Daten in fremde Hände geraten. An
zweiter Stelle folgt der Kreditkartenbetrug (65 Prozent
haben extreme bzw. hohe Bedenken) und an dritter Stelle
Computersicherheit (Viren und Spam-Attacken; 60 Prozent haben hier extreme bzw. hohe Bedenken).
Windows
Microsoft patcht im Juni .................................................. 3
Unix/Linux
Schwachstelle in IBM AIX Inet erlaubt DoS-Attacken ... 3
Solaris: Neues aus dem Third Party Vulnerability
Resolution Blog ............................................................... 3
Cisco
Bei der Frage, zu welchen Branchen die Verbraucher bei
der Sicherheit ihrer persönlichen Daten am wenigsten
Vertrauen haben, schnitten Banken am schlechtesten ab.
81 Prozent zeigen sich sehr besorgt, dass hier die Datensicherheit verletzt werden könnte und ihre persönlichen
Daten gefährdet sein könnten. 78 Prozent haben ähnliche
Bedenken in Bezug auf Telekommunikations- und Internet-Service-Provider. Hingegen sehen 69 Prozent ihre
Datensicherheit im Gesundheitswesen gefährdet. Gegenüber Einrichtungen der öffentlichen Hand sind zwei Drittel
der Befragten in puncto Datensicherheitsverletzungen sehr
besorgt.
Neue Security-Notizen von Cisco .................................... 4
Grundsätzlich haben sich seit der letzten Erhebung im
Frühjahr 2012 die Sicherheitsbedenken in Deutschland
deutlich vergrößert. Lag der Wert im letzten Jahr bei 135
auf einer Skala von 300, erreicht er aktuell 153 Punkte,
was insgesamt ernsthaften Sicherheitsbedenken entspricht.
Der Indexwert für Internetsicherheit ist mit 165 am höchsten, für nationale Sicherheit mit 135 am niedrigsten.
Die vollständigen Daten der Security-Index-Studie für
Deutschland und andere Länder lassen sich online unter:
http://www.unisyssecurityindex.com abrufen.
Frank Gotta
Chefredakteur
Security Newsletter 13/13
Mac OS
Apple veröffentlicht sicherheitsrelevantes Update
für Mountain Lion ............................................................ 4
Neue Safari-Version für Mac OS X ................................. 4
Kurzmeldungen ................................................................ 5
Impressum ........................................................................ 6
■ VMware meldet Schwachstellen in
sudo für ESX
Betriebssystem Windows, Linux
Software VMware ESX 4.0, 4.1 (sudo)
Angriffe Ausführen von Code, Manipulation
von Dateien
Schutz Software-Update
Im Security-Advisory VMSA-2013-0007 [1] adressiert
VMware zwei Schwachstellen in der von ESX 4.0 und 4.1
genutzten Version von sudo. (fgo)
Seite 1
Problem
1. Eine Race-Condition zwischen dem Löschen der Datei
/var/tmp/nsswitch.conf.bak und ihrem Wiedererstellen
erlaubt es lokalen Angreifern, beliebige Dateien zu
überschreiben.
2. Einem nicht privilegierten Angreifer ist es möglich,
Befehle von einem beliebigen Host aus auszuführen,
obwohl dies in der Konfiguration mittels der Host_List
untersagt ist.
Empfehlung
Ein korrigierender Patch für VMware ESX 4.0 ist verfügbar [2]. Die Korrektur für VMware ESX 4.1 steht noch
aus.
Information
[1] http://www.vmware.com/security/advisories/VMSA-2013-0007.html
[2] https://kb.vmware.com/kb/2044240
■ Security-Updates für
Adobe Flash Player und AIR
Betriebssystem Windows, Mac OS, Linux, Android
Software Adobe Flash Player 11.7.700.202
und früher (Windows, 11.7.700.203
und früher (Mac OS), 11.2.202.285
und früher (Linux), 11.1.115.58 und
früher (Android 4.x), 11.1.111.54
und früher (Android 3.x und 2.x);
Adobe AIR sowie Adobe AIR SDK
& Compiler 3.7.0.1860 und früher
(Windows, Mac OS, Android)
Angriffe remotes Ausführen von Code,
Denial of Service
Eine schwerwiegende Lücke in Flash Player wird von
Adobe per Security-Update geschlossen. (fgo)
Problem
Laut Security-Bulletin APSB13-16 [1] kann in den aufgeführten Versionen der Software eine Speicherbeschädigung provoziert werden, die sich zu Denial-of-ServiceAttacken und im schwerwiegendsten Fall zur unbefugten
Codeausführung missbrauchen lässt.
Empfehlung
Folgende Versionen von Flash Player sind jetzt aktuell und
sollten eingespielt werden: 11.7.700.224 für Windows,
11.7.700.225 für Mac OS und 11.2.202.291 für Linux [2];
11.1.115.63 für Android 4.x und 11.1.111.59 für Android
2.x und 3.x. Die neuen Versionsnummern für AIR:
3.7.0.2090 für Windows, 3.7.0.2100 für Mac OS [3] und
3.7.0.2090 für Android. Für AIR SDK & Compiler sind
nun 3.7.0.2090 für Windows und 3.7.0.2100 für Mac OS
[4] aktuell.
Information
[1] http://www.adobe.com/support/security/bulletins/apsb13-16.html
[2] http://www.adobe.com/go/getflash
[3] http://get.adobe.com/air/
[4] http://www.adobe.com/devnet/air/air-sdk-download.html
Seite 2
■ Zwei Schwachstellen im
IBM Sterling Control Center
Betriebssystem AIX, HP-UX, Linux, Solaris,
Windows
Software IBM Sterling Control Center 5.x
Angriffe Denial of Service, Cross-Site
Scripting
IBM meldet zwei Sicherheitslücken in seiner SoftwareLösung Sterling Control Center. (fgo)
Problem
1. Wenn Anwender per SCC auf eine umfangreiche Datei
zugreifen, die keine EOL-Zeichen enthält, kann es zu
einem Denial of Service kommen.
2. Eine unzureichende Filterung von Inhalten, die von
Benutzern übermittelt werden, kann zu einer erfolgreichen Cross-Site-Scripting-Attacke missbraucht werden.
Empfehlung
Zur Korrektur empfiehlt IBM das Einspielen der Versionen Control Center 5.2.09, Sterling Control Center 5.3.0.4
oder Sterling Control Center 5.4.0.1.
Information
[1] http://www-01.ibm.com/support/docview.wss?uid=swg21640348
■ Zahlreiche Sicherheitslücken in
Wireshark
Betriebssystem alle Systeme
Software Wireshark vor 1.6.16, vor 1.8.8
Denial of Service
Beim beliebten Netzwerk-Sniffer Wireshark besteht in den
Versionen vor 1.6.16 [1] bzw. vor 1.8.8 [2] Nachbesserungsbedarf. (fgo)
Problem
Eine schwerwiegende Sicherheitslücke im File-Parser für
Ixia IxVeriWave kann durch manipulierte Datenpakete
ausgenutzt werden, um einen Heap-basierten Pufferüberlauf zu provozieren und in der Folge unbefugt Code auszuführen. Zudem weist eine ganze Reihe von Dissektoren
Fehler auf, die durch manipulierte Datenpakete zu Denialof-Service-Attacken missbraucht werden können. Betroffen sind die Dissektoren für CAPWAP, GMR-1 BCCH,
PPP, NBAP, RDP, GSM CBCH, Assa Abloy R3 und
HTTP.
Empfehlung
Updates auf Wireshark 1.6.16 bzw. Wireshark 1.8.8 korrigieren diese Probleme. Aktuelles stabiles Release ist Wireshark ist 1.10.0 [3].
Information
[1] http://www.wireshark.org/docs/relnotes/wireshark-1.6.16.html
[2] http://www.wireshark.org/docs/relnotes/wireshark-1.8.8.html
[3] http://www.wireshark.org/download.html
Windows
Unix
■ Microsoft patcht im Juni
■ Schwachstelle in IBM AIX Inet
erlaubt DoS-Attacken
Betriebssystem Windows
Software Microsoft Internet Explorer, Kernel,
Kernel-Mode-Treiber, Windows
Print Spooler, Microsoft Office
2003 SP3
Denial of Service, Zugriff auf
sensible Informationen, Erhöhen
von Rechten
Mit fünf neuen Security-Bulletins wartet Microsoft am
offiziellen Patchday im Juni auf. Allein in den diversen
Versionen des Internet Explorer werden dabei 19 Schwachstellen angegangen. (fgo)
Betriebssystem
Software
Angriffe
Schutz
AIX 6.1, 7.1
Inet
Denial of Service
Software-Update
Eine Schwachstelle in IBM AIX Inet erlaubt remote Denial-of-Service-Angriffe [1]. (fgo)
Problem
Der Fehler in IBM AIX Inet tritt auf, wenn eine IPv6Adresse auf allen Netzwerkschnittstellen konfiguriert ist.
Durch das Senden manipulierter IPv6-Pakete kann ein
remoter Angreifer, der diese Schwachstelle ausnutzt, einen
Denial of Service provozieren.
Problem
1. Das kumulative Update für den Internet Explorer in den
Versionen 6 bis 10 umfasst Korrekturen für insgesamt
19 Sicherheitslücken. Werden diese erfolgreich ausgenutzt, können Angreifer im schwerwiegendsten Fall remote Code auf einem Zielsystem zur Ausführung bringen (MS13-047) [1].
Empfehlung
IBM stellt APARs zur Verfügung, um das Problem zu
beheben. Die entsprechenden Links zum Download finden
sich in der Herstellermeldung.
2. Im Kernel von Windows existiert eine Schwachstelle,
die es lokalen, am System angemeldeten Angreifern erlaubt, unbefugt auf sensible Informationen zuzugreifen,
die sich für weiterführende Angriffe missbrauchen lassen (MS13-048) [2].
■ Solaris: Neues aus dem
Third Party Vulnerability Resolution Blog
3. Der Windows-Kernel-Mode-Treiber lässt sich durch
manipulierte Pakete über das Netzwerk so irritieren,
dass ein Denial of Service ausgelöst werden kann
(MS13-049) [3].
4. Im Microsoft Windows Print Spooler können sich lokale Anwender unbefugt erweiterte Rechte verschaffen
(MS13-050) [4].
5. Microsoft Office 2003 SP3 zeigt eine Schwachstelle,
die beim Öffnen von Office-Dokumenten mit Microsoft
Outlook oder bereits bei der Vorschau die Ausführung
von Code mit den Rechten des betroffenen Benutzers
erlaubt (MS13-051) [5].
Empfehlung
Die zur Fehlerkorrektur bereitgestellten Updates können
entweder über die Bulletins geladen oder über die Funktion Microsoft-Update installiert werden.
Information
[1] http://technet.microsoft.com/en-us/security/bulletin/ms13-047
Information
[1] http://aix.software.ibm.com/aix/efixes/security/inet_advisory.asc
Betriebssystem Solaris 9, 10, 11.1
Software OpenSSL, GNU Grep, libxml2,
Apache HTTP Server, sudo
Denial of Service, Cross-Site
Scripting, Umgehen von Sicherheitsfunktionen
Der Third Party Vulnerability Resolution Blog von Oracle
führt neue Schwachstellen in Software und Komponenten
auf, die auf Solaris-Systemen genutzt werden. (fgo)
Problem
1. In Solaris OpenSSL liegen zwei Sicherheitslücken vor,
die den Zugriff auf verschlüsselte Daten sowie Denialof-Service-Attacken erlauben. Patches sind für Solaris
10 und 11.1 verfügbar, der für Solaris 9 ist angekündigt
[1].
2. In GNU Grep vor Version 2.11 lässt sich ein Pufferüberlauf provozieren. Der lässt sich im schwerwiegendsten Fall zu remoten Codeausführung missbrauchen. Auch hier gilt: Patches für Solaris 10 und 11.1
sind bereits verfügbar, der für Solaris 9 ist angekündigt
[2].
3. Die Bibliothek libxml2 weist eine DoS-Schwachstelle
auf [3]. Weiterhin existiert eine Sicherheitslücke beim
Dekodieren von XML-Entities, die einen Pufferüberlauf
zur Folge haben kann, der sich unter anderem zur missbräuchlichen Codeausführung ausnutzen lässt [4]. Patches für Solaris 10 und 11.1 sind verfügbar, für Solaris
9 ist ein Patch angekündigt.
4. In den Apache-Modulen mod_imagemap, mod_info,
mod_status, mod_proxy_balancer, mod_proxy_ftp und
mod_ldap wurden Cross-Site-Scripting-Schwachstellen
dokumentiert [5].
Seite 3
5. sudo weist zwei Schwachstellen auf, die es Angreifern
unter anderem erlauben, unbefugt Befehle mit erweiterten Rechten auszuführen [6].
Empfehlung
Über die jeweiligen Einträge im Third Party Vulnerability
Resolution Blog sind die Links zu den bereitgestellten
Updates verfügbar.
Information
[1] https://blogs.oracle.com/sunsecurity/entry/lucky_thirte
en_vulnerability_in_solaris
[2] https://blogs.oracle.com/sunsecurity/entry/cve_2012_5667_heap_buffer
[3] https://blogs.oracle.com/sunsecurity/entry/cve_2013_0338_denial_of
[4] https://blogs.oracle.com/sunsecurity/entry/cve_2012_5
134_buffer_overflow
[5] https://blogs.oracle.com/sunsecurity/entry/multiple_cr
oss_site_scripting_vulnerabilities
[6] https://blogs.oracle.com/sunsecurity/entry/multiple_pe
rmissions_privileges_and_access
Cisco
■ Neue Security-Notizen von Cisco
Betriebssystem Cisco
Software Cisco Video Surveillance
Operations Manager Software,
Cisco Secure Access Control
System (ACS), Cisco Hosted Collaboration Solution, Cisco WebEx
Meetings Server (Event Center)
Angriffe Denial of Service, Spoofing, Zugriff
auf sensible Informationen, Umgehen von Sicherheitsfunktionen
Cisco hat eine Reihe von Meldungen zu Sicherheitslücken
veröffentlicht, die laut Hersteller nur eine niedrige bis
mittlere Gefährdung darstellen. (fgo)
Problem
1. Die Software Cisco Video Surveillance Operations
Manager weist einen Fehler bei der Validierung von Inhalten auf, die von Anwendern übermittelt werden. Dies
lässt sich von nicht authentifizierten Angreifern remote
ausnutzen, um Webseiten in den Browser eines Benutzers zu laden [1].
2. Die administrative Weboberfläche des Cisco Secure
Access Control System (ACS) erlaubt es einem authentifizierten remoten Angreifer, unbefugt auf sensible Informationen des Portals zuzugreifen [2].
3. Die Cisco Hosted Collaboration Solution weist eine
ohne Authentifizierung ausnutzbare DoS-Schwachstelle
auf, die über manipulierte UDP-Pakete ausgelöst wird,
die an ein betroffenes System gesendet werden [3].
4. Das Modul Cisco WebEx Event Center von Cisco WebEx Meetings Server reagiert auf Nutzeranfragen nicht
einwandfrei, sodass nicht authentifizierte remote Angreifer auf sicherheitsrelevante Informationen zugreifen
können [4].
Empfehlung
Cisco stellt laut eigenen Aussagen korrigierende Updates
bzw. Upgrades über seinen Support.-Channel zur Verfügung.
Seite 4
Information
[1] http://tools.cisco.com/security/center/content/CiscoSec
urityNotice/CVE-2013-3376
Mac OS
■ Apple veröffentlicht sicherheitsrelevantes
Update für Mountain Lion
Betriebssystem Mac OS X
Software Mac OS X vor 10.8.4
Denial of Service, Umgehen von
Sicherheitsfunktionen, Zugriff auf
sensible Informationen
Apple hat ein Update für Mountain Lion auf Version OS X
10.8.4 veröffentlicht [1]. (fgo)
Problem
Zu den laut Herstellermeldung [2] in der neuen Version
korrigierten Komponenten zählen CFNetwork, CoreAnimation, CoreMedia Playback, CUPS, die Directory Services, das Disk Management, OpenSSL, der QuickDraw
Manager, QuickTime, Ruby und SMB. Zudem ist das
Update auf Safari 6.0.5 enthalten (siehe unten).
Empfehlung
Die Aktualisierung lässt sich über den Menüpunkt „Software Update“ einspielen oder manuell laden [3] und installieren.
Information
[1] http://support.apple.com/kb/HT5730
[3] http://support.apple.com/kb/DL1659
■ Neue Safari-Version für Mac OS X
Betriebssystem Mac OS X Lion 10.7.5, OS X Lion
Server 10.7.5, OS X Mountain Lion
10.8.3
Software Safari vor 6.0.5
Angriffe remotes Ausführen von Code, Denial of Service, Cross-Site Scripting
Apple hat seinen Browser Safari in der Version 6.0.5 für
Mac OS veröffentlicht. (fgo)
Problem
Die Meldung [1] führt insgesamt 30 Schwachstellen in
WebKit auf, die durch das Update geschlossen werden.
Als mögliche Folgen erfolgreicher Angriffe, die aufgrund
von provozierten Speicherbeschädigungen erfolgen können, sind unter anderem die unbefugte remote Codeausführung und DoS-Attacken genannt.
Empfehlung
Safari 6.0.5 lässt sich automatisch über den Menüpunkt
„Software Update“ installieren.
Information
Kurzmeldungen
VMware aktualisiert Sicherheitsmeldungen
VMware hat zwei seiner Security-Bulletins aktualisiert, da
neue Patches verfügbar sind. VMSA-2013-0001 [1], das
Sicherheitslücken dokumentiert, die die VMware vSphereAuthentifizierung, die Implementierung von XSL, die
Bibliotheken Libxslt und Chromium (Libxml2) sowie die
Komponente ISC BIND 9 betreffen, wurde um Angaben
zum jetzt verfügbaren Patch für ESX 4.0 erweitert. Das
Security-Advisory VMSA-2013-0004 [2] wurde ergänzt
um die Links zu den Korrekturen für ESX und ESXi 4.0.
Es thematisiert eine Schwachstelle in libxml2, die sich zur
remoten Codeausführung missbrauchen lässt. (fgo)
Schwachstelle im VMware vCenter
Chargeback Manager
Der VMware vCenter Chargeback Manager vor Version
2.5.1 weist eine nicht näher definierte Sicherheitslücke bei
der Verarbeitung von Uploads auf. Diese lässt sich von
remoten Angreifern auch ohne Authentifizierung missbrauchen, um eigene Befehle auf einem Zielsystem auszuführen [1]. Ein korrigierender Patch steht zum Download
[2] bereit. (fgo)
[2] https://downloads.vmware.com/d/info/it_business_man
agement/vmware_vcenter_chargeback/2_5
IBM Notes erlaubt Zugriff auf Passwörter
In IBM Notes 8.5.x und 9.0 für die Betriebssysteme
Windows, Linux und Mac OS X liegt eine Schwachstelle
vor, die es Angreifern mit Zugriff auf den Hauptspeicher
von lokalen Workstations unter bestimmten Rahmenbedingungen erlaubt, Passwörter im Klartext einzusehen [1].
IBM hat korrigierende Fixes veröffentlicht. (fgo)
HP Service Manager und HP ServiceCenter
mit Sicherheitslücken
HP Service Manager 9.31, 9.30, 9.21 und 7.11 sowie HP
ServiceCenter 6.2.8 für AIX, HP-UX, intelLinux, sparcSOL und Windows Server weisen zwei nicht näher definierte Schwachstellen auf, die Angreifern remote CrossSite-Scripting-Attacken sowie den unbefugten Zugriff auf
sensible Informationen ermöglichen [1]. HP stellt korrigierende Updates für die betroffenen Software-Versionen
zum Download zur Verfügung. (fgo)
[1] http://h20564.www2.hp.com/portal/site/hpsc/public/kb/
docDisplay/?docId=emr_na-c03784101
Bugfixes für Novell ZENworks
Configuration Management
Im Novell ZENworks Configuration Management wurden
verschiedene Sicherheitslücken dokumentiert. Sie können
Angreifern Cross-Site-Scripting- und Cross-Site-RequestForgery-Angriffe ermöglichen. Fixes stehen jetzt zur Verfügung. (fgo)
[1] http://www.novell.com/support/kb/doc.php?id=7012499
Windows
IBM Notes Multi User Profile Cleanup
Service von IBM Notes erlaubt Angriffe
Laut IBM-Meldung kann ein Anwender innerhalb des
IBM Notes Multi User Profile Cleanup Service andere
Anwender derart angreifen, dass bei ihrem nächsten Logon
unbefugt Code ausgeführt wird [1]. Betroffen sind die
Versionen 8.0 bis 9.0 von IBM Notes. Es liegen korrigierende Fixpacks vor. (fgo)
Update: Schwachstellen im Novell Client für
Windows
Um Schwachstellen im Novell Client für Windows zu
schließen, für die Zero-Day-Exploits kursieren [1], [2], hat
Novell jetzt Updates veröffentlicht [3]. Die Gefährdung
durch diese Sicherheitslücken lässt sich durch das Einspielen neuer Versionen der Kernel-Treiber NWFS.SYS (für
Windows XP/2003) [4] bzw. NCPL.SYS für Windows 7,
8, Server 2008 R2 und Server 2012) [5] sowie für Vista
und Windows 2008 [6] beseitigen. (fgo)
[1] http://www.eeye.com/resources/security-center/research/zero-daytracker/2013/20130510
[2] http://www.eeye.com/resources/security-center/research/zero-daytracker/2013/20130522
[4] http://download.novell.com/protected/Summary.jsp?bu
ildid=jHDTLHptZVY%7E
[5] http://download.novell.com/Download?buildid=ck8iQRr2ooc%7E
[6] http://download.novell.com/Download?buildid=4LymmsBuXy0%7E
Unix
Schwachstelle in OpenBSD
erlaubt DoS-Attacken
Die Versionen 5.2 [1] und 5.3 [2] von OpenBSD weisen in
der Funktion in6_control() der Datei „sys/netinet6/in6.c“
eine Denial-of-Service-Schwachstelle auf. Sie lässt sich
von lokalen, nicht privilegierten Angreifern durch das
Ausführen des SIOCSIFADDR-IOCTL mit einem präparierten Parameter auf einen AF_INET6-Socket missbrauchen. Korrigierende Quellcode-Patches für OpenBSD 5.2
[3] und 5.3 [4] stehen zum Download zur Verfügung. (fgo)
[1] http://www.openbsd.org/errata52.html
[2] http://www.openbsd.org/errata53.html
[3] http://ftp.openbsd.org/pub/OpenBSD/patches/5.2/common/005_in6.patch
[4] http://ftp.openbsd.org/pub/OpenBSD/patches/5.3/common/005_in6.patch
PHP-CGI von Parallels Plesk Panel
erlaubt remote Codeausführung
Die älteren Versionen 9.0 bis 9.2.3 von Parallels Plesk
Panel für Linux und Unix weisen eine Sicherheitslücke in
PHP-CGI auf, die es Angreifern erlaubt, remote Code
auszuführen [1]. PHP-FastCGI ist nicht betroffen. Wer die
alten Versionen beibehalten will, sollte den angegebenen
Workaround durchführen, da zur Ausnutzung der
Schwachstelle ein Exploit veröffentlicht wurde [2]. Allerdings empfiehlt der Hersteller den Umstieg auf die aktuelle
Version 11.0 [3], die diesen Fehler nicht aufweist. (fgo)
Seite 5
[1] http://kb.parallels.com/en/113818
[2] http://www.exploit-db.com/exploits/25986/
[3] http://www.parallels.com/de/download/plesk/
Diverse sicherheitsrelevante Bugs in XEN
In der Virtualisierungslösung XEN wurden verschiedene
Sicherheitslücken gefunden [1]. Sie können von lokalen
Benutzern ausgenutzt werden, um Zugriff auf privilegierte
Daten zu erhalten oder einen Denial of Service (DoS)
durchzuführen. Updates stehen zur Verfügung. (fgo)
[1] http://www.auscert.org.au/render.html?it=17659
Cisco
Cisco Prime Infrastructure
mit Cross-Site-Scripting-Schwachstelle
In der Cisco Prime Infrastructure liegt laut CVE-20131247 [1] eine Schwachstelle vor, die auf der unzureichenden Überprüfung der Service Set Identifiers (SSID) vor der
Übernahme in eine Aufstellung der fehlerhaften AccessPoints beruht. Angreifer, die diesen Fehler ausnutzen,
können Cross-Site-Scripting-Attacken durchführen und
Scripts im Browser der Anwender ausführen, die sich
diese SSID anzeigen lassen. Ein korrigierendes Update ist
über die Support-Kanäle von Cisco verfügbar. (fgo)
Mac OS
Microsoft Office for Mac 2011
erlaubt remote Codeausführung
Im Rahmen des offiziellen Patchday von Microsoft wurde
auch eine Schwachstelle in der Mac-Version 2011 von
Office vermeldet: Wenn ein Benutzer ein manipuliertes
Office-Dokument mit einer betroffenen Version der Software öffnet oder anzeigt, kann ein Angreifer einen Fehler
ausnutzen, um eigenen Code mit den Rechten des angemeldeten Benutzers auszuführen [1]. Das korrigierende
Microsoft Office for Mac 2011 14.3.5 Update steht zum
Download [2] bereit. (fgo)
[2] http://www.microsoft.com/downloads/details.aspx?fam
ilyid=8bb70e5c-a3b1-4618-8295-2721b78f1d5f
Impressum
Verlag:
WEKA MEDIA GmbH & Co. KG
Römerstraße 4, 86438 Kissing
Tel.: 0 82 33.23-40 02
Fax: 0 82 33.23-74 00
http://www.weka.de
Herausgeber:
WEKA MEDIA GmbH & Co. KG
Gesellschafter der WEKA MEDIA GmbH & Co. KG sind als
Kommanditistin:
WEKA Business Information GmbH & Co. KG
und als Komplementär:
WEKA MEDIA Beteiligungs-GmbH
Geschäftsführer:
Stephan Behrens, Michael Bruns, Werner Pehland
Redaktion:
Chefredakteur: Frank Gotta (fgo)
Redakteure: Dr. Matthias Leu (ml), Frank Zinkand (fzi)
[email protected]
Erscheinungsweise:
Der Security Newsletter erscheint 14-tägig.
Abonnentenhotline:
[email protected]
Tel.: 0 82 33.23-73 23
Fax: 0 82 33.23-72 36
Abonnentenverwaltung:
Kundenservice
Römerstr. 4, 86438 Kissing
Tel.: 0 82 33.23-40 02
Fax: 0 82 33.23-74 00
ISBN: 3-8245-0410-3
Preis und Laufzeit des Abonnements:
Der Abonnementpreis für ein halbes Jahr (mind. 12 Ausgaben)
beträgt 148,00 € (inkl. Versand, zzgl. MWST). Das Abonnement
gilt für ein halbes Jahr (mind. 12 Ausgaben) und verlängert sich
automatisch um ein weiteres halbes Jahr, wenn nicht 4 Wochen
vor Ablauf der Bezugszeit schriftlich gekündigt wird.
Haftung:
Die WEKA MEDIA GmbH & Co. KG ist bemüht, ihre Produkte
jeweils nach neuesten Erkenntnissen zu erstellen. Die inhaltliche
Richtigkeit und Fehlerfreiheit wird ausdrücklich nicht zugesichert. Bei Nichtlieferung durch höhere Gewalt, Streik oder Aussperrung besteht kein Anspruch auf Ersatz. Erfüllungsort und
Gerichtsstand ist Kissing. Zum Abdruck angenommene Beiträge
und Abbildungen gehen im Rahmen der gesetzlichen Bestimmungen in das Veröffentlichungs- und Verbreitungsrecht des
Verlags über. Für unaufgefordert eingesandte Beiträge übernehmen Verlag und Redaktion keine Gewähr. Namentlich ausgewiesene Beiträge liegen in der Verantwortlichkeit des Autors. Titel
und alle in ihm enthaltenen Beiträge und Abbildungen sind urheberrechtlich geschützt. Jeglicher Nachdruck, auch auszugsweise,
ist nur mit ausdrücklicher Genehmigung des Verlags und mit
Quellenangabe gestattet.
Mit Ausnahme der gesetzlich zugelassenen Fälle ist eine Verwertung ohne Einwilligung des Verlags strafbar.
Unter
http://www.weka.de/it-security/10317556-%7Eitsecuritynewsletter%7Efsc_formular.html
haben Sie mit dem aktuellen Freischaltcode bopiarop Zugriff
aufs Archiv.
Seite 6

security newsletter

Transcrição

Documentos relacionados

Einrichtung einer VPN-Verbindung für den Zugriff auf - meine

IBM Praktikaangebote für Studenten - Werkstudent/in im

security newsletter

The CSO Group approach…

Netzwerk-Virtualisierung.

Wiedereinsetzung in den vorigen Stand - § 110 AO

SECURITY NEWSLETTER

Skillprofil german - hydrografix Consulting GmbH

CISCO uBR7246VXR - Normann Engineering GmbH

security newsletter