alert

[Debian] Schwachstelle in GnuPG - DSA 1266-1

CVE-2007-1263 - Schwachstelle bei der Verwendung von GnuPG in
verschiedenen Mail Clients

GnuPG trifft bei der Verifikation Digitaler Signaturen von
OpenPGP-Dateien keine Unterscheidung zwischen signierten und
unsignierten Paketen. Fuer einen Benutzer kann so der Eindruck
entstehen, dass eine gesamte Nachricht gueltig signiert ist, obwohl
dies nur fuer einen Teil der Nachricht zutrifft. Ein entfernter
Angreifer kann diese Schwachstelle ausnutzen, indem er an seinen
eigenen Text eine gueltig signierte Nachricht anhaengt, um fuer den
gesamten Nachrichtentext eine gueltige Signatur vorzutaeuschen.

Update - Handbremse neuer Art

In der Bundesrepublik Deutschland ist es nach dem aktuell geltenden Gesetz über Urheberrecht und verwandte Schutzrechte (kurz UrhG) nach Paragraph 95a - Schutz technischer Maßnahmen verboten für Programme die die technischen Maßnahmen umgehen zu werben. Selbst wenn weder Werber noch Hersteller gewerblich handeln, und darunter fällt auch der Verweis mittels eines Hyperlinks.

drupal mit neuen Versionen

drupal kann in den bisher aktuellen Versionen 4.5.7, 4.6.5 oder der Beta5 von 4.7 als email-Schleuder missbraucht werden. Es gibt eine Cross-Side Scripting Lücke, Konten-Übernahme oder die versehentliche Öffnung von eigentlich eingeschränkten Seiten.

MacOS X Lücken: Jäger und Gejagte

Apple hat für MacOS X ein weiteres Sicherheitsupdate veröffentlicht. Wie immer, schnellsten installieren.

Apple schneller als Mozilla

Nachdem sowohl für Firefox als auch für Safari und Mail Sicherheitslücken gefunden wurden, muss man festhalten: Apple ist schneller.

Nun können auch MacOS X User mitreden: Sicherheitslücken

Wie heise online meldet sind erhebliche Sicherheitsmängel in MacOS X zu Tage getreten. MacOS X geht etwas unvorsichtig mit Dateien um, die nicht das sind was es den Anschein hat. Ähnlich der .png.pif Doppel-Endungen unter Fenster können Dateien zwar schöne und unverdächtige Endungen haben, aber durchaus mit ganz anderen Programmen per Doppel-Klick zum starten gebracht werden.

Lupper wandelt sich

Wer Wordpress, TikiWiki, phpGroupware sowie Drupal nutzt, sollte auf Lupper etwas achten. Heinz gibt genaue Anleitungen zum finden.

Vorsicht Phishing!

In den Staaten legen die Betrüger beim Phishing zu. Man meldet einfach eine aussagekräftigere URL an als die Bank hat und beantragt dafür gleich ein SSL-Zertifikat auf den Namen der Bank. Was kann da noch schief gehen?

Mozilla & Firefox mit schwerwiegenden Problem

Um sich bei den Web-Seiten Layoutern beliebt zu machen, hat Mozilla eine Funktion vorgesehen, die bestimmte Manipulationen erlaubt. Wie bei dhtml beim Explorer und auch bereits bei der Chrome-Problematik der früheren Mozilla Versionen ist das jedoch ein Einfallstor mit dem planetaren Werbe-Banner: Hier geht's rein
Mehr bei Onkel Heinz. Und nein, Firefox 1.5.0.1 ist ebenfalls betroffen. Da muss man dann mal raten, doch zu Opera, Konquror oder Safari zu wechseln, bis 1.5.1.

Konqueror mit JavaScript Problemen (behoben)

KJS, die JavaScript Engine für den Konqueror hat einen Heap-Overflow, der genutzt werden kann um Code einzuschleusen. Die Behebung ist abgeschlossen und die entspr. KDELIBS werden von den Distros verteilt. Mehr bei KDE und von da hat es vielleicht auch Heinz

Inhalt abgleichen