Im Shockwave Player wurden fünf Sicherheitslücken gefunden. Vier davon werden als gefährlich eingestuft, weil Angreifer darüber schadhaften Programmcode ausführen können. Mit einer neuen Version des Shockwave Player werden diese Fehler korrigiert.
Eines der fünf Sicherheitslecks kann für einen Denial-of-Service-Angriff missbraucht werden und wird daher als weniger gefährlich angesehen. Eine Ausführung von Schadcode ist darüber nicht möglich. Die anderen vier Sicherheitslecks können hingegen zum Ausführen beliebigen Programmcodes missbraucht werden, um so die Kontrolle über ein fremdes System erlangen zu können.
Der Shockwave Player 11.5.2.602 steht ab sofort für Windows und MacOS als Download zur Verfügung.
Im CMS Typo3 wurden einige Sicherheitslücken geschlossen. Ein Update auf die neuen Versionen 4.2.10 und 4.1.13 ist empfehlenswert.
Neun Sicherheitslücken listet das Security Bulletin auf. Vier davon befinden sich im Backend, wo sich Schlüssel für die Verschlüsselung ausspionieren und Frames mithilfe manipulierter URLs kapern lassen. Zudem finden sich dort ein XSS-Leck und eines, das zum Ausführen von beliebigem Code taugt.
Im Frontend werden URL-Parameter nicht ausreichend geprüft, was für SQL-Injections taugt, und die Login-Seite ist anfällig für Cross-Site-Scriptings. Weitere XSS-Lecks sind in API-Funktion t3lib_div::quoteJSvalue und im Install Tool zu finden. In diesem sind zudem Authentifizierung und Session Handling unsicher.
Mit Typo3 4.2.10 und 4.1.13 hat man die Lecks abgedichtet. Auch in die Beta 2 der kommenden Version 4.3 sind die Änderungen bereits eingeflossen.
Am Freitag brachten die Entwickler der freien Scriptsprache PHP eine neue Version heraus. Die Version PHP 5.2.11 enthält über 70 Bugfixes, außerdem wurden einige Sicherheitslücken geschlossen. Dazu gehört unter anderem die Validierung von Zertifikaten, eine Plausibilitätsprüfung für den Farbindex in imagecolortransparent() sowie eine bei der Exif-Verarbeitung.
Die Entwickler empfehlen angesichts der gefundenen und nun beseitigten Sicherheitslücken dringend den Umstieg auf die neue Version, die unter php.net zum Download bereit steht. Eine Übersicht der Änderungen findet sich in den Release Notes.
Nachdem man die Versionen 4.1.11 und 4.2.7 wegen eines Fehlers wieder zurückgezogen hatte, gibt es nun die offiziellen neuen Releases.
Bei den neuen Typo3-Version 4.0.13, 4.1.12 und 4.2.8 handelt es sich um Wartungsreleases, mit denen lediglich Bugs gefixt und einige unbedeutende Sicherheitslücken gestopft werden. Sie stehen ab sofort zum Download bereit.
Typo3 4.0.13 war von dem Bug, der zum Rückzug der anderen Versionen führte nicht betroffen und ist bereits seit vergangener Woche zu haben.
Im Mail-Client wurden mehrere Sicherheitslücken gestopft, die meisten sind allerdings nicht allzu schwerwiegend.
Während Thunderbird 3 weiter auf sich warten lässt, wurden im 2er-Entwicklungszweig einige Schwachstellen behoben. Er konnte unter anderem mit Multipart-Mails zum Absturz gebracht werden, was sich möglicherweise für Angriffe ausnutzen lässt. Das Leck trägt als einziges die Sicherheitseinstufung high, alle anderen dagegen nur moderate und low.
Thunderbird 2.0.0.22 steht für Windows, Linux und Mac OS X zum Download bereit.
