Die Ent­wick­ler des CMS-Frame­work Typo3 schla­gen in einem Mai­ling an [email protected] Alarm. In den Typo3-Ver­sio­nen  4.3.0, 4.3.1 und 4.3.2 (eben­so in bis­he­ri­gen Ent­wick­ler­ver­sio­nen des 4.4‑Zweigs) kann ein Angrei­fer PHP-Code von einem exter­nen Ser­ver ein­schleu­sen und inner­halb von Typo3 aus­füh­ren.

Das Advi­so­ry SA-2010–008 (http://typo3.org/teams/security/security-bulletins/typo3-sa-2010–008/) beschreibt detail­liert, wie sich Abhil­fe schaf­fen lässt. Zum einen löst ein Upgrade auf Ver­si­on 4.3.3 das Pro­blem. Es gibt über­dies drei PHP-Schal­ter, von denen min­des­tens einer auf “off” ste­hen muss, damit die Lücke nicht aus­ge­nutzt wer­den kann:

• register_globals
• allow_url_include
• allow_url_fopen

Die Chan­cen ste­hen gut, dass einer davon bereits stan­dard­mä­ßig abge­schal­tet ist und es ist eine gute Idee, alle abzu­schal­ten. Aber ers­tens gibt das in man­chen Fäl­len Kom­pa­ti­bil­täts­pro­ble­me und zwei­tens hat man als Kun­de eines Web-Hos­ters unter Umstän­den nur sehr ein­ge­schränk­te Mög­lich­kei­ten, die PHP-Ein­stel­lun­gen selbst zu ver­än­dern.

Im Java Deploy­ment Tool­kit (JDT) ist unter Win­dows eine Sicher­heits­lü­cke auf­ge­deckt wor­den, durch die prä­pa­rier­te Web­sei­ten belie­bi­ge Anwen­dun­gen auf einem Win­dows-PC star­ten kön­nen. Mög­lich wäre bei­spiels­wei­se, per FTP einen Tro­ja­ner nach­zu­la­den und zu star­ten. JDT ist seit Java 6 Update 10 im Lie­fer­um­fang von Java ent­hal­ten und soll Ent­wick­lern das Ver­tei­len von Anwen­dun­gen erleich­tern. Das Pro­blem beru­he auf der man­geln­den Fil­te­rung von URLs, durch die sich belie­bi­ge Para­me­ter an das zugrun­de lie­gen­de Java Web Start (JWS) über­ge­ben las­sen.

Tavis Orman­dy, der die Sicher­heits­lü­cke ent­deckt hat, hat Sun (jetzt Ora­cle) nach eige­nen Anga­ben über das Pro­blem infor­miert. Laut sei­nem Bericht fand der Her­stel­ler die Schwach­stel­le jedoch nicht kri­tisch genug, um einen Not­fall-Patch außer­halb des drei­mo­na­ti­gen Patch-Zyklus zu ver­öf­fent­li­chen.

Wei­te­re hilf­rei­che Hin­wei­se gibt es hier:

http://support.microsoft.com/kb/240797

Der PDF-Sicher­heits­spe­zia­list Didier Ste­vens hat ein PDF-Doku­ment ent­wi­ckelt, das – ohne eine kon­kre­te Schwach­stel­le aus­zu­nut­zen – einen PC infi­zie­ren könn­te. Ste­vens macht sich dabei nach eige­nen Anga­ben die Opti­on “Launch Actions/Launch File” zunut­ze, die sogar im PDF ein­ge­bet­te­te Skrip­te oder EXE-Datei­en star­ten kann – die­se Opti­on ist Bestand­teil der PDF-Spe­zi­fi­ka­ti­on.

Im Ado­be Rea­der hilft es, unter Einstellungen/Berechtigungen die Opti­on “Nicht-PDF-Datei­an­la­gen dür­fen in exter­nen Anwen­dun­gen geöff­net wer­den.” zu deak­ti­vie­ren – stan­dard­mä­ßig ist sie akti­viert. Danach star­tet der Demo-Exploit beim Öff­nen im Ado­be Rea­der kei­ne Ein­ga­be­auf­for­de­rung mehr.

Für Win­dows 7, Vis­ta und XP stellt Apple Quick-Time 7.6.6 zum Down­load bereit. Das Update stopft 16 Sicher­heits­lü­cken, die das Ein­schleu­sen und Aus­füh­ren von Code auf einem PC mit den Rech­ten des Nut­zers ermög­li­chen.

Das Update gibt es hier: http://www.apple.com/de/quicktime/download/

Mozil­la stellt für die Fire­fox Ver­si­on 3.6 ein Update zur Ver­fü­gung und emp­fiehlt drin­gend, eine Aktua­li­sie­rung durch­zu­füh­ren.

Mozil­la Fire­fox 3.6.3 steht hier zum Down­load bereit: http://www.mozilla.com/de/

Mit einem neu­en Sicher­heits­up­date schließt Mozil­la ab sofort aktu­el­le Sicher­heits­lü­cken im Thun­der­bird. Die neue Ver­si­on 3.0.4 gibt es hier:

http://de.www.mozillamessaging.com/de/thunderbird/

Der Inter­net Explo­rer kommt nicht zur Ruhe. Micro­soft hat jetzt außer­plan­mä­ßig ein neu­es Sicher­heits­up­date für den IE ver­öf­fenlticht. Von Sicher­heits­lü­cken betrof­fen sind die Ver­sio­nen 5.01., 6, 7 und 8. Über einen Besuch der “Win­dows Update” Web­sei­te kann man das Update am ein­fachs­ten instal­lie­ren:

http://update.microsoft.com/windowsupdate/

Eine wei­te­re Mög­lich­keit ist die Akti­vie­rung von auto­ma­ti­schen Updates im Micro­soft Sicher­heits­cen­ter:

http://windows.microsoft.com/de-DE/windows-vista/Turn-automatic-updating-on-or-off

Mit sei­nem neu­en Sicher­heits­up­date 2010-002 schließt Apple ins­ge­samt 92 Sicher­heits­lü­cken im Betriebs­sys­tem Mac OS.  Wir emp­feh­len allen Apple-Nut­zern die zeit­na­he Instal­la­ti­on des  Sicher­heits­up­dates, um die Schwach­stel­len zu schlie­ßen. Dies geschieht am bes­ten über die Apple-Funk­ti­on “Soft­ware­ak­tua­li­sie­rung” oder über  einen Besuch der Down­load-Web­sei­te unter:

http://support.apple.com/downloads/

Wei­te­re Infos:

Apple Sicher­heits­up­date 2010-002
http://support.apple.com/kb/HT4077?viewlocale=de_DE

Ab heu­te steht der neue Fire­fox 3.6.2. zum Her­un­ter­la­den bereit. In ihm hat Mozil­la aktu­el­le Sicher­heits­lü­cken geschlos­sen. Wir emp­feh­len die zeit­na­he Instal­la­ti­on des Updates.

Die geht unkom­pli­ziert über den Pfad Menü  “Hilfe”/ “Nach Updates suchen…”.

Alter­na­tiv steht Mozil­la Fire­fox 3.6.2 auch hier zum Her­un­ter­la­den bereit:

http://www.mozilla.com/de/

Der Mozil­la Foun­da­ti­on wur­de eine Sicher­heits­lü­cke gemel­det. Wir emp­feh­len, bis zur Ver­öf­fent­li­chung der Mozil­la Fire­fox Ver­si­on 3.6.2 die Nut­zung alter­na­ti­ver Brow­ser. Fire­fox 3.6.2 soll ab Diens­tag, den 30. März 2010 ver­füg­bar sein.

Wei­te­re Infor­ma­tio­nen:

http://blog.mozilla.com/security/2010/03/18/update-on-secunia-advisory-sa38608