Mit einer falschen Angabe in einem HTTP-Header soll es Angreifern möglich sein einen Pufferüberlauf in Opera hervorrufen, mit dem sie beliebigen Code auf einem System ausführen können.
Obwohl sich das Unternehmen nicht sicher ist, ob sich das Problem bei aktivierter Datenausführungsverhinderung überhaupt ausnutzen lässt, wird die Lücke von Secunia für die neueste Version von Opera, 10.50 (evtl. auch weitere Versionen) unter Windows bestätigt.

Als Schutzmaßnahme wird empfohlen nur vertrauenswürdige Sites aufzusuchen und ausschließlich vertrauenswürdigen Links zu folgen, oder einen anderen Browser zu verwenden. Ein Patch steht noch nicht bereit.

Ein Update (Version 2.2.15 des HTTP Server der Apache Software Foundation) für Apache-Webserver 2.2 korrigiert zahlreiche Fehler und schließt drei Sicherheitslücken, darunter Probleme im Modul mod_proxy_ajp und dem Multi-Processing Module (MPM), und eine als kritisch eingestufte Lücke im Modul mod_isapi für die Windows-Version des Apache.

Aktuelle Microsoft Security Bulletins:

• MS10-016 - Hoch: Sicherheitsanfälligkeit in Windows Movie Maker kann Remotecodeausführung ermöglichen (975561)
• MS10-017 - Hoch: Sicherheitsanfälligkeiten in Microsoft Office Excel können Remotecodeausführung ermöglichen (980150)

Download via Microsoft oder die Updatefunktion des Betriebssystems.

Microsoft warnt weiterhin vor einer ungepatchten Sicherheitslücke im Internet Explorer 6 und 7, die inzwischen zu gezielten Angriffen aktiv ausgenutzt wird.

Die Sicherheitsanfälligkeit existiert aufgrund eines ungültigen Zeigerverweises bei der Verwendung von Internet Explorer 6 & 7.
Unter bestimmten Bedingungen ist es möglich, auf den ungültigen Zeigeverweis zuzugreifen, nachdem ein Objekt gelöscht worden ist. Wenn bei einem speziell gestalteten Angriff Internet Explorer versucht, auf ein freigegebenes Objekt zuzugreifen, kann dies Remotecodeausführung ermöglichen.

Der Fehler steckt in der Komponente iepeers.dll.

Microsoft will noch entscheiden, ob man einen außerplanmäßigen Patch veröffentlichen will. Da der Internet Explorer 8 nicht betroffen ist, empfiehlt Microsoft Anwendern, auf Version 8 zu wechseln.

Das Milter-Plugin (eine Sendmail-Schnittstelle zum Einbinden von Mail-Filtern) zum Aufruf von SpamAssassin weist eine Sicherheitslücke auf, die Angreifer dazu nutzen können um über passend präparierte Mails Schadcode auf einem Mailserver einzuschleusen und auszuführen.

Das SpamAssassin Milter-Plugin kommt häufig auf Postfix-Servern zum Einsatz, um Mails durch SpamAssassin filtern zu lassen. Postfix-Admis die SpamAssassin nutzen sollten ihre Konfiguration sicherheitshalber überprüfen. An einem Patch wird noch gearbeitet.

Ein seit heute Morgen ausgeliefertes Update für den Virenscanner Bitdefender führt u.U. zu einem nicht mehr bootfähigen 64bit-Windows. Laut Bitdefender Forum verhindern fehlende *.dll und *.exe-Dateien den Systemstart.

Grund war nach Angaben von Bitdefender ein Fehler im Virenscanner, der zahlreiche Systemdateien irrtümlicherweise als virusverseucht einstufte und diese deshalb in die Quarantäne verschob. Auf der Bitdefender-Website finden sich ein Patch und entsprechende Anleitung zur Behebung des Problems.

Opera hat mit Version 10.51 seines Browsers verschiedene Sicherheitslücken behoben und Verbesserungen für Windows bereitgestellt.

Durch ein Sicherheitsproblem konnte beliebiger Code auf dem Rechner eines Opfers ausgeführt werden, durch eine weitere Sicherheitslücke konnten Daten ausgespäht weden.

Die Verbesserungen beschleunigen den JavaScript-Interpreter.

Mozilla hat Version 3.6.2 ihres Browsers Firefox herausgebracht. Firefox 3.6.2 schließt vor allem eine schwerwiegende Lücke, die seit Februar bekannt war, zu der Details aber erst seit Kurzem verfügbar sind.

Firefox 3.6.2 fixes the following issues found in previous versions of Firefox 3.6:

* Fixed a critical security issue that could potentially allow remote code execution (see bug 552216).
* Fixed several additional security issues.
* Fixed several stability issues.

Die Lücke erlaubte Angreifern der Version 3.6 (Versionen vor Firefox 3.6 waren von dem Problem nicht betroffen) die Kontrolle über einen PC zu bekommen

Cisco hat insgesamt sieben Security Advisories für Cisco IOS veröffentlicht, die zum Teil gleich mehrere Sicherheitslücken betreffen, wie z.B. Funktionen und Protokolle bei IPSec, NAT, SIP, MPLS, H.323 und TCP, bis hin zum Ausführen eingeschleusten Codes beim Parsen von SIP-Paketen.

Mit einem außerplanmäßigem Update schließt Microsoft die seit einigen Wochen bekannte kritische Lücke (und weitere 9) im Internet Explorer.

Aktuelle Microsoft Security Bulletins:

• MS10-018 - Hoch: Kumulatives Sicherheitsupdate für Internet Explorer (980182)
• MS10-016 - Hoch: Sicherheitsanfälligkeit in Windows Movie Maker kann Remotecodeausführung ermöglichen (975561)
• MS10-017 - Hoch: Sicherheitsanfälligkeiten in Microsoft Office Excel können Remotecodeausführung ermöglichen (980150)

Download über die Windows Updatefunktion oder die Microsoft.

Ein Sicherheits-Update für Java SE und Java Business (Version Java 6 Update 18, Java 5.0 Update 23, Java 1.4.2.25 und 1.3.1.27, sowie vorherige Versionen) schließt 27 Sicherheitslücken, darunter Buffer Overflows in der Java-Laufzeitumgebung (JRE), in ImageIO, Java 2D, Web Start, dem Plug-in für Browser, Sound sowie dem Hotspot Server.

Ein neues Design macht die Einschätzung wie kritisch eine Lücke ist leichter und mit welcher Priorität sie geschlossen werden muß.

Mozilla hat die Version Firefox 3.5.9 und Thunderbird 3.0.4 veröffentlicht um mehrere kritische Sicherheitslücken zu schliessen.

Fixed in Firefox 3.5.9:

MFSA 2010-24 XMLDocument::load() doesn't check nsIContentPolicy
MFSA 2010-23 Image src redirect to mailto: URL opens email editor
MFSA 2010-22 Update NSS to support TLS renegotiation indication
MFSA 2010-20 Chrome privilege escalation via forced URL drag and drop
MFSA 2010-19 Dangling pointer vulnerability in nsPluginArray
MFSA 2010-18 Dangling pointer vulnerability in nsTreeContentView
MFSA 2010-17 Remote code execution with use-after-free in nsTreeSelection
MFSA 2010-16 Crashes with evidence of memory corruption (rv:1.9.2.2/ 1.9.1.9/ 1.9.0.19)

Das Firefoxupdate schließt u.A. sechs kritisch eingestufte Lücken, das Thunderbirdupdate schließt u.A. vier kritische Lücken.
Die Updates korrigieren außerdem weitere, weniger sicherheitsrelevante Fehler.

Apple hat mit QuickTime 7.6.6 für Windows 7, Vista und XP eine Version vorgestellt, die 16 kritische Lücken behebt. Die Lücken dienten zum Einschleusen und Ausführen von Code auf einem PC mit den Rechten eines Nutzers. Dazu genügte bereits das Ausführen präparierter Filme, Audiodateien oder Bilder, oder der Besuch einer manipulierten Webseite.