• *****
    Achtung Derzeit ist die Registrierfunktion deaktiviert. Wer einen Account möchte: Mail an wahrexakten @ gmx.net mit Nickwunsch. Geduld, es kann etwas dauern, bis Ihr eine Antwort bekommt.
    Wir danken für Euer Verständnis!
    *****

Exploits & Bugs

Merlin

Boardleitung, Root
Teammitglied
Registriert
30. Oktober 2002
Beiträge
6.568
Punkte Reaktionen
183
Ort
Wien
Ähnlich wie bei den Viren versuch ich hier mal diverse Exploits zu sammeln, die von allgemeinem Interesse sein könnten...

Den Anfang macht eine Entdeckung von Colin Percival. Auf Intel Hyperthreading Systemen ist es möglich, Daten eines höher privilegierten Prozesses auszuspionieren. Das liegt daran, daß sich die Anwendungen den Cache der CPU teilen, und man aus den Timings der Zugriffe Informationen über die Operationen gewinnen kann. So könnte man z.B. auch an RSA-Schlüssel o.ä. gelangen...

Link: http://www.hardtecs4u.com/?id=1116033790,18211,ht4u.php
 
Das Windows 2000 Update Rollup 1 ist fehlerhaft. Das Problem ist zum Glück nicht kritisch, nur der Stromverbrauch des Computers kann in die Höhe schnellen. Durch einen Fehler in der hal.dll meldet Windows nicht mehr korrekt den Idle-Modus. Eine Korrektur steht noch aus...

Link: http://www.hardtecs4u.com/?id=1121174538,26856,ht4u.php
 
VIAs derzeitige Southbridge VT8237 soll Probleme mit SATA II Festplatten haben. Blöderweise ist der Nachfolger VT8251 noch immer nicht in Sicht, aber alle großen Hersteller wollen bald nur noch SATA II Festplatten herausbringen, etwa ab Herbst/Winter. Diese würden dann von betroffenen Mainboards einfach nicht erkannt. Besitzern bliebe also jede Aufrüstmöglichkeit verwehrt. Eine Stellungnahme von VIA steht noch aus...

Link: http://www.hardtecs4u.com/?id=1122409949,47595,ht4u.php
 
bitte poste hier nicht einfach einen link. Musst schon was dazu sagen können..

Imandra
 
Ist zwar nicht sicherheitsrelevant, aber sowas von peinlich: in Excel 2007 wird das Ergebnis von Formeln, die 65535 ergeben, stattdessen als 100000 dargestellt :erolleyes:

Link: http://it.slashdot.org/it/07/09/24/2339203.shtml

Wie schon in den Kommentaren vorgeschlagen: soll dieser Bug jetzt auch in die OOXML Spezifikation? :otwisted:
 
Microsoft warnt vor einem Fehler in Windows Home Server: Daten können beschädigt werden, wenn sie von Client-Systemen aus bearbeitet werden :oeek: Näheres ist nicht bekannt, daß damit der Home Server irgendwie nutzlos wird, wird nicht kommentiert... Nebenbei basiert der auf Windows Server 2003 - was ein mulmiges Gefühl hinterläßt :oconfused:

Link: heise online - Windows Home Server verliert Daten
 
Eine gefährliche Lücke in Typo3 erlaubt ein sehr leichtes eindringen in damit gebaute Webseiten. Inhaber solcher Webauftritte sollten umgehend patchen:
typo3.org: TYPO3 Security Bulletin TYPO3-SA-2009-002: Information Disclosure & XSS in TYPO3 Core

Eines der ersten Opfer war ausgerechnet Wolfgang Schäuble, dessen Webseite nach dem Hack auf Informationen zur Vorratsdatenspeicherung verwies. Das verwendete Admin-Passwort "gewinner" ist übrigens auch nicht gerade als sicher zu betrachten :orolleyes:

Link: heise online - 11.02.09 - Website von Wolfgang Schäuble über Typo3-Lücke gehackt [Update]
 
Vielleicht wieder mal ein Hinweis, der es verdient, erwähnt zu werden:
heise online - 30.09.09 - Trickzertifikat für SSL veröffentlicht

Ein Hacker hat eine Art Wildcard-Zertifikat veröffentlicht. Durch ein Nullbyte kann man damit bei praktisch jeder Seite eine ordnungsgemäße Authentifizierung vortäuschen (z.B. beim Onlinebanking!).

Abhilfe: erstens Browser patchen, die sollten sich nicht in die Irre führen lassen. Zweitens ist das wieder ein guter Reminder, doch gelegentlich auch mal Zertifikate zu überprüfen, ob sie eh koscher sind...
 
Und wo wir schon bei dem Topic sind - Finger weg von PHP 5.3.7:
heise online - Finger weg von PHP 5.3.7

Durch einen Fehler in der Crypt-Funktion entspricht der Rückgabewert unter Umständen nur dem Salt - das kann bei einer Authentifizierung ganz böse ausgehen :otwisted:
 
Zurück
Oben