Hoch kritische Lücken in Chrome, Picasa und VLC bereinigt.

Chrome 10.x wird derzeit von sechs kritischen Schwachstellen heimgesucht, die sich für Systemzugriffe ausnutzen lassen. Die Sicherheitslücken befinden sich in Versionen vor 10.0.648.204. Anwender sollten so bald als möglich ein Update auf die aktuelle Version einspielen: http://googlechromereleases.blogspot.com/2011/03/stable-channel-update.html

Google hat Picasa 3.x ein Update spendiert, um eine als hoch kritische eingestufte Schwachstelle auszumerzen. Die Lücke lässt sich ausnutzen, um ein betroffenes System zu kompromittieren. Auslöser ist, dass sich beliebige Bibliotheken unsicher einladen lassen. Ein Angreifer muss einen Anwender dazu bewegen, bestimmte Dateien auf einem WebDAV- oder SMB-Share mittels der "Locate on Disk"-Funktionalität zu öffnen. Version 3.8 behebt dieses Problem: http://jvn.jp/en/jp/JVN99977321/index.html

VLC Media Player 1.8 behebt eine Sicherheitslücke, mit der sich Angreifer Systemzugriff ergaunern können. Mittels speziell manipulierten AMV- oder NSV-Dateien könnte sich die Schwachstelle zum Beispiel ausnutzen lassen: http://www.videolan.org/vlc/releases/1.1.8.html

Eine kritische Schwachstelle in IBM Lotus Domino Server könnte das Ausführen beliebigen Codes zulassen. Betroffen sind IBM Lotus Domino 7.x und 8.x. Ein Update steht derzeit nicht zur Verfügung: http://www.zerodayinitiative.com/advisories/ZDI-11-110/

Durch eine Parsing-Schwachstelle in iOS 4.3 könnten Angreifer Systemzugriff erlangen. Das Problem liegt in QuickLook beim Parsen diverser Microsoft-Office-Dateien. Wird ein speziell präpariertes Dokument in Safari geöffnet, lässt sich die Lücke ausnutzen. Der Fehler wurde diese Woche in Mac OS X behoben. Für iOS gibt es noch keinen Flicken. Bestätigt ist die Lücke für iOS 4.3 auf dem iPhone: http://www.zerodayinitiative.com/advisories/ZDI-11-109/, http://support.apple.com/kb/HT4581

(jdo)