TecChannel Sicherheits-Report

Schwachstelle in Chrome hebelt alle Sicherheits-Mechanismen aus, Chrome 12 bringt Schutz vor Flash Cookies, Sybase und OpenVMS flicken

Die Sicherheits-Experten von Vupen haben eine Sicherheitslücke in Chrome gefunden, mit der sich sämtliche Schutzmaßnahmen umgehen lassen.

Der von Vupen entwickelte Exploit für Google Chrome umgeht n ich nur Googles Sandbox, sondern kann auch Windows DEP und ASLR umschleichen. Die Experten haben ein Video zu Verfügung gestellt. Dieses demonstriert, wie eine speziell manipulierte mit Chrome 11 besuchte Webseite 64-Bit-Version von Windows 7 SP1 den Taschenrechner öffnen kann. Vupen will keine weiteren Details dazu bekannt geben. Weiterhin gibt es keine Informationen, ob Google von der Schwachstelle in Kenntnis gesetzt wurde. Vupen gibt seine Erkenntnisse nach einem Streit mit Microsoft nicht mehr einfach frei. Schließlich leiste man auch Arbeit, die bezahl werden sollte: vupen.com

Kaum wurde Version 11 von Chrome veröffentlicht, gibt es auch schon eine Beta-Version von 12. Ausgabe 12.0.742.30 bringt dabei nicht nur beschleunigtes 3D-CSS, sondern kann auch Flash-Cookies, auch bekannt als Local Shared Objects, löschen. Ebenso sei der Schutz verbessert worden, wenn Anwender eine schädliche Datei herunterladen. Google Gears wurde komplett entfernt: googlechromereleases.blogspot.com

Hewlett Packard hat diverse Updates für OpenVMS zur Verfügung gestellt. Damit schließen Sie diverse Schwachstellen, die sich für die volle Bandbreite an Angriffen ausnutzen lassen. Denkbar sind Umgehung der Sicherheits-Richtlinien, Cross Site Scripting, Datenmanipulation, Rechteausweitung, Enthüllung sensibler Daten, DoS und Systemzugriff. Die Schwachstellen sind teilweise als hoch kritisch eingestuft. Betroffen sind OpenVMS 6.x, 7.x und 8.x. Anwender sollten die entsprechenden Updates einspielen: itrc.hp.com, itrc.hp.com, itrc.hp.com

Sybase hat Updates für M-Business Anywhere ausgegeben. Insgesamt drei Sicherheitslücken bessert die Firma aus, die als hoch kritisch eingestuft sind. Die Schwachstellen lassen sich ausnutzen, um sich Systemzugriff zu ergaunern. Betroffen sind die Versionen Sybase M-Business Anywhere 6.x und 7.x. Die bereit gestellten Updates lösen das Problem: sybase.com (jdo)