Die Zero Day Initiative (ZDI) hat vier 0-Day-Schwachstellen im Internet
Explorer veröffentlicht. Das passiert automatisch 120 Tage, nachdem
die Schwachstelle den betreffenden Hersteller gemeldet wurde, sofern die
Schwachstelle nicht zuvor gepatcht wurde. Microsoft hat diese Frist sowie
eine zugestandene Verlängerung bei diesen vier Schwachstellen
ungenutzt verstreichen lassen:
Update 24. Juli:
ZDI hat die Advisories gestern
überarbeitet:
Es ist nur die Mobile-Version des IE betroffen und nicht wie ursprünglich
gemeldet auch die Desktop-Version. In der hat Microsoft die Schwachstellen
bereits behoben.
Ende des Updates
"ZDI veröffentlicht vier 0-Day-Schwachstellen im Internet Explorer" vollständig lesen
Am 20. Juli hat Microsoft
außer der Reihe
ein zusätzliches Security Bulletin veröffentlicht:
MS15-078.
Eine Schwachstelle in der Windows Adobe Type Manager Library erlaubt die
Ausführung eingeschleusten Codes, wenn zum Beispiel eine entsprechend
präparierte Webseite aufgerufen oder eine entsprechend
präparierte Datei geöffnet wird.
"Microsoft patcht außer der Reihe 0-Day-Schwachstelle" vollständig lesen
Microsoft hat am gestrigen Patchday mal wieder einige 0-Day-Schwachstellen
behoben. Darunter sowohl bereits für Angriffe ausgenutzte als auch
"nur" öffentlich bekannte Schwachstellen.
Und auch Oracle hat an deren Patchday zugeschlagen und die aktuelle
0-Day-Schwachstelle
in Java behoben.
Fünf 0-Day-Schwachstellen, darunter 2 kritische, im Internet Explorer
"Der Juli-Patchday war ein 0-Day-Patchday" vollständig lesen
Es gibt schon wieder neue 0-Day-Schwachstellen im Flash Player, diesmal
gleich 2 Stück auf einmal. Wie
die vorherige
wurden sie in den Daten von Hacking Team gefunden, und zumindest eine der
beiden Schwachstellen wird auch schon von Exploit-Kits ausgenutzt.
Update 14.7.2015:
Adobe hat ein
Security Bulletin
veröffentlicht, die Schwachstellen wurden in Version 18.0.0.209 behoben.
Ende des Updates
Ein weiterer 0-Day-Exploit betrifft Java, mit dem hat Hacking Team aber
nichts zu tun (zumindest wurde er nicht in deren Daten gefunden).
Update 15.7.2015:
Oracle hat die Schwachstelle
behoben.
Für weitere Informationen siehe unten.
Ende des Updates
"Neue 0-Day-Exploits für Flash Player (2 Stück) und Java entdeckt" vollständig lesen
In Adobes Flash Player gibt es mal wieder eine 0-Day-Schwachstelle,
für die auch schon ein Exploit existiert. Und der wird bereits von
Cyberkriminellen eingesetzt. Damit sind wir in diesem Jahr bei insgesamt
sechs
0-Day-Exploits, fünf davon gehen auf die Kappe des Flash Players.
Außerdem gibt es noch eine 0-Day-Schwachstelle im Windows Kernel, aber die
erlaubt "nur" eine Privilegieneskalation und wird zusammen mit der
Schwachstelle im Flash Player ausgenutzt.
Die 0-Days des "Hacking Team"
"Neue 0-Day-Schwachstelle im Flash Player wird bereits ausgenutzt" vollständig lesen