Kritische Lücke im FAS entdeckt

Wie Robyn Bergeron heute auf der Fedora Mailingliste für Ankündigungen bekanntgegeben hat, wurde im Fedora Account System (FAS) eine seit 2008 bestehende Sicherheitslücke entdeckt und umgehend geschlossen, über die es möglich war, private Daten anderer User auszuspähen.

Auch wenn man keine Anzeichen dafür gefunden hat, das diese Lücke ausgenutzt wurde, empfiehlt man allen Nutzern des FAS, ihr Passwort sowie die Sicherheitsfrage und -antwort zu ändern und die übrigen Account-Informationen auf mögliche Änderungen zu überprüfen.

IMHO: Spot’s Chromium Pakete sind nicht produktiv brauchbar

Tom „Spot“ Callaway stellt bekanntlicher weise seit einiger Zeit selbst erstellte rpm Pakete von Chromium für Fedora bereit, was auch ein schöne Sache ist.

Nur sind diese Pakete leider nicht produktiv nutzbar, da sie nur sporadisch aktualisiert werden. Updates auf neue Versionen oder für Sicherheitslücken werden beispielsweise nicht zeitnah durch aktualisierte Pakete behoben. Was Nutzer einem teilweise nicht unerheblichem Risiko aussetzt. Aktuell existiert beispielsweise eine Sicherheitslücke, die es erlaubt, die Sandbox von Chromium zu umgehen. Upstream, das heißt beim Chromium Projekt ist dieser Fehler inzwischen gefixt worden und Google hat aktualisierte Chrome-Versionen veröffentlicht. Nutzer von Spot’s Chromium Paketen warten jedoch noch immer auf ein entsprechendes Update. Mir ist dabei durchaus bewusst, das die Chromium-Pakete von Spot eine One-Man-Show sind und das Spot auch noch andere Verpflichtungen hat, weshalb er sich nicht 24/7 um die Chromium Pakete kümmern kann. Das will ich auch nicht verlangen, aber es wäre trotzdem schön, wenn Updates zeitnah weitergereicht werden.

Und solange das nicht der Fall ist, sind die Chromium Pakete von Spot IMHO nicht für den produktiven Einsatz geeignet.

(mal wieder) gefährliche Sicherheitslücke im Adobe Reader

Wie Golem.de berichtet, warnt Adobe zur Zeit vor einer gefährlichen Sicherheitslücke im Adobe Reader sowie in Acrobat 9. Besonders prekär ist, das die Lücke bereits durch ein so genanntes Zero Day Exploit ausgenutzt wird. Als Workaround empfiehlt Adobe, die Unterstützung für Java Script zu deaktivieren, bis am 13.10.09 eine bereinigte Version veröffentlicht wird. Wie so oft gibt es auch in diesem Fall den Tip, nach Möglichkeit auf einen alternativen PDF Viewer umzusteigen.

Um ein entsprechend präpariertes PDF zu "reinigen" reicht es aus, dieses in das Postscript- und anschließend wieder in das PDF-Format zu konvertieren.

Adobe schließt kritische Lücken im Adobe Reader für Linux

Wie heise security berichtet, hat Adobe heute die Versionen 9.1 bzw. 8.1.4 des Adobe Reader für Linux und Solaris veröffentlicht. „Adobe schließt kritische Lücken im Adobe Reader für Linux“ weiterlesen