Google Releases Chrome 6.0.472.53

Original release date: September 3, 2010 at 7:49 am Last revised: September 3, 2010 at 7:49 am

Google has released Chrome 6.0.472.53 for Linux, Mac, and Windows to address multiple vulnerabilities. These vulnerabilities may allow an attacker to execute arbitrary code, bypass security restrictions, obtain sensitive information, or conduct spoofing attacks.

US-CERT encourages users and administrators to review the Google Chrome Releases blog entry and apply any necessary updates to help mitigate the risks.

Relevant Url(s): http://googlechromereleases.blogspot.com/2010/09/stable-and-beta-channel-updates.html

==== This entry is available at http://www.us-cert.gov/current/index.html#google_releases_chrome_6_0

—–BEGIN PGP SIGNATURE—– Version: GnuPG v1.4.5 (GNU/Linux)

iQEVAwUBTIDt9D6pPKYJORa3AQI7cgf/QuCGdOWS8+6pXK247eAFeI05lpf82xnl J671VEdeTARcvVTKRMGYtk/iawLB/F+NpYzu9e+byPcxqjIVt9OAsL6N5uhmyGhp OHZVRByFMYqirLCgSvekP3q7KoAQ7m05vm2iAy+nvKZLT/EPlG4P9O6XIsWi7yYC oSn1/gBU+LBNqwVJMaNKG+BZbRRVjJHBOVBuctIwVi+fag77Fw8zVSrmiOSGd64U oMA3IEhtAkDu6+D7PnQzZ8F+WtixAOsjYclYbisjMS9NcstOu853Tu7d/6ZRo0mJ p+ipZYrjIWREmVS6EJecYeM3gzU7smvWAu2mZy0GXLcqY3wWyudy6Q== =DAiF —–END PGP SIGNATURE—–

Apple Releases iTunes 10

Original release date: September 3, 2010 at 7:53 am Last revised: September 3, 2010 at 7:53 am

Apple has released iTunes 10 to address multiple vulnerabilities affecting the WebKit package. These vulnerabilities may allow an attacker to execute arbitrary code or cause a denial-of-service condition.

US-CERT encourages users and administrators to review Apple article HT4328 and apply any necessary updates to help mitigate the risks.

Relevant Url(s): http://support.apple.com/kb/HT4328

==== This entry is available at http://www.us-cert.gov/current/index.html#apple_releases_itunes_10

—–BEGIN PGP SIGNATURE—– Version: GnuPG v1.4.5 (GNU/Linux)

iQEVAwUBTIDtjz6pPKYJORa3AQJFVgf/dl7sae8t+uJIRmVI39RCdAnpziJ9NXTh ZrkGc6KTlHmdG43KL0UUdz+VJ4Rm/FNmKad8DqTdhYOSOflM2/RS4t13r2MDxSKY QFkqqyYmQQs1gGdKt8Ou/pY+hSOTiiEn1LZvaAeCxoRTYTNcmPdMOgjEgCuCJMOQ 9llr7YgmbKa6NuAVDCwWUT3jWWJZFdMepXQDHxQ7Hqscpz38He6+oXDRg30GHcp0 Xs7b+YW9gczllI67OCRz6WF7lKZd88uEOum2Jp83ze0mkjJCViIyzeqvXSWS0Fg0 LegXi4F8BchgPvTrvEIP4s0FjpWjvMPLM4ncRWn7wROQAeLm45rfEg== =WVq6 —–END PGP SIGNATURE—–

KURZINFO CB-K10/0302 UPDATE 1 Titel: Linux Kernel: Schwachstelle ermöglicht Denial of Service Angriff Datum: 03.09.2010 Software: Open Source Linux Kernel 2.6.x >2.6.19-rc1 Plattform: Linux Auswirkung: Denial-of-Service Remoteangriff: Nein Risiko: hoch Bezug: http://rhn.redhat.com/errata/RHSA-2010-0670.html

BESCHREIBUNG Der Kernel stellt den Kern des Linux Betriebssystems dar. Das Global Filesystem (GFS2) ist ein Cluster Dateisystem.

Ein lokaler Angreifer kann eine Schwachstelle im Linux Kernel für einen Denial of Service Angriff ausnutzen.

Mit freundlichen Grüßen das Team CERT-Bund

——————————————– Bundesamt für Sicherheit in der Informationstechnik (BSI) Referat 121 Godesberger Allee 185 -189 53175 Bonn

Postfach 20 03 63 53133 Bonn

Telefon: +49 (0)228 99 9582 222 Telefax: +49 (0)228 99 9582 5427 E-Mail: wid-kontakt@bsi.bund.de Internet: www.cert-bund.de

——————————————–

“Die Authentizität dieser Nachricht kann anhand der digitalen Signatur überprüft werden. Die hierfür zum Einsatz kommenden öffentlichen Schlüssel sowie die Verfahren sind auf den Seiten des CERT-Bund https://www.cert-bund.de/wid-sig aufgeführt und erläutert.

Die Inhalte dieser Meldung repräsentieren den Kenntnisstand des BSI zum Zeitpunkt der Versendung. Eine Haftung für eventuelle Schäden oder Konsequenzen, die durch die direkte oder indirekte Nutzung der Inhalte entstehen, wird, außer für den Fall des Vorsatzes oder der groben Fahrlässigkeit, ausgeschlossen.

Aus Gründen des Urheberrechts darf diese Meldung nur kopiert und für den persönlichen Gebrauch weitergeleitet werden, wenn dies im vollständigen Wortlaut, ohne Änderungen und mit BSI-Copyright-Informationen geschieht. Eine kommerzielle Nutzung ist ausdrücklich untersagt.”

KURZINFO CB-K10/0391 Titel: Typo3: Mehrere Schwachstellen in Erweiterungen von Drittanbietern Datum: 03.09.2010 Software: TYPO3 TYPO3 < = 1.0.1 XING Button (xing), TYPO3 TYPO3 <= 0.0.2 Commenting system Backend Module (commentsbe), TYPO3 TYPO3 <= 0.5.4 Tiny Market (hm_tinymarket), TYPO3 TYPO3 <= 1.1.1 Yet Another Calendar (ke_yac) , TYPO3 TYPO3 <= 1.0.4 The official twitter tweet button for your page (tweetbutton) Plattform: UNIX, Linux, Windows Auswirkung: Ausführen beliebigen Programmcodes Remoteangriff: Ja Risiko: mittel Bezug: http://typo3.org/teams/security/security-bulletins/typo3-sa-2010-018/

Telefon: +49 (0)228 99 9582 222 Telefax: +49 (0)228 99 9582 5427 E-Mail: wid-kontakt@bsi.bund.de Internet: www.cert-bund.de

——————————————–

“Die Authentizität dieser Nachricht kann anhand der digitalen Signatur überprüft werden. Die hierfür zum Einsatz kommenden öffentlichen Schlüssel sowie die Verfahren sind auf den Seiten des CERT-Bund https://www.cert-bund.de/wid-sig aufgeführt und erläutert.

Die Inhalte dieser Meldung repräsentieren den Kenntnisstand des BSI zum Zeitpunkt der Versendung. Eine Haftung für eventuelle Schäden oder Konsequenzen, die durch die direkte oder indirekte Nutzung der Inhalte entstehen, wird, außer für den Fall des Vorsatzes oder der groben Fahrlässigkeit, ausgeschlossen.

Aus Gründen des Urheberrechts darf diese Meldung nur kopiert und für den persönlichen Gebrauch weitergeleitet werden, wenn dies im vollständigen Wortlaut, ohne Änderungen und mit BSI-Copyright-Informationen geschieht. Eine kommerzielle Nutzung ist ausdrücklich untersagt.”

KURZINFO CB-K10/0390 Titel: VMWare ESX: Mehrere Schwachstellen Datum: 02.09.2010 Software: VMWare ESX 4.0, VMWare ESX 4.1, VMWare ESX 3.0.3, VMWare ESX 3.5 ohne Patch ESX350-201008405-SG, ESX350-201008407-SG, ESX350-201008410-SG, ESX350-201008411-SG, ESX350-201008412-SG Plattform: Linux Auswirkung: Ausführen beliebigen Programmcodes mit den Rechten des Dienstes Remoteangriff: Ja Risiko: hoch Bezug: http://www.vmware.com/security/advisories/VMSA-2010-0013.html

BESCHREIBUNG Die Virtualisierungssoftware von VMware ermöglicht die simultane Ausführung von verschiedenen Betriebssystemen auf einem Host-System.

Ein lokaler oder entfernter Angreifer kann mehrere Schwachstellen in VMWare ESX ausnutzen, um seine Privilegien zu erweitern, um beliebigen Code mit den Rechten des angemeldeten Benutzers bzw. Dienstes auszuführen, einen Denial of Service Zustand herbeizuführen oder Sicherheitsmechanismen zu umgehen.

Mit freundlichen Grüßen das Team CERT-Bund

——————————————– Bundesamt für Sicherheit in der Informationstechnik (BSI) Referat 121 Godesberger Allee 185 -189 53175 Bonn

Postfach 20 03 63 53133 Bonn

Telefon: +49 (0)228 99 9582 222 Telefax: +49 (0)228 99 9582 5427 E-Mail: wid-kontakt@bsi.bund.de Internet: www.cert-bund.de

——————————————–

“Die Authentizität dieser Nachricht kann anhand der digitalen Signatur überprüft werden. Die hierfür zum Einsatz kommenden öffentlichen Schlüssel sowie die Verfahren sind auf den Seiten des CERT-Bund https://www.cert-bund.de/wid-sig aufgeführt und erläutert.

Die Inhalte dieser Meldung repräsentieren den Kenntnisstand des BSI zum Zeitpunkt der Versendung. Eine Haftung für eventuelle Schäden oder Konsequenzen, die durch die direkte oder indirekte Nutzung der Inhalte entstehen, wird, außer für den Fall des Vorsatzes oder der groben Fahrlässigkeit, ausgeschlossen.

Aus Gründen des Urheberrechts darf diese Meldung nur kopiert und für den persönlichen Gebrauch weitergeleitet werden, wenn dies im vollständigen Wortlaut, ohne Änderungen und mit BSI-Copyright-Informationen geschieht. Eine kommerzielle Nutzung ist ausdrücklich untersagt.”

KURZINFO CB-K10/0389 Titel: Linux Kernel: Schwachstelle ermöglicht Denial of Service Angriff und möglicherweise Privilegienerweiterung Datum: 02.09.2010 Software: Open Source Linux Kernel 2.6.x > 2.6.24 Plattform: Linux Auswirkung: Denial-of-Service Remoteangriff: Nein Risiko: hoch Bezug: https://bugzilla.redhat.com/show_bug.cgi?id=628770

BESCHREIBUNG Der Kernel stellt den Kern des Linux Betriebssystems dar.

Ein lokaler Angreifer kann eine Schwachstelle im Linux Kernel für einen Denial of Service Angriff und zur Privilegienerweiterung ausnutzen.

Mit freundlichen Grüßen das Team CERT-Bund

——————————————– Bundesamt für Sicherheit in der Informationstechnik (BSI) Referat 121 Godesberger Allee 185 -189 53175 Bonn

Postfach 20 03 63 53133 Bonn

Telefon: +49 (0)228 99 9582 222 Telefax: +49 (0)228 99 9582 5427 E-Mail: wid-kontakt@bsi.bund.de Internet: www.cert-bund.de

——————————————–

“Die Authentizität dieser Nachricht kann anhand der digitalen Signatur überprüft werden. Die hierfür zum Einsatz kommenden öffentlichen Schlüssel sowie die Verfahren sind auf den Seiten des CERT-Bund https://www.cert-bund.de/wid-sig aufgeführt und erläutert.

Die Inhalte dieser Meldung repräsentieren den Kenntnisstand des BSI zum Zeitpunkt der Versendung. Eine Haftung für eventuelle Schäden oder Konsequenzen, die durch die direkte oder indirekte Nutzung der Inhalte entstehen, wird, außer für den Fall des Vorsatzes oder der groben Fahrlässigkeit, ausgeschlossen.

Aus Gründen des Urheberrechts darf diese Meldung nur kopiert und für den persönlichen Gebrauch weitergeleitet werden, wenn dies im vollständigen Wortlaut, ohne Änderungen und mit BSI-Copyright-Informationen geschieht. Eine kommerzielle Nutzung ist ausdrücklich untersagt.”

KURZINFO CB-K10/0388 Titel: Linux Kernel: Schwachstelle ermöglicht Denial of Service Angriff Datum: 02.09.2010 Software: Open Source Linux Kernel 2.6.x > 2.6.32-rc1 Plattform: Linux Auswirkung: Denial-of-Service Remoteangriff: Nein Risiko: hoch Bezug: https://bugzilla.redhat.com/show_bug.cgi?id=620300

BESCHREIBUNG Der Kernel stellt den Kern des Linux Betriebssystems dar.

Ein lokaler Angreifer kann eine Schwachstelle im Linux Kernel für einen Denial of Service Angriff ausnutzen.

Mit freundlichen Grüßen das Team CERT-Bund

——————————————– Bundesamt für Sicherheit in der Informationstechnik (BSI) Referat 121 Godesberger Allee 185 -189 53175 Bonn

Postfach 20 03 63 53133 Bonn

Telefon: +49 (0)228 99 9582 222 Telefax: +49 (0)228 99 9582 5427 E-Mail: wid-kontakt@bsi.bund.de Internet: www.cert-bund.de

——————————————–

“Die Authentizität dieser Nachricht kann anhand der digitalen Signatur überprüft werden. Die hierfür zum Einsatz kommenden öffentlichen Schlüssel sowie die Verfahren sind auf den Seiten des CERT-Bund https://www.cert-bund.de/wid-sig aufgeführt und erläutert.

Die Inhalte dieser Meldung repräsentieren den Kenntnisstand des BSI zum Zeitpunkt der Versendung. Eine Haftung für eventuelle Schäden oder Konsequenzen, die durch die direkte oder indirekte Nutzung der Inhalte entstehen, wird, außer für den Fall des Vorsatzes oder der groben Fahrlässigkeit, ausgeschlossen.

Aus Gründen des Urheberrechts darf diese Meldung nur kopiert und für den persönlichen Gebrauch weitergeleitet werden, wenn dies im vollständigen Wortlaut, ohne Änderungen und mit BSI-Copyright-Informationen geschieht. Eine kommerzielle Nutzung ist ausdrücklich untersagt.”

KURZINFO CB-K10/0176 UPDATE 1 Titel: Linux Kernel: Mehrere Schwachstellen ermöglichen Denial of Service Angriff Datum: 02.09.2010 Software: Red Hat RedHat Linux Red Hat Enterprise Linux WS (v. 4), Red Hat RedHat Linux Red Hat Enterprise Linux ES (v. 4.8.z), Red Hat RedHat Linux Red Hat Enterprise Linux ES (v. 4), Red Hat RedHat Linux Red Hat Enterprise Linux AS (v. 4.8.z), Red Hat RedHat Linux Red Hat Enterprise Linux AS (v. 4), Red Hat RedHat Linux Red Hat Desktop (v. 4) Plattform: Linux Auswirkung: Denial-of-Service Remoteangriff: Ja Risiko: mittel Bezug: http://lists.opensuse.org/opensuse-security-announce/2010-09/msg00001.html

BESCHREIBUNG Der Kernel stellt den Kern des Linux Betriebssystems dar.

Ein Angreifer kann mehrere Schwachstellen im Linux Kernel für einen Denial of Service Angriff ausnutzen.

Mit freundlichen Grüßen das Team CERT-Bund

——————————————– Bundesamt für Sicherheit in der Informationstechnik (BSI) Referat 121 Godesberger Allee 185 -189 53175 Bonn

Postfach 20 03 63 53133 Bonn

Telefon: +49 (0)228 99 9582 222 Telefax: +49 (0)228 99 9582 5427 E-Mail: wid-kontakt@bsi.bund.de Internet: www.cert-bund.de

——————————————–

“Die Authentizität dieser Nachricht kann anhand der digitalen Signatur überprüft werden. Die hierfür zum Einsatz kommenden öffentlichen Schlüssel sowie die Verfahren sind auf den Seiten des CERT-Bund https://www.cert-bund.de/wid-sig aufgeführt und erläutert.

Die Inhalte dieser Meldung repräsentieren den Kenntnisstand des BSI zum Zeitpunkt der Versendung. Eine Haftung für eventuelle Schäden oder Konsequenzen, die durch die direkte oder indirekte Nutzung der Inhalte entstehen, wird, außer für den Fall des Vorsatzes oder der groben Fahrlässigkeit, ausgeschlossen.

Aus Gründen des Urheberrechts darf diese Meldung nur kopiert und für den persönlichen Gebrauch weitergeleitet werden, wenn dies im vollständigen Wortlaut, ohne Änderungen und mit BSI-Copyright-Informationen geschieht. Eine kommerzielle Nutzung ist ausdrücklich untersagt.”

KURZINFO CB-K10/0385 UPDATE 1 Titel: Novell Netware: Schwachstelle ermöglicht Denial of Service und Ausführung von beliebigem Code Datum: 02.09.2010 Software: Novell Netware 6.5 Plattform: UNIX Auswirkung: Ausführen beliebigen Programmcodes Remoteangriff: Ja Risiko: hoch Bezug: http://www.exploit-db.com/exploits/14866/

BESCHREIBUNG Netware ist ein Netzwerk-Betriebssystem von Novell.

Ein entfernter, authentisierter Angreifer kann eine Schwachstelle in Novell Netware für einen Denial of Service ausnutzen und um beliebigen Code auszuführen.

Mit freundlichen Grüßen das Team CERT-Bund

——————————————– Bundesamt für Sicherheit in der Informationstechnik (BSI) Referat 121 Godesberger Allee 185 -189 53175 Bonn

Postfach 20 03 63 53133 Bonn

Telefon: +49 (0)228 99 9582 222 Telefax: +49 (0)228 99 9582 5427 E-Mail: wid-kontakt@bsi.bund.de Internet: www.cert-bund.de

——————————————–

“Die Authentizität dieser Nachricht kann anhand der digitalen Signatur überprüft werden. Die hierfür zum Einsatz kommenden öffentlichen Schlüssel sowie die Verfahren sind auf den Seiten des CERT-Bund https://www.cert-bund.de/wid-sig aufgeführt und erläutert.

Die Inhalte dieser Meldung repräsentieren den Kenntnisstand des BSI zum Zeitpunkt der Versendung. Eine Haftung für eventuelle Schäden oder Konsequenzen, die durch die direkte oder indirekte Nutzung der Inhalte entstehen, wird, außer für den Fall des Vorsatzes oder der groben Fahrlässigkeit, ausgeschlossen.

Aus Gründen des Urheberrechts darf diese Meldung nur kopiert und für den persönlichen Gebrauch weitergeleitet werden, wenn dies im vollständigen Wortlaut, ohne Änderungen und mit BSI-Copyright-Informationen geschieht. Eine kommerzielle Nutzung ist ausdrücklich untersagt.”

KURZINFO CB-K10/0313 UPDATE 4 Titel: Adobe Reader und Acrobat: Schwachstelle ermöglicht DOS und Codeausführung Datum: 02.09.2010 Software: Adobe Acrobat Reader < =9.3.3, Adobe Acrobat <=9.3.3 Plattform: UNIX, MacOS X, Windows Auswirkung: Ausführen beliebigen Programmcodes mit Benutzerrechten Remoteangriff: Ja Risiko: hoch Bezug: http://lists.opensuse.org/opensuse-security-announce/2010-09/msg00000.html

Telefon: +49 (0)228 99 9582 222 Telefax: +49 (0)228 99 9582 5427 E-Mail: wid-kontakt@bsi.bund.de Internet: www.cert-bund.de

——————————————–

“Die Authentizität dieser Nachricht kann anhand der digitalen Signatur überprüft werden. Die hierfür zum Einsatz kommenden öffentlichen Schlüssel sowie die Verfahren sind auf den Seiten des CERT-Bund https://www.cert-bund.de/wid-sig aufgeführt und erläutert.

Die Inhalte dieser Meldung repräsentieren den Kenntnisstand des BSI zum Zeitpunkt der Versendung. Eine Haftung für eventuelle Schäden oder Konsequenzen, die durch die direkte oder indirekte Nutzung der Inhalte entstehen, wird, außer für den Fall des Vorsatzes oder der groben Fahrlässigkeit, ausgeschlossen.

Aus Gründen des Urheberrechts darf diese Meldung nur kopiert und für den persönlichen Gebrauch weitergeleitet werden, wenn dies im vollständigen Wortlaut, ohne Änderungen und mit BSI-Copyright-Informationen geschieht. Eine kommerzielle Nutzung ist ausdrücklich untersagt.”