F
Fireglider
PowerUser Sir Henry
- Dabei seit
- 12.12.1999
- Beiträge
- 14.335
- Reaktionspunkte
- 9
Microsoft verharmlost Gefahr von offenen Sicherheitslücken
[Firmen News] Microsoft: Exploits kommen erst nach Erscheinen eines Patches (http://www.golem.de/0402/29987.html) In einem Interview mit der britischen BBC erklärte ein Microsoft-Mitarbeiter, dass Exploits zur Ausnutzung von Sicherheitslücken erst erscheinen würden, nachdem Microsoft entsprechende Patches veröffentlicht habe. Das suggeriert, dass nicht bereinigte Sicherheitslücken in Software-Produkten kein Risiko darstellen, so lange kein Patch erhältlich ist. Sicherheitsexperten bezweifeln diese Aussage.
David Aucsmith, ein Microsoft-Mitarbeiter aus der Abteilung Security Business und Technology, erklärte in dem Gespräch mit der BBC, dass nach seinen Erkenntnissen nie Exploits für Sicherheitslücken in Windows vor Veröffentlichung eines Patches erschienen seien. "Wir haben niemals Sicherheitslücken-Exploits gehabt, bevor ein Patch erschienen ist", beteuert Aucsmith gegenüber der BBC. Für Aucsmith folgt daraus, dass Hacker erst nach auf Erscheinen eines Patches entsprechende Exploits schreiben, indem die Patches mittels Reverse Engineering analysiert werden.
Auf der Sicherheits-Mailingliste Full Disclosure äußern sich Experten sehr kritisch zu den Ausführungen des Microsoft-Mitarbeiters. So berichten mehrere Mailinglisten-Teilnehmer, dass im Untergrund oft bereits einen Tag nach Bekanntwerden einer Sicherheitslücke entsprechender Exploit-Code bereitstehe. Nur werde das meist nicht in die Öffentlichkeit getragen. Ein anderer Experte weist darauf hin, dass von Dritten entdeckte Sicherheitslücken aus Sicherheitsgründen in vielen Fällen erst bekannt gegeben werden, nachdem Microsoft einen passenden Patch veröffentlicht hat. Daher überrascht es auch nicht, dass die bis dahin unbekannten Sicherheitslücken nicht bereits vorher ausgenutzt werden.
Mit der von David Aucsmith gemachten Aussage will Microsoft anscheinend Windows-Anwender in Sicherheit wiegen, da demnach Sicherheitslücken erst gefährlich würden, wenn die Patches bereits erschienen sind. Somit seien Anwender vor Angriffen geschützt, wenn sie die bereitgestellten Patches einspielen, da offene Sicherheitslücken nicht vorher ausgenutzt werden. Allein ein aktuelles Beispiel widerlegt jedoch die Aussage von David Aucsmith: Der kürzlich aufgetauchte ICQ-Wurm Bizex nutzte zum Infizieren eines Systems ein Sicherheitsleck im IE (wir berichteten). Nach den Schlussfolgerungen von Aucsmith gäbe es den Wurm gar nicht, denn Microsoft bleibt einen Patch für diese Lücke bislang schuldig.
rotalarm.de
#####
Auch Wurm NetSky mutiert
[Viren & Würmer] (http://www.heise.de/security/news/meldung/45018) Nachdem nun schon der Wurm MyDoom bis zur F-Variante mutiert ist, warnen die Hersteller von Antivirensoftware vor der C-Variante des NetSky-Wurms, auch bekannt als Moodown: W32.Netsky.C@mm alias W32/Netsky.c@MM, Win32.Netsky.C, W32/Netsky-C, WORM_NETSKY.C, I-Worm.Moodown.c.
Der Wurm verbreitet sich über eine eigene SMTP-Engine. Die Absenderadresse ist wie bei allen Mass-Mailing-Würmern stets gefälscht. Die Zieladressen zum Versand findet er in diversen Dateien auf dem System. Der Wurm versendet sich als Dateianhang der Mail. Die Dateinamen variieren dabei stark. Zusätzlich kopiert sich der Wurm mit interessant klingenden Dateinamen in lokale Verzeichnisse und Verzeichnisse von Netzlaufwerken, wenn deren Namen den String shar enthält, um sich über Tauschbörsen wie Kazaa und andere zu verbreiten.
Ein Schadroutine hat der Wurm nicht, am 26. Februar versuchte er allerdings zwischen 6 und 8 Uhr morgens den PC-Lautsprecher zu Piepen zu bringen.
rotalarm.de
######
Trillian-Patches stopfen Sicherheitslücken
[online/Browser/Email] Sicherheitsleck im Yahoo-Protokoll von Trillian (http://www.golem.de/0402/29936.html) Cerulean Studios hat Patches für die Pro-Versionen sowie die kostenlose Ausführung des Instant Messengers Trillian zum Download bereitgestellt, um Sicherheitslöcher in der Software zu stopfen. Bei Verwendung der Yahoo- und AIM-Komponente in Trillian kann ein Angreifer das Sicherheitsleck missbrauchen und Programmcode auf ein System schleusen.
Das Sicherheitsleck steckt in den kostenlosen Trillian-Ausführungen ab der Version 0.71 sowie in den kostenpflichtigen Pro-Varianten 1.x und 2.x. Ein Angreifer kann darüber Programmcode auf ein System schleusen und diesen ausführen, um sich so Kontrolle über das entsprechende System zu verschaffen. Das Sicherheitsleck tritt in den Komponenten AOL-Instant-Messangin (AIM) und Yahoo auf.
Für alle Trillian-Versionen stehen entsprechende Patches zum Download bereit.
rotalarm.de
#####
Neues Sicherheitsupdate für OS X
[Apple/Macintosh] (http://www.macnews.de/?51340) Mit einem weiteren Sicherheitsupdate ("2004-02-23" via Software Aktualisierung) reagiert Apple auf bekannt gewordene Schwachstellen einzelner Tools, die mit Mac OS X zur Auslieferung kommen. Dazu zählen die Komponenten DiskArbitration, IPSec, das Point-to-Point-Protokol sowie tcpdump.
Das Update ist 1,6 MB groß und erfordert nach der Installation einen Neustart. Es ist für Jaguar und Panther jeweils in Client- und Server-Versionen verfügbar.
rotalarm.de
######
Warnung vor E-Mail-Wurm "Netsky.D"
- Der mit dem Piep -
Bonn, 1. März 2004 - Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt erneut vor einem neuen gefährlichen Computer-Wurm, der in E-Mails als Datei-Anhang verschickt wird. Es werden dabei E-Mail-Adressen verwendet, die auf einem infizierten Computer gefunden wurden. Der eigentliche Absender ist gefälscht!
Betroffen sind alle gängigen Windows-Betriebssysteme. "Netsky.D" ist eine weitere Variante des bereits bekannten Netsky-Wurms. Innerhalb nur weniger Stunden sind offensichtlich bereits Tausende von Rechnern infiziert, wie aus dem Mail-Aufkommen mit diesem Wurm hervorgeht. Aktiviert wird er durch einen Doppelklick auf den Datei-Anhang. Die beigefügte Datei ist genau 17.424 Bytes groß und hat immer die Endung „.pif“. Der englische Text der E-Mail lautet dabei: „Here is the file.“, „See the attached file for details.“, „Please have a look at the attached file.“, „Please read the attached file.“, „Your document is attached.“ oder „Your file is attached.“
Neben der Beeinträchtigung des E-Mail-Verkehrs durch massenhafte Versendung macht sich zunächst am Dienstag, dem 2. März 2004, am Morgen für eine gewisse Zeit der PC-Lautsprecher mit einem Pieps-Ton bemerkbar. Zusätzlich versucht der Netsky-Wurm bereits auf einem Computer vorhandene Varianten des Mydoom-Wurms zu deaktivieren.
Eine deutsche Beschreibung des Wurms ist auf der Internet-Seite des BSI http://www.bsi.bund.de/av/vb/netskyd.htm zu finden. Heute, 1.3.2004, aktualisierte Viren-Schutzprogramme erkennen mittlerweile dieses Schadprogramm.
Genereller Hinweis des BSI zu solchen E-Mail-Würmern:
Bei E-Mail auch von vermeintlich bekannten bzw. vertrauenswürdigen Absendern prüfen, ob der Text der Nachricht auch zum Absender passt (englischer Text von deutschem Partner, zweifelhafter Text oder fehlender Bezug zu konkreten Vorgängen etc.) und ob die Anlage (Attachment) auch erwartet wurde.
BSI-LInk
_____
Datenleck bei Softbank/Yahoo BB
In Japan gibt es derzeit eine intensive Diskussion über die Sicherheit von Daten bei Unternehmen. Bei Softbank BB, einer Tochter der Softbank-Gruppe und Japans größter Breitband-Anbieter, ist ein großes Datenleck bekannt geworden, durch das Unbefugte auf über 4,5 Millionen Datensätze von Yahoo-BB-Kunden zugreifen konnten. An Yahoo Broadband in Japan hält Softbank 55 Prozent der Anteile.
Für gewöhnlich sind 135 Personen zur Einsicht in die Datenbank autorisiert, doch durch einen Systemfehler hatten zum Beispiel auch Servicedienstleister Zugriff auf die Daten. Medien berichten vom "größten Datenleck aller Zeiten", laut Softbank ist bislang nicht klar, wie die Daten nach außen gelangen konnten.
Das Sicherheitsloch wurde im Rahmen von Ermittlungen gegen vier Personen entdeckt, die die Softbank Corp. und Softbank BB erpresst haben sollen. Diese sollen 4,5 Millionen Personendaten von Yahoo BB auf DVDs kopiert haben, berichtet die japanische Nachrichtenagentur Nikkei. Die Softbank-Gruppe will den Yahoo-Kunden nun 4 Milliarden Yen (29 Millionen Euro) Schadensersatz zahlen. Die gestohlenen Daten enthielten nach Angaben von Softbank Namen, Telefonnummern, Adressen, E-Mail-Adressen der Kunden, Yahoo-Mailadresse und Kunden-ID bei Yahoo Japan, aber keine Informationen über Zugangsdaten oder Kreditkarten.
HeiseLink
___
Neue Variante des Netsky-Wurms verbreitet sich schnell
Nachdem am Wochenende gleich fünf neue Varianten des Bagle-Wurms entdeckt worden, gibt es jetzt auch eine neue Mutation des Netsky-Wurms, von Network Associates Netsky.d getauft. Der Schädling verhält sich ähnlich wie sein Vorgänger: Er verbreitet sich über eine eigene SMTP-Engine mit stets gefälschten Absenderadressen. Die D-Variante legt eine 17,424 Byte große Datei winlogon.exe im Windows-Systemverzeichnis an und schreibt einen Schlüssel in die Windows-Registry, um sich beim Hochfahren des Systems selbst zu starten. Als Nebeneffekt versucht der Wurm, eventuell vorhandene Hintertüren von MyDoom.a und MyDoom.b zu deaktivieren.
Die meisten Antivirus-Hersteller wie Network Associates und Symantec haben bereits aktualisierte Virensignaturen zur Erkennung der neuen Netsky-Mutation. Die neue Netsky-Variante scheint sich rasant zu verbreiten: Die Scanner auf den Mail-Servern des Heise-Verlags registrierten über 400 mit dem Wurm verseuchte E-Mails innerhalb einer Viertelstunde nach Aktualisierung der Signatur-Dateien.
Grundsätzlich gilt: Egal wie die Datei in einem Mailanhang heißt, man sollte sie nicht ungeprüft öffnen, anklicken oder ausführen. Auch wenn der Absender bekannt ist, kann die Mail den Wurm enthalten. Ohnehin sollten deutsche Anwender die -- allerdings stark variierenden -- englischen Betreffzeilen und Nachrichtentexte stutzig machen. Weitere Hinweise zu Viren und Würmern finden Sie auf den Antiviren-Seiten von heise Security.
HeiseLink
_____
Schwachstelle in Symantec Gateway Security
Eine Cross-Site-Scripting-Schwäche in Symantecs Gateway Security Appliance ermöglicht Angreifern, Admistrator-Sitzungen zu entführen. Wird eine speziell manipulierte URL geladen, kann darüber beliebiger Scripting-Code auf dem Browser des Opfers ausgeführt werden. Der Scriptcode liefe dann im Kontext der Symantec Gateway Security; der Angreifer kann so an Authentifizierungs-Cookies (JSESSIONID) herankommen, vom Nutzer übermittelte Daten einsehen oder Änderungen in der Konfiguration vornehmen. Im schlimmsten Fall kann der Angreifer eine komplette Administrations-Sitzung entführen. Symantec stellt einen Patch für das Problem zur Verfügung (SG8000-20040130-00), den betroffene Adminstratoren schnellstmöglichst einspielen sollten.
HeiseLink
____
Sicherheitsproblem in WinZip [Update]
Die Firma iDefense hat ein Advisory zu einem möglichen Buffer Overflow in dem Archiv-Tool WinZip veröffentlicht. Der Fehler lässt sich durch speziell präparierte Archiv-Dateien ausnutzen, um Code auszuführen. Öffnet ein WinZip-Nutzer eine solche Datei, beispielsweise indem er auf ein entsprechendes Mail-Attachment klickt, kann er sich auf diese Art sogar einen Virus einhandeln.
Gefährlich sind die Archivtypen .mim, .uue, .uu, .b64, .bhx, .hqx und .xxe, die der eingebaute Decoder UUDeview behandelt. Der Fehler existiert in allen WinZip-Versionen ab 6.2 bis hin zur letzten Beta-Version 9.0. In der aktuellen Release 9.0 ist der Fehler beseitigt.
Das betroffene Modul beruht auf dem Unix-Tool UUDeview, das unter anderem auch der KDE-Mailer KMail nutzt. Es ist nicht auszuschließen, dass diese UUDeview-Versionen von dem Problem auch betroffen sind.
Update:
Der Maintainer von KMail, Ingo Klöcker, hat gegenüber heise Security klargestellt, dass weder KMail noch andere KDE-Applikationen von dem Problem in UUDeview betroffen seien. Die UUDeview-Bibliothek uulib wurde lediglich in einer sehr alten Version des News-Readers krn genutzt (KDE 1.x) und ist seit KDE 2.0 nicht mehr Bestandteil von KDE. Eine Stellungnahme des UUDeview-Maintainers steht noch aus.
HeiseLink
___
Sicherheitsloch in WFTP und WFTP Pro
Laut eines Postings auf der Sicherheits-Mailingliste Full Disclosure gibt es eine neue Sicherheitslücke im Windows-FTP-Server WFTPD, die es authentifizierten Benutzern ermöglicht, beliebigen Code auszuführen. Der Fehler liegt in den Befehlen LIST, NLST und STAT: Ein Buffer Overflow bringt den Stack zum Überlaufen und ermöglicht so die Code-Ausführung.
Betroffen sind WFTD Server 3.10 und 3.21 und WFTPD Pro Server 3.20 und 3.21. Unter der Pro-Version ist der Fehler besonders kritisch, da dort Code mit Systemrechten ausgeführt werden kann, unter WFTPD Server lediglich mit den rechten der Applikation. Einen Patch gegen das Problem gibt es bislang noch nicht; da dem Posting auf Full Disclosure ein Proof-of-Concept-Exploit beigefügt wurde, sollte man bis zur Verfügbarkeit eines Hotfixes von dem Einsatz von WFTPD absehen.
HeiseLink
------
[Firmen News] Microsoft: Exploits kommen erst nach Erscheinen eines Patches (http://www.golem.de/0402/29987.html) In einem Interview mit der britischen BBC erklärte ein Microsoft-Mitarbeiter, dass Exploits zur Ausnutzung von Sicherheitslücken erst erscheinen würden, nachdem Microsoft entsprechende Patches veröffentlicht habe. Das suggeriert, dass nicht bereinigte Sicherheitslücken in Software-Produkten kein Risiko darstellen, so lange kein Patch erhältlich ist. Sicherheitsexperten bezweifeln diese Aussage.
David Aucsmith, ein Microsoft-Mitarbeiter aus der Abteilung Security Business und Technology, erklärte in dem Gespräch mit der BBC, dass nach seinen Erkenntnissen nie Exploits für Sicherheitslücken in Windows vor Veröffentlichung eines Patches erschienen seien. "Wir haben niemals Sicherheitslücken-Exploits gehabt, bevor ein Patch erschienen ist", beteuert Aucsmith gegenüber der BBC. Für Aucsmith folgt daraus, dass Hacker erst nach auf Erscheinen eines Patches entsprechende Exploits schreiben, indem die Patches mittels Reverse Engineering analysiert werden.
Auf der Sicherheits-Mailingliste Full Disclosure äußern sich Experten sehr kritisch zu den Ausführungen des Microsoft-Mitarbeiters. So berichten mehrere Mailinglisten-Teilnehmer, dass im Untergrund oft bereits einen Tag nach Bekanntwerden einer Sicherheitslücke entsprechender Exploit-Code bereitstehe. Nur werde das meist nicht in die Öffentlichkeit getragen. Ein anderer Experte weist darauf hin, dass von Dritten entdeckte Sicherheitslücken aus Sicherheitsgründen in vielen Fällen erst bekannt gegeben werden, nachdem Microsoft einen passenden Patch veröffentlicht hat. Daher überrascht es auch nicht, dass die bis dahin unbekannten Sicherheitslücken nicht bereits vorher ausgenutzt werden.
Mit der von David Aucsmith gemachten Aussage will Microsoft anscheinend Windows-Anwender in Sicherheit wiegen, da demnach Sicherheitslücken erst gefährlich würden, wenn die Patches bereits erschienen sind. Somit seien Anwender vor Angriffen geschützt, wenn sie die bereitgestellten Patches einspielen, da offene Sicherheitslücken nicht vorher ausgenutzt werden. Allein ein aktuelles Beispiel widerlegt jedoch die Aussage von David Aucsmith: Der kürzlich aufgetauchte ICQ-Wurm Bizex nutzte zum Infizieren eines Systems ein Sicherheitsleck im IE (wir berichteten). Nach den Schlussfolgerungen von Aucsmith gäbe es den Wurm gar nicht, denn Microsoft bleibt einen Patch für diese Lücke bislang schuldig.
rotalarm.de
#####
Auch Wurm NetSky mutiert
[Viren & Würmer] (http://www.heise.de/security/news/meldung/45018) Nachdem nun schon der Wurm MyDoom bis zur F-Variante mutiert ist, warnen die Hersteller von Antivirensoftware vor der C-Variante des NetSky-Wurms, auch bekannt als Moodown: W32.Netsky.C@mm alias W32/Netsky.c@MM, Win32.Netsky.C, W32/Netsky-C, WORM_NETSKY.C, I-Worm.Moodown.c.
Der Wurm verbreitet sich über eine eigene SMTP-Engine. Die Absenderadresse ist wie bei allen Mass-Mailing-Würmern stets gefälscht. Die Zieladressen zum Versand findet er in diversen Dateien auf dem System. Der Wurm versendet sich als Dateianhang der Mail. Die Dateinamen variieren dabei stark. Zusätzlich kopiert sich der Wurm mit interessant klingenden Dateinamen in lokale Verzeichnisse und Verzeichnisse von Netzlaufwerken, wenn deren Namen den String shar enthält, um sich über Tauschbörsen wie Kazaa und andere zu verbreiten.
Ein Schadroutine hat der Wurm nicht, am 26. Februar versuchte er allerdings zwischen 6 und 8 Uhr morgens den PC-Lautsprecher zu Piepen zu bringen.
rotalarm.de
######
Trillian-Patches stopfen Sicherheitslücken
[online/Browser/Email] Sicherheitsleck im Yahoo-Protokoll von Trillian (http://www.golem.de/0402/29936.html) Cerulean Studios hat Patches für die Pro-Versionen sowie die kostenlose Ausführung des Instant Messengers Trillian zum Download bereitgestellt, um Sicherheitslöcher in der Software zu stopfen. Bei Verwendung der Yahoo- und AIM-Komponente in Trillian kann ein Angreifer das Sicherheitsleck missbrauchen und Programmcode auf ein System schleusen.
Das Sicherheitsleck steckt in den kostenlosen Trillian-Ausführungen ab der Version 0.71 sowie in den kostenpflichtigen Pro-Varianten 1.x und 2.x. Ein Angreifer kann darüber Programmcode auf ein System schleusen und diesen ausführen, um sich so Kontrolle über das entsprechende System zu verschaffen. Das Sicherheitsleck tritt in den Komponenten AOL-Instant-Messangin (AIM) und Yahoo auf.
Für alle Trillian-Versionen stehen entsprechende Patches zum Download bereit.
rotalarm.de
#####
Neues Sicherheitsupdate für OS X
[Apple/Macintosh] (http://www.macnews.de/?51340) Mit einem weiteren Sicherheitsupdate ("2004-02-23" via Software Aktualisierung) reagiert Apple auf bekannt gewordene Schwachstellen einzelner Tools, die mit Mac OS X zur Auslieferung kommen. Dazu zählen die Komponenten DiskArbitration, IPSec, das Point-to-Point-Protokol sowie tcpdump.
Das Update ist 1,6 MB groß und erfordert nach der Installation einen Neustart. Es ist für Jaguar und Panther jeweils in Client- und Server-Versionen verfügbar.
rotalarm.de
######
Warnung vor E-Mail-Wurm "Netsky.D"
- Der mit dem Piep -
Bonn, 1. März 2004 - Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt erneut vor einem neuen gefährlichen Computer-Wurm, der in E-Mails als Datei-Anhang verschickt wird. Es werden dabei E-Mail-Adressen verwendet, die auf einem infizierten Computer gefunden wurden. Der eigentliche Absender ist gefälscht!
Betroffen sind alle gängigen Windows-Betriebssysteme. "Netsky.D" ist eine weitere Variante des bereits bekannten Netsky-Wurms. Innerhalb nur weniger Stunden sind offensichtlich bereits Tausende von Rechnern infiziert, wie aus dem Mail-Aufkommen mit diesem Wurm hervorgeht. Aktiviert wird er durch einen Doppelklick auf den Datei-Anhang. Die beigefügte Datei ist genau 17.424 Bytes groß und hat immer die Endung „.pif“. Der englische Text der E-Mail lautet dabei: „Here is the file.“, „See the attached file for details.“, „Please have a look at the attached file.“, „Please read the attached file.“, „Your document is attached.“ oder „Your file is attached.“
Neben der Beeinträchtigung des E-Mail-Verkehrs durch massenhafte Versendung macht sich zunächst am Dienstag, dem 2. März 2004, am Morgen für eine gewisse Zeit der PC-Lautsprecher mit einem Pieps-Ton bemerkbar. Zusätzlich versucht der Netsky-Wurm bereits auf einem Computer vorhandene Varianten des Mydoom-Wurms zu deaktivieren.
Eine deutsche Beschreibung des Wurms ist auf der Internet-Seite des BSI http://www.bsi.bund.de/av/vb/netskyd.htm zu finden. Heute, 1.3.2004, aktualisierte Viren-Schutzprogramme erkennen mittlerweile dieses Schadprogramm.
Genereller Hinweis des BSI zu solchen E-Mail-Würmern:
Bei E-Mail auch von vermeintlich bekannten bzw. vertrauenswürdigen Absendern prüfen, ob der Text der Nachricht auch zum Absender passt (englischer Text von deutschem Partner, zweifelhafter Text oder fehlender Bezug zu konkreten Vorgängen etc.) und ob die Anlage (Attachment) auch erwartet wurde.
BSI-LInk
_____
Datenleck bei Softbank/Yahoo BB
In Japan gibt es derzeit eine intensive Diskussion über die Sicherheit von Daten bei Unternehmen. Bei Softbank BB, einer Tochter der Softbank-Gruppe und Japans größter Breitband-Anbieter, ist ein großes Datenleck bekannt geworden, durch das Unbefugte auf über 4,5 Millionen Datensätze von Yahoo-BB-Kunden zugreifen konnten. An Yahoo Broadband in Japan hält Softbank 55 Prozent der Anteile.
Für gewöhnlich sind 135 Personen zur Einsicht in die Datenbank autorisiert, doch durch einen Systemfehler hatten zum Beispiel auch Servicedienstleister Zugriff auf die Daten. Medien berichten vom "größten Datenleck aller Zeiten", laut Softbank ist bislang nicht klar, wie die Daten nach außen gelangen konnten.
Das Sicherheitsloch wurde im Rahmen von Ermittlungen gegen vier Personen entdeckt, die die Softbank Corp. und Softbank BB erpresst haben sollen. Diese sollen 4,5 Millionen Personendaten von Yahoo BB auf DVDs kopiert haben, berichtet die japanische Nachrichtenagentur Nikkei. Die Softbank-Gruppe will den Yahoo-Kunden nun 4 Milliarden Yen (29 Millionen Euro) Schadensersatz zahlen. Die gestohlenen Daten enthielten nach Angaben von Softbank Namen, Telefonnummern, Adressen, E-Mail-Adressen der Kunden, Yahoo-Mailadresse und Kunden-ID bei Yahoo Japan, aber keine Informationen über Zugangsdaten oder Kreditkarten.
HeiseLink
___
Neue Variante des Netsky-Wurms verbreitet sich schnell
Nachdem am Wochenende gleich fünf neue Varianten des Bagle-Wurms entdeckt worden, gibt es jetzt auch eine neue Mutation des Netsky-Wurms, von Network Associates Netsky.d getauft. Der Schädling verhält sich ähnlich wie sein Vorgänger: Er verbreitet sich über eine eigene SMTP-Engine mit stets gefälschten Absenderadressen. Die D-Variante legt eine 17,424 Byte große Datei winlogon.exe im Windows-Systemverzeichnis an und schreibt einen Schlüssel in die Windows-Registry, um sich beim Hochfahren des Systems selbst zu starten. Als Nebeneffekt versucht der Wurm, eventuell vorhandene Hintertüren von MyDoom.a und MyDoom.b zu deaktivieren.
Die meisten Antivirus-Hersteller wie Network Associates und Symantec haben bereits aktualisierte Virensignaturen zur Erkennung der neuen Netsky-Mutation. Die neue Netsky-Variante scheint sich rasant zu verbreiten: Die Scanner auf den Mail-Servern des Heise-Verlags registrierten über 400 mit dem Wurm verseuchte E-Mails innerhalb einer Viertelstunde nach Aktualisierung der Signatur-Dateien.
Grundsätzlich gilt: Egal wie die Datei in einem Mailanhang heißt, man sollte sie nicht ungeprüft öffnen, anklicken oder ausführen. Auch wenn der Absender bekannt ist, kann die Mail den Wurm enthalten. Ohnehin sollten deutsche Anwender die -- allerdings stark variierenden -- englischen Betreffzeilen und Nachrichtentexte stutzig machen. Weitere Hinweise zu Viren und Würmern finden Sie auf den Antiviren-Seiten von heise Security.
HeiseLink
_____
Schwachstelle in Symantec Gateway Security
Eine Cross-Site-Scripting-Schwäche in Symantecs Gateway Security Appliance ermöglicht Angreifern, Admistrator-Sitzungen zu entführen. Wird eine speziell manipulierte URL geladen, kann darüber beliebiger Scripting-Code auf dem Browser des Opfers ausgeführt werden. Der Scriptcode liefe dann im Kontext der Symantec Gateway Security; der Angreifer kann so an Authentifizierungs-Cookies (JSESSIONID) herankommen, vom Nutzer übermittelte Daten einsehen oder Änderungen in der Konfiguration vornehmen. Im schlimmsten Fall kann der Angreifer eine komplette Administrations-Sitzung entführen. Symantec stellt einen Patch für das Problem zur Verfügung (SG8000-20040130-00), den betroffene Adminstratoren schnellstmöglichst einspielen sollten.
HeiseLink
____
Sicherheitsproblem in WinZip [Update]
Die Firma iDefense hat ein Advisory zu einem möglichen Buffer Overflow in dem Archiv-Tool WinZip veröffentlicht. Der Fehler lässt sich durch speziell präparierte Archiv-Dateien ausnutzen, um Code auszuführen. Öffnet ein WinZip-Nutzer eine solche Datei, beispielsweise indem er auf ein entsprechendes Mail-Attachment klickt, kann er sich auf diese Art sogar einen Virus einhandeln.
Gefährlich sind die Archivtypen .mim, .uue, .uu, .b64, .bhx, .hqx und .xxe, die der eingebaute Decoder UUDeview behandelt. Der Fehler existiert in allen WinZip-Versionen ab 6.2 bis hin zur letzten Beta-Version 9.0. In der aktuellen Release 9.0 ist der Fehler beseitigt.
Das betroffene Modul beruht auf dem Unix-Tool UUDeview, das unter anderem auch der KDE-Mailer KMail nutzt. Es ist nicht auszuschließen, dass diese UUDeview-Versionen von dem Problem auch betroffen sind.
Update:
Der Maintainer von KMail, Ingo Klöcker, hat gegenüber heise Security klargestellt, dass weder KMail noch andere KDE-Applikationen von dem Problem in UUDeview betroffen seien. Die UUDeview-Bibliothek uulib wurde lediglich in einer sehr alten Version des News-Readers krn genutzt (KDE 1.x) und ist seit KDE 2.0 nicht mehr Bestandteil von KDE. Eine Stellungnahme des UUDeview-Maintainers steht noch aus.
HeiseLink
___
Sicherheitsloch in WFTP und WFTP Pro
Laut eines Postings auf der Sicherheits-Mailingliste Full Disclosure gibt es eine neue Sicherheitslücke im Windows-FTP-Server WFTPD, die es authentifizierten Benutzern ermöglicht, beliebigen Code auszuführen. Der Fehler liegt in den Befehlen LIST, NLST und STAT: Ein Buffer Overflow bringt den Stack zum Überlaufen und ermöglicht so die Code-Ausführung.
Betroffen sind WFTD Server 3.10 und 3.21 und WFTPD Pro Server 3.20 und 3.21. Unter der Pro-Version ist der Fehler besonders kritisch, da dort Code mit Systemrechten ausgeführt werden kann, unter WFTPD Server lediglich mit den rechten der Applikation. Einen Patch gegen das Problem gibt es bislang noch nicht; da dem Posting auf Full Disclosure ein Proof-of-Concept-Exploit beigefügt wurde, sollte man bis zur Verfügbarkeit eines Hotfixes von dem Einsatz von WFTPD absehen.
HeiseLink
------