Newsletter 2006
(Januar bis
Dezember 2006)
Ausgewählte
Auszüge verschiedener Newsletter und Artikel
zur Internetsecurity und anderen aktuellen Themen.
Urheberrechtsbelehrung
Alle hier
aufgelisteten Meldungen sind, sofern sie nicht explizit
entsprechend anders gekennzeichnet sind,
nicht als eigenständiger Bestandteil meines Webangebotes,
sondern lediglich als Zitate
mit Verweisen (Links) auf die Beiträge Dritter in öffentlichen
Online-Medien u.a. der Tagespresse zu verstehen.
Sie unterliegen demzufolge ausnahmlos direkt dem Urheberrecht der
jeweiligen Autoren oder Quelleninhaber.
Siehe hierzu auch meinen Disclaimer.
Die
Beiträge der einzelnen Seiten umfassen in der Regel 12 Monate,
sind chronologisch absteigend geordnet
und können mit der Suchfunktion nach Schlüsselbegriffen
gescannt werden.
Ich
möchte ergänzend darauf hinweisen, dass viele der "weiterführenden
Links" auf aktuelle Seiten der Tagespresse
oder Fachzeitschriften führen und daher oft nur zeitlich begrenzt oder mit veränderter URL zur
Verfügung stehen.
Gelegentliche tote Links lassen sich daher kaum
vermeiden.
Man beachte hierbei bitte das jeweilige Datum "(...)"
der Meldung.
In einigen Fällen führen diese Links aber auch zur Startseite des Anbieters und können dort mittels Suchfunktion
und der Nummer
hinter der
URL erneut aufgerufen werden.
(Beispiel: http://www.pcwelt.de/news/viren_bugs/40130/)
| Aktuelles | 2002 | 2003 | 2004 | 2005 | 2007 | 2008 | 2009 | 2010 | 2011 | 2012 | 2013 | 2014 | 2015 | 2016 | 2017 | 2018 | 2019 | 2020 | 2021 | 2022 | Startseite |
Nur drei Minuten – so verspricht der Berliner Online-Dienstleister Decryptum – muss man warten, bis man seine per Web-Interface eingeschickte kennwortgeschützte Word/Excel-Datei (2003/2002/2000/97) im Klartext wieder herunterladen kann. Dank eines freien Previews kann man sich zuvor von dem Funktionieren der Entschlüsselung für seine Datei überzeugen. Die Kennwortlänge ist dabei nicht beschränkt.
Lesen Sie HIER weiter
Der im Internet Explorer 7 integrierte Phishing-Filter bremst beim Besuch einiger Websites den PC durch stark ansteigende CPU-Last aus. Das Tool soll Nutzer automatisch vor Websites schützen, die unter Vorspiegelung einer anderen Identität persönliche Zugangsdaten erschleichen wollen. Enthält eine Website zahlreiche Frames oder springt man in kurzer Zeit viele Seiten parallel an, kann die im Hintergrund stattfindende Überprüfung die Leistungsfähigkeit des PCs offensichtlich stark beeinträchtigen
Lesen Sie HIER weiter
Wieviel sind Ihnen ihre Mails wert? Darüber müssen sich laut Websense spanischsprachige Anwender von Hotmail derzeit Gedanken machen. Erpresser sind mit geklauten Login-Daten in die Konten eingedrungen und haben sämtliche empfangenen und verschickten Mails sowie Kontakte kopiert und dann gelöscht. Einzig eine Mitteilung der Erpresser verbleibt im Postfach, mit der Forderung nach Lösegeld für die Mails: "Wenn Sie wissen wollen, wo ihre Mails und Kontakte hin sind, dann zahlen Sie oder Sie verlieren alles."
Lesen Sie HIER weiter
Trojaner als Anwender, die eine finale Vista-Version testen und verlockt sind, diese illegal zu aktivieren, müssen aufpassen. In Tauschbörsen kursiert seit kurzem ein angeblicher Aktivierungs-Hack für Microsoft neuestes Betriebssystem – wer die Datei ausführt, um so eine vermeintliche Aktivierung durchzuführen, installiert sich einen Trojaner.
Lesen Sie HIER weiter
Avira erkennt Die Virenscanner des deutschen Herstellers Avira (bis Anfang des Jahres als H+BEDV bekannt) haben mit einem Update eine fehlerhafte Signatur eingespielt, die den Internet Explorer 6 als Trojaner TR.Spy.Goldun.ML erkennen. Einige verunsicherte Anwender haben aufgrund der Virenfund-Meldung ihren Internet Explorer gelöscht, um den vermeintlichen Trojaner wieder loszuwerden. Laut Helmut Büsker von Avira ist in den Signaturdateien 6.36.01.127 beziehungsweise 6.36.01.134 bei den inkrementellen Updates die falsche Signatur trotz der internen Tests durchgerutscht. Sie wurden ab 7:25 Uhr am heutigen Mittwochmorgen verteilt. Der Fehler sei jedoch schnell aufgefallen und wurde eine halbe Stunde später mit neuen Signaturdatenbanken behoben. Betroffene Anwender könnten die Datei gegebenfalls aus der Quarantäne wiederherstellen. Die Windows File Protection von Windows XP sorge jedoch selbständig für das Rückspielen der fehlenden Datei. Daher sei nach Einschätzung von Avira kein größerer Schaden entstanden.
Lesen Sie HIER weiter
Im Grunde sollte es niemanden überraschen: Auch Windows Vista bietet ohne Virenscanner keinen zuverlässigen Schutz vor Viren und Würmern – wenn der Nutzer allzu sorglos rumklickt. Der Hersteller von Antivirensoftware Sophos hat in einem Test versucht, Vista mit zehn der am weitesten verbreiteten Schädlinge zu infizieren. Immerhin noch drei konnten sich im System festsetzen: Die Uralt-E-Mail-Würmer Stratio-Zip, Netsky-P und MyDoom-O.
Lesen Sie HIER weiter
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die zweite Version seiner Prüfsoftware für Netzwerksicherheit zum Download bereitgestellt. Die BSI Opensource Security Suite (BOSS) ist ein Paket aus Open-Source-Software zum Aufspüren von Sicherheitslücken. Zentrale Komponente ist der bewährte Sicherheits-Scanner Nessus, dazu kommen gängige Tools wie der Netzwerksniffer Ethereal (leicht veraltet, Ethereal heißt jetzt Wireshark), der Scanner Nmap nebst grafischer Oberfläche und andere Kleinigkeiten.
Lesen Sie HIER weiter
Wurm dringt in
virtuelle SpieleweltFast wirkt es wie eine Kreuzung aus Neal Stephensons "Snow Crash" und Michael Crichtons "Prey": Die virtuelle Online-Welt "Second Life" ist von einem digitalen Wurm attackiert worden, wie der Betreiber Linden Labs in seinem Blog schreibt. Der Grey Goo genannte Wurm (in Anlehnung an einen von Nanobots herbeigeführten hypothetischen Weltuntergang) soll Nutzerberichten zufolge rotierende goldene Ringe in der Spielewelt platziert haben. Wie der Wurm sich genau weiter verbreitete, ist nicht beschrieben. Angeblich soll dazu die Interaktion der Spieler mit den Ringen erforderlich gewesen sein.
Lesen Sie HIER weiter
Pandas Online-Virenscanner installiert ActiveX-Module, die böswillige Individuen aus präparierten Webseiten heraus aufrufen können. Der Sicherheitsdienstleister Secunia meldet Schwachstellen in den ActiveX-Modulen, die Angreifern ermöglichen, beliebige Schadsoftware auf betroffene Systeme einzuschleusen.
Lesen Sie HIER weiter
Dass Mediendateien wie Videos oder Musikstücke zum Einschleusen von Schadcode dienen können, ist nicht neu. Allerdings werden Virenbastler immer kreativer. Jetzt hat McAfee einen Schädling entdeckt, der über präparierte RealMedia-Dateien ins System eindringt, sich in ihm verankert und weitere Real-Videos infiziert. Der Antivirenhersteller hat den Wurm W32/Realor.worm getauft.
Lesen Sie HIER weiter
Der aktuell beim Month of the Kernel Bugs (MoKB) gemeldete Fehler betrifft wieder einen WLAN-Treiber. Dieses Mal versetzt der Windows-Treiber für D-Links DWL-G132 (AirPlus Xtreme G) Angreifer in die Lage, die vollständige Kontrolle über ein System zu übernehmen. H.D. Moore stellt zur Demonstration der Sicherheitslücke ein Metasploit-Modul bereit.
Lesen Sie HIER weiter
Die bislang ungepatchte Lücke im WMIObjectBroker-ActiveX-Control wird nach Berichten von Microsoft und des Internet Storm Center bereits vermehrt ausgenutzt. Laut Hinweisen von TippingPoint an das ISC soll es bereits eine große Zahl von Angriffen aus Russland geben, die versuchen, Besucher mit dem Trojaner Galopoper.A zu infizieren. Wie erfolgreich sie dabei sind, ist unklar, denn das verwundbare Control ist eine Komponente (WmiScriptUtils.dll) von Visual Studio 2005 – normale Heimanwender sind also von dem Problem nicht betroffen. Zudem ist das Control standardmäßig nicht aktiviert, sodass auch Entwickler nicht unbedingt Gefahr laufen, beim Besuch präparierter Seiten infiziert zu werden.
Lesen Sie HIER weiter
ICQ-ActiveX-Control Durch eine Sicherheitslücke in dem ActiveX-Control von ICQ sollen Angreifer durch das einfache Senden einer Nachricht Programme auf die Rechner von Opfern schleusen und mit deren Rechten ausführen können. Der Fehler liegt in einer Funktion der Komponente ICQPhone.SipxPhoneManager, die eine Adresse als Parameter annimmt und die damit angegebene Datei herunterlädt sowie ausführt.
Lesen Sie HIER weiter
Erste Sicherheitslücke
Microsoft hat den Internet Explorer 7 gerade erst veröffentlicht, da meldet der Sicherheitsdienstleister Secunia schon die erste Sicherheitslücke im neuen Browser. Angreifer können durch die Schwachstelle laut Secunia vertrauliche Daten von geöffneten Webseiten ausspähen.
Lesen Sie HIER weiter
Internet Explorer 7 ist
da (19.Oktober
2006)Zwanzig Monate und drei Tage nach Bill Gates' Ankündigung des Internet Explorer 7 haben die Microsoft-Entwickler ihre Arbeit an dem Browser abgeschlossen: Die neue Version des Microsoft-Webbrowsers steht zum Download für Windows XP mit Service Pack 2, Windows XP Professional x64 sowie Windows Server 2003 mit Service Pack 1, Windows Server 2003 x64 und Windows Server 2003 IA64 bereit. Derzeit gibt es nur die englische Version, Ausgaben in anderen Landessprachen, darunter eine deutschsprachige Version, werden in den nächsten Tagen und Wochen folgen. Automatische Updates durch Microsoft sollen laut Microsoft zudem ab November auch Millionen von Windows-XP-Rechnern, die nicht per manuellem Download umgerüstet wurden, mit der neuen Version des Internet Explorer 7 versorgen; Microsoft stellt aber auch ein Tool bereit, um die automatische Auslieferung zu verhindern. Yahoo hatte es sich übrigens sogar erlaubt, noch vor der offiziellen Freigabe durch Microsoft eine für das Internetportal optimierte Version des Internet Explorer 7 bereitzustellen
Lesen Sie HIER weiter
Zweite Lücke im IE Kaum hat Microsoft die VML-Lücke im Internet Explorer mit einem außerplanmäßigen Patch geschlossen, erwächst die zweite noch offene Lücke nun ebenfalls zu einem größeren Problem. Diese wurde bereits vor zwei Wochen im Multimedia Control daxctle.ocx für DirectAnimation entdeckt. Abgesehen von einem Proof-of-Concept-Exploit, der nur auf chinesischen Windows-2000-Rechnern mit gewissen Einschränkungen funktionierte, waren aber keine weiteren öffentlichen Exploits bekannt, die diese Lücke ausnutzten, um den PCs der Besucher präparierter Webseiten Schädlinge unterzujubeln. Nur der Sicherheitsdienstleister Secunia will in seinen Laboren einen Exploit entwickelt haben, der ein vollständig gepatchtes Windows XP SP2 infizieren kann
Lesen Sie HIER weiter
Microsoft
veröffentlicht Über den automatischen Windows Update Service liefert Microsoft derzeit einen Patch aus, der den Fehler in der Windows-Implementierung der Vector Markup Language (VML) entschärfen soll. Diese Lücke wurde in den letzten Tagen vermehrt ausgenutzt, um über präparierte Web-Seiten Hintertüren und Keylogger zu installieren
Lesen Sie HIER weiter
Zweiter, inoffizieller
Patch Nach der Veröffentlichung eines inoffiziellen Patches für die VML-Lücke im Internet Explorer durch das Zero Day Emergency Response Team stellt nun der Hersteller PatchLink ein weiteres inoffizielles Update bereit – allerdings nur für die eigene Kundschaft. PatchLink reagiert damit auf die zunehmende Bedrohung von IE-Anwendern durch infizierte Webseiten. Für Nicht-Kunden empfiehlt der Hersteller, der Anleitung Microsofts zu folgen und die verwundbare Bilbiothek einfach zu deaktivieren. Auch zahlreiche Kundenseiten eines Webhosters wurden bereits gehackt, um Besucher auf präparierte Webseiten zu leiten.
Lesen Sie HIER weiter
Inoffizieller Patch Unabhängige Sicherheitsspezialisten haben einen Patch für die VML-Lücke im Internet Explorer entwickelt und veröffentlicht. Der vom Zero Day Emergency Response Team (ZERT) herausgegebene Patch soll die Lücke in Windows 2000 SP4, Windows XP SP1 und SP2 sowie Windows Server 2003 SP1 (und R2) schließen. ZERT reagiert damit nach eigener Aussage auf den unzulänglichen Update-Zyklus von Microsoft selbst bei kritischen Lücken, der nach Meinung des Teams einfach zu große Abstände aufweist. So genannte Crimeware Gangs hätten sich inzwischen auf den Zyklus eingestellt und würden Exploits für unbekannte Lücken just einen Tag nach Microsofts Patchday starten. Bis zum nächsten Patchday hätten sie dann vier Wochen, in denen Anwender für diese Schwachstellen verwundbar sind.
Lesen Sie HIER weiter
Weitere, unbekannte
Lücke Eine bislang unbekannte
Lücke im Internet Explorer soll nach
Angaben
des Sicherheitsunternehmens Sunbelt bereits von einigen Webseiten
ausgenutzt werden, um Besucher mit Trojanern und Spyware zu
infizieren. Wie lange dies bereits geschieht, ist unklar, Sunbelt
ist nach US-Medienberichten auch nur während der
routinemäßigen Beobachtung bekannter "Crimeware Gangs"
auf die Lücke gestoßen. Offenbar nutzen die präparierten
Webseiten – in der Mehrzahl wohl Pornoseiten – einen
Buffer Overflow bei der Verarbeitung der
Vector
Markup Language (VML) im Browser aus, um Code in ein
vollständig gepatchtes Windows XP SP2 einzuschleusen und mit den
Rechten des Anwenders auszuführen – in der Regel als
Administrator. Weitere Details veröffentlicht Sunbelt vorerst
nicht. Ein Patch ist derzeit nicht verfügbar. Microsoft soll
über die neue Lücke informiert sein. Abhilfe bringt aber jetzt
schon das Deaktivieren von JavaScript.
Lesen Sie HIER weiter
Dass PDF-Dokumente auch JavaScripte enthalten können, ist eigentlich ein alter Hut, schließlich unterstützen Adobe Reader und Adobe Acrobat dies zur besseren Nutzerinteraktion schon seit Version 4. Dennoch zeigen sich immer noch viele Anwender von der Dynamik so mancher PDF-Dateien beim Öffnen überrascht. Bislang galten nämlich hauptsächlich Office-Dokumente mit Makros als potenziell gefährlich. Gerade mit JavaScript lässt sich aber ebenfalls viel Schindluder treiben, wie der britische Sicherheitsspezialist David Kierznowski in seinem Blog feststellt. Kierznowski erläutert darin zwei mögliche indirekte Angriffe auf Anwender mittels präparierter PDF-Dokumente. Dazu stellt er auch zwei Demo-Dokumente zum Download zur Verfügung. Das erste öffnet nach dem Laden ohne Zutun des Anwenders ein Fenster im präferierten Browser. Unter Umständen ließen sich Anwender so auf Webseiten leiten, die etwa eine Lücke im jeweiligen Browser ausnutzen, um weiteren Schadcode in das System zu schleusen und Trojaner zu installieren.
Lesen Sie HIER weiter
Die US-amerikanischen Security-Spezialisten von McAfee warnen vor einem neuen Trend, den sie "SMiShing" (Phishing via SMS) nennen. Demnach erhalten immer mehr Handynutzer SMS-Nachrichten in der Art: "Wir bestätigen, dass Sie sich für unseren Dienst angemeldet haben. Sie bezahlen 2 US-Dollar pro Tag, bis Sie sich unter www.beispiel.com abmelden." Laut McAfee stecken hinter derlei Nachrichten bisher Betreiber von Bot-Netzen. Besuche der Nutzer die angegebene URL, werde er aufgefordert, einen Download zu starten und bekäme sodann einen Trojaner-Bot untergejubelt
Lesen Sie HIER weiter
Kostenloses Antirootkit-Immer mehr Hersteller erkennen, dass die herkömmlichen Schutzmaßnahmen von Antiviren-Software gegen Rootkits nicht ausreichen. Jetzt stellt auch der Antiviren-Hersteller Sophos ein Tool zum Aufspüren und Entfernen von Rootkits bereit. Das Programm sucht nach Prozessen, Registry-Einrägen und Dateien, die über die normalen Windows-API-Aufrufe nicht angezeigt werden. Eine Reinigung ist allerdings nur dann möglich, wenn das gefundene Rootkit eindeutig identifiziert werden konnte.
Lesen Sie HIER weiter
Die Internet-Suchmaschine Google reagiert künftig mit einer Warnmeldung, wenn der Nutzer eine potenziell mit Spy- oder betrügerischer Adware verseuchte Website aus der Trefferliste ansteuert. "Schlechte" Seiten identifiziert Google anhand der Daten von StopBadware.org. Ziel sei es jedoch nicht, potenziell gefährliche Seiten automatisch aus den Suchergebnissen zu tilgen. Die Warnmeldung soll den Nutzer lediglich veranlassen, den Besuch der Site noch einmal zu überdenken.
Lesen Sie HIER weiter
Internet Explorer 7
kommt Ist der Internet Explorer 7 fertiggestellt, so wird er mit dem automatischen Update-System von Windows ins Betriebssystem übertragen, das typischerweise für Sicherheits-Updates genutzt wird. Als Grund dafür nennt ein Microsoft-Mitarbeiter die vielen neuen Sicherheitsfunktionen, die der Browser enthalte. Der Installationsvorgang des Internet Explorer 7 über die Update-Funktion soll aber keine Änderungen bei den Toolbars, der Startseite, den Sucheinstellungen, den Favoriten und dem Standardbrowser vornehmen. Benutzer sollen auch wieder zum Internet Explorer 6 zurückwechseln können.
Lesen Sie HIER weiter
Ein neuer Banking-Trojaner soll in der Lage sein, eigene Inhalte in die Seiten echter Bankseiten einzubinden, um Anwendern ihre PIN und TAN zu stehlen. Mitarbeiter der österreichischen Unternehmens AAX Business Solutions sind nach eigenen Angaben bei der Analyse eines infizierten PCs auf den Schädling gestoßen. Dieser tauscht offenbar beim Aufruf bestimmer Bankseiten Login-Frames im Browser gegen eigene aus, um darin nach der PIN und mehreren TANs zu fragen und nach der Eingabe an den Server der Betrüger zu schicken. Getestet hatten die Mitarbeiter Seiten der österreichischen Banken Raiffeisen, Sparkasse und PSK. Unglücklicherweise nutzt dem Anwender bei derartigen Angriffen auch das Prüfen der Sicherheitsmerkmale nicht viel: Das Schloss im Browser ist geschlossen und das Zertifikat stammt auch wirklich von der Bank. Nach den heise Security vorliegenden Informationen macht sich der Trojaner dabei wohl einen Fehler des Internet Explorers zunutze. In den Voreinstellungen erlaubt Microsofts Browser so genannte Cross-Domain-Manipulationen. Dabei wertet der Browser auch nur die Sicherheitsinformationen des Hauptframes aus und die stammen von der echten Seite. Dieses Problem der "Phishing mit Frames" ist bereits seit zwei Jahren bekannt. Bei Browser wie Firefox, Mozilla, Opera, Konqueror und Safari ist es längst behoben, beim Internet Explorer nicht.
Lesen Sie HIER weiter
Ryan Smith von Hustlelabs hat eine Sicherheitslücke in dem Archivierungsprogramm WinRAR gefunden. Beim Öffnen eines speziell präparierten Archivs im LHA-Format kann es zu einem Pufferüberlauf auf dem Stack kommen, durch den sich beliebiger Code mit den Rechten des gerade angemeldeten Anwenders zur Ausführung bringen lässt. Mit der Version 3.60 Beta 7 ist das Problem behoben; auf der Download-Seite steht bereits die Beta 8 zur Verfügung.
Lesen Sie HIER weiter
Ein neuer Wurm gibt sich als Dienst für Windows Genuine Advantage aus. Der W32/Cuebot-K genannte Schädling verbreitet sich laut Virenspezialist Sophos ausschließlich über den Instant-Messenger-Dienst AIM von AOL. Er kommt als ausführbare Datei auf den Rechnern potenzieller Opfer an. Einmal von einem leichtgläubigen Anwender gestartet, kopiert er sich als wgavn.exe ins Windows-Systemverzeichnis und verankert sich unter dem Namen "Windows Genuine Advantage Validation Notification" in der Registry, um auch nach einem Neustart aktiviert zu werden. Außerdem verändert Cuebot diverse Sicherheits- und Firewall-Einstellungen. Durch eine Hintertür nimmt er – vermutlich über eine Verbindung zu einem IRC-Server – Befehle von seinem Verbreiter entgegen. Laut Sophos konnte sich der Wurm bislang aber nur wenig verbreiten.
Lesen Sie HIER weiter
Browsezilla:
Antivirenhersteller
stufen "Pornobrowser"
als Schädling ein
(28.Juni
2006)
Der kostenlose Webbrowser Browsezilla verspricht Internetnutzern mehr Privatsphäre und Sicherheit, da er keinen Verlauf der besuchten Webseiten und keinen Cache anlegt sowie die eingetippten URLs nicht speichert. Antivirenhersteller sehen in dem Browser, der nicht nur im Namen mit der Ähnlichkeit zur Software der Mozilla-Foundation Vertrauen erwecken will, jedoch ein Sicherheitsrisiko. Eine Überprüfung des Programms mit dem Scanner-Dienst von Virustotal ergab, dass die meisten Virenscanner das Programm als schädlich einstufen:
Lesen Sie HIER weiter
Einwahl-Probleme
nach Microsoft-Patch
(20.Juni
2006)
Der Patch zum Security-Bulletin MS06-025, der eine Schwachstelle im Routing and Remote Access schließt, hat Nebenwirkungen: Nutzer, die sich per Einwählverbindung ins Netz begeben und dabei ein Skript oder das Terminal nutzen müssen, kommen nach dem Einspielen des Updates nicht mehr ins Netz. Die Redmonder haben inzwischen das Security-Bulletin aktualisiert und erläutern darin das Problem. Weiterhin kündigen sie eine neue Version des Updates an. Nutzern, die auf eine Einwählverbindung mit Skript oder Terminal angewiesen sind, empfiehlt Microsoft, bis zur Veröffentlichung des aktualisierten Patches das Update nicht einzuspielen. Wann der neue Patch fertig gestellt wird, weiß das Unternehmen allerdings noch nicht.
Lesen Sie HIER weiter
Microsofts
WGA-Prüfung
telefoniert nach Hause (08.Juni 2006)
Die über die Auto-Update-Funktionen von Windows XP verteilte verschärfte Version der Echtheitsprüfung WGA (Windows Genuine Advantage) soll überprüfen, ob Windows mit einem von Microsoft als legal eingestuften Schlüssel installiert wurde. Fällt ein System bei dieser Prüfung durch, nervt fortan ein Warndialog beim Systemstart: "Diese Kopie ist keine Originalversion." Windows startet erst, wenn jemand diesen Dialog wegklickt. Zudem nimmt Windows jedoch in diesem Falle bei jeder Anmeldung ungefragt Kontakt zu einem Microsoft-Server auf. Eine erste Analyse ergab, dass es dabei eine XML-Datei von der URL www.microsoft.com/genuine/replacement/bioslist2.xml herunterlädt. Diese Datei enthält derzeit nur einen einzigen wenig informativen Datensatz. Amerikanischen Medien-Berichten zufolge bestätigt Microsoft die Kontaktaufnahme durch WGA und begründet sie damit, dass es so möglich sei, WGA bei Bedarf zu deaktivieren. Das Ganze sei harmlos, es würden keine wichtigen Daten übertragen. Angesichts früherer Versicherungen um die Unbedenklichkeit von Seriennummern und Befürchtungen wegen Kontaktaufnahmen von Windows-Installationen mit Microsoft-Servern fallen die User-Kommentare in Internetforen dazu aber recht harsch aus.
Lesen Sie HIER weiter
Support für XP
mit Service Pack 1
endet im Oktober
(07.Juni
2006)
Am 10. Oktober stellt Microsoft den Support für Windows XP mit Service Pack 1 ein und wird nur noch XP-Installationen unterstützen, die auf dem Stand des SP2 sind. Ab diesem Zeitpunkt sollen SP1-Systeme auch keine Sicherheits-Updates mehr erhalten. Die Support-Laufzeit endet planmäßig, wie in Microsofts Support Lifecycle Richtlinien beschrieben, zwei Jahre nach Erscheinen des Service Pack 2. Ursprünglich sollte der Support für das SP1 schon am 17. September auslaufen, im Januar hatte Microsoft die Frist verlängert.
Lesen Sie HIER weiter
Word-Trojaner
wird
von Virenscannern
nicht immer erkannt (22.Mai 2006)
Der vergangenen Samstag entdeckte Trojan-Dropper Ginwui, der ein bisher unbekanntes Sicherheitsleck in Microsoft Word ausnutzt, wird von vielen Virenscannern nur in Teilen oder überhaupt nicht erkannt. Dies ergab ein Test von Andreas Marx von AV-Test am heutigen Montagvormittag mit diversen Virenscannern. Die beiden aufgetauchten, unterschiedlichen DOC-Dateien erzeugen bei Ansicht mit Microsofts Word mehrere ausführbare Dateien und weitere Word-Dokumente. Dabei handelt es sich um ein Dokument zur Verschleierung der schädlichen Aktivitäten, das Word nach dem Programmabsturz wiederherzustellen versucht, sowie um zwei Trojaner, die sich tief ins System einnisten und dort unter anderem die Tastatur überwachen und ins Internet verbinden, um auf weitere Anweisungen des Virenautors zu warten. Bei dem Test erkannten BitDefender, eTrust-VET, F-Secure, Kaspersky, Microsoft OneCare, NOD32 und Symantecs Antivirus alle DOC- und EXE-Dateien. Nur teilweise schafften dies AntiVir, Dr. Web, eSafe, eTrust-INO, Fortinet, Ikarus, McAfee, Panda, QuickHeal, Sophos, Trend Micro und VirusBuster. Die Virenscanner Avast!, AVG, ClamAV, Command, Ewido, F-Prot, Norman und VBA32 sind durchgefallen, da sie Ginwui überhaupt nicht erkannten.
Lesen Sie HIER weiter
Trojaner
installiert sich
über kritisches Sicherheitsleck
in Word (20.Mai 2006)
Hacker aus China und Taiwan nutzen eine Lücke in Microsofts Textprogramm, um eine Hintertür auf dem System zu installieren. Dieser Backdoor.Ginwui genannte Angreifer verbreitet sich als Word-Dokument über E-Mails, die sich als interne Nachrichten tarnen und nicht von Spam- oder Antiviren-Filtern aussortiert werden. Backdoor.Ginwui wurde erstmals in einer in Japan ansässigen Firma gefunden. Das Angriffszenario entspricht den unlängst befürchteten, gezielten Attacken, die nur schwer zu erkennen sind. Der Angreifer installiert nach dem Öffnen des Dokuments unbemerkt eine Hintertür, über die Angreifer die Kontrolle über den PC erlangen können. Nach aktuellen Erkenntissen von Sicherheitsexperten überschreibt er anschließend den Inhalt der ursprünglichen Word-Datei und provoziert so einen Absturz von Word. Nach erneutem Öffnen ist dann nur ein Dokument mit einer harmlosen Nachricht zu sehen. Nach der Installation sendet die Backdoor Pings an IP-Addressen in Asien, teilt also mit, wo sie erreichbar ist.
Lesen Sie HIER weiter
Schneeeule
fällt über Drucker her (17.Mai 2006)
Sollte eine Schneeeule derzeit aus Ihren Druckern fallen, kann es
sein, dass der Wurm Hoots-A in Ihrem Netzwerk sein Unwesen treibt.
Der nach Angaben von Sophos ziemlich simpel gestrickte
Visual-Basic-Wurm verbreitet sich über Netzwerkfreigaben und
verschickt Bilder einer Schneeeule an Netzwerkdrucker. Allerdings
sind die Pfade zu den Freigaben und Druckern im Code fest
vorgegeben.
Lesen Sie HIER weiter
Bounce-Mails
werden zur Plage (15.Mai 2006)
Neben Spam-, Wurm- und Phishing-Mails verstopfen auch zunehmend so genannte Bounce-Mails die Netze der Unternehmen, stellt der Anbieter von E-Mail-Gateways IronPort in einem aktuellen Report fest. Der Schaden durch Ausfälle oder Verzögerungen betroffener E-Mail-Systeme wird für das Jahr 2006 auf mehr als vier Milliarden Euro geschätzt. Bounce-Mails informieren den Absender einer Mail, dass seine Nachricht nicht zugestellt werden konnte, in der Regel, weil der Empfänger nicht bekannt ist. Ist die Absenderadresse aber gefälscht, was inbesondere bei Spam der Fall ist, so landen die Bounces nicht beim ursprünglichen Absender, sondern bei der eingetragenen Adresse. Sind etwa bei zehn Millionen Spam-Mails 20 Prozent mit einer fehlerhaften Empfängeradresse versehen, so ergeben sich daraus zwei Millionen Bounce-Mails, die bei mißbrauchten Absenderadressen landen. Unglücklicherweise lässt sich dies auch für aktive Bounce-Attacken aunsnutzen, um ein Netzwerk in die Knie zu zwingen
Lesen Sie HIER weiter
Neue
Gefahr
durch Bot-Netze mit P2P
(=Peer-to-Peer)-Strukturen (30.April 2006)
Das Internet Storm Center (ISC) hat einen Bot analysiert, der offenbar verschlüsselte, dezentrale Kommunikationsstrukturen nutzt. Solche Bot-Netze der nächsten Generation erhöhen das Bedrohungspotenzial beträchtlich, denn sie lassen sich nicht mehr einfach abschalten. Bot-Netze wiederholen damit sozusagen die Evolution der Tauschbörsen: Wie bei Napster verbinden sich die bisherigen Schädlinge mit einem zentralen (IRC-)Server, über den sie dann ihre Anweisungen bekommen. Das kann zum Beispiel der Start einer DDoS-Attacke sein oder ein Befehl zum Nachladen eines neueren Moduls mit erweiterten Funktionen, der gleichzeitig an tausende von Zombie-Rechnern übermittelt wird. Gelingt es jedoch, den zentralen IRC-Server aus dem Netz zu nehmen, ist das Bot-Netz lahmgelegt. Die Rechner sind zwar nach wie vor infiziert, der Kommandeur des Bot-Nets kann sie jedoch nicht mehr erreichen und damit auch nicht kontrollieren.
Die nächste Generation wird nicht mehr so einfach still zu legen sein. Sie nutzt dezentrale Peer-to-Peer-Strukturen und verschlüsselt ihre Kommunikation. Selbst wenn es gelingt, einzelne Rechner aus dem Netz zu nehmen, "lebt" ein P2P-Bot-Netz weiter.
Lesen Sie HIER weiter
Trojaner:
Geld oder Dateien! (29.April 2006)
Der Antivirensoftware-Hersteller Sophos warnt vor einem neuen Trojaner, der Dateien kidnappt und sie erst nach Zahlung eines Lösegelds wieder freigibt. Der von Sophos Troj/Ransom-A getaufte Trojaner zeigt einige pornografische Bilder und eine Nachricht an, die das Opfer darüber informiert, dass er einige Dateien in unsichtbare Ordner auf dem PC verschoben hat. Die einzige Möglichkeit, die Dateien wiederzuerlangen, sei eine Überweisung von 10,99 US-Dollar via Western Union. Nach der Zahlung erhalte man einen "Freischaltcode", die den Trojaner deaktiviere. Zahlt man nicht, lösche er alle 30 Minuten eine Datei.
Bitte beachten Sie auch die Meldung vom 16.März 2006
Lesen Sie HIER weiter
Internet Explorer:
Lücke wird zum Riesenloch (28.April 2006)
Aus der Lücke
bei der Verarbeitung verschachtelter HTML-Objekte durch den Internet Explorer ist
mittlerweile ein Riesenloch geworden. War Anfang der Woche noch
unklar, ob sich über den Fehler möglicherweise Code
einschleusen lässt, verkündet der Sicherheitsdienstleister
Secunia pünktlich zum Wochenende, dass er einen Exploit für die
Lücke entwickelt habe, der genau das demonstriere. Ein Angreifer
könne damit das komplette System unter seine Kontrolle bringen.
Dazu genügt der Aufruf einer präparierten Webseite.
Darüber hinaus ist ein weiterer Fehler im Internet
Explorer
bekannt geworden. Durch eine so genannte Race Condition beim
Anzeigen der Dialoge zur Installation oder Ausführung von
ActiveX-Controls kann ein Opfer aus Versehen ein unerwünschtes
Control starten. In der Folge hätte der Angreifer darüber
Zugriff auf den PC. Ein Exploit dafür ist bereits
veröffentlicht, auf Windows XP SP2 und Windows Server 2003 SP1
funktioniert er allerdings nicht. Für Anwender älterer Windows-Versionen
wie 98, ME und 2000 sollte dies einmal mehr Anlass sein, auf die
neueren Versionen zu wechseln und die verfügbaren Service Packs
einzuspielen.
Lesen Sie HIER weiter
Absturz
des Internet Explorer
durch verschachtelte Objekte
Michal Zalewski hat erneut eine Schwachstelle im Internet Explorer ausfindig gemacht, über die möglicherweise von Webseiten eingeschleuster Code ausgeführt werden könnte. Durch verschachtelte OBJECT-Elemente in einem HTML-Dokument stürzt der Internet Explorer ab. Der Internet Explorer stolpert Zalewski zufolge bei der Dereferenzierung eines NULL-Zeigers in der Funktionsbibliothek mshtml.dll. Dadurch kann es zu undefiniertem Programmverhalten kommen; eingeschleuster Code könnte ausgeführt werden.
Wie schon in der Vergangenheit hält Zalewski sich jedoch nicht mit tiefgehenden Analysen der Schwachstellen auf, sondern schließt aus der Erfahrung mit älteren Lücken auf die Tragweite. Er stellt jedoch vier Seiten bereit, die fehlerhaftes Verhalten des Internet Explorer demonstrieren:
Lesen Sie HIER weiter
Phishing:
Tatwaffe Telephon (26.April 2006)
Um sich vor Phishing zu schützen, genügt es nicht mehr, nur Webseiten argwöhnisch unter die Lupe zu nehmen. Zukünftig müssen Anwender auch noch prüfen, welche Telefonnummer sie wählen. So berichtet der Anbieter von sicheren E-Mail-Diensten Cloudmark von einem Fall, in dem die Phisher gefälschte Mails versandten, in denen der Empfänger aufgefordert wurde, die Hotline einer Bank unter der angegebenen Nummer anzurufen. Dort erwartete ihn allerdings nicht die Hotline seiner Hausbank, sondern eine per VoIP angeschlossene Telefonanlage der Phisher, die sich als automatisches Sprachsteuerungssystem der Bank ausgab. Zur weiteren Bearbeitung sollte der Anrufer dann Angaben zur Person, Kontonummer und PIN machen.
Lesen Sie HIER weiter
Firefox
stolpert
über JavaScript (25.April 2006)
Laut einer Sicherheitsmeldung von Securident patzt der Open-Source-Browser Firefox bei der JavaScript-Anweisung iframe.contentWindow.focus(). Wenn Firefox auf bestimmte Konstrukte mit dieser Anweisung trifft, kann es zum Browserabsturz kommen. Die Entdecker der Schwachstelle gehen davon aus, dass es sich hierbei um einen Pufferüberlauf handelt, den Angreifer zum Ausführen von beliebigem Code nutzen könnten. Betroffen ist Firefox in Version 1.5.0.2, zurzeit ist noch kein fehlerbereinigter Firefox-Build verfügbar. Abhilfe schafft das Abschalten der Unterstützung für JavaScript unter den Inhalteinstellungen im Extras-Menü, bis die Firefox-Entwickler einen Patch bereitstellen. Jedoch zeigt der Browser dann diverse Webseiten nicht mehr korrekt an.
Lesen Sie HIER weiter
Trügerische Anti-Spyware (24.April 2006)
Sunbelt, Hersteller von Sicherheitssoftware, hat ein Anti-Spyware-Programm Namens Spyware Soft Stop entdeckt, das offenbar nicht ganz koscher ist. Laut dem Blog des Sicherheitsunternehmens warnt die Software, nachdem der Anwender sie gestartet hat, Microsoft empfehle eine Systemüberprüfung, und installiert anschließend vorgeblich Anti-Spyware-Komponenten. Dabei präsentiert sie sich in aktueller Windows-Update-Optik. Nach einem Suchlauf meldet das Programm einige infizierte Dateien. Entfernen ließen sich diese aber nur mit der kostenpflichtigen Version von Spyware Soft Stop. Dass die vermeintliche Anti-Spyware die aufgespürten Dateien jedoch bei der Installation selber dort platziert, erwähnt sie nicht. Die Dateien seien harmlos, ergänzt ein weiterer Blogeintrag.
Der WHOIS-Eintrag der Spyware-Soft-Stop-Domain enthält wahrscheinlich ebenfalls gefälschte Daten. Die angegebene Postleitzahl (123456) sowie die Telefonnummer (1234567) legen das zumindest nahe. Anwender sollten daher um die Datei sss_bot.exe einen großen Bogen machen.
Lesen Sie HIER weiter
Sicherheitsupdates
mit Nebenwirkungen (16.April 2006)
Die Sicherheitsupdates, die Microsoft am letzten Patchday veröffentlicht hat, sind nicht ganz ohne Nebenwirkungen. Im aktualisierten Security Bulletin MS06-015 weist Microsoft darauf hin, dass nach der Installation unter Umständen der Zugriff auf virtuelle Explorer-Ordner wie "Eigene Dateien" und "Eigene Bilder" nicht mehr funktioniert. Auch Microsoft Office sowie Anwendungen von Drittanbietern hängen sich beim Zugriff auf die "Eigenen Dateien" auf. Ursachen und Abhilfen sind in einem Knowledge-Base-Artikel dokumentiert.
Lesen Sie HIER weiter
Das letzte Quartal
für Windows 9x (12.April 2006)
Microsoft hat seine Kunden darauf hingewiesen, dass der Support für das Betriebssystem Windows 98 sowie dessen beiden Nachfolger 98 Second Edition und Millennium demnächst endet: Nach dem 11. Juli will Microsoft keinerlei Updates mehr bereitstellen, auch sicherheitskritische Lücken werden nicht mehr geschlossen. Wer anschließend diese Windows-Versionen noch einsetzt und Probleme mit ihnen hat, kann von Microsoft keine Hilfe mehr erwarten. Lediglich die Knowledge-Base will der Softwareriese noch einige Zeit pflegen. Microsoft empfiehlt Windows-9x-Nutzern, auf Windows XP umzusteigen. Es ist nicht das erste Mal, dass Microsoft das Ende des Supports für Windows 9x verkündet. Ursprünglich sollte der Support für Windows 98 am 16. Januar 2004 auslaufen, für Windows ME am 31. Dezember 2004. Nach Kundenprotesten verlängerte Microsoft die Frist dann bis zum 30. Juni 2006 und aufgrund einer kleineren Anpassung der Richtlinien des Lifecycle-Guides dann noch einmal um einige Tage bis eben zum 11. Juli.
Lesen Sie HIER weiter
Spyware für Handys
überwacht Anwender!!! (30.März 2006)
Dass es so kommen musste, war klar. Dass es so schnell ging, überrascht dennoch: F-Secure hat die erste Spyware für Symbian-basierte Smartphones ausgemacht. Laut F-Secure sammelt der Flexispy.A genannte Schädling auf dem Handy Daten über Anrufe, SMS-Nachrichten sowie Internetaktivitäten und schickt sie an einen Internetserver. Dabei versteckt er sich vor den Augen des Anwenders. Bemerkenswert daran ist, dass Flexispy.A ein kommerzielles Produkt des thailändischen Herstellers Vervata ist, der das Programm unter anderem als Überwachungstool für den Ehegatten anbietet, um Argumente für die Scheidung zu sammeln ("Thanks FlexiSPY!! I'm free again").
Lesen Sie HIER weiter
Webseiten infizieren
Windows-PCs
über Lücke im Internet Explorer (27.März 2006)
Microsoft weist in einem Update seiner Warnung zur jüngst entdeckten Lücke (createTextRange) im Internet Explorer darauf hin, dass bereits erste Webseiten über dieses Leck versuchen, PCs der Besucher mit Schadcode zu infizieren. Websense, Hersteller von Sicherheitssoftware, bestätigt dies in einer eigenen Meldung, will aber bis Sonntag bereits 200 Seiten gezählt haben. Mittlerweile dürfte die Zahl weiter gestiegen sein. Auch geknackte Server sollen sich unter den Virenschleudern befinden. Anwender des Internet Explorer können sich also nicht darauf verlassen, dass bekannte Seiten sicher sind. Erst im Januar dieses Jahres infizierten die Seiten der Support-Foren des Prozessor-Herstellers AMD PCs mit Schadcode über die WMF-Lücke.
Lesen Sie HIER weiter
DVD-Kopiersperre
Alpha-DVD:
Update oder Uninstaller (22.März 2006)
Die deutsche DVD des Films "Mr. & Mrs. Smith" enthält eine Kopiersperre, die auf Windows-Rechnern die Brennfunktionen beeinträchtigen und eine Sicherheitslücke öffnen kann. Die Sperre heißt Alpha-DVD und stammt vom koreanischen Hersteller Settec, einer ehemaligen Abteilung des Elektronikkonzerns LG. Erste Details zu den Nebenfolgen der Kopiersperre wurden Anfang Februar bekannt. Mitte Februar kristallisierte sich heraus, dass sich mit der Tarnkappenfunktion von Alpha-DVD auch weitaus bösartigere Programme vor dem System verstecken können. Die DVD "Mr. & Mrs. Smith" wurde von der Kinowelt GmbH veröffentlicht. Kinowelt und Settec bestritten zunächst, dass die Kopiersperre Brennvorgänge blockieren würde. Erst nach der Veröffentlichung der Sicherheitsanalyse von heise Security gab Settec zu, dass es auch beim Brennen von Daten-Medien zu Unregelmäßigkeiten kommen könnte. Kurz nach dem Verkaufsstart von "Mr. & Mrs. Smith" stellte Settec betroffenen Anwendern einen Uninstaller für Alpha-DVD und mittlerweile auch ein Update für die Kopiersperre zur Verfügung sowie eine FAQ für Anwender – leider nur auf Englisch.
Lesen Sie HIER weiter
Zu viele
Rechte bei
Antivirensoftware
(21.März
2006)
Diverse Virenscanner erlauben jedermann Vollzugriff auf die Installationsverzeichnisse, Update-Ordner oder einzelne Dateien, wie Analysen der c't ergaben. Dadurch lassen sich die Virenscanner von eingeschränkten Nutzern löschen, Programme könnten mit höheren Rechten ausgeführt oder Updates blockiert werden. Von dem Problem sind verschiedene Antivirenprodukte in unterschiedlichen Ausprägungen betroffen. Große Teile des Programmverzeichnisses können eingeschränkte Nutzer in Pandas Platinum 2006 Internet Security, Trend Micros PC Cillin 14, McAfee und Avast beliebig manipulieren. Bis auf den McAfee-Scanner lassen sich diese Antivirenprodukte durch Anwender mit eingeschränkten Accounts so weit löschen, dass sie nicht mehr funktionstüchtig sind.
Lesen Sie HIER weiter
Neuer verschlüsselnder
Trojaner aufgetaucht (16.März 2006)
Wer hinter dem neuen Schädling Troj/Zippo-A einen Trojaner für Sturmfeuerzeuge vermutet, liegt voll daneben. Zippo-A ist nämlich eine weitere Ausgabe eines dokumentenverschlüsselnden Schädlings. Ein erstes Exemplar trat unter dem Namen PGPCoder bereits im Mai letzten Jahres auf den Plan. Der neue Verschlüssler sucht auf der Windows-Festplatte ebenfalls nach Word-Dokumenten, Datenbanken und Tabellenkalkulationen und verschiebt sie in ein passwortgeschütztes ZIP-Archiv. In einer separaten Textdatei informiert Zippo den Anwender, wie er wieder an seine Daten gelangt: Für 300 US-Dollar an ein E-Gold-Konto erhält man das Passwort per Mail. Anschließend löscht sich der Schädling selbst von der Platte.
Lesen Sie HIER weiter
Erweiterte
Zugriffsrechte
durch Avira AntiVir (14.März 2006)
Durch eine Sicherheitslücke in AntiVir PersonalEdition Classic der Firma Avira kann sich ein lokaler Anwender unter Umständen Administratorrechte verschaffen. Dies geht aus einem Posting von Ramon Kukla auf der Security-Mailing-Liste Full-Disclosure hervor. Demnach starte der integrierte Planer, der beispielsweise die automatische Aktualisierung der Viren-Definitionen übernimmt, zur Kontrolle des Reports ein Notepad.exe mit Systemrechten. Mit diesem ist es dann auch Anwendern mit eingeschränkten Zugriffsrechten möglich, beliebige Systemdateien zu modifizieren, um sich beispielsweise Admin-Rechte zu verschaffen.
Lesen Sie HIER weiter
Microsoft
demonstriert
Virtualisierungs-Rootkit
Ein Team aus Wissenschaftlern der Universität von Michigan und von Microsoft Research hat zu Demonstrationszwecken ein Rootkit namens SubVirt entwickelt, das sich gewissermaßen unter das vorgefundene Betriebssystem installiert, um dieses nach einem Neustart in einer virtuellen Maschine (VM) auszuführen. Während der Anwender an seinem Gast-Betriebssystem arbeitet, führt das Rootkit von diesem unbemerkt in einer zweiten VM-Instanz seine Schadfunktionen aus. Die Besonderheit dabei ist, dass sich das Rootkit aus Sicht des virtualisierten Betriebssystems weder beenden noch deinstallieren lässt, da SubVirt selbst die VM kontrolliert, in der sich das ursprüngliche Betriebssystem befindet. Die Forscher bezeichnen ihre Technik als "virtual machine based Rootkit" (VMBR).
Lesen Sie HIER weiter
Bürger-CERT freigeschaltet (02.März 2006)
Bundesinnenminister Wolgang Schäuble hat heute in Berlin gemeinsam mit dem Präsidenten des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Udo Helmbrecht, das Bürger-CERT online geschaltet, ein "Computer Emergency Response Team"-Portal für Bürgerinnen und Bürger. Im vergangenen Jahr seien 16.000 Schadprogramme registriert und durchschnittlich zwei Prozent aller versandten E-Mails mit Viren infiziert worden – "die Techniken werden immer ausgefeilter, und die kriminelle Energie, die dahintersteckt, immer intensiver", erklärte Schäuble. Deshalb solle das Bürger-CERT, betonte der Minister, "ein verlässliches und neutrales Angebot" sein, das Informationen über aktuelle Gefährdungen, Schwachstellen und Angriffe auf Computer und Netzwerke "für jedermann in verständlicher Form" kostenlos zur Verfügung stellt. Er wünsche sich, "dass möglichst viele Internet-Nutzer das neue Angebot annehmen und sich beim Bürger-CERT registrieren".
Lesen Sie HIER weiter
Noch immer Probleme
mit Antivir 7
(14.Februar
2006)
Die neue Version des für Privatanwender kostenlosen Virenscanners Antivir hat auch über zwei Wochen nach der Veröffentlichung noch mit Kinderkrankheiten zu kämpfen. Die Update-Server sind überlastet, auf einigen Systemen führt die neue Software zum Quasi-Stillstand des Rechners.Im Support-Forum sind zahreiche Anwenderbeschwerden zu lesen, aber auch Workarounds und Problemlösungen werden dort in einem eigenen Thread gesammelt. Demnach scheitert etwa die Installation der neuen Version öfter an schreibgeschützten und nicht entfernten Registry-Zweigen der Vorgängerversion Antivir 6 – nach manuellem Setzen der Zugriffsrechte auf Vollzugriff für den Administrator gelingt das Entfernen des Zweiges HKLM\Software\H+BEDV und daraufhin auch das Update. Wenn Programme wie Spybot Search & Destroy oder eine ZoneAlarm-Firewall laufen, kann die Installation ebenfalls scheitern. Das kurzzeitige Deaktivieren der Programme während der Installation hat einigen Benutzern laut den Forenbeiträgen geholfen.
Lesen Sie HIER weiter
Mozilla
und Firefox
geben sensible
Informationen preis
(02.Februar
2006)
Das nur von Browsern der Mozilla-Familie unterstützte Element für Cascading Stylesheets (CSS) "-moz-binding" lässt sich nutzen, um mit Hilfe einer manipulierten Website beliebigen JavaScript-Code in das Document Object Model (DOM) des Browsers einzuschleusen. Dadurch ist es möglich, so genannte Inter-Domain-Zugriffe auf Daten durchzuführen, die andere Websites zur Identifizierung des Nutzers im Browser hinterlegen, wie beispielsweise Cookies und Session-IDs. Schlimmstenfalls kann ein Angreifer durch dieses Cross-Site-Scripting (XSS) auf den Namen des Opfers beispielsweise Bezahldienste und Online-Portale nutzen und Zugang zu weiteren sensiblen Daten erlangen.
Lesen Sie HIER weiter
ZoneAlarm im Kreuzfeuer (24.Januar 2006)
Die Personal Firewall ZoneAlarm von ZoneLabs gerät von zwei Seiten unter Druck: Findige Programmierer haben einen Weg gefunden, an ihr vorbei nach Hause zu telefonieren – und der Wächter sendet offenbar selbst munter Daten ins Netz.
Lesen Sie HIER weiter
Spekulationen
über WMF-Bug
als absichtliche Windows-Hintertür (16.Januar 2006)
Steve
Gibson,
unter anderem Betreiber des Portscan-Dienstes Shields-Up,
beschuldigt in einem Podcast Microsoft, die erst kürzlich
geschlossene WMF-Lücke
absichtlich als Hintertür in Windows eingebaut zu haben: "Das
war kein Fehler.
Das ist kein fehlerhafter Code. Das hat jemand in Windows
eingebaut", erklärt er und spekuliert weiter:
"Falls Microsoft eine Abkürzung benötigt, einen Weg, um
Code auf Windows-Systemen auszuführen,
die ihre Web-Seite besuchen, hatten sie diese Möglichkeit und
dieser Code gab sie ihnen."
Zentrales Element seiner Argumentation ist seine Beobachtung,
die fragliche SetAbortProc-Funktion könne nur mit einer bestimmten,
ungültigen Längenangabe überhaupt aktiv werden.
Dies sei offensichtlich ein Schutzmechanismus, der verhindern
solle,
dass jemand zufällig über die Hintertür stolpere.
Lesen Sie HIER weiter
Hersteller:
Jede zwanzigste Handy-Multimedia-Nachricht
(MMS) ist wurmverseucht (10.Januar 2006)
Fortinet, Hersteller von
Netzwerksicherheitslösungen,
berichtet in seinem monatlichen
Report für den vergangenen Dezember
von einer erstaunlich hohen Zahl infizierter Handy-Nachrichten
über Multimedia Messaging Service (MMS).
So habe man nach der Installation eines Virenfilters auf dem MMS-Gateway
eines deutschen Mobilfunkanbieters festgestellt,
dass fünf Prozent der Nachrichten mit Schädlingen infiziert
waren. Da man die Ergebnisse zunächst nicht glauben wollte,
führte Fortinet einen weiteren Test durch und fand die Resultate
bestätigt. Dabei fand man auch heraus,
dass in einem Drittel der infizierten Nachrichten der Handy-Wurm
Commwarrior.A
steckte,
die anderen zwei Drittel beanspruchte die Variante Commwarrior.B.
Beide
Würmer verbreiten sich per Bluetooth und MMS.
Bei MMS ist der Schädling nicht mehr auf die räumliche Nähe
zu einem anderen Handy angewiesen, um es zu infizieren.
Lesen Sie HIER weiter
Microsoft
veröffentlicht
WMF-Patch vorab
(05.Januar
2006)
Noch Donnerstag Nacht
will Microsoft den Patch für die WMF-Lücke in Windows
bereitstellen.
Man sei mit dem Testen früher als geplant fertig geworden und
Kunden hätte auf eine frühestmögliche Veröffentlichung
gedrängt.
Der Begriff Notfall-Veröffentlichung taucht in der Ankündigung
nicht auf – Microsoft geht nach wie vor davon aus,
dass die Schwachstelle nur begrenzt ausgenutzt würde.
Das sieht das Bundesamt
für Sicherheit in der Informationstechnik (BSI) allerdings anders
und warnt vor "Kriminelle[n] Attacken über die
Schwachstelle in Windows".
"Nach
Erkenntnissen des BSI wird die kürzlich ausgemachte
Sicherheitslücke
im Microsoft Betriebssystem Windows mittlerweile aktiv zur
Verbreitung von Schadsoftware genutzt."
Über 200 verschiedene, bösartige WMF-Dateien seien bereits
bekannt und täglich erschienen neue.
Auch den Einsatz von Trojanischen Pferden, die Angriffe auf
Zugangsdaten für Online-Banking ermöglichen,
habe man bereits mehrfach registriert.
Lesen Sie HIER weiter
Demos
zum WMF-Sicherheitsproblem
auf Browser- und E-Mail-Check (02.Januar 2006)
heise Security stellt
auf dem c't-Browser- und -Emailcheck Demos bereit,
die die Sicherheitsprobleme mit WMF-Dateien vorführen. Bilder im
Windows Metafile Format (WMF),
dessen Design noch aus den achtziger Jahren stammt, können Code
enthalten,
den das System in bestimmten Situationen ausführt –
beispielsweise wenn das Rendern der Datei fehlschlägt.
Dies nutzen speziell präparierte WMF-Bilder, um ihren eigenen
Code via SETABORTPROC ausführen zu lassen.
Diese Lücke nutzen bereits tausende von Web-Sites und diverse
Würmer aus,
um Windows-Systeme mit Spyware und Hintertüren zu
kompromittieren.
Die Browsercheck-Demo
hingegen ist völlig harmlos und startet über eine spezielle Web-Seite
nur den Windows-Taschenrechner. Beim Internet Explorer geschieht
dies automatisch,
bei Firefox & Co muss der Anwender zuvor noch das Öffnen der
Datei bestätigen.
Beim c't-Emailcheck können Sie sich eine als JPG
getarnte WMF-Datei zusenden lassen,
die beim Öffnen ebenfalls den Windows-Taschenrechner startet.
Vorsicht beim Abspeichern der Datei: Um den eingebetteten Code zu
starten,
genügt bereits die Verzeichnisansicht des Windows Explorers.
Die Demo wurde unter Windows XP mit Service Pack 2 und allen
Patches getestet.
Lesen Sie HIER weiter
Neujahrsgrüße
nutzen WMF-Lücken (01.Januar 2006)
Neujahrsgrüße via E-Mail
können eine böse Überraschung mit sich bringen:
Die Antivirenexperten von F-Secure warnen vor "Happy New Year"-E-Mails,
die als Anhang einen neuen WMF-Exploit mit sich bringen.
Über einen Fehler in der Render-Engine von Windows wird beim
Öffnen
der als JPG-Bild getarnten Datei HappyNewYear.jpg eine Hintertür
auf dem Rechner installiert.
Das funktioniert, weil das proprietäre WMF-Format es gestattet,
Funktionen zu registrieren und aufzurufen.
Der Schadcode ist nicht direkt mit den bisherigen WMF-Exploits
verwandt,
so dass die bereits
existierenden Viren-Signaturen womöglich nicht ansprechen.
Auch von den bisherigen Exploit-Familien sind ausgefeiltere
Versionen erschienen,
die laut Internet Storm Center von Viren-Scannern noch nicht
erkannt werden.
Die WMF-Exploits sind äußerst infektiös: Liegt die Datei
einmal auf der Festplatte,
genügt unter Umständen schon das Vorschaubild des Explorers, um
die Schadroutine auszulösen.
Auch Hintergrunddienste, die wie Google-Desktop automatisch
Vorschaubilder produzieren, aktivieren sie.
Des weiteren genügt es, mit dem Internet Explorer eine Web-Seite
mit einem präparierten WMF-Bild zu öffnen,
um sich Ärger einzuhandeln. Auch mit anderen Browsern ist eine
Infektion möglich,
wenn der Anwender das Öffnen der WMF-Datei bestätigt. F-Secure
berichtet darüber hinaus über einen WMF-Wurm,
der sich über den MSN Messenger verbreitet.
Lesen Sie HIER weiter