Serviceforen’s Weblog

Durch speziell manipulierte Webseiten können Angreifer über den Internet Explorer Schadcode einschleusen und ausführen. Entdeckt wurde dies durch Aviv Raff.

Es wird eine Cross-Zone-Lücke ausgenutzt, durch diese Lücke kann Webseiten Code anstatt in der Internet-Zone in der lokalen Zonen ausführt werden. Die Benutzer müssen allerdings dazu beitragen das die Lücke genutzt werden kann.

Eine Beispiel Webseite demonstriert die Lücke in dem sie den Windows-Taschenrechner aufruft.

Sobald der Benutzer die Webseite, mit aktiviertem “Liste der Links ausdrucken”, ausdruckt wird der Taschenrechner gestartet. Dabei ist es irrelevant ob man die Ausführung von aktiven Inhalten zulässt oder nicht.

Der Fehler tritt in der aktuellen Internet Explorer Version 7 auf Windows XP mit SP2 auf.

Sobald ein Benutzer eine Webseite ausdrucken möchte, nutzt der Browser ein lokales Skript, welches eine neue HTML Datei erzeugt. Die neu erstellte Seite wird dann gedruckt.

Das HTML enthält eine Kopf- und Fußzeile sowie das Hauptelement. Zusätzlich kann eine Liste der Links erstellt werden.
Das Problem besteht darin dass das lokale Skript die URLs nicht überprüft, der URL-Code wird direkt übernommen.

Lokale Skripte vom Internet Explorer laufen meist in der Internet-Zone, das Skript zum ausdrucken allerdings in der lokalen Zone. Dies reißt die Sicherheitslücke auf und ermöglicht JavaScript mit beliebigen Code auf den Rechner des Benutzers einzuspielen.

Das Problem besteht auch bei der Beta vom Internet Explorer 8.

Unter Windows XP kann man belieben Code ausführen, unter Windows Vista mit aktivierter Benutzerkontensteuerung (UAC) ist nur das ausspähen von Informationen möglich.

Solange kein Patch von Microsoft bereitgestellt wird sollten Benutzer auf das ausdrucken mit aktiver Linkliste verzichten.

Diskussion zur Nachricht

phpBB, eine freie Foren-Software, ist derzeit einer Angriffswelle ausgesetzt. Durch eine noch nicht bekannte Lücke werden die Foren gehackt und Benutzer die diese Foren besuchen werden mit Schadcode infiziert.

Aktuelle schätzt Trend Micro das rund 500000 Foren infiziert sind. Die Zahl wird eher zu- als abnehmen.

Die Experten von Trend Micro sind sich noch nicht ganz sicher wie die Foren-Software infiziert wurde. Derzeit wird untersucht ob es sich um eine Sicherheitslücke oder eine fehlerhafte Konfiguration handelt.

Besucher der gehackten Foren werden über eine ganze Reihe von Servern umgeleitet, bis der letzte Server in der Kette erreicht ist. Dieser prüft den Rechner des Benutzers dann auf Verwundbarkeit und spielt Schadcode ein.

Diskussion zur Nachricht

In einem Addon für Firefox wurde ein Schädling entdeckt. Betroffen ist ein vietnamesisches Sprach-Pack.

Benutzer entdeckten den Schädling vor kurzem auf den offiziellen Addon Seiten von Firefox.

Wie viele Benutzer das Addon heruntergeladen haben ist nicht bekannt.

Das betroffene Addon enthält den Virus nicht direkt. Durch manipulierte HTML Dateien im Addon kann Schadhafter Code eingeschleust werden.

Die HTML Dateien beinhalten verschleierten Script-Code.

Der Code wird von vielen Virenscannern als HTML.Xorer erkannt.

Das Paket wurde seit November letzten Jahres 16.667Mal heruntergeladen. Insgesamt sind dies relativ wenige Downloads, somit ist davon auszugehen das nur wenige Anwender von dem Schädling betroffen sind.

Auf den offiziellen Seiten von Firefox können die Addons selbst hochgeladen werden. Diese Dateien werden beim Eingang auf Viren überprüft. Nur leider sind die Viren manchmal schneller als der Virenscanner.

Genau das war bei diesem Addon der Fall. Der Upload erfolgte im November, der Virenscanner erkannte aber erst im April den Virus.

Um diese Problematik zu umgehen ist geplant die Dateien einmal am Tag zu prüfen.

Die Addons für Firefox laufen mit den Benutzerrechten und können somit Webseiten manipulieren, das Surf-Verhalten aufzeichnen oder sogar Keylogger installieren.

Diskussion zur Nachricht

Nachdem vor zwei Wochen Firefox aktualisiert wurde, erscheint heute die neue Version von Thunderbird.

Die Version 2.0.0.14 des beliebten Mozilla Mail-Client’s behebt zwei kritische Sicherheitslücken. Die beiden Lücken, durch die Schadcode eingeschleust werden kann, betreffen Javaskript.

Im Thunderbird ist Javaskript standardmäßig deaktiviert, von einer Aktivierung wird durch die Mozilla-Entwickler abgeraten.

In der Sicherheitsmeldung MFSA2008-15 werden Abstürze behandelt, bei denen Speicherbereiche durcheinander geraten. Dadurch ist es möglich Schadcode einzuschleusen.

In der Sicherheitsmeldung MFSA2008-14 wird darüber berichtet das Angreifer durch präpariertes Javaskript ihre Rechte erweitern und Schadcode ausführen können.

Die integrierte Update-Funktion von Thunderbird bietet das Update bereits zu Download an.

Alternativ kann es bei Mozilla heruntergeladen werden.

Download Mozilla Thunderbird 2.0.0.14

Diskussion zur Nachricht

Heute wurde eine neue Version von WordPress veröffentlicht. WordPress 2.5.1 behebt eine kritische Sicherheitslücke.

Die WordPress Community empfiehlt das Update sofort zu installieren. Nähere Informationen zu der Lücke liegen noch nicht vor, sollen aber bald folgen.

Download WordPress 2.5.1

Diskussion zur Nachricht

Secunia meldet eine kritische Sicherheitslücke im beliebten Messenger ICQ. Über diese Lücke kann Schadcode auf den Computer eingeschleust werden.

Die Lücke wird durch einen Fehler beim setzen des persönlichen Status ausgelöst.

Sollte ein Benutzer mit aktiven persönlichen Status eine Nachricht erhalten, so kann diese Nachricht einen Pufferüberlauf auslösen. Dieser ermöglicht das einschleusen von Schadcode.

Secunia stellt diese kritische Sicherheitslücke bei der ICQ Version 6 Build 6043 fest. ICQ verbreitet über das automatische Update-System schon eine bereinigte Version.

Diskussion zur Nachricht

Mozilla hat die Version 2.0.14 von Firefox veröffentlicht. Apple hat die Version 3.1.1 von Safari veröffentlicht.

In beiden Browsern werden Sicherheitslücken behoben. Die neuen Versionen sollten schnellst möglich eingespielt werden da sie Phishing und das ausführen von Schadcode erlauben.

Die Lücke im Firefox betrifft den JavaScript-Garbage-Collector. Im letzten Update wurden Änderungen vorgenommen die nun zu einem Absturz führen können.

Das Problem besteht darin das durch diese Lücke wahrscheinlich auch Schadcode eingeschleust werden kann.

Die Lücken betreffen auf Thunderbird und Seamonkey. Leider sind für diese beiden Programme noch keine Updates erschienen.

Zwei Lücken im Safari betreffen nur die Windows Version, zwei weitere die Mac OS und Windows Version.

Durch präparierte Downloads kann der Browser zum Absturz gebracht werden, zudem ist es möglich dadurch Schadcode auszuführen.
Eine andere Lücke betrifft gefälschte Adresszeilen im Browser welche Phishing Attacken erlauben.

Das interessante daran ist, im der Version 3.0.2 Safari Beta wurden die Lücken geschlossen. In der Version 3.1 wieder eingebaut.

Die anderen Lücken betreffen Regular Expressions in JavaScript und können zu einem Pufferüberlauf führen. Durch diesen kann Schadcode eingeschleust und ausgeführt werden.

Die zweite Lücke, die beide Betriebssystem betrifft, ermöglicht Cross-Site-Scripting. Dazu muss nur die Adresszeile einer Website mit einem Doppelpunkt versehen werden.

Beide Browser, Safari und Firefox, werden automatisch über die interne Update Funktion aktualisiert.

Alternativ kann man sie auch manuell downloaden.

Firefox 2.0.14
Safari 3.1.1

Diskussion zur Nachricht

Vor kurzem hat Microsoft mehrere Updates bereitgestellt. Darunter das Update MS08-021 für den Internet Explorer.

Dieses Update behebt eine kritische Sicherheitslücke die es dem Angreifer ermöglicht schadhaften Code einzuschleusen.

Symantec, Hersteller von Antiviren- und Firewallprodukten, hat Webseiten entdeckt welche eine Lücke ausnutzen die mit dem Update MS08-021 geschlossen wurde.

Eine spezielle Bilddatei nutzt eine Lücke in der Grafikschnittstelle GDI. Dadurch lässt sich beliebiger Code auf den Rechner des Benutzers einschleusen.

Das Problem an dieser Lücke ist, sie kann beim normalen surfen oder E-Mail lesen ausgenutzt werden. Es reicht die spezielle Bilddatei aufzurufen.

Es ist also äußerst wichtig das Update einzuspielen. Betroffen sind derzeit Windows 2000, XP, Vista (SP1 ebenfalls.), Server 2003 und 2008.

Diskussion zur Nachricht

Im Internet gibt es genügend Kriminelle die es auf private Daten von Benutzern abgesehen haben.

Derzeit ist der Sicherheitscode der Mastercard betroffen. Benutzer werden mit 16 Prozent Rabatt gelockt.

Der Sicherheitsdienstleister Sophos Labs berichtet das speziell präparierte Websites erstellt wurden um Daten der Mastercard abzufangen.

Dazu wird der Benutzer mit 16 Prozent Rabatt auf den nächsten Einkauf gelockt.

Im aktuellen Fall soll der Besitzer der Mastercard die Daten manuell und selbst eingeben.

Eine spezielle Website, die täuschend echt wie die originale Mastercard Website aussieht, wird dazu benutzt.

Der Link zur Website wird per Email versendet. Nach dem klicken auf den Link wird man aufgefordert seine Kreditkartennummer, das Ablaufdatum der Kreditkarte, seinen Geburtstag und den dreistelligen Sicherheitscode einzugeben.

Nachdem die Kriminellen die Daten haben wird das Kreditkartenkonto geplündert.

Diskussion zur Nachricht

Die neue Version 9.0.124.0 des Adobe Flashplayer behebt sieben Sicherheitslücken.

Durch speziell präparierte Websites und SWF Daten konnten die Angreifer die komplette Kontrolle über den Rechner übernehmen.

Die Fehler wurden bei dem Wettbewerb “Pwn to Own” entdeckt.

Ein anderer Fehler behebt Probleme mit der Domain-Policy. Diese soll Zugriffe auf Inhalte von anderen Websites verhindern.

Zusätzlich wurden die Sicherheitseinstellungen verschärft. Dies kann dazu führen das manche SWF Dateien nicht mehr abgespielt werden. Dies passiert z.B. wenn ein Skript Javaskript URLs verwendet.

Das Update sollte schnellst möglich von allen Benutzern installiert werden.

Download Adobe Flashplayer 9.0.124.0

Diskussion zur Nachricht