Serviceforen’s Weblog

Durch speziell manipulierte Webseiten können Angreifer über den Internet Explorer Schadcode einschleusen und ausführen. Entdeckt wurde dies durch Aviv Raff.

Es wird eine Cross-Zone-Lücke ausgenutzt, durch diese Lücke kann Webseiten Code anstatt in der Internet-Zone in der lokalen Zonen ausführt werden. Die Benutzer müssen allerdings dazu beitragen das die Lücke genutzt werden kann.

Eine Beispiel Webseite demonstriert die Lücke in dem sie den Windows-Taschenrechner aufruft.

Sobald der Benutzer die Webseite, mit aktiviertem “Liste der Links ausdrucken”, ausdruckt wird der Taschenrechner gestartet. Dabei ist es irrelevant ob man die Ausführung von aktiven Inhalten zulässt oder nicht.

Der Fehler tritt in der aktuellen Internet Explorer Version 7 auf Windows XP mit SP2 auf.

Sobald ein Benutzer eine Webseite ausdrucken möchte, nutzt der Browser ein lokales Skript, welches eine neue HTML Datei erzeugt. Die neu erstellte Seite wird dann gedruckt.

Das HTML enthält eine Kopf- und Fußzeile sowie das Hauptelement. Zusätzlich kann eine Liste der Links erstellt werden.
Das Problem besteht darin dass das lokale Skript die URLs nicht überprüft, der URL-Code wird direkt übernommen.

Lokale Skripte vom Internet Explorer laufen meist in der Internet-Zone, das Skript zum ausdrucken allerdings in der lokalen Zone. Dies reißt die Sicherheitslücke auf und ermöglicht JavaScript mit beliebigen Code auf den Rechner des Benutzers einzuspielen.

Das Problem besteht auch bei der Beta vom Internet Explorer 8.

Unter Windows XP kann man belieben Code ausführen, unter Windows Vista mit aktivierter Benutzerkontensteuerung (UAC) ist nur das ausspähen von Informationen möglich.

Solange kein Patch von Microsoft bereitgestellt wird sollten Benutzer auf das ausdrucken mit aktiver Linkliste verzichten.

Diskussion zur Nachricht

phpBB, eine freie Foren-Software, ist derzeit einer Angriffswelle ausgesetzt. Durch eine noch nicht bekannte Lücke werden die Foren gehackt und Benutzer die diese Foren besuchen werden mit Schadcode infiziert.

Aktuelle schätzt Trend Micro das rund 500000 Foren infiziert sind. Die Zahl wird eher zu- als abnehmen.

Die Experten von Trend Micro sind sich noch nicht ganz sicher wie die Foren-Software infiziert wurde. Derzeit wird untersucht ob es sich um eine Sicherheitslücke oder eine fehlerhafte Konfiguration handelt.

Besucher der gehackten Foren werden über eine ganze Reihe von Servern umgeleitet, bis der letzte Server in der Kette erreicht ist. Dieser prüft den Rechner des Benutzers dann auf Verwundbarkeit und spielt Schadcode ein.

Diskussion zur Nachricht

Der beliebte Ego-Shooter Call of Duty 4: Modern Warfare enthält eine Sicherheitslücke. Über diese können DoS-Attacken (Denial of Service) auf den Server gestartet werden.

Secunia, ein Sicherheitsdienstleister, hat die Lücke in der Version 1.5 von CoD 4 festgestellt. Es ist durchaus möglich dass die Lücke auch andere Versionen betrifft.

Die Sicherheitslücke entsteht bei der Verarbeitung von Type 7 ’stats’ Befehlen. Diese Befehle werden an den Server gesendet.

Durch Manipulation der Pakete kann der Angreifer die DoS-Attacke starten. Dies führt zu einem Absturz des Servers.

Ein Patch ist derzeit noch nicht verfügbar.

Diskussion zur Nachricht

Heute wurde eine neue Version von WordPress veröffentlicht. WordPress 2.5.1 behebt eine kritische Sicherheitslücke.

Die WordPress Community empfiehlt das Update sofort zu installieren. Nähere Informationen zu der Lücke liegen noch nicht vor, sollen aber bald folgen.

Download WordPress 2.5.1

Diskussion zur Nachricht

In Adobe Photoshop CS3, After Effects CS 3 und der Photoshop Album Starter Edition wurden durch Scott Laurie Sicherheitslücken entdeckt die es erlauben schadhaften Code auszuführen.

Durch speziell präparierte BMP Bilder können Trojaner eingeschleust werden. Photoshop überprüft den Header der Datei nicht, dies kann zu einem Pufferüberlauf führen.

Updates die diese Lücke schließen gibt es noch nicht.

Besonders brisant ist diese Lücke da z.B. die Photoshop Album Starter Edition beim einstecken von z.B. USB-Sticks diese automatisch durchsucht. Schon alleine dadurch kann schadhafter Code eingeschleust werden. Dies funktioniert sogar wenn der Rechner gesperrt ist.

Adobe hat noch keine Updates bereit gestellt. Deshalb sollte man BMP Dateien derzeit nur mit Vorsicht genießen und nur im Notfall öffnen.

Diskussion zur Nachricht

Secunia meldet eine kritische Sicherheitslücke im beliebten Messenger ICQ. Über diese Lücke kann Schadcode auf den Computer eingeschleust werden.

Die Lücke wird durch einen Fehler beim setzen des persönlichen Status ausgelöst.

Sollte ein Benutzer mit aktiven persönlichen Status eine Nachricht erhalten, so kann diese Nachricht einen Pufferüberlauf auslösen. Dieser ermöglicht das einschleusen von Schadcode.

Secunia stellt diese kritische Sicherheitslücke bei der ICQ Version 6 Build 6043 fest. ICQ verbreitet über das automatische Update-System schon eine bereinigte Version.

Diskussion zur Nachricht

Mozilla hat die Version 2.0.14 von Firefox veröffentlicht. Apple hat die Version 3.1.1 von Safari veröffentlicht.

In beiden Browsern werden Sicherheitslücken behoben. Die neuen Versionen sollten schnellst möglich eingespielt werden da sie Phishing und das ausführen von Schadcode erlauben.

Die Lücke im Firefox betrifft den JavaScript-Garbage-Collector. Im letzten Update wurden Änderungen vorgenommen die nun zu einem Absturz führen können.

Das Problem besteht darin das durch diese Lücke wahrscheinlich auch Schadcode eingeschleust werden kann.

Die Lücken betreffen auf Thunderbird und Seamonkey. Leider sind für diese beiden Programme noch keine Updates erschienen.

Zwei Lücken im Safari betreffen nur die Windows Version, zwei weitere die Mac OS und Windows Version.

Durch präparierte Downloads kann der Browser zum Absturz gebracht werden, zudem ist es möglich dadurch Schadcode auszuführen.
Eine andere Lücke betrifft gefälschte Adresszeilen im Browser welche Phishing Attacken erlauben.

Das interessante daran ist, im der Version 3.0.2 Safari Beta wurden die Lücken geschlossen. In der Version 3.1 wieder eingebaut.

Die anderen Lücken betreffen Regular Expressions in JavaScript und können zu einem Pufferüberlauf führen. Durch diesen kann Schadcode eingeschleust und ausgeführt werden.

Die zweite Lücke, die beide Betriebssystem betrifft, ermöglicht Cross-Site-Scripting. Dazu muss nur die Adresszeile einer Website mit einem Doppelpunkt versehen werden.

Beide Browser, Safari und Firefox, werden automatisch über die interne Update Funktion aktualisiert.

Alternativ kann man sie auch manuell downloaden.

Firefox 2.0.14
Safari 3.1.1

Diskussion zur Nachricht

Vor kurzem hat Microsoft mehrere Updates bereitgestellt. Darunter das Update MS08-021 für den Internet Explorer.

Dieses Update behebt eine kritische Sicherheitslücke die es dem Angreifer ermöglicht schadhaften Code einzuschleusen.

Symantec, Hersteller von Antiviren- und Firewallprodukten, hat Webseiten entdeckt welche eine Lücke ausnutzen die mit dem Update MS08-021 geschlossen wurde.

Eine spezielle Bilddatei nutzt eine Lücke in der Grafikschnittstelle GDI. Dadurch lässt sich beliebiger Code auf den Rechner des Benutzers einschleusen.

Das Problem an dieser Lücke ist, sie kann beim normalen surfen oder E-Mail lesen ausgenutzt werden. Es reicht die spezielle Bilddatei aufzurufen.

Es ist also äußerst wichtig das Update einzuspielen. Betroffen sind derzeit Windows 2000, XP, Vista (SP1 ebenfalls.), Server 2003 und 2008.

Diskussion zur Nachricht

Symantec schließt 2 Sicherheitslücken in verschiedenen Privatanwender Produkten.

Laut dem Sicherheitsdienstleisters iDefense wird in dem Tool AutoFix von Symantec ein Buffer Overflow ermöglicht. Dieser erlaubt das einschleusen von Schadcode.

Das ActiveX-Control für AutoFix läuft allerdings nur auf den Symantec Seiten. Somit besteht ein gewisser Schutz.

Sollte der Angreifer allerdings noch Cross-Site-Scripting betreiben so wird die Lücke gefährlich.

Die zweite Lücke betrifft das nachladen von schadhaftem Code über eine Netzwerkfreigabe.

Betroffen sind Norton 360 1.0, Norton AntiVirus Windows 2006 - 2008, Norton Internet Security 2006 - 2008 und Norton System Works 2006 - 2008.

Eine aktuelle Fassung steht bei Symantec zum Download bereit. Zudem wird das Update eingespielt wenn eine Techniker Sitzung gestartet wird.

Diskussion zur Nachricht

Adam Boileau, ein neuseeländischer Sicherheitsexperte hat ein Tool entwickelt welches dein Zugriff auf ein XP System ermöglicht.

Der Zugriff erfolgt über die FireWire Schnittstelle am Rechner.

Das Tool hat er bereits vor 2 Jahren entwickelt und Microsoft auf die Lücke hingewiesen.

Nachdem Microsoft die Lücke bis heute nicht geschlossen hat wurde das Tool veröffentlicht. Bisher hatte er es unter Verschluß gehalten.

Um die Lücke zu nutzen wird ein Linux Rechner per FireWire mit den XP Rechner verbunden. Danach wird ein einziger Befehl ausgeführt welcher den Speicher manipuliert. Danach ist der Zugriff auf den Rechner möglich. Ohne Passwort!

Früher war es kaum ein Problem da FireWire kaum verbreitet war. Mittlerweile hat jeder neuere Laptop eine FireWire Schnittstelle.

Ob Windows Vista auch betroffen ist kann man derzeit nicht sagen.

Diskussion zur Nachricht