IT Sicherheitsnews - aktuell

wichtige und weltweit stündlich aktualisierte Meldungen rund um die IT Sicherheit

Deutsche Nachrichten vom Computer Emergency Response Team (CERT) des Rechenzentrums (RUS) der Universität Stuttgart sowie von SecurityFocus (englisch).

RUS-CERT Ticker

  • [Microsoft/Windows] Microsoft stellt Patches für insgesamt acht Schwachstellen bereit - Im Rahmen seines Security Bulletin Summary for January 2012 stellt Microsoft Patches für insgesamt acht Schwachstellen bereit. Die Schwachstellen betreffen den Windows Kernel, den Windows Object Packager, das Windows Client/Server Run-time Subsystem, die Windows SSL/TLS-Implementierung, Windows Media und die AntiXSS Library. Die Schwachstellen ermöglichen zum Teil die Ausführung beliebigen Programmcodes auf dem beherbergenden System, weshalb die rasche Installation der entsprechenden Aktualisierungen empfohlen wird.
  • [Microsoft/Windows] Microsoft stellt Patches für insgesamt 19 Schwachstellen bereit - Im Rahmen seines Security Bulletin Summary for December 2011 stellt Microsoft Patches für insgesamt 19 Schwachstellen bereit. Die Schwachstellen betreffen den Windows Kernel, die Windows Kernel-Mode Treiber, die Time Component (via ActiveX), Windows Media, Word, Office IME (Chinese), Publisher, OLE, PowerPoint, Active Directory, Excel, das Windows Client/Server Run-time Subsystem sowie den Internet Explorer. Die Schwachstellen ermöglichen zum Teil die Ausführung beliebigen Programmcodes auf dem beherbergenden System, weshalb die rasche Installation der bereitgestellten Updates empfohlen wird.
  • [Unixoid/bind9] Schwachstelle in der DNS-Software Bind 9 - Eine Schwachstelle in der DNS-Server-Software BIND 9 kann von einem Angreifer dazu ausgenutzt werden, einen betroffenen Server (named) in einen unbenutzbaren Zustand zu versetzen oder zum Absturz zu bringen. Der Fehler tritt bei der Verarbeitung rekursiver Anfragen auf. Derzeit ist jedoch noch unbekannt, welche Mechanismen ihm im Detail zugrunde liegen. Der Softwarehersteller ISC stellt zunächst einen Patch bereit, der die Auslösung des Fehlers verhindert und untersucht die Umstände genauer, um zu einem späteren Zeitpunkt einen Patch zur Behebung der Schwachstelle bereitstellen zu können. Es wird empfohlen, diesen Patch zu installieren.
  • [Microsoft/Windows] Microsoft stellt Patches für insgesamt 25 Schwachstellen bereit - Im Rahmen seines Security Bulletin Summary for October 2011 stellt Microsoft Patches für insgesamt 23 Schwachstellen bereit. Die Schwachstellen betreffen das .NET Framework und Microsoft Silverlight, den Internet Explorer, Microsoft Active Accessibility, das Windows Media Center, Windows Kernel-Mode-Treiber, das Microsoft Forefront Unified Access Gateway, den Ancillary Function Treiber sowie den Host Integration Server. Die Schwachstellen ermöglichen teilweise die Ausführung beliebigen Programmcodes auf dem beherbergenden System, weswegen die rasche Installation der bereitgestellten Aktualisierungen empfohlen wird.
  • [Microsoft/Windows] Microsoft stellt Patches für insgesamt 15 Schwachstellen bereit - Im Rahmen seines Security Bulletin Summary for September 2011 stellt Microsoft Patches für insgesamt 15 Schwachstellen bereit. Die Schwachstellen betreffen den Microsoft Windows Internet Name Service (WINS), die Display Panning CPL Extension (deskpan.dll), den Microsoft EAPHost Authenticator Service, Microsoft Management Console (MMC), Folder Redirection, den Japanese Input Method Editor (IME) und HyperTerminal, Microsoft Excel und Microsoft SharePoint. Da die Schwachstellen z.T. die Ausführung beliebigen Programmcodes auf dem beherbergenden System ermöglichen, wird die rasche Installation der Patches empfohlen.
  • [Microsoft/Windows] Microsoft stellt Patches für insgesamt 22 Schwachstellen bereit - Im Rahmen seines Security Bulletin Summary for August 2011 stellt Microsoft Patches für insgesamt 22 Schwachstellen bereit. Die Schwachstellen betreffen den Internet Explorer, den DNS-Server, Active Directory, Visio, Remote Desktop Web Access, den Remote Access Service NDISTAPI Treiber, das Client/Server Run-time Subsystem, den Windows TCP/IP Stack, die Routinen zur Implementierung des Remote Desktop Protocol (RDP), Microsoft Chart Control, den Microsoft Report Viewer und das .NET Framework. Die Schwachstellen ermöglichen zum Teil die Ausführung beliebigen Programmcodes auf dem beherbergenden Rechnersystem, weshalb die rasche Installation der Patches empfohlen wird.
  • [Microsoft/Windows] Microsoft stellt Patches für insgesamt 22 Schwachstellen bereit - Im Rahmen seines Security Bulletin Summary for July 2011 stellt Microsoft Patches für insgesamt 22 Schwachstellen bereit. Die Schwachstellen betreffen den Windows Bluetooth Stack, die Kernel-Mode-Treiber, das Client/Server Run-time Subsystem sowie Microsoft Visio und ermöglichen einem Angreifer zum Teil die Ausführung beliebigen Programmcodes auf dem beherbergenden System. Es wird empfohlen, die entsprechenden Updates rasch zu installieren.
  • [Unixoid/bind9] Schwachstellen in der DNS-Software BIND 9 - Zwei Schwachstellen in der DNS-Server-Software BIND 9 können von einem Angreifer dazu ausgenutzt werden, einen betroffenen Server (named) in einen unbenutzbaren Zustand zu versetzen oder zum Absturz zu bringen. Zur erfolgreichen Ausnutzung der Schwachstellen muss ein Angreifer in der Lage sein, eine DNS-Anfrage an einen betroffenen Server zu senden. Bei einer der Schwachstellen ist dabei unerheblich, ob die Verarbeitung der Anfrage authoritativ oder rekursiv erfolgt. Die zweite Schwachstelle tritt nur auf, wenn der Server rekursiv arbeitet, Response Policy Zones (RPZ) verarbeitet und dafür eine entsprechende Konfiguration besitzt.
  • [Microsoft/Windows] Windows stellt Patches für insgesamt 34 Schwachstellen bereit - Im Rahmen seines Microsoft Security Bulletin Summary for June 2011 stellt Microsoft Patches für insgesamt 34 Schwachstellen bereit. Die Schwachstellen betreffen Microsoft Windows Object Linking and Embedding (OLE) Automation, das .NET Framework und Microsoft Silverlight, dem Microsoft Forefront Threat Management Gateway (TMG) 2010 Client, Kernel-Mode Treibern, den Distributed File System (DFS), den SMB Client, den SMB Server, den Internet Explorer, die Microsoft-Implementierung der Vector Markup Language und MHTML, Microsoft Excel, dem Ancillary Function Treiber (Treiber für zusätzliche Funktionen, AFD), Hyper-V, den XML Editor und das Active Directory Certificate Services Web Enrollment (AD Zertifikatsdienste). Die Schwachstellen ermöglichen einem Angreifer z.T. die Ausführung beliebigen Programmcodes auf dem beherbergenden System. Es wird daher empfohlen, die Updates raschest möglich zu installieren.
  • [Unixoid/bind9] Schwachstelle in der DNS-Software BIND 9 - Eine Schwachstelle in der DNS-Server-Software BIND 9 kann von einem Angreifer dazu ausgenutzt werden, einen betroffenen Server (named) in einen unbenutzbaren Zustand zu versetzen oder zum Absturz zu bringen. Der Fehler tritt bei der Verarbeitung grosser Resource Record Sets, Resource Record Signaturen oder großer Datenmengen, die beim negative caching gespeichert werden, auf. Da zur Ausnutzung der Schwachstelle ein betroffener DNS-Server zur Erzeugung von Anfragen veranlasst werden muss, sind offene Resolvers besonders anfällig gegen Angriffe.

    • RUS-CERT: Externe Links

  • [Windows/Skype] Schwachstelle im Skype-Client - Eine Schwachstelle im Skype Client 5.5 ermöglicht es einem Angreifer, das Skype-Konto eines betroffenen Benutzers unter seine Kontrolle zu bringen. Durch einen Entwurfsfehler werden bei der Benutzung der Facebook-Pinnwand- oder Kommentarfunktion die Sitzungsdaten für Dritte sichtbar, so dass das Konto des Benutzers übernommen werden kann. Die Schwachstelle wurde durch die neue Version, die diese Facebook-Funktionen erstmals anbietet, neu eingeführt. (Secalert.net)
  • [Google/Android] Schwachstelle im Smartphonebetriebsystem Android - Verschiedene Applikationen für das Smartphonebetriebssystem Android senden Authentifizierungsdaten (AutheToken), die das Telefon bei der Anmeldung beim Google-Server erhalten hat, in un- oder nicht individuell verschlüsselten (alle Teilnehmer verwenden denselben Schlüssel) im Klartext. Dies erlaubt Dritten das Token abzufangen und mit seiner Hilfe auf alle persönlichen Daten, die über die Google-API verfügbar sind zugreifen. Siehe hierzu auch Catching AuthTokens in the Wild The Insecurity of Google's ClientLogin Protocol des Instituts für Medieninformatik der Universität Ulm. (heise)
  • [Google/Android] Android-Malware bestellt kostenpflichtige Dienste per SMS - Malware auf Mobiltelefonen ist bereits seit einiger Zeit bekannt, die technische Ausgreiftheit und der Trickreichtum bei ihrer Verbreitung wachsen jedoch unaufhörlich. Eine ganze Reihe von Schädlingen verbreitet sich ungeniert über Googles Appstore und zeigt so nebenbei wieder einmal das grundlegende Sicherheitsproblem dieses Marketinginstrumentes. Aktuelle Malware zielt auf Smartphone-Nutzer, die sich in chinesischen Netzen aufhalten. Sie sendet heimlich Nachrichten an Premium-SMS-Dienstleister und schließt dort Abonnements ab. Um die Aktion zu verschleiern überwacht sie anschließend den SMS-Eingang und löscht die Bestätigungsnachricht des Anbieters. Google hat die bekannten Apps aus dem Store gelöscht, allerdings ist unbekannt, wie lange dies gedauert hat. (heise)
  • [Kryptologie] Revocation doesn't work - Adam Langley beschreibt, wie verschiedene Browser mit Certificate Revocation Lists (CRLs) umgehen und warum sie nicht funktionieren: entweder die SSL-Zertifikate funktionieren nicht wenn der CRL Server nicht erreichbar ist, oder ein Man-in-the-middle-Angriff kann die CRL umgehen indem er vortäuscht, der Server sei nicht erreichbar.
  • [OpenBSD/IPsec] Hintertüren im IPsec-Stack? - Theo de Raadt schreibt in der OpenBSD-Tech-Mailingliste, Hinweise erhalten zu haben, dass verschiedene ehemalige Entwickler des IPsec-Stacks für OpenBSD zwischen 2000 und 2001 von US-Regierungsbehörden Geld erhalten haben, Hintertüren in die Implementierung einzubauen. Nachdem die OpenBSD-Implementierung die erste freie IPsec-Implementierung war, fand deren Code weite Verbreitung. Er schreibt weiter, dass er diesen Hinweis zwar von einer ihm persönlich bekannten Person erhalten hat, sich aber nicht an irgendwelchen Verschwörungstheorien diesbezüglich beteiligen will. Er empfiehlt jedoch allen Entwicklern, die entsprechenden Code verwenden, diesen auf entsprechende Anzeichen zu untersuchen.
  • [Exploits] Packet Storm überarbeitet Webseite - Das IT-Sicherheitsportal Packet Storm hat seinen Webauftritt überarbeitet und bietet gemäß dem Grundsatz der Full Disclosure leichten Zugriff auf archivierte Sicherheitsadvisories, Exploits, Whitepapers, Sicherheitswerkzeuge und Nachrichten aus dem Umfeld der IT-Sicherheit.
  • [BSI/Cloud Computing] BSI stellt Eckpunktepapier zur Informationssicherheit beim Cloud Computing zur Diskussion - Das Bundesamt für Sicherheit in der Informationstechnik hat ein Eckpunktepapier zur IT-Sicherheit beim Cloud Computing veröffentlicht und zur Diskussion gestellt. Dabei wird besonders das Thema IT-Sicherheit in Public Clouds beleuchtet. Interessierte können bis zum 3. Januar 2011 Kommentare zum Papier abgeben, die entweder direkt ans BSI geschickt (cloudsecurity@bsi.bund.de) oder in ein XING-Forum des BSI gestellt werden können.
  • [MS/Windows] Google gibt Windows den Laufpass - Nachdem bei Google im Februar durch Lücken im Internet Explorer einen Einbruch stattfand, will der Suchmaschinengigant Microsoft Windows jetzt nur noch mit spezieller Genehmigung als Betriebssystem auf PCs von Mitarbeitern zulassen. (heise) (2010-06-01)
  • [IT-Gipfel] Deutschland-Zentrale gegen Botnetze geplant (heise) - Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Verband der deutschen Internetwirtschaft (eco) wollen eine Zentrale aufbauen, die Internetnutzer, deren Systeme als bot-infiziert erkannt wurden, informieren. Das Projekt wird auf dem derzeit in Stuttgart stattfindenden IT-Gipfel vorgestellt.
  • [DV-Recht] Neues Datenschutzrecht kollidiert mit IT-Outsourcing (CIO) - Kaum ein Vertrag zum IT-Outsourcing erfüllt die neuen Zehn-Punkte-Vorgaben des gerade novellierten Datenschutzgesetzes. Auch Altverträge sind betroffen Strafen bis zu 300.000 Euro drohen. (CIO)
    •  

    Mit freundlicher Genehmigung von SecurityFocus international.