www.CERT.at - Warnungen

Update - Zero-Day-Sicherheitslücke in Microsoft Internet Explorer 8 - aktiv ausgenützt

CERT.at — Sat, 11 May 2013 19:31:23 GMT

Update - Zero-Day-Sicherheitslücke in Microsoft Internet Explorer 8 - aktiv ausgenützt

6. Mai 2013
Update am 10. Mai

CERT.at ersucht um Beachtung der folgenden Meldung.

Beschreibung

Microsoft hat ein Security Advisory zu einer schwerwiegenden Sicherheitslücke in Internet Explorer 8 veröffentlicht. Da die Schwachstelle bereits aktiv ausgenützt wird, empfiehlt CERT.at, die folgende Sicherheitsmeldung zu beachten.

Die auf einem Use-After-Free-Error basierende Browserschwachstelle kann dazu benutzt werden, auf den PCs von Besuchern einer präparierten Webseite Malware zu installieren. Die Opfer können per Mail/Spam zu diesen Seiten gelockt werden; alternativ können die Angreifer versuchen, in legitime Seiten einzubrechen und diese zu manipulieren.

Auswirkungen

Da der Angreifer prinzipiell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potenziell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Alle Systeme, auf denen Microsoft Internet Explorer Version 8 installiert ist.

Abhilfe

Microsoft empfiehlt ein Upgrade auf IE 9 oder 10. Wo dies nicht möglich ist (z.B. Windows XP), rät man bis zum Erscheinen eines Patchs zu folgenden temporären Maßnahmen:

Das Enhanced Mitigation Experience Toolkit (EMET) für den IE aktivieren.
Die Sicherheitseinstellungen für "Internet" und "Lokales Intranet" auf "Hoch" setzen, um ActiveX Controls und Active Scripting abzuschalten.
Den IE so konfigurieren, dass er vor dem Ausführen von aktiven Inhalten eine Bestätigung erwartet.

Eine genaue Beschreibung samt möglicher Nebenwirkungen enthält das Advisory.

Update (2013-05-10):
Microsoft hat eine Fix it Solution bereitgestellt, mit der dieses Problem temporär behoben werden kann.

Es wird daran gearbeitet, die Sicherheitslücke im Rahmen des kommenden Patchdays zu schliessen.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Microsoft Security Advisory 2847140 (en)
http://technet.microsoft.com/en-us/security/advisory/2847140
Bericht auf Ars Technica (en)
http://arstechnica.com/security/2013/05/internet-explorer-zero-day-exploit-targets-nuclear-weapons-researchers/
MS TechNet Blog (en)
http://blogs.technet.com/b/msrc/archive/2013/05/03/microsoft-releases-security-advisory-2847140.aspx
CVE-2013-1347 MSHTML Shim Workaround (en)
http://support.microsoft.com/kb/2847140
Advance Notification Service for the May 2013 Security Bulletin Release (en)
https://blogs.technet.com/b/msrc/archive/2013/05/09/advance-notification-service-for-the-may-2013-security-bulletin-release.aspx

Kritische Sicherheitslücke in IBM Lotus Notes

CERT.at — Thu, 02 May 2013 16:35:55 GMT

Kritische Sicherheitslücke in IBM Lotus Notes

2. Mai 2013

Angesichts der Schwere der Lücke und der hohen Verbreitung des Mail- und Workgroup-Systems Lotus Notes von IBM bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

Wie cxsecurity meldet, akzeptiert der E-Mail Client von Lotus Notes JavaScript-Code und <applet>-Tags im HTML-Code, wodurch es einem Angreifer ermöglicht wird, JavaScript-Code direkt auszuführen oder Java-Applets von externen Quellen nachzuladen.
Gepaart mit einem Ausbruch aus der Java-Sandbox, der mit der standardmäßig mitinstallierten Version 6 von Oracle Java auch trivial möglich sein sollte (vergleiche z.B.: Warnungen von CERT.at bezüglich Oracle Java), könnte somit das gesamte System mit bösartiger Software verseucht werden.
IBM hat dazu bereits ein Security Bulletin veröffentlicht.

Betroffene Systeme

IBM Lotus Notes 8.0.x
IBM Lotus Notes 8.5.x
IBM Lotus Notes 9.0

Abhilfe

Bis ein Patch für diese Lücke zur Verfügung gestellt wird, empfehlen wir die Ausführung von JavaScript und Java händisch zu unterbinden. Dies kann man durch Setzen der folgenden Optionen in der Konfigurationsdatei notes.ini erreichen:

EnableJavaApplets=0
EnableLiveConnect=0
EnableJavaScript=0

Allgemeiner Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung bei cxsecurity (Englisch)
http://cxsecurity.com/wlb/WLB-2013050001
IBM Security Bulletin (Englisch)
http://www-01.ibm.com/support/docview.wss?uid=swg21633819

Sicherheitslücken in TYPO3

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Sicherheitslücken in TYPO3

6. März 2013

Angesichts der Schwere der Lücken und der hohen Anzahl an installierten TYPO3 Content Management Systemen bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

TYPO3 Core enthält Bugs die zu SQL Injection und Open Redirection führen können.

SQL Injection in der Subkomponente Extbase Framework

Wegen unzureichender Behandlung von Benutzereingaben ist der Extbase Database Abstraction Layer anfällig für SQL Injection. TYPO3-Seiten, auf denen keine Extbase Extensions installiert sind, sind nicht betroffen. Wie dem TYPO3 Security Team berichtet wurde, wird die Schwachstelle bereits aktiv ausgenützt.

Open Redirection in der Subkomponente Access Tracking Mechanism

Aufgrund ungenügender Überprüfung von Benutzereingaben ermöglicht der Access Tracking Mechanism (Jumpurl Feature) Redirects zu beliebigen URLs.

Betroffene Systeme

Alle TYPO3-Installationen mit entsprechender Konfiguration bis einschließlich der Versionen

4.5.23
4.6.16
4.7.8
6.0.2

Abhilfe

Upgrade auf die entsprechend angepassten Versionen

4.5.24
4.6.17
4.7.9
6.0.3

Allgemeiner Hinweis zur Hebung der Systemsicherheit

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von TYPO3 (Englisch)
https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2013-001/

Erneute Schwachstelle in Oracle Java 7 und Java 6 (aktiv ausgenützt)

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Erneute Schwachstelle in Oracle Java 7 und Java 6 (aktiv ausgenützt)

1. März 2013

Wie der Security-Dienstleister FireEye berichtet, gibt es eine neue Zero-Day-Schwachstelle in den aktuellen Versionen von Oracle Java.

Das Java Browser-Plugin war schon 2012 der häufigste Grund für die Infektion von PCs. Die aktuelle Welle an weiteren Sicherheitsproblemen zwingt CERT.at, jetzt nicht nur vor der derzeit verwundbaren Version von Java zu warnen, sondern generell die grossflächige Verbreitung und Aktivierung des Java-Plugins in Frage zu stellen.

Beschreibung

Besucht ein User eine speziell präparierte Webseite ("Exploit-Pack") mit aktiviertem Java-Plugin, so lädt diese Schadcode nach und führt diesen aus. Entsprechender Exploit-Code ist bereits verbreitet, allerdings noch nicht sehr effizient - es ist aber zu erwarten, dass sich das bald ändert und "besserer" Exploit-Code bald grossflächig auf Webseiten verteilt wird.

Auswirkungen

Da der Angreifer dadurch potentiell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und Systeme gefährdet.

Betroffene Systeme

Den aktuellen Meldungen nach ist Java 7 bis incl. Update 15 betroffen, und Java 6 bis inkl. Update 41.

Da die Java Runtime auf diversen Plattformen läuft, ist das Problem nicht auf Windows-PCs beschränkt, sondern trifft genauso auch Oracles Java-Browserplugins unter Apple OSX und Linux.

Abhilfe

Die sicherste Möglichkeit, einen PC/Mac vor dieser Serie an Schwachstellen in der Java Runtime zu schützen ist eine komplette Deinstallation von Java. Siehe dazu auch die Links/Tips in unserem letzten Warning bezüglich Oracle Java: https://www.cert.at/warnings/all/20130118.html.

Hinweise

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Blog-Eintrag bei FireEye (englisch)
http://blog.fireeye.com/research/2013/02/yaj0-yet-another-java-zero-day-2.html

Kritische Schwachstellen in Adobe Reader und Acrobat (aktiv ausgenützt)

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Kritische Schwachstellen in Adobe Reader und Acrobat (aktiv ausgenützt)

14. Februar 2013

Beschreibung

Aktuell wird eine Schwachstelle in Adobe Reader und Acrobat aktiv für Angriffe ausgenützt. Adobe hat dazu ein als "kritisch" eingestuftes Security Bulletin veröffentlicht.

Auswirkungen

Mit speziell präparierten PDF-Dateien, die etwa über Webseiten oder per Email verteilt werden, können Angreifer Systeme zum Absturz bringen oder potentiell auch beliebigen Schadcode auf diesen ausführen.

Betroffene Systeme

Systeme mit Microsoft Windows oder Apple Macintosh Betriebssystemen, die folgende Versionen von Adobe Reader bzw. Adobe Acrobat installiert haben:

Adobe Reader XI bis inkl. Version 11.0.01
Adobe Reader X bis inkl. Version 10.1.5
Adobe Reader 9 bis inkl. Version 9.5.3
Adobe Acrobat XI bis inkl. Version 11.0.01
Adobe Acrobat X bis inkl. Version 10.1.5
Adobe Acrobat 9 bis inkl. Version 9.5.3

Abhilfe

Adobe arbeitet laut eigenen Angaben bereits an einer entsprechend fehlerbereinigten Version.

Bis dahin können Benutzer von Adobe Reader XI die "geschützte Ansicht" aktivieren, die PDF-Dokumente in einer Sandbox anzeigt - dies sollte laut Adobe vor den aktuellen Attacken schützen.

Wir empfehlen, wo möglich auf die aktuelle Version XI upzudaten, und diese "geschützte Ansicht" zu aktivieren oder bis zur Veröffentlichung einer gefixten Version einen anderen PDF-Reader zu verwenden (eine Liste ist beispielsweise bei Wikipedia zu finden).

Hinweise

Adobe hat im Advisory auch eine fertige Anleitung, wie die "geschützte Ansicht" in Microsoft Windows-Umgebungen per Group Policy aktiviert werden kann.

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Adobe (englisch)
http://www.adobe.com/support/security/advisories/apsa13-02.html
Meldung bei Heise (deutsch)
http://www.heise.de/newsticker/meldung/Soforthilfe-gegen-kritische-Reader-Luecken-1803086.html

Update für Sicherheitslücken in Adobe Flash Player (aktiv ausgenützt)

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Update für Sicherheitslücken in Adobe Flash Player (aktiv ausgenützt)

8. Februar 2013

Beschreibung

Adobe hat eine neue Version des Flash Player Plugins ausserhalb des monatlichen Patch-Zyklus veröffentlicht, die bereits aktiv ausgenützte Sicherheitslücken schliesst.

Auswirkungen

Es werden mindestens die folgenden 2 Sicherheitslücken aktiv ausgenützt:

CVE-2013-0633: ein Microsoft-Word Dokument mit eingebettetem Adobe Flash-Objekt (SWF) wird als Attachment per Email versandt, und der Empfänger aufgefordert, dieses zu öffnen. Damit wird das ActiveX-Plugin des Adobe Flash Players für Microsoft Windows angegriffen.
CVE-2013-0634: wie oben; diese Lücke wird zusätzlich auch durch eingettete Adobe Flash-Objekte in Webseiten ausgenützt, dabei werden speziell Macintosh- Rechner mit Apple Safari und Mozilla Firefox Browsern attackiert.

Betroffene Systeme

Systeme, auf denen folgende Software von Adobe installiert ist:

Adobe Flash Player für Microsoft Windows und Apple Macintosh, bis einschliesslich Version 11.5.502.146
Adobe Flash Player für Linux, bis einschliesslich Version 11.2.202.261
Adobe Flash Player für Android 4.x, bis einschliesslich Version 11.1.115.36
Adobe Flash Player für Android 3.x und 2.x, bis einschliesslich Version 11.1.111.31

Abhilfe

Installation des bereitgestellten Updates.

Da Adobe mit der auf der üblichen Downloadseite bereitgestellten Version auch potentiell unerwünschte andere Software mitinstalliert, empfehlen wir, die aktualisierte Version von hier zu beziehen: https://www.adobe.com/products/flashplayer/distribution3.html.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Security Bulletin von Adobe (englisch)
https://www.adobe.com/support/security/bulletins/apsb13-04.html
Meldung von Brian Krebs (englisch)
https://krebsonsecurity.com/2013/02/critical-flash-player-update-fixes-two-zero-days/

Mehrere kritische Schwachstellen in Barracuda Networks Produkten (SSH Backdoor)

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Mehrere kritische Schwachstellen in Barracuda Networks Produkten (SSH Backdoor)

24. Jänner 2013

CERT.at ersucht um Beachtung der folgenden Meldung.
Wie SEC Consult Vulnerability Lab meldet, gibt es in fast allen Barracuda Networks Produkten mehrere kritische Schwachstellen.

CERT.at bittet Benutzer dieser Produkte um Beachtung dieser Meldung. Wir empfehlen, Patches von Barracuda Networks zeitnah einzuspielen (Security Definition Version 2.0.5.) und diese Security Appliances durch eine extra Firewall abzusichern.

Beschreibung

Backdoor Accounts und SSH Backdoor

Auf den betroffenen Systemen (siehe unten) gibt es mehrere undokumentierte Benutzeraccounts mit schwachen Passwörtern, die Zugang zum System verschaffen können. Diese Accounts können ohne weitere Tricks nicht deaktiviert werden.
Weiters gibt es auf den betroffenen Systemen zu unscharfe Firewall Regeln, die es einem größeren Netzwerkbereich erlauben, oben genannte Backdoor Accounts zu verwenden ("Remote Wartung"). Diese Netzwerkbereiche sind: 216.129.105.0/24 und 205.158.110.0/24. Dort befinden sich einerseits Remote Wartungs Server von Barracuda Networks aber auch andere Firmen, die nicht mit Barracuda Networks in Verbindung stehen. Diese Kombination erlaubt es unberechtigten Benutzern aus diesen Bereichen, all diese Appliances zu kontrollieren.

Für Details zu den unsicheren Passwörtern möchten wir den Leser auf den Bericht von SEC Consult Vulnerability Lab verweisen. SEC Consult Vulnerability Lab geht davon aus, dass diese Lücke schon seit langem existiert hat.

Barracuda Networks SSL VPN Authentication Bypass

Weiters berichtet SEC Consult Vulnerability Lab, dass es eine Server-seitige "authentication bypass" Schwachstelle gibt. Dabei kann ein Angreifer ohne Anmeldung System-Parameter ändern und sich somit weitern Zugang zum System verschaffen. Diese Schwachstelle betrifft jedoch nur Barracuda SSL VPN.

Auswirkungen

Ein Angreifer kann die betroffenen Barracuda Network Produkte beliebig kontrollieren. Da diese oft an kritischen Stellen im Unternehmen installiert sind (z.B. SSL VPN Zugang), ist Angreifern damit Tür und Tor in das Unternehmen geöffnet.

Betroffene Systeme

Barracuda Spam and Virus Firewall
Barracuda Web Filter
Barracuda Message Archiver
Barracuda Web Application Firewall
Barracuda Link Balancer
Barracuda Load Balancer
Barracuda SSL VPN (alle inklusive der virtual "Vx" Version)
Verwundbare Versionen: jeweils alle bis Security Definition 2.0.5

Nicht betroffen sind: Barracuda Backup Server, Barracuda Firewall und die Barracuda NG Firewall.

Das Problem ist ab Version Security Definition 2.0.5 laut Hersteller behoben.

Abhilfe

Barracuda Networks stellt ein Update zur Verfügung. Details siehe: Barracuda Networks tech alerts

CERT.at empfiehlt dringend, die betroffenen Systeme hinter eine Firewall zu stellen und Zugang zum Port 22 (SSH) nur für ausgewählte IP Adressen zu erlauben.

Credits

S. Viehböck, SEC Consult Vulnerability Lab. Wir danken Johannes Greil für die gute Zusammenarbeit.

Hinweise

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten. Dies gilt genauso für Appliances wie für PCs oder Server.

Informationsquelle(n):

SEC Consult Vulnerability Lab SSL VPN Schwachstelle
https://www.sec-consult.com/fxdata/seccons/prod/temedia/advisories_txt/20130124-1_Barracuda_SSL_VPN_Authentication_Bypass_wo_poc_v10.txt
SEC Consult Vulnerability Lab SSH backdoor
https://www.sec-consult.com/fxdata/seccons/prod/temedia/advisories_txt/20130124-0_Barracuda_Appliances_Backdoor_wo_poc_v10.txt

Erneute Schwachstelle in Oracle Java 7

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Erneute Schwachstelle in Oracle Java 7

18. Jänner 2013

Nur vier Tage, nachdem Oracle mit Java 7u11 kritische Fehler gefixt hat, wurde die nächste Schwachstelle in Java 7 bestätigt. Es ist davon auszugehen, dass diese bereits für Angriffe auf Webbrowser eingesetzt wird. Eine Reaktion von Oracle steht noch aus.

Das Java Browser-Plugin war schon 2012 der häufigste Grund für die Infektion von PCs. Die aktuelle Welle an weiteren Sicherheitsproblemen zwingt CERT.at, jetzt nicht nur vor der derzeit verwundbaren Version von Java zu warnen, sondern generell die großflächige Verbreitung und Aktivierung des Java-Plugins in Frage zu stellen.

Beschreibung

Besucht ein User eine speziell präparierte Webseite ("Exploit-pack") mit aktiviertem Java-Plugin, so lädt diese Schadcode nach und führt diesen aus. Der Exploit-Code wird bereits in Untergrund-Foren gehandelt. Es steht zu erwarten, dass er bald auch in die üblichen Exploit-Packs integriert wird.

Auswirkungen

Betroffene Systeme

Den aktuellen Meldungen nach ist Java 7 bis incl. Update 11 betroffen. Ob das auch für Java 6 gilt, ist uns derzeit nicht bekannt.

Da die Java Runtime auf diversen Plattformen läuft, ist das Problem nicht auf Windows-PCs beschränkt, sondern trifft genauso auch Oracles Java-Browserplugins unter Apple OSX und Linux.

Abhilfe

Die sicherste Möglichkeit, einen PC/Mac vor dieser Serie an Schwachstellen in der Java Runtime zu schützen, ist eine komplette Deinstallation von Java.
Benötigt ein lokales Programm Java (etwa lokale Business-Applikationen, OpenOffice, diverse Fotobuch-Software, ...), dann kann man immer noch das Browser-Plugin nicht aktivieren. Detaillierte Hinweise und Anleitungen dazu findet man bei:
- heise.de
- Sophos
- Brian Krebs
- Infoworld
Wenn man auf das Java-Plugin wirklich angewiesen ist, so gibt es zwei Varianten, es trotzdem einigermaßen sicher zu verwenden:
- Zwei-Browser Strategie: Ein Browser (etwa Chrome) wird für das normale Webbrowsen im Internet benutzt, in diesem wird das Java-Applet deaktiviert. Braucht man -- etwa für firmeninterne Applikationen -- das Plugin, so nimmt man dafür einen anderen Browser (etwa den IE), in dem das Plugin aktiv ist.
- Manuelle Freigabe: Manche Browser lassen sich (zum Teil mittels Erweiterungen) so konfigurieren, dass sie Java-Applets erst nach einer Nachfrage beim Benutzer starten.
Im Kontext von Firmennetzen kann man sich auch überlegen, wie sehr man nicht am Proxy/ContentFilter den Download von Java-Applets generell unterbindet. Eine Whitelist von unbedingt nötigen externen Seiten, die Java brauchen, lässt sich dort auch meist einrichten.

Kontext

In der internationalen IT Sicherheits-Community hat sich ein Konsens herausgebildet, dass es nicht mehr tragbar ist, dass das Java-Applet per Default in allen Browsern aktiv ist. Siehe dazu etwa:

US-CERT: This and previous Java vulnerabilities have been widely targeted by attackers, and new Java vulnerabilities are likely to be discovered. To defend against this and future Java vulnerabilities, consider disabling Java in web browsers until adequate updates are available. As with any software, unnecessary features should be disabled or removed as appropriate for your environment.
CERT-CC: Unless it is absolutely necessary to run Java in web browsers, disable it as described below, even after updating to 7u11. This will help mitigate other Java vulnerabilities that may be discovered in the future.
BSI (noch bzgl. des letzten Bugs): Das BSI steht bezüglich der aktuellen Schwachstelle in Kontakt mit der Firma Oracle, dem Hersteller der Java-Laufzeitumgebung. Ein Sicherheitsupdate des Herstellers liegt derzeit nicht vor. Daher rät das BSI allen Internetnutzern zu prüfen, ob Java für die Arbeit am Rechner tatsächlich benötigt wird. Ist dies nicht der Fall, sollte Java über die Systemsteuerung deinstalliert werden, bis ein Sicherheitsupdate vorliegt. Wird Java außerhalb des Browsers dringend benötigt, sollten zumindest die Java Browser-Plugins für das Surfen im Internet deaktiviert und nur zeitweise für die Durchführung einzelner Anwendungen aktiviert werden.
Infoworld: Gruman suggests one step in weaning our current operating systems and apps off Java is for the feds to designate non-Java-free operating systems as noncompliant with security standards for gaining or renewing government contracts. "Loss of income is the motivation that vendors and developers need," he writes. Hit 'em in the bottom line. We can't afford to tolerate the Java problem anymore.

Hinweise

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Java 7 Update 11 confirmed to be vulnerable
http://seclists.org/fulldisclosure/2013/Jan/142
New Java Exploit Fetches \$5,000 Per Buyer
https://krebsonsecurity.com
Yet ANOTHER Java zero-day claimed - but this time you're laughing, right?
http://nakedsecurity.sophos.com/

Update - Kritische Zero-Day Schwachstelle in Oracle Java 7

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Update - Kritische Zero-Day Schwachstelle in Oracle Java 7

10. Jänner 2013
Update: 14. Jänner 2013

Ein Malware-Forscher mit dem Pseudonym kafeine hat einen Exploit entdeckt, der eine bislang unbekannte Schwachstelle in Oracle Java ausnutzt. CERT.at ersucht um Beachtung der folgenden Meldung.

Beschreibung

Wird ein User auf eine speziell präparierte Webseite geleitet, kann sein System durch diese Schwachstelle mit Schadcode infiziert werden. Der Exploit-Code wurde auf Pastebin veröffentlicht und es existieren bereits entsprechende Module für die Exploit-Kits Blackhole und Nuclear Pack.

Auswirkungen

Betroffene Systeme

Derzeit ist noch nicht klar, welche Systeme wirklich betroffen sind. Laut heise.de sind alle Versionen von Java 7 einschliesslich der aktuellen Version Update 10 betroffen. Die Researcher von AlienVault demonstrierten das auf einem vollständig gepatchten Windows-System.
Ob auch Java 6 betroffen ist, ist uns derzeit nicht bekannt.

Abhilfe

Bis ein Patch zur Verfügung gestellt wird, empfiehlt CERT.at, soweit möglich die Oracle Java-Plugins in allen Browsern zu deaktivieren.

Update:
Oracle hat mittlerweile Java 7 Update 11 veröffentlicht.
CERT.at empfiehlt, dieses Update so schnell wie möglich einzuspielen.

Download: http://www.java.com/de/download/manual.jsp
Oracle Security Alert: http://www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.html

Hinweise

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Malware don't need Coffee
malware.dontneedcoffee.com/
Exploit-Code auf Pastebin
pastebin.com/7R8XWq3d
Heise Security Meldung
www.heise.de/security/meldung/Gefaehrliche-Luecke-in-aktueller-Java-Version-1780850.html
Krebs on Security: How to Unplug Java from the Browser
krebsonsecurity.com/how-to-unplug-java-from-the-browser/
Download Java 7 Update 11
www.java.com/de/download/manual.jsp
Oracle Security Alert CVE-2013-0422
www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.html

Lücke in Microsoft Internet Explorer

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Lücke in Microsoft Internet Explorer

20. Dezember 2012
Update: 22. Dezember 2012

Beschreibung

Wie diverse Quellen melden, hat ein Security-Researcher ein Stack Overflow-Problem in aktuellen Versionen von Microsoft Internet Explorer gefunden, welches sich unter Umständen für Remote Code Execution ausnützen lassen könnte.

Wir erwarten, dass gegebenenfalls entsprechend präparierte Webseiten auftauchen und URLs darauf etwa per Spam-Mail verteilt werden.

Update (22.12.2012):
Inzwischen liegt uns eine (leider auf keiner offiziellen Webseite verlinkbare) Stellungnahmen von Microsoft vor: Der Bug ist ein Überlauf der Stack-Größe, nicht aber ein Buffer-Overflow im Stack. Diese Art von Crash eignet sich rein für einen Denial-of-Service, aber nicht für einen remote code execution Exploit.

Wir können daher hier Entwarnung geben, dieser Fehler im IE lässt sich nicht für Einbrüche nutzen.

Auswirkungen

Da der Angreifer - falls ein Ausnutzen der Lücke tatsächlich möglich ist - beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potenziell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Microsoft Internet Explorer 7, 8 und 9 unter Windows XP, Vista und 7

Abhilfe

Die Faktenlage ist bis dato noch relativ dünn, und Aussagen zur Ausnutzbarkeit der Lücke für praktische Angriffe widersprüchlich. Eine offizielle Stellungnahme von Microsoft steht noch aus, und es ist aktuell kein Patch verfügbar.

Wir empfehlen daher, zumindest bis zur Verfügbarkeit einer offiziellen Empfehlung von Microsoft, nach Möglichkeit auf alternative Browser (zum Beispiel Mozilla Firefox, Google Chrome, Opera) auszuweichen.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung bei Security Focus (englisch)
http://www.securityfocus.com/archive/1/525086/30/0/threaded
Diskussion auf Full Disclosure (Englisch)
http://seclists.org/fulldisclosure/2012/Dec/224

Mehrere kritische Sicherheitslücken in Adobe Shockwave Player

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Mehrere kritische Sicherheitslücken in Adobe Shockwave Player

18. Dezember 2012

Beschreibung

Das US-CERT meldet mehrere Schwachstellen in Adobe Shockwave Player:

Shockwave Player anfällig für Downgrade-Attacken
Wenn eine Webseite nicht angibt, die aktuelle Shockwave-Version 11 zu benötigen, dann wird die alte Version 10 installiert. Diese enthält mehrere bekannte Schwachstellen, für die auch teilweise Exploits verfügbar und verbreitet sind.
Shockwave Player installiert alte Version von Flash Player
Shockwave Player benutzt nicht die systemweit installierte Version des Flash Players, sondern bringt eine "eingebaute" mit - diese ist allerdings veraltet und es existieren eine Reihe von bekannten Verwundbarkeiten für diese (Meldungen von CERT.at zu Adobe Flash Player).
Shockwave Player installiert "Xtras" ohne Rückfrage
Wenn Shockwave-Content Funktionen aus sogenannten "Xtras" benutzt, die noch nicht am System vorhanden sind, so werden diese automatisch nachinstalliert, wenn sie signiert sind. Der Ort, von dem diese "Xtras" heruntergeladen werden, ist allerdings im Shockwave Inhalt definiert - ein Angreifer kann so unter Umständen dafür sorgen, dass alte Versionen dieser "Xtras" installiert werden und dann deren Verwundbarkeiten ausnutzen.

Auswirkungen

Für alte Versionen von Adobe Flash Player sind eine ganze Reihe an bekannten Verwundbarkeiten und darauf aufbauenden Exploits für unter anderem Remote Code Execution bekannt. Wir erwarten, dass bald entsprechend präparierte Webseiten auftauchen und URLs darauf etwa per Spam-Mail verteilt werden.

Betroffene Systeme

Systeme, auf denen Adobe Shockwave Player (Version 11.6.8.368 oder früher) installiert oder installierbar ist, auf Microsoft Windows und Apple Betriebssystemen.

Abhilfe

Bis zum Erscheinen entsprechend gefixter Versionen von Adobe Shockwave Player können die folgenden Massnahmen helfen, die Auswirkungen dieser Schwachstellen zu begrenzen:

Limitieren von Shockwave Inhalten
Deaktivieren des Shockwave Player ActiveX Controls (für Nutzer von Microsoft Internet Explorer) durch das Setzen des sog. "Kill Bits" für folgende CLSIDs in der Windows Registry: {166B1BCA-3F9C-11CF-8075-444553540000} und {233C1507-6A77-46A4-9443-F871F945D258}. Nähere Informationen dazu gibt es direkt von Microsoft: http://support.microsoft.com/kb/240797
Weiters können die allgemeinen Hinweise zu Mitigation-Technologien wie DEP und ASLR hilfreich sein: http://blogs.technet.com/b/srd/archive/2010/12/08/on-the-effectiveness-of-dep-and-aslr.aspx
Auch die allgemeinen Hinweise des US-CERT zur Absicherung von Web-Browsern verdienen in diesem Kontext spezielle Beachtung: http://www.us-cert.gov/reading_room/securing_browser/

Detailliertere Beschreibungen finden sich in den Meldungen des US-CERT (englisch, Links s.u.).

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung des US-CERT zum Downgrade-Problem (englisch)
http://www.kb.cert.org/vuls/id/546769
Meldung des US-CERT zum Problem mit veralteter Flash Player-Version (englisch)
http://www.kb.cert.org/vuls/id/323161
Meldung des US-CERT zum Problem mit veralteten "Xtras" (englisch)
http://www.kb.cert.org/vuls/id/519137

Sicherheitslücke in Adobe Flash Player

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Sicherheitslücke in Adobe Flash Player

17. Dezember 2012

Beschreibung

Wie cxsecurity berichtet, gibt es anscheinend einen aktuellen Bug in Adobe Flash Player, mit dem Memory Corruption ausgelöst werden kann. Dies geschieht über FLV (Flash Video) Dateien, die sehr weit verbreitet sind, und daher von den üblichen Web-Filtern kaum generell gesperrt werden.

Zu FLV generell siehe auch https://en.wikipedia.org/wiki/Flv.

Auswirkungen

Es ist davon auszugehen, dass an entsprechenden Exploits bereits gearbeitet wird, und, falls diese möglich sind, Links auf entsprechend präparierte Webseiten etwa per Spam-Mail verbreitet werden. Der Bug wurde laut cxsecurity mit der aktuellen Version 11,5,502,135 auf Microsoft Windows 7 / Internet Explorer 8 getestet - ob und welche anderen Kombinationen von Flash Player, Betriebssystem und Web-Browser auch betroffen sind, ist momentan noch nicht bekannt, ein kurzer Test lässt jedoch vermuten, dass auch Flash Player unter Internet Explorer 9 betroffen ist.

Aktuell gibt es zu diesem Problem noch keine Stellungnahme von Adobe.

Betroffene Systeme

Systeme, auf denen folgende Software von Adobe installiert ist:

Adobe Flash Player, in der aktuellen Version 11,5,502,135

Abhilfe

Bis zu einer Verfügbarkeit eines entsprechenden Fixes empfehlen wir, FLV/SWF Dateien auf Web-Filtern/-Proxies zu blocken, Adobe Flash Player zu deaktivieren, oder je nach Möglichkeiten des Browsers zumindest nicht automatisch zu starten (etwa mittels des "Flashblock"-Plugins für Mozilla Firefox).

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung bei cxsecurity (englisch)
http://cxsecurity.com/issue/WLB-2012120127

Sicherheitsupdate für Adobe Shockwave Player

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Sicherheitsupdate für Adobe Shockwave Player

23. Oktober 2012

Beschreibung

Adobe stellt eine neue Version des Shockwave Players zur Verfügung. Da diese Software weit verbreitet ist, ersuchen wir um Beachtung der folgenden Warnung.

Auswirkungen

Adobe weist darauf hin, dass sich mehrere der behobenen Fehler für Remote Code Execution ausnutzen lassen, auch wenn bislang noch keine fertigen Exploits dafür bekannt sind.

Wir erwarten, dass bald entsprechend präparierte Webseiten auftauchen und URLs darauf etwa per Spam-Mail verteilt werden.

Betroffene Systeme

Systeme, auf denen folgende Software von Adobe installiert ist:

Adobe Shockwave Player vor Version 11.6.8.638, für Windows und Macintosh

Abhilfe

Upgrade auf die jeweils aktuellen Versionen, Details bitte dem Warning von Adobe zu entnehmen: http://www.adobe.com/support/security/bulletins/apsb12-23.html.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Adobe (englisch)
http://www.adobe.com/support/security/bulletins/apsb12-23.html

Update - Zero Day Exploit für Microsoft Internet Explorer

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Update - Zero Day Exploit für Microsoft Internet Explorer

17. September 2012
Update am 18. September
2. Update am 20. September

CERT.at ersucht um Beachtung der folgenden Meldung.

Beschreibung

Seit kurzem gibt es, wie unter anderem im Blog von Rapid7 berichtet wird, eine remote ausnützbare Sicherheitslücke in Internet Explorer 7, 8 und 9. Da bereits ein Modul für das Metasploit Framework verfügbar ist, und die Sicherheitslücke auch schon aktiv ausgenützt wird, empfiehlt CERT.at, die folgende Sicherheitsmeldung zu beachten.

Eine solche Browserschwachstelle kann dazu benutzt werden, auf den PCs von Besuchern einer präparierten Webseite Malware zu installieren. Die Opfer können per Mail/Spam zu diesen Seiten gelockt werden; alternativ können die Angreifer versuchen, in legitime Seiten einzubrechen und diese zu manipulieren.

Auswirkungen

Betroffene Systeme

Die ersten Meldungen haben nur von Windows XP und IE 7/8 gesprochen, aktuell muss aber davon ausgegangen werden, dass alle Systeme, auf denen Microsoft Internet Explorer Version 7, 8 oder 9 installiert ist, betroffen sind.
Das Metasploit Modul funktioniert laut Screenshots für:

Microsoft Internet Explorer 7, 8 und 9 unter Windows XP, Vista und 7

Abhilfe

Die Faktenlage ist bis dato noch relativ dünn. Es erreichen uns zum Teil widersprüchliche Meldungen. Eine Stellungnahme von Microsoft steht noch aus, und es ist aktuell kein Patch verfügbar.
Wir empfehlen daher, zumindest bis zu einer Klärung Sachverhalts, nach Möglichkeit auf alternative Browser auszuweichen.

Update (2012/09/18):
Microsoft hat ein Advisory publiziert. Ein Zeitpunkt für die Verfügbarkeit eines Patches wurde noch nicht angekündigt, es ist aber ein out-of-band Release zu erwarten.

Als temporäre Maßnahmen empfiehlt Microsoft drei Varianten:

Das Enhanced Mitigation Experience Toolkit (EMET) für den IE aktivieren
Die Sicherheitseinstellungen für "Internet" und "Lokales Intranet" auf "Hoch" setzen, um ActiveX Controls und Active Scripting abzuschalten.
Den IE so konfigurieren, dass er vor dem Ausführen von aktiven Inhalten eine Bestätigung erwartet.

Eine genaue Beschreibung mit den zu erwartenden negativen Seiteneffekten enthält das Advisory.

Update (2012/09/20):
Microsoft hat ein FixIT Tool bereitgestellt, mit dem dieses Problem temporär behoben werden kann.

Für Freitag, 21. September 2012 hat Microsoft die Publikation des offiziellen Updates für den Internet Explorer angekündigt.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Eric Romang Blog (en)
http://eromang.zataz.com/2012/09/16/zero-day-season-is-really-not-over-yet/
Rapid7 Security Street (en)
https://community.rapid7.com/community/metasploit/blog/2012/09/17/lets-start-the-week-with-a-new-internet-explorer-0-day-in-metasploit
Meldung von Heise (de)
http://www.heise.de/security/meldung/Angreifer-nutzen-ungepatchte-Internet-Explorer-Luecke-aus-1709371.html
Microsoft Security Advisory 2757760 (en)
https://technet.microsoft.com/en-us/security/advisory/2757760

Schwachstelle in Nameserversoftware BIND 9

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Schwachstelle in Nameserversoftware BIND 9

13. September 2012 CERT.at ersucht um Beachtung der folgenden Meldung.

Beschreibung

Wie das Internet Software Consortium (ISC) bekannt gegeben hat, existiert in der weit verbreiteten Nameserver-Software BIND ein Problem, das zum Absturz des Dienstes "named" führen kann. Es kann nicht ausgeschlossen werden, dass diese Schwachstelle auch zum Einbruch in den Nameserver genutzt werden kann.

Durch speziell präparierte Resource Records bei welchen RDATA-Felder länger als 65535 Bytes sind, können rekursive BIND-Nameserver zum Absturz gebracht werden. Weiters können auch autoritative Server betroffen sein, wenn eine Zone mit solchen Resource Records geladen wird, zum Beispiel durch übertragen von Zonen-Dateien.

CVE Referenz-Nummer:

CVE-2012-4244

Details

Durch manigfaltige Möglichkeiten von "deflection attacks", reicht es nicht, wenn der rekursive Nameserver nach Aussen hin abgeschottet wird. Denn ein Angreifer kann mittels "deflection" über interne Server wiederum den rekursiven Nameserver zum Absturz zu bringen.
Beispiel: der Angreifer schickt eine Mail an den Mailserver, der Mail Header löst eine Anfrage an den rekursiven Nameserver aus und somit kam die Anfrage von innen.

Es gibt zum derzeitigen Wissensstand keine Möglichkeiten der Risikoreduzierung ausser ein Upgrade auf die gepatchte Version.

Auswirkungen

Da DNS für die Auflösung von Domain-Namen in IP-Adressen zuständig ist, kann ein Ausfall eines rekursiven Nameservers für Endbenutzer bedeuten, dass ihre Internetverbindung nicht mehr "funktioniert".

Es gibt schon Berichte, dass diese Schwachstelle zu ungewollten Dienstunterbrechungen geführt hat. Noch gibt es keine Berichte, dass dieser Fehler auch zum Einschleusen und Ausführen von Schadsoftware genutzt wurde.

Betroffene Systeme

Laut ISC sind folgende Versionen betroffen:

BIND 9.0.x bis 9.6.x
BIND 9.4-ESV bis 9.4-ESV-R5-P1
BIND 9.6-ESV bis 9.6-ESV-R7-P2
BIND 9.7.0 bis 9.7.6-P2
BIND 9.8.0 bis 9.8.3-P2
BIND 9.9.0 bis 9.9.1-P2

Abhilfe

Upgrade auf die zur Verfügung gestellte Version 9.7.7, 9.7.6-P3, 9.6-ESV-R8, 9.6-ESV-R7-P3, 9.8.4, 9.8.3-P3, 9.9.2 oder 9.9.1-P3.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, und auch auf Servern sich automatisch die verfügbaren Updates anzeigen zu lassen.

Informationsquelle(n):

ISC Knowledge Base (en)
https://kb.isc.org/article/AA-00778/74

Update - Zero-Day Schwachstelle in Oracle Java 7

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Update - Zero-Day Schwachstelle in Oracle Java 7

27. August 2012
Update: 30. August 2012

Der Sicherheitsexperte Atif Mushtaq von FireEye hat eine Zero-Day Sicherheitslücke in Oracle Java entdeckt, welche auch bereits aktiv ausgenutzt wird. CERT.at ersucht um Beachtung der folgenden Meldung.

Beschreibung

Wird ein User auf eine speziell präparierte Webseite geleitet, kann sein System durch diese Schwachstelle mit Schadcode infiziert werden. Anfangs wurden nur gezielte Angriffe festgestellt, mittlerweile existiert auch ein ensprechendes Modul für das Metasploit Framework.

Auswirkungen

Betroffene Systeme

Derzeit ist noch nicht klar, welche Systeme wirklich betroffen sind. Laut heise.de sind alle Versionen von Java 7 bis Update 6 auf Windows 7 (inkl. SP1) betroffen.
Andere Quellen hingegen sprechen nur von folgenden Systemen:

Mozilla Firefox auf Ubuntu Linux 10.04
Internet Explorer / Mozilla Firefox / Chrome auf Windows XP
Internet Explorer / Mozilla Firefox auf Windows Vista
Internet Explorer / Mozilla Firefox auf Windows 7

Abhilfe

Bis ein Patch zur Verfügung gestellt wird, empfiehlt CERT.at, soweit möglich die Java-Plugins in allen Browsern zu deaktivieren.

Update:
Wie soeben bekannt wurde, hat Oracle nun anscheinend doch auf die aktuellen Probkeme mit Java reagiert, und Java 7 Update 7 veröffentlicht.
CERT.at empfiehlt, dieses Update so schnell wie möglich einzuspielen.

Download: http://www.java.com/de/download/manual.jsp
Oracle Security Alert: http://www.oracle.com/technetwork/topics/security/alert-cve-2012-4681-verbose-1835710.html

Hinweise

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

FireEye Blog
blog.fireeye.com/research/2012/08/zero-day-season-is-not-over-yet.html
Heise Security Meldung
www.heise.de/security/meldung/Warnung-vor-kritischer-Java-Luecke-1675454.html
US-CERT HowTo Browser-Security
www.us-cert.gov/reading_room/securing_browser/
Download Java 7 Update 7
http://www.java.com/de/download/manual.jsp
Oracle Security Alert CVE-2012-4681
http://www.oracle.com/technetwork/topics/security/alert-cve-2012-4681-verbose-1835710.html

Remote-Code-Execution in Cisco's AnyConnect Secure Mobility Client

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Remote-Code-Execution in Cisco's AnyConnect Secure Mobility Client

23. August 2012

CERT.at ersucht um Beachtung der folgenden Meldung.
Wie cxSecurity meldet, exisitiert in Cisco's AnyConnect Secure Mobility Client eine Schwachstelle, welche Remote Code Execution ermöglicht.

Beschreibung

Mittels Umlenken eines Users auf eine speziell präparierte Webseite, ist es für einen Angreifer möglich, beim Benutzer Active-X oder Java Komponenten zu starten, welche eigentlich für die Weblaunch-Funktionalität des Cisco AnyConnect Secure Mobility Client notwendig sind. In Kombination mit fehlender Input-Validierung ist es dem Angreifer damit möglich, beliebigen Code mit den Rechten der Browser-Session auf dem Client auszuführen.

Auswirkungen

Da je nach Angriffs-Szenario ein Angreifer beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen potentiell gefährdet. Weiters ist es möglich, die Installation des Cisco AnyConnect Secure Mobility Client zu modifizieren und durch ältere bzw. verseuchte Versionen zu ersetzen.

Betroffene Systeme

Cisco AnyConnect Secure Mobility Client 3.0.629
Cisco AnyConnect Secure Mobility Client 3.0
Cisco AnyConnect Secure Mobility Client 2.5.3046
Cisco AnyConnect Secure Mobility Client 2.5.3041
Cisco AnyConnect Secure Mobility Client 2.5

Abhilfe

Cisco hat bereits einen Patch veröffentlicht, der diese Probleme behebt.

Hinweise

Diese Schwachstelle kann nur durch Ausführen von ActiveX-Steuerelementen oder Java-Applets ausgenützt werden, daher empfehlen wir die Sicherheitseinstellungen des Browsers so zu wählen, dass der Benutzer immer gefragt wird ob er das wirklich tun möchte.
Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

cxSecurity
http://cxsecurity.com/wlb/WLB-2012080192
Cisco Security Advisory
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120620-ac

Cross-Site-Scripting Schwachstelle in e-Learning Plattform Moodle

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Cross-Site-Scripting Schwachstelle in e-Learning Plattform Moodle

22. August 2012

CERT.at ersucht um Beachtung der folgenden Meldung.

Aufgrund der hohen Verbreitung der e-Learning Plattform Moodle haben wir uns entschlossen folgende Warnung herauszugeben.

Beschreibung

Wie z.B. auch SecurityFocus berichtet, wurde eine Sicherheitslücke in der e-Learning Plattform Moodle entdeckt, welche zumindest in der Version 2.2.1 existiert. Es handelt sich um eine Cross-Site-Scripting (XSS) Schwachstelle, welche u.a. zum Stehlen von Cookies genützt werden kann oder um (meist bösartige) Scripts von externen Seiten nachzuladen.

Auswirkungen

Ein Angreifer könnte durch das Ausnutzen dieser Schwachstelle die Cookies eines angemeldeten Benutzers ausspähen und unter Umständen Administrationsrechte erlangen. Weitere Szenarien, wie z.B. das Umleiten auf speziell präparierte Webseiten, sind auch denkbar.

Abhilfe

Die Entwickler von Moodle haben, für die mittlerweile veraltete Version 2.2.x, bereits einen Patch veröffentlicht (das aktuelle stable-Release von Moodle trägt die Versionsnummer 2.3.1).

Hinweis

Generell empfiehlt CERT.at, wo möglich ein Update von veralteten Versionen (<=2.2.x) auf das aktuellste stable-Release.

Informationsquelle(n):

Moodle Webseite
http://moodle.org/
Moodle Download
http://download.moodle.org/
SecurityFocus BugTraq
http://www.securityfocus.com/archive/1/523949

Kritische Schwachstelle in Zend Framework

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Kritische Schwachstelle in Zend Framework

27. Juni 2012
CERT.at ersucht um Beachtung der folgenden Meldung.
Wie SEC Consult bekanntgegeben hat, wurde eine Sicherheitslücke im weit verbreiteten PHP-Framework ZEND festgestellt.

Beschreibung

Durch eine Lücke im XML-RPC Paket ist das ZEND-Framework anfällig auf XML eXternal Entity Injections (XXE), diese Schwachstelle betrifft sowohl Clients als auch Server. Durch unsicheres Parsen mittels SimpleXML PHP-Erweiterung können spezielle DOCTYPE-Elemente via XML-RPC (Extensible Markup Language - Remote Procedure Call) hinzugefügt werden.

Auswirkungen

Durch das Ausnutzen dieser Schwachstelle können Angreifer (insbesondere bei Servern, die das ZEND Framework verwenden) beliebige Dateien des Betriebssystems auslesen oder TCP-Verbindungen öffnen.

Betroffene Systeme

ZEND Framework 1.11.11
ZEND Framework 1.12.0 RC1
ZEND Framework 2.0.0beta4

Weiters sind auch zahlreiche Webanwendungen, welche auf das ZEND Framework aufbauen potentiell gefährdet. Einige der bekanntesten Anwendungen sind:

Abhilfe

Der Hersteller des Frameworks hat bereits Patches bereitgestellt, welche sich dieses Problems annehmen

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Kritische Schwachstelle in Zend Framework
https://www.sec-consult.com/files/20120626-0_zend_framework_xxe_injection.txt

Cross-Site-Scripting Schwachstelle in Forensoftware vBulletin

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Cross-Site-Scripting Schwachstelle in Forensoftware vBulletin

20. Juni 2012

CERT.at ersucht um Beachtung der folgenden Meldung.

Aufgrund der hohen Verbreitung der Forensoftware vBulletin in Öerreich haben wir uns entschlossen folgende Warnung herauszugeben.

Beschreibung

In der Kalenderfunktion der Forensoftware vBulletin, zumindest in der aktuellen Version 4.2.0, kann eine Cross-Site-Scripting (XSS) Schwachstelle ausgenutzt werden, die u.a. zum Stehlen von Cookies führen kann.

Auswirkungen

Abhilfe

Die Entwickler haben bereits einen Patch(Patchseite, Hinweis auf den Patch) veröffentlicht, der sich dieser Lücke annimmt.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

VBulletin Webseite
https://www.vbulletin.com/
Patchseite VBulletin
https://members.vbulletin.com/patches.php
Hinweis von VBulletin auf den Patch
https://www.vbulletin.com/forum/showthread.php/403211-vBulletin-Security-Patch-for-vBulletin-4-2-%28Suite-amp-Forum%29-Only-06-18-2012?p=2306251#post2306251

Kritische Sicherheitslücke in Microsoft Windows

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Kritische Sicherheitslücke in Microsoft Windows

13. Juni 2012

CERT.at ersucht um Beachtung der folgenden Meldung.
Eine Schwachstelle in Microsoft Windows ermöglicht Remote Code Execution, welche nicht durch den gestrigen Patch-Tuesday behoben wurde.

Beschreibung

Microsoft hat ein Security Advisory veröffentlicht, das vor einer Schwachstelle in allen aktuell unterstützten Microsoft Windows Versionen warnt. Eine kritische Lücke in den Microsoft XML Core Services, die sich via Internet Explorer und Office-Dokumenten ausnutzen lässt, ermöglicht es einem Angreifer beliebigen Code auszuführen. Laut Microsoft wird dieser Bug bereits aktiv von Angreifern ausgenützt.

Auswirkungen

Da je nach Angriffs-Szenario (z.B.: über speziell präparierte Webseiten oder Office-Dokumente) ein Angreifer beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen potentiell gefährdet.

Betroffene Systeme

Windows 7 (alle Versionen, inkl. SP1)
Windows Server 2008 R2 (alle Versionen)
Windows Server 2008 (alle Versionen)
Windows Vista (alle Versionen, bis inkl. SP2)
Windows Server 2003 (alle Versionen, bis inkl. SP2)
Windows XP (alle Versionen, bis inkl. SP3)
Microsoft Office 2003 (bis inkl. SP3)
Microsoft Office 2007 (bis inkl. SP2)

Abhilfe

Zur Überbrückung bis zum offiziellen Patch bietet Microsoft ein sogenanntes FixIt-Tool Workaround an.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Advisory von Microsoft (englisch)
http://technet.microsoft.com/en-us/security/advisory/2719615
FixIt Workaround von Microsoft (englisch)
http://support.microsoft.com/kb/2719615

Mehr als 6 Millionen LinkedIn Passwörter öffentlich einsehbar

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Mehr als 6 Millionen LinkedIn Passwörter öffentlich einsehbar

6. Juni 2012

Aufgrund der Beliebtheit der Webseite LinkedIn haben wir uns entschlossen, folgende Warnung herauszugeben.

Beschreibung

CERT.at wurde am 6.6.2012 informiert, dass ungefähr 6,5 Millionen gehashte Passwörter von LinkedIn Benutzern öffentlich im Internet einsehbar sind. An sich handelt es sich hierbei um gehashte ("verschlüsselte") Passwörter, da es aber mittlerweile relativ einfach geworden ist, von einem gehashtem Passwort auf den Klartext zurückzurechnen, empfehlen wir dringend, das eigene Passwort zu ändern. In den veröffentlichten Dateien sind nur (unsaltet) SHA1 Passwörter. Das heisst, dass dieses Zurückrechnen noch einfacher ist. In diversen Foren werden schon die ersten unverschlüsselten Passwörter gepostet.

Dimension des Problems

Laut blogaboutjob.de hatte LinkedIn im August 2011 2 Millionen Benutzer im deutschsprachigen Raum (versus 4,9 Millionen von XING).

Auswirkungen

CERT.at geht davon aus, dass die Angreifer nicht nur im Besitz der gehashten Passwörter sind, sondern auch die zugehörigen Benutzernamen kennen. Betroffen sind potentiell viele LinkedIn Benutzer, deren Passwort in der Liste ist. Allerdings sehen wir einen langanhaltenden Trend, dass viele Passwörter auf unterschiedlichsten Diensten wiederverwendet werden. Somit sind auch diese Accounts gefährdet. Weiters gehen wir davon aus, da die Hashes öffentlich bekannt sind, dass diverse Passwort-Cracking Tools verbessert werden.

Empfehlungen

Wir raten somit, erstens einmal das eigene LinkedIn Passwort zu ändern als auch im eigenen Unternehmen entsprechende Schritte zu setzen. Ebenso sollte das Passwort auf allen anderen Seiten / Services geändert werden, auf welchen es wiederverwendet wurde.

Hinweise

Generell empfiehlt CERT.at, nicht überall das selbe Passwort zu verwenden.

Informationsquelle(n):

The Verge: 6.46 Million hashed LinkedIn passwords
http://www.theverge.com/2012/6/6/3067523/linkedin-password-leak-online

Microsoft Windows Digital Certificates Spoofing Schwachstelle

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Microsoft Windows Digital Certificates Spoofing Schwachstelle

04. Juni 2012

Microsoft warnt [1] vor Angriffen, die mit Hilfe von unautorisierten digitalen Zertifikaten, die von einer Microsoft Certificate Authority (CA) abgeleitet wurden, durchgeführt werden können. Im Zuge dessen zieht Microsoft 2 digitale Zertifikate zurück.

Hintergrund und Dimensionen

Microsoft veröffentlicht üblicherweise Patches nur gebündelt einmal pro Monat (sogenannter "Patch Tuesday", 2. Dienstag des Monats), und sieht davon nur in besonders wichtigen Ausnahmefällen ab.

Beschreibung

Microsoft veröffentlicht ein Security Advisory, das vor Angriffen warnt, die mit Hilfe von unautorisierten digitalen Zertifikaten durchgeführt werden. Das Terminal Server Licensing Service [2] nutzte einen alten kryptographischen Algorithmus und stellte Zeritifkate zur Verfügung, die das Signieren von Code ermöglichten.

Auswirkungen

Ein unautorisiertes Zeritifikat kann dazu verwendet werden, um Spoofing, Phishing oder man-in-the-middle Attacken durchzuführen.

Abhilfe

Microsoft nimmt folgende Schritte[2], um das Risiko einzugrenzen:

1. Schritt: Security Advisory wird veröffentlicht [1]

2. Schritt: Update wird veröffentlicht, das die betroffenen Zertifikate zurückzieht. Die Updates sind bereits verfügbar. Diese empfiehlt CERT.at möglichst zeitnahe einzuspielen. Folgende Zeritifkate sind betroffen:

Certificate	Issued by	Thumbprint
Microsoft Enforced Licensing Intermediate PCA	Microsoft Root Authority	2a 83 e9 02 05 91 a5 5f c6 dd ad 3f b1 02 79 4c 52 b2 4e 70
Microsoft Enforced Licensing Intermediate PCA	Microsoft Root Authority	3a 85 00 44 d8 a1 95 cd 40 1a 68 0c 01 2c b0 a3 b5 f8 dc 08
Microsoft Enforced Licensing Registration Authority CA (SHA1)	Microsoft Root Certificate Authority	fa 66 60 a9 4a b4 5f 6a 88 c0 d7 87 4d 89 a8 63 d7 4d ee 97

3. Schritt: Das Terminal Licensing Service ermöglicht es nicht mehr Zeritifkate abzuleiten, mit denen Code signiert werden kann.

Betroffene Systeme

Operating System
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 with SP2 for Itanium-based Systems
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for Itanium-based Systems Service Pack 2
Windows 7 for 32-bit Systems
Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems
Windows 7 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for Itanium-based Systems
Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
Server Core installation option
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Affected Devices
Windows Mobile 6.x
Windows Phone 7
Windows Phone 7.5

Hinweise

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, und auch auf Servern sich automatisch die verfügbaren Updates anzeigen zu lassen.

Informationsquelle(n):

Microsoft Security Advisory (2718704)
[1] http://technet.microsoft.com/en-us/security/advisory/2718704
Blog entry - Microsoft releases Security Advisory 2718704
[2] http://blogs.technet.com/b/msrc/archive/2012/06/03/microsoft-releases-security-advisory-2718704.aspx

Update: wetter.com verteilte Malware

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Update: wetter.com verteilte Malware

16. Mai 2012
Update am 21. Mai

Achtung vor Drive-by-Downloads von wetter.com in den vergangenen Tagen.

Aufgrund der Beliebtheit der Webseite - geschätzte 10% der PCs einer größeren Organisation surften die Seite wetter.com im Zeitraum 14.5.-15.5. an - haben wir uns entschlossen, folgende Warnung herauszugeben.

Beschreibung

Wie heise.de berichtet hat, ist über eine Lücke der OpenX Werbebanner Software auf der Webseite www.wetter.com zuletzt am 15.5.2012 Schadsoftware verteilt worden. Der genaue Anfangszeitpunkt ist uns nicht bekannt. Eine Stellungnahme von wetter.com bezüglich des tatsächlichen Anfangszeitpunktes steht noch aus.

Soweit uns bekannt ist, wurde Besuchern der Seite, die keine Adblock Software installiert hatten unter Umständen ohne ihr Wissen Schadsoftware installiert. CERT.at ist bekannt, dass es verschiedene Varianten von Schadsoftware gab, eine davon ist ein fake-BKA Trojaner.

Auswirkungen

Betroffene Systeme

Potentiell betroffen waren Rechner, welche die Seite im relevanten Zeitraum angesurft hatten und die

keinen AdBlocker (bzw. NoScript) installiert hatten und
Browser verwendet haben, die nicht das Safe-Browsing-API nutzen

Empfehlungen

Für Systemadministratoren

CERT.at empfiehlt, daß Systemadministratoren ihre Proxy-Logs beziehungsweise Firewall-Logs ansehen, um festzustellen, welche PCs im relevanten Zeitraum die Seite www.wetter.com angesurft haben. Anschließend könnte es sich auszahlen, diese PCs mit aktuellester Antivirensoftware zu scannen beziehungsweise deren Aktivitäten unter genauerere Beobachtung zu stellen.

Update:
Wie wir mittlerweile erfahren haben, wurden (beim Browsen von wetter.com) attackierte Clients auf die Domains

futurela.info
votofak.ru

weitergeleitet. Beide Domains lösten zum jeweils relevanten Zeitpunkt auf die IP-Adresse 85.17.122.246 auf.

Laut Passive-DNS scheint diese IP-Adresse auch noch mit anderen uns bislang in der Causa wetter.com unbekannten Domains in Verbindung gestanden zu sein.
Hier die gesamte Liste inklusive der beiden oben genannten:

botsdarehere.com
newadultgamers.com
futurela.info
medppc.info
metaafe.info
openx-google.info
ads-com.info
billabon.info
advertingresolution.info
osnovoispanio.info
ads-yahoo.info
openx-master.info
advertmasters.info
openxmasters.info
ads-net.info
master-openx.info
youropenx.info
hisopenx.info
freeuseonly.info
moneyonly.info
blackdomaingood.net
trafficcompanygood.net
usforsale.ru
euforsale.ru
money-moneyblog.ru
votofak.ru

Entsprechende Suchen in Logs sollten sich mit diesen Informationen gezielter bewerkstelligen lassen.

Anmerkung: Ob und inwiefern auch noch andere Domains/IP-Adressen beteiligt waren, ist bislang unbekannt.

Für Endbenutzer

Wir raten dazu, den eigenen PC mit Antiviren Software zu scannen beziehungsweise sogar mit offline Antivirus Software (von CD bootbar) zu überprüfen.

Hinweise

Bei Unternehmen mit mehreren PCs empfiehlt es sich, Proxy-Logs oder Firewall-Logs für den Fall bereit zu haben.

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, und auch auf Servern sich automatisch die verfügbaren Updates anzeigen zu lassen.

Informationsquelle(n):

Weiterhin Virenalarm auf Wetter.com
http://www.heise.de/security/meldung/Weiterhin-Virenalarm-auf-Wetter-com-1576132.html

Sicherheitslücken in Symantec pcAnywhere

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Sicherheitslücken in Symantec pcAnywhere

26. Jänner 2012

Der Software-Hersteller Symantec warnt vor Sicherheitslücken in der Fernwartungssoftware pcAnywhere.

Da diese Software auch Teil der Client-Management-Lösungen der Altiris-Reihe ist, und diese in vielen Unternehmen eingesetzt wird, bittet CERT.at um Beachtung der folgenden Hinweise:

Beschreibung

pcAnywhere nimmt auf TCP-Port 5631 Anfragen zur Fernsteuerung des PCs entgegen. In der Authentisierung dieser Verbindungen wurde ein Fehler (mangelnde Eingabeprüfungen) gefunden, der es einem Angreifer erlaubt, Code einzuschleusen und auszuführen. (CVE-2011-3478, CVSS2: 8.3)

Es existiert auch eine Lücke in Bezug auf Local Access File Tampering, die sich jedoch deutlich schwieriger ausnützen lassen sollte. (CVE-2011-3479, CVSS2: 6.8)

Wie Symantec weiters berichtet, wurde vor einigen Jahren Quellcode für diverse Produkte gestohlen, darunter auch für pcAnywhere. Es ist daher anzunehmen, dass damit die in pcAnywhere verwendeten Verschlüsselungs- und Authentisierungsalgorithmen analysiert werden und deren Schwachstellen auch bald publik werden.

Symantec weist darauf hin, dass ein Angreifer mit Kenntnis der Algorithmen weitere Angriffsvektoren hat (Man-in-the-middle, Abhören, ...) und rät daher zu weiteren Vorsichtsmaßnahmen beim Einsatz von pcAnywhere.

Symantec hat sowohl eine Warnung zu den Problemen mit pcAnywhere als auch ein allgemeineres Whitepaper dazu herausgegeben.

Auswirkungen

Betroffene Systeme

Laut Symantec sind folgende Softwareprodukte/-suiten betroffen:

pcAnywhere 12.5.x und älter
IT Management Suite 7.0 pcAnywhere Solution 12.5.x und älteru
IT Management Suite 7.1 pcAnywhere Solution 12.6.x und älter

Weiters ist pcAnywhere auch in folgenden Produkten der Altiris-Reihe enthalten:

Altiris Client Management Suite
Altiris IT Management Suite ab Version 7.0
Altiris Deployment Solution with Remote 7.1

Abhilfe

Installation der bereitgestellten Updates, wo verfügbar, etwa per LiveUpdate. Weitere empfohlene Maßnahmen sind im Whitepaper angegeben.

Insbesondere weist Symantec darauf hin, dass in Firmennetzen die pcAnywhere-Installationen nicht von außen erreichbar sein sollen und der Dienst nur dann laufen soll, wenn er gerade gebraucht wird. Dazu enthält das Whitepaper entsprechende Skripte.

Hinweise

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, und auch auf Servern sich automatisch die verfügbaren Updates anzeigen zu lassen.

Informationsquelle(n):

Security Advisory von Symantec zu pcAnywhere (englisch)
http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2012&suid=20120124_00
Whitepaper von Symantec zu empfohlenen Massnahmen im Zusammenhang mit diesen Lücken (englisch, PDF)
http://www.symantec.com/connect/sites/default/files/pcAnywhere%20Security%20Recommendations%20WP_01_23_Final.pdf
Erster Artikel bei Heise Security
http://www.heise.de/security/meldung/pcAnywhere-laesst-auch-Angreifer-ans-Steuer-1421170.html
Zweiter Artikel bei Heise Security
http://www.heise.de/security/meldung/Symantec-warnt-nach-Quelltext-Klau-vor-pcAnywhere-1422561.html

Oracle Critical Patch Update für Jänner 2012

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Oracle Critical Patch Update für Jänner 2012

18. Jänner 2012

Es wurden Updates für kritische Sicherheitslücken in diversen Produkten von Oracle, darunter unter anderen Oracle Database, Oracle MySQL Server, Solaris, Oracle Fusion Middleware und Oracle Application Server veröffentlicht.

Angesichts der hohen Verbreitung der Software von Oracle bittet CERT.at um Beachtung der folgenden Hinweise:

Beschreibung

Im Rahmen eines "Critical Patch Update" warnt Oracle vor diversen, zum Teil schweren (CVSS Score bis zu 7.8) Sicherheitslücken in Software von Oracle.

Eine Sicherheitslücke im Produkt Oracle Database betrifft die Teilkomponente "listener program", welche remote Befehle akzeptiert. Das Ausnutzen der Sicherheitslücken kann im schlimmsten Fall dazu führen, dass ein Zugriff auf die Datenbank nicht mehr möglich ist.

Oracle stellt Patches für Solaris zur Verfügung, welche kritische Sicherheitslücken im Betriebssystem beseitigen. CVE-2012-0094 betrifft Solaris 9, 10, 11 Express und kann zu einem Absturz des Betriebssystems führen.

Andere Patches adressieren Sicherheitslücken in der MySQL Server Software, wobei das Ausnutzen zumindest einer Sicherheitslücke zu einer signifikanten Einschränkung der Verfügbarkeit führen bzw. die Vertraulichkeit der Daten in der Datenbank beeinträchtigen kann.

Weiters warnt Oracle vor diversen HTTP-basierten Sicherheitslücken in den Produkten Oracle Fusion Middleware, Oracle E-Business Suite, and Oracle Supply Chain Products Suite. Eine Sicherheitslücke in Oracle Fusion kann unter Umständen dazu führen, dass Daten vom System gelesen oder auf das System geschrieben werden können.

Eine Auflistung aller Sicherheitslücken und die dazugehörende detaillierte Beschreibung (inklusive CVE und Einstufungen nach CVSS) veröffentlichte Oracle als "Oracle Critical Patch Update Advisory - January 2012".

Auswirkungen

Unter Umständen kann das Ausnutzen der Sicherheitslücken zu einem Teil- bzw. Gesamtverlust der Vertraulichkeit, Integrität oder Verfügbarkeit der Softwareprodukte führen.

Betroffene Systeme

Laut Oracle sind folgende Versionen betroffen:

Oracle Database 11g Release 2, versions 11.2.0.2, 11.2.0.3
Oracle Database 11g Release 1, version 11.1.0.7
Oracle Database 10g Release 2, versions 10.2.0.3, 10.2.0.4, 10.2.0.5
Oracle Database 10g Release 1, version 10.1.0.5
Oracle Fusion Middleware 11g Release 1, versions 11.1.1.3.0, 11.1.1.4.0, 11.1.1.5.0
Oracle Application Server 10g Release 3, version 10.1.3.5.0
Oracle Outside In Technology, versions 8.3.5, 8.3.7
Oracle WebLogic Server, versions 9.2.4, 10.0.2, 11gR1 (10.3.3, 10.3.4, 10.3.5)
Oracle E-Business Suite Release 12, versions 12.1.2, 12.1.3
Oracle E-Business Suite Release 11i, version 11.5.10.2
Oracle Transportation Management, versions 5.5, 6.0, 6.1, 6.2
Oracle PeopleSoft Enterprise CRM, version 8.9
Oracle PeopleSoft Enterprise HCM, versions 8.9, 9.0, 9.1
Oracle PeopleSoft Enterprise PeopleTools, version 8.52
Oracle JDEdwards, version 8.98
Oracle Sun Product Suite
Oracle VM VirtualBox, version 4.1
Oracle Virtual Desktop Infrastructure, version 3.2
Oracle MySQL Server, versions 5.0, 5.1, 5.5

Abhilfe

Installation der bereitgestellten Updates. Siehe dazu die Links im Advisory von Oracle.

Hinweise

Oracle hat sich mit dem Critical Patch Updates Programm vorgenommen, jedes Quartal gebündelt Patches für (fast) alle Produkte herauszugeben. Wir empfehlen daher dringend jedem Kunden von Oracle, sich -- analog zum monatlichen Patch-Day von Microsoft -- auf diese Updates vorzubereiten und einen Prozess zur geordneten Behandlung zu implementieren.

Wir weisen weiters darauf hin, dass die Java Runtime für Clients unabhängig von diesen "CPUs" Updates von Oracle bekommt. Ein veraltetes Java-Plugin in Browsern ist aktuell ein häufiges Einfallstor für Schadsoftware. Ob ein Browser die aktuelle Version verwendet, lässt sich leicht über java.com überprüfen. Alte Versionen der JRE sollten deinstalliert werden.

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, und auch auf Servern sich automatisch die verfügbaren Updates anzeigen zu lassen.

Informationsquelle(n):

Oracle Critical Patch Update Advisory - January 2012 (Englisch)
http://www.oracle.com/technetwork/topics/security/cpujan2012-366304.html
Orcale Blog zum Patch Update (Englisch)
http://blogs.oracle.com/security/entry/january_2012_critical_patch_update
ars technica (Englisch)
Oracle drops a pile of critical patches in 78-update release

"Out-of-band"-Patch für Microsoft ASP.NET Problem

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

"Out-of-band"-Patch für Microsoft ASP.NET Problem

29. Dezember 2011

Microsoft veröffentlicht einen "Out-of-band" Patch für mehrere Bugs in ASP.NET.

Hintergrund und Dimension

Beschreibung

Laut Microsoft behebt der gegenständliche Patch

eine Denial-of-Service (DOS) Möglichkeit - bereits durch vergleichsweise wenige speziell präparierte Anfragen an einen betroffenen Webserver, kann dessen Leistung derart beeinträchtigt werden, dass legitime Anfragen kaum noch abgearbeitet werden können.
Dies wird von Microsoft als "wichtig" eingestuft.
ein Privilege Elevation-Problem, das nur unter bestimmten Umständen augenützt werden kann.
Dies ist laut Microsoft "kritisch".

Während die Lücke auch in allen aktuellen Client-Versionen von Microsoft Windows vorhanden ist (.NET Framework), kann sie jedoch nur ausgenutzt werden, wenn der Internet Information Server (IIS) auf dem System aktiv ist. Dies sollte auf Client-Systemen nur selten der Fall sein.

Betroffene Software

Windows XP
- Windows XP Service Pack 3
- Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003
- Windows Server 2003 Service Pack 2
- Windows Server 2003 x64 Edition Service Pack 2
- Windows Server 2003 with SP2 for Itanium-based Systems
Windows Vista
- Windows Vista Service Pack 2
- Windows Vista x64 Edition Service Pack 2
Windows Server 2008
- Windows Server 2008 for 32-bit Systems Service Pack 2
- Windows Server 2008 for x64-based Systems Service Pack 2
- Windows Server 2008 for Itanium-based Systems Service Pack 2
Windows 7
- Windows 7 for 32-bit Systems
- Windows 7 for 32-bit Systems Service Pack 1
- Windows 7 for x64-based Systems
- Windows 7 for x64-based Systems Service Pack 1
Windows Server 2008 R2
- Windows Server 2008 R2 for x64-based Systems
- Windows Server 2008 R2 for x64-based Systems Service Pack 1
- Windows Server 2008 R2 for Itanium-based Systems
- Windows Server 2008 R2 for Itanium-based Systems Service Pack 1

Abhilfe

Installation des bereitgestellten Updates, zum Beispiel über das Microsoft Download Center (http://www.microsoft.com/downloads/en/default.aspx).

Allgemeiner Hinweis zur Erhöhung der Computersicherheit

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall Software installiert zu haben und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Vulnerability in ASP.NET Could Allow Denial of Service (englisch)
http://technet.microsoft.com/en-us/security/advisory/2659883
Microsoft Security Bulletin MS11-100 - Critical (englisch)
http://technet.microsoft.com/en-us/security/bulletin/ms11-100.mspx
Microsoft Security Bulletin Summary for December 2011 (englisch)
http://technet.microsoft.com/en-us/security/bulletin/ms11-dec

Sicherheitslücke in Microsoft Windows 7 64bit

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Sicherheitslücke in Microsoft Windows 7 64bit

23. Dezember 2011

Eine Schwachstelle in Microsoft Windows 7 64bit in Kombination mit älteren Versionen des Internet Explorer ermöglicht System-Abstürze - CERT.at ersucht um Beachtung der folgenden Meldung.

Beschreibung

Microsoft konnte eine bislang ungepatchte Sicherheitslücke in der sogenannten "win32k.sys"-Komponente, die erst nur im Kombination mit dem Apple Safari Browser aufgetaucht war, nun auch mit älteren Versionen des Microsoft Internet Explorer nachvollziehen.

Es ist davon auszugehen, dass an entsprechendem Exploit-Code bereits intensiv gearbeitet wird.

Auswirkungen

Da je nach Angriffs-Szenario (z.B. Links auf präparierte Webseiten werden per Email verschickt) ein Angreifer zumindest System-Abstürze provozieren, und möglicherweise auch beliebigen Code auf betroffenen Systemen ausführen, kann, sind alle Daten auf diesen Systemen gefährdet.

Betroffene Systeme

Laut Aussagen von Microsoft sind 64bit-Versionen von Microsoft Windows 7 betroffen.
Es ist auch davon auszugehen, dass ein Ausnützen auch mit anderen Web-Browsern als Apple Safari und Microsoft Internet Explorer möglich ist.

Abhilfe

Zur Überbrückung bis zum offiziellen Patch emfehlen wir, auf betroffenen 64bit Windows 7 Systemen auf die aktuelle Version (9) von Microsoft Internet Explorer umzusteigen, da ein Ausnützen der Lücke damit nach derzeitigem Wissensstand nicht möglich ist.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Blog-Eintrag bei Microsoft
http://blogs.technet.com/b/michaelkranawetter/archive/2011/12/23/update-windows-7-64-bi-version-amp-apple-safari-details-zur-schwachstelle.aspx

Schwachstelle in Adobe Reader und Acrobat

CERT.at — Mon, 15 Apr 2013 14:17:04 GMT

Schwachstelle in Adobe Reader und Acrobat

7. Dezember 2011

Beschreibung

Aktuell wird eine Schwachstelle in Adobe Reader und Acrobat aktiv für Angriffe ausgenutzt. Adobe hat dazu ein als "kritisch" eingestuftes Security Bulletin veröffentlicht.

CVE Referenz-Nummer: CVE-2011-2462

Auswirkungen

In den Versionen 9.x von Adobe Reader und Acrobat ermöglicht diese Schwachstelle das Ausführen von Code, die Version X (10.x) enthält zwar auch den Fehler, dort verhindert dies aber der "Geschützter Modus", sofern dieser eingeschaltet ist.

Betroffene Systeme

Betroffen sind die Versionen 10.1.1, bzw. 9.4.6 und ältere von Adobe Reader und Acrobat.

Abhilfe

Eine korrigierte Version für die 9.x Version für Windows ist für die Woche des 12. Dezember angekündigt, die neue 10er Version wird im Rahmen des quartalsweisen Updates am 10. Jänner 2012 veröffentlicht werden.

Hinweise

Die Version X von Adobe Reader / Acrobat enthält mit dem "Geschützten Modus" ("Protected Mode" bzw. "Protected View") ein Verfahren, um die Auswirkungen einer Schwachstelle auf einen engen Bereich ("Sandbox") einzuschränken. Wie sich auch in diesem Fall gezeigt hat, kann dieses zusätzliche Sicherheitsnetz zwar Fehler nicht verhindern, aber die Folgen begrenzen.

CERT.at empfiehlt daher wie Adobe -- so möglich -- von der Version 9.x gleich auf die Version X umzusteigen, und sicher zu stellen, dass dort die Einstellungen ("Bearbeiten" -> "Voreinstellungen") entsprechend gesetzt sind (hier für den Reader in der deutschen Version):

Unter "Allgemein" den geschützten Modus einschalten.
Unter "JavaScript" dieses ausschalten.
Unter "Updater" die Autoupdate-Funktion einschalten.
Generell unbenötigte Funktionen auszuschalten.

Ob der geschützte Modus aktiv ist, sieht man unter "Datei"->"Eigenschaften" im Reiter "Erweitert".

Von Adobe selber gibt es ausgiebige Informationen zu den Sicherheitsfeatures dieser Produkte, inbesondere einen Leitfaden für Unternehmensnetze.

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Adobe (englisch)
https://www.adobe.com/support/security/advisories/apsa11-04.html
Hintergrundinformationen dazu von Adobe (englisch)
http://blogs.adobe.com/asset/2011/12/background-on-cve-2011-2462.html
Meldung von Brian Krebs zu Adobe Reader Auto-Updates (englisch)
http://krebsonsecurity.com/2011/06/adobe-ships-security-patches-auto-update-feature/
Sicherheit in Adobe Acrobat und Adobe Reader
https://www.adobe.com/de/security/acrobat_reader/
Enterprise Administration for the Acrobat Family of Products
http://learn.adobe.com/wiki/download/attachments/64389123/AcrobatApplicationSecurity.pdf

Out-of-Band - Patch für kritische Sicherheitslücke in Adobe Flash und AIR

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Out-of-Band - Patch für kritische Sicherheitslücke in Adobe Flash und AIR

11. November 2011

Beschreibung

Wie Adobe berichtet, gibt es ein außerplanmäßiges Update für den Adobe Flash Player, welches mehrere kritische Sicherheitslücken behebt.

CVE Referenz-Nummern:

CVE-2011-2445
CVE-2011-2450
CVE-2011-2451
CVE-2011-2452
CVE-2011-2453
CVE-2011-2454
CVE-2011-2455
CVE-2011-2456
CVE-2011-2457
CVE-2011-2458
CVE-2011-2459
CVE-2011-2460

Auswirkungen

Betroffene Systeme

Systeme, auf denen folgende Software von Adobe installiert ist:

Adobe Flash Player 11.0.1.152 und älter für Windows, Macintosh, Linux und Solaris
Adobe Flash Player 11.0.1.153 und älter für Android
Adobe AIR 3.0 und ältere Versionen für Windows, Macintosh und Android
Adobe Flash Player 10, alle unterstützten Betriebssysteme, vor Version 10.3.183.11

Abhilfe

Die Version der aktuell installierten Flash-Software kann zB über folgende Webseite herausgefunden werden: http://www.adobe.com/software/flash/about/.

Installation des bereitgestellten Updates für Windows, Macintosh, Linux und Solaris, z.B. über das Adobe Flash Player Download Center.
Benutzer des Adobe Flash Players, Version 10.3.183.7 und neuer, unter Windows und Macintosh können das Update auch durch Verwenden des Auto-Update-Mechanismus installieren.

Android Benutzer finden das Update im Android Market Place.

Die neueste Version von Adobe AIR kann über das "AIR Download Center" bezogen werden: http://get.adobe.com/air/, für Android über den Android Marketplace..

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Adobe (Englisch)
http://www.adobe.com/support/security/bulletins/apsb11-28.html

Kritische Sicherheitslücke in Microsoft Windows

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Kritische Sicherheitslücke in Microsoft Windows

4. November 2011

Eine Schwachstelle in Microsoft Windows ermöglicht Remote Code Execution mit Kernel Rechten - CERT.at ersucht um Beachtung der folgenden Meldung.

Beschreibung

Microsoft hat ein Security Advisory veröffentlicht, das vor einer kritischen Schwachstelle in allen aktuell unterstützten Microsoft Windows Versionen warnt. Ein Bug im TrueType Font Parser ermöglicht es einem Angreifer beliebigen Code mit Kernel Rechten auszuführen. Laut Microsoft wird dieser Bug bereits aktiv von Schadsoftware ausgenützt.

Auswirkungen

Da je nach Angriffs-Szenario (zB präparierte Dateien werden per Email verschickt) ein Angreifer beliebigen Code mit Kernel Rechten auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen potentiell gefährdet.

Betroffene Systeme

Alle Versionen (32/64 Bit) von Microsoft Windows inklusive der Windows Server Versionen.

Abhilfe

Zur Überbrückung bis zum offiziellen Patch bietet Microsoft eine temporäre, manuelle Lösung an.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Advisory von Microsoft (englisch)
https://technet.microsoft.com/en-us/security/advisory/2639658
Temporärer Fix von Microsoft (englisch)
http://support.microsoft.com/kb/2639658

Out-of-Band - Patch für kritische Sicherheitslücke in Adobe Flash (aktiv ausgenützt)

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Out-of-Band - Patch für kritische Sicherheitslücke in Adobe Flash (aktiv ausgenützt)

22. September 2011

Beschreibung

Wie Adobe berichtet, gibt es ein außerplanmäßiges Update für den Adobe Flash Player, welches mehrere kritische Sicherheitslücken behebt. Zumindest eine der Schwachstellen wird bereits aktiv ausgenützt.

CVE Referenz-Nummern:

CVE-2011-2426
CVE-2011-2427
CVE-2011-2428
CVE-2011-2429
CVE-2011-2430
CVE-2011-2444

Auswirkungen

Die bereits aktiv ausgenützte Lücke betrifft Cross-Site-Scripting, und wird in gezielten Attacken durch Links auf entsprechend präparierte Webseiten, die per Email verschickt werden, benützt.

Betroffene Systeme

Systeme, auf denen folgende Software von Adobe installiert ist:

Adobe Flash Player 10.3.183.7 und älter für Windows, Macintosh, Linux und Solaris
Adobe Flash Player 10.3.186.6 und älter für Android

Abhilfe

Android Benutzer finden das Update im Android Market Place.

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Adobe (Englisch)
http://www.adobe.com/support/security/bulletins/apsb11-26.html

Kritische Schwachstellen in Apple QuickTime für Windows und Mac OS X

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Kritische Schwachstellen in Apple QuickTime für Windows und Mac OS X

17. August 2011

Kritische Sicherheitslücken in Apple QuickTime Versionen vor 7.7

Angesichts der hohen Verbreitung der Multimediasoftware Apple QuickTime (Komponente von Mac OS und Systemerweiterung für Microsoft Windows) bittet CERT.at um Beachtung der folgenden Hinweise:

Beschreibung

Versionen von Apple QuickTime vor der Version 7.7 enthalten Fehler, die beim Abspielen von entsprechend präparierten Multimediadateien zum Einschleusen und Ausführen von Code ausgenützt werden können. Diese können in Webseiten enthalten sein oder über Email, Tauschbörsen, ... verbreitet werden. Apple listet in dem kumulativen Patch vom 12. August 2011 mehrere Remote Code Execution Möglichkeiten auf, die auf die jeweilige technische Implementierung verschiedener Dateiformate (Video, Bild, Audio) anwendbar sind.

Auswirkungen

Da der Angreifer dadurch beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Laut Apple sind sowohl die Versionen für Microsoft Windows (die z.B. mit iTunes oder als Browserplugin installiert wird) als auch für Mac OS betroffen.

Abhilfe

Nutzen Sie wo möglich das Apple Software Update Programm.

Alternativ können Sie die Auto-Update Funktion des QuickTime Players nutzen: (Hilfe->"Vorhandene Software aktualisieren") oder installieren Sie die aktuelle Version direkt von Apple.

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Apple (auf Englisch)
http://support.apple.com/kb/HT4826
Information zu Apple QuickTime auf Apple.com
http://www.apple.com/at/quicktime/
Information zu Apple QuickTime auf Wikipedia
http://de.wikipedia.org/wiki/QuickTime

Schwachstellen im Apple Betriebssystem iOS

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Schwachstellen im Apple Betriebssystem iOS

7. Juli 2011

Beschreibung

Das Betriebssystem Apple iOS, das in Geräten zur mobilen Kommunikation und Internetnutzung wie dem iPhone, iPad und iPod touch eingesetzt wird, enthält in der zur Betrachtung von PDF-Dateien verwendeten Bibliothek kritische Schwachstellen.

Bereits das Anklicken eines manipulierten PDF-Dokuments oder das Ansurfen einer mit PDF-Dokumenten versehenen Webseite reichen aus, um das mobile Gerät ohne Wissen des Nutzers mit Schadsoftware zu infizieren.

Die Schwachstellen ermöglichen es potenziellen Angreifern, Zugriff mit Administratorrechten auf das komplette System zu erlangen. Bislang steht noch kein Patch für diese Sicherheitslücken zur Verfügung.

Auswirkungen

Verlust vertraulicher Informationen möglich

Die Schwachstellen sind öffentlich bekannt und Exploit-Code zu deren Ausnutzung ist verfügbar. Zwar wurden noch keine Angriffe beobachtet, es ist jedoch damit zu rechnen, dass Angreifer die Schwachstellen zeitnah ausnutzen werden.
Mögliche Angriffsszenarien für Cyber-Kriminelle sind unter anderem das Auslesen von vertraulichen Informationen (Passwörtern, Online-Banking-Daten, Terminkalendern, E-Mail-Inhalten, SMS oder Kontaktdaten), der Zugriff auf eingebaute Kameras, das Abhören von Telefongesprächen sowie die GPS-Lokalisierung des Nutzers.

Aufgrund der Popularität der iOS-Geräte werden diese häufig auch im beruflichen Umfeld genutzt. Nach Kenntnis des BSI werden insbesondere iPhone und iPad auch im höheren Management eingesetzt. Daher ist es möglich, dass die Schwachstellen auch für gezielte Angriffe auf Führungskräfte ausgenutzt werden, beispielsweise um an vertrauliche Unternehmensinformationen zu gelangen.

Betroffene Systeme

Folgende Geräte von Apple mit dem Betriebssystem iOS:

Von den Schwachstellen betroffen sind die Betriebssysteme:

Apple iOS für iPhone 3GS und iPhone 4 bis einschließlich Version 4.3.3
Apple iOS für iPad und iPad 2 bis einschließlich Version 4.3.3 sowie
Apple iOS für iPod touch bis einschließlich Version 4.3.3

Derzeit ist nicht auszuschließen, dass auch weitere Versionen des Betriebssystems iOS von der Schwachstelle betroffen sind.

Abhilfe

Bis zur Veröffentlichung eines Software-Updates des Herstellers empfehlen wir:

PDF-Dokumente aus unbekannten oder unsicheren Quellen nicht auf iOS-Geräten zu öffnen. Dies gilt sowohl für PDFs, die im Rahmen von Webseiten bereitgestellt werden, als auch für PDFs in E-Mails oder anderen Applikationen.
Die Nutzung des Browsers auf dem mobilen Endgerät sollte auf vertrauenswürdige Webseiten beschränkt werden.
Hyperlinks in E-Mails oder auf Webseiten sollten nur geöffnet werden, wenn diese aus vertrauenswürdigen Quellen stammen.
Bei der Nutzung von Suchmaschinen sollte man bei den Ergebnissen in der Trefferliste darauf achten, nicht ein PDF-Dokument anzuklicken.

Das BSI steht in Kontakt mit dem Hersteller Apple und wird über neue Sicherheitsinformationen berichten.
Ähnliche Schwachstellen sind bereits im August 2010 bekannt geworden und innerhalb kurzer Zeit geschlossen worden. Es ist auch diesmal davon auszugehen, dass Apple zeitnah ein Sicherheits-Update veröffentlichen wird, das die Schwachstellen schließt.

Diese Warnung basiert großteils auf dem entsprechenden Bericht der Kollegen des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI).

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung des BSI
https://www.bsi.bund.de/ContentBSI/Presse/Pressemitteilungen/Presse2011/Schwachstelle-im-Apple-Betriebssystem-iOS-06072011.html
Meldung bei Heise
http://www.heise.de/security/meldung/Website-Jailbreak-auch-fuer-das-iPad-2-1274131.html

Updates für kritische Sicherheitslücken in Adobe Produkten (inkl. Flash, Acrobat und Reader) - aktiv ausgenützt

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Updates für kritische Sicherheitslücken in Adobe Produkten (inkl. Flash, Acrobat und Reader) - aktiv ausgenützt

15. Juni 2011

Beschreibung

Adobe hat als "kritisch" eingestufte Security Updates für mehrere kritische Schwachstellen in Adobe Produkten (Adobe Flash Player, Reader, Acrobat, Shockwave Player) veröffentlicht.
Weitere als "wichtig" eingestufte Updates sind für ColdFusion sowie LiveCycle Data Services, LiveCycle ES, und BlazeDS verfügbar.

CVE Referenz-Nummern:

Flash
- CVE-2011-2110
Reader / Acrobat
- CVE-2011-2094
- CVE-2011-2095
- CVE-2011-2096
- CVE-2011-2097
- CVE-2011-2098
- CVE-2011-2099
- CVE-2011-2100
- CVE-2011-2101
- CVE-2011-2102
- CVE-2011-2103
- CVE-2011-2104
- CVE-2011-2105
- CVE-2011-2106
Shockwave Player
- CVE-2011-0317
- CVE-2011-0318
- CVE-2011-0319
- CVE-2011-0320
- CVE-2011-0335
- CVE-2011-2108
- CVE-2011-2109
- CVE-2011-2111
- CVE-2011-2112
- CVE-2011-2113
- CVE-2011-2114
- CVE-2011-2115
- CVE-2011-2116
- CVE-2011-2117
- CVE-2011-2118
- CVE-2011-2119
- CVE-2011-2120
- CVE-2011-2121
- CVE-2011-2122
- CVE-2011-2123
- CVE-2011-2124
- CVE-2011-2125
- CVE-2011-2126
- CVE-2011-2127

Auswirkungen

Die als "kritisch" angegebenen Lücken bieten laut Adobe die Möglichkeit, die betroffenen Produkte zum Absturz zu bringen. Potentiell bieten diese Fehler auch die Möglichkeit zu Remote Code Execution, und daher einem Angreifer einen Weg, ein System zu übernehmen.

Laut aktuellen Aussagen von Adobe wird zumindest eine der Lücken in Flash Player (CVE-2011-2110) bereits aktiv durch entsprechend präparierte Webseiten ausgenützt.

Betroffene Systeme

Systeme, auf denen folgende Software von Adobe installiert ist:

Adobe Flash Player
- Adobe Flash Player 10.3.181.23 und älter für Windows, Macintosh, Linux und Solaris
- Adobe Flash Player 10.3.185.23 und älter für Android
Adobe Reader / Reader X / Acrobat / Acrobat X
- Adobe Reader X 10.0.1 und ältere 10.x Versionen für Windows
- Adobe Reader X 10.0.3 und ältere 10.x Versionen für Macintosh
- Adobe Reader 9.4.4 und ältere 9.x Versionen für Windows und Macintosh
- Adobe Reader 8.2.6 und ältere 8.x Versionen für Windows und Macintosh
- Adobe Acrobat X 10.0.3 und ältere 10.x Versionen für Windows und Macintosh
- Adobe Acrobat 9.4.4 und ältere 9.x Versionen für Windows and Macintosh
- Adobe Acrobat 8.2.6 und ältere 8.x Versionen für Windows and Macintosh
Shockwave Player
- Shockwave Player 11.5.9.620 und ältere Versionen für Windows und Macintosh

Abhilfe

Installation der bereitgestellten Updates, für Flash zum Beispiel über das Flash Player Download Center.

Wie andere Quellen berichten, wird sich Adobe Reader ab der nun zur Verfügung gestellten Version übrigens automatisch auf die jeweils neueste Version aktualisieren.

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Adobe (englisch)
http://blogs.adobe.com/psirt/2011/06/adobe-product-security-updates-available.html
Meldung von Brian Krebs zu Adobe Reader Auto-Updates (englisch)
http://krebsonsecurity.com/2011/06/adobe-ships-security-patches-auto-update-feature/

Update für kritische Sicherheitslücke in Adobe Flash (aktiv ausgenützt)

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Update für kritische Sicherheitslücke in Adobe Flash (aktiv ausgenützt)

6. Juni 2011

Beschreibung

Wie Adobe berichtet, gibt es ein Update für Adobe Flash Player, welches eine kritische Sicherheitslücke behebt.

CVE Referenz-Nummern:

CVE-2011-2107

Auswirkungen

Diese "universelle" Cross-Site-Scripting Lücke bietet laut Adobe die Möglichkeit, die Kontrolle über personalisierte Webseiten des Anwenders (etwa Webmail-Zugänge) zu übernehmen.

Laut Aussage von Adobe wird diese Lücke bereits aktiv ausgenützt. Hierbei werden - momentan angeblich nur in gezielten, sog. "Spear-Phishing"-Attacken - Links auf entsprechend präparierte Webseiten mittels Spam-Mails verbreitet. Es ist zu erwarten, dass diese Attacken bald grossflächig stattfinden werden.

Betroffene Systeme

Systeme, auf denen folgende Software von Adobe installiert ist:

Adobe Flash Player 10.3.181.16 und älter für Windows, Macintosh, Linux und Solaris
Adobe Flash Player 10.3.185.22 für Android

Abhilfe

Installation des bereitgestellten Updates für Windows, Macintosh, Linux und Solaris, zB über das Adobe Flash Player Download Center.
Ein Update für die Android-Version ist für später diese Woche angekündigt.

Weiters weisen wir darauf hin, dass das Flash-Player-ActiveX-Plugin für Microsoft Internet Explorer eventuell getrennt aktualisiert werden muss, Details bitte dem Warning von Adobe zu entnehmen.

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Adobe (englisch)
http://www.adobe.com/support/security/bulletins/apsb11-13.html
Meldung bei Heise.de
http://www.heise.de/security/meldung/Adobe-patcht-Zero-Day-Luecke-in-Flash-1255438.html

Schwachstelle in Nameserversoftware BIND 9

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Schwachstelle in Nameserversoftware BIND 9

27. Mai 2011

Schwachstelle in Nameserversoftware BIND 9

Beschreibung

Wie das Internet Software Consortium (ISC) bekannt gegeben hat, existiert in der verbreiteten Nameserver-Software BIND ein Problem, das für Denial-of-Service (DoS) Attacken ausgenützt werden kann. Es kann nicht ausgeschlossen werden, dass diese Schwachstelle auch zum Einbruch in den Nameserver genutzt werden kann.

Das Problem liegt in der Behandlung von native Caching in Verbindung mit DNS Antworten, die viele RRSIG Records enthalten.

CVE Referenz-Nummern:

CVE-2011-1910

CVSS Score: Base 7.8

Auswirkungen

Da DNS für die Auflösung von Namen in IP-Adressen zuständig ist, ist ein Nicht-Funktionieren dieses Dienstes für Endbenutzer oft von einem Nicht-Funktionieren des Internets an sich oder anderen Problemen nicht zu unterscheiden.

Es gibt schon Berichte, dass dieser Schwachstelle zu ungewollten Dienstunterbrechungen geführt hat. Noch gibt es keine Berichte, dass diese Fehler auch zum Einschleusen und Ausführen von Schadsoftware genutzt wurde.

Betroffene Systeme

Laut ISC sind folgende Versionen betroffen:

BIND 9.4 ab ESV-R3
BIND 9.6 ab ESV-R2
BIND 9.6.3
BIND 9.7.x ab 9.7.1
BIND 9.8.x ab 9.8.0

Abhilfe

Upgrade auf die zur Verfügung gestellte Version 9.4-ESV-R4-P1, 9.6-ESV-R4-P1, 9.7.3-P1 oder 9.8.0-P2.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, und auch auf Servern sich automatisch die verfügbaren Updates anzeigen zu lassen.

Informationsquelle(n):

Meldung des ISC (englisch)
http://www.isc.org/software/bind/advisories/cve-2011-1910

Update für mehrere kritische Sicherheitslücken in Adobe Flash (aktiv ausgenützt)

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Update für mehrere kritische Sicherheitslücken in Adobe Flash (aktiv ausgenützt)

13. Mai 2011

Beschreibung

Wie Adobe berichtet, gibt es ein Update für Adobe Flash Player, welches mehrere kritische Sicherheitslücken behebt.

CVE Referenz-Nummern:

CVE-2011-0589
CVE-2011-0619
CVE-2011-0620
CVE-2011-0621
CVE-2011-0622
CVE-2011-0623
CVE-2011-0624
CVE-2011-0625
CVE-2011-0626
CVE-2011-0627

Auswirkungen

Diese Lücken bietet laut Adobe die Möglichkeit, Flash zum Absturz zu bringen, aber potentiell auch zu Remode Code Execution, und daher einem Angreifer einen Weg, ein System zu übernehmen.

Laut aktuellen Aussagen von Adobe wird zumindest eine der Lücken (CVE-2011-0627) bereits aktiv ausgenützt. Hierbei wird ein entsprechend präpariertes Flash-Objekt eingebettet in eine Microsoft Word oder Excel Datei als Email-Attachment verschickt.

Betroffene Systeme

Systeme, auf denen folgende Software von Adobe installiert ist:

Adobe Flash Player 10.2.159.1 und älter für Windows, Macintosh, Linux und Solaris
Adobe Flash Player 10.2.154.28 und älter für Chrome
Adobe Flash Player 10.2.157.51 und älter für Android

Abhilfe

Installation des bereitgestellten Updates.

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Adobe (englisch)
http://www.adobe.com/support/security/bulletins/apsb11-12.html

Update 2: Erneut kritische Sicherheitslücke in Adobe Flash, Reader und Acrobat (aktiv ausgenützt)

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Update 2: Erneut kritische Sicherheitslücke in Adobe Flash, Reader und Acrobat (aktiv ausgenützt)

Update 2 am 22. April 2011
Update am 18. April 2011
12. April 2011

Beschreibung

Wie Adobe berichtet, wurde erneut eine Lücke in Adobe Flash Player gefunden.
Dies betrifft auch wieder (vgl. CERT.at Warnings vom 29. 10. 2010 und vom 15. 3. 2011) die AuthPlay.dll Komponente, die mit Adobe Reader und Adobe Acrobat mitgeliefert wird.

CVE Referenz-Nummer: CVE-2011-0611.

Auswirkungen

Diese Lücke bietet laut Adobe die Möglichkeit, Flash zum Absturz zu bringen, aber auch zu Remode Code Execution, und daher einem Angreifer einen Weg, ein System zu übernehmen.

Laut aktuellen Aussagen von Adobe wird die Lücke bereits aktiv für Flash ausgenützt.

Adobe berichtet von aktiven Attacken mittels Email-Anhängen, bei denen eine Flash-Datei (.swf) in eine Microsoft Word-Datei (.doc) eingebettet ist.

Betroffene Systeme

Systeme, auf denen folgende Software von Adobe installiert ist:

Adobe Flash Player 10.2.153.1 und älter für Windows, Macintosh, Linux und Solaris
Adobe Flash Player 10.2.154.25 und älter für Chrome
Adobe Flash Player 10.2.156.12 und älter für Android
die Authplay.dll-Komponente, die mit Adobe Reader und Acrobat X (10.0.2) und früheren 10.x und 9.x Versionen für Windows und Macintosh, mitgeliefert wird

Adobe Reader 9.x für UNIX, Adobe Reader für Android, und Adobe Reader sowie Acrobat 8.x sind nicht von diesem Problem betroffen.

Abhilfe

Derzeit gibt es von Adobe noch keine korrigierte Software, es wird jedoch an einem entsprechenden Fix gearbeitet.

Da das Problem bei Adobe Reader X durch den "Protected Mode" mitigiert werden sollte, wird es hierfür voraussichtlich erst zum nächsten geplanten Quartals-Update einen Fix geben.

Da es bei Flash derzeit kaum Alternativen gibt, empfiehlt CERT.at Add-ons wie zum Beispiel Flashblock für Mozilla Firefox oder ähnliche Tools für andere Browser zu verwenden. Flashblock unterbindet ein automatisches Ausführen von Flash-Inhalten auf Webseiten, ausser der Benutzer klickt diese explizit an.

Update:
Adobe hat die neue Version des Flash Players 10.2.159.1 für Windows, Macintosh, Linux, und Solaris bereitgestellt, für Google Chrome die Version 10.2.154.27.
Adobe empfiehlt Benutzern von Adobe AIR, auf die zur Verfügung stehende Version 2.6.19140 umzusteigen.
Nähere Informationen finden sich im Adobe security bulletin APSB11-07.

Update 2:
Adobe hat mittlerweile auch ein entsprechendes Update für Adobe Reader und Acrobat herausgebracht:

Adobe Reader X 10.0.3 für Macintosh
Adobe Reader 9.4.4 für Windows und Macintosh
Adobe Acrobat X 10.0.3 für Windows und Macintosh
Adobe Acrobat 9.4.4 für Windows und Macintosh

Nähere Informationen finden sich im Adobe security bulletin APSB11-08.

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Adobe (englisch)
http://www.adobe.com/support/security/advisories/apsa11-02.html
Update: Adobe Security Bulletin APSB11-07 (englisch)
http://www.adobe.com/support/security/bulletins/apsb11-07.html
Update2: Adobe Security Bulletin APSB11-08 (englisch)
http://www.adobe.com/support/security/bulletins/apsb11-08.html

Update: Erneut kritische Sicherheitslücke in Adobe Flash, Reader und Acrobat (aktiv ausgenützt)

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Update: Erneut kritische Sicherheitslücke in Adobe Flash, Reader und Acrobat (aktiv ausgenützt)

15. März 2011
Update am 23. März 2011

Beschreibung

Wie Adobe berichtet, wurde erneut eine Lücke in Adobe Flash Player gefunden. Dies betrifft wieder die AuthPlay.dll Komponente, die mit Adobe Reader und Adobe Acrobat mitgeliefert wird. Diese Schwachstelle wurde entdeckt, da sie bei aktiven Attacken gefunden wurde.

CVE Referenz-Nummer: CVE-2011-0609

Auswirkungen

Diese Lücke bietet laut Adobe die Möglichkeit, Flash zum Absturz zu bringen aber auch zu Remode Code Execution, und daher einem Angreifer einen Weg, ein System zu übernehmen.

Laut aktuellen Aussagen von Adobe wird die Lücke bereits aktiv für Flash ausgenützt.

Ein infiziertes .SWF Flash File wird hierbei an eine Excel Datei angehängt und per Mail verschickt. Wegen der starken Verbreitung von Flash (vor allem bei Internet Videos), geht CERT.at davon aus, dass die Sicherheitslücke bald nicht nur per Email ausgenutzt werden wird.

Betroffene Systeme

Systeme, auf denen folgende Software von Adobe installiert ist:

Adobe Flash Player bis inkl. Version 10.2.152.33 für Windows, Apple Macintosh, Linux und Solaris
Adobe Flash Player bis inkl. Version 10.2.154.18 für Chrome
Adobe Flash Player bis inkl. Version 10.1.106.16 für Android Smartphones
die Authplay.dll Datei, die mit Adobe Reader, Adobe Acrobat X (10.0.1) und früheren 10.x und 9.x Versionen für Windows und Apple Systeme mitgeliefert wurde.

Adobe Reader 9.x für Unix, Adobe Reader für Android und Acrobat 8.x Versionen sind nicht betroffen.

Abhilfe

Derzeit gibt es von Adobe noch keine korrigierte Software. Adobe wird - laut eigenen Angaben - in Kürze einen Patch für Flash anbieten, wohingegen die Patches für Adobe Reader X erst am 14. Juni erscheinen werden.

Da es bei Flash derzeit kaum Alternativen gibt, empfiehlt CERT.at Add-ons wie zum Beispiel Flashblock für Mozilla Firefox oder ähnliche Tools für andere Browser zu verwenden. Flashblock erlaubt kein automatisches Ausführen von Flash Inhalten auf Webseiten, ausser der Benutzer klickt diese explizit an.

Update:
Adobe hat sowohl die neue Version 10.2.153.1 für Adobe Flash Player als auch die neue Version 10.2.156.12 für Adobe Flash Player für Android bereitgestellt. Nähere Informationen finden sich im Adobe security bulletin.
Wir weisen nochmals darauf hin, dass das Update für Adobe Reader X erst am 14. Juni erscheinen soll.

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Adobe (englisch)
http://www.adobe.com/support/security/advisories/apsa11-01.html

Schwachstelle in DNS-Software BIND 9

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Schwachstelle in DNS-Software BIND 9

24. Februar 2011

Denial-of-Service möglich mit BIND 9.7 - CERT.at ersucht um Beachtung der folgenden Meldung.

Beschreibung

Wie das Internet Software Consortium (ISC) bekannt gegeben hat, existiert in der verbreiteten Nameserver-Software BIND ein Problem, das für Denial-of-Service (DoS) Attacken ausgenützt werden kann.

Konkret besteht nach dem erfolgreichen Abarbeiten von IXFR-Anfragen bzw. dynamischen Updates ein kurzes Zeitfenster in dem ein Deadlock ausgelöst werden kann, wodurch BIND dann bis zu einem Neustart keine Anfragen mehr beantwortet.

Auswirkungen

Wir erwarten, dass entsprechende Schadsoftware bzw. Proof-of-Concept - Exploits bald in Umlauf gebracht werden.

Betroffene Systeme

Laut ISC sind folgende Versionen betroffen:

BIND 9.7.1-9.7.2-P3

Versionen 9.4.x, 9.6.x und 9.8.x sind nicht von diesem Problem betroffen.

Abhilfe

Upgrade auf die zur Verfügung gestellte Version 9.7.3 oder eine der nicht betroffenen Versionen (siehe http://www.isc.org/software/bind/advisories/cve-2011-0414).

Sollte ein Upgrade nicht oder nicht zeitnahn möglich sein, kann auch temporär nur ein einzelner Thread (Option -n 1) benutzt werden, dies kann allerdings die Performance beeinträchtigen.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung des ISC (englisch)
http://www.isc.org/software/bind/advisories/cve-2011-0414

Kritische Sicherheitslücke in Microsoft Windows XP/Server 2003 Dateifreigaben (SMB)

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Kritische Sicherheitslücke in Microsoft Windows XP/Server 2003 Dateifreigaben (SMB)

16. Februar 2011

Potentiell Remote Code Execution - CERT.at ersucht um Beachtung der folgenden Meldung.

Beschreibung

Auf der Security-Mailingliste Full Disclosure wurde ein Bug in der Microsoft Windows Dateifreigabe bekanntgegeben, und auch entsprechender Beispielcode dazu veröffentlicht.

Die Sicherheitsdienstleister Secunia und Vupen bestätigen diese Lücke.

Auswirkungen

Durch Ausnutzen dieses Fehlers kann ein Angreifer bereits durch blosses Senden entsprechend präparierter Pakete an Windows-Rechner mit aktivierter Dateifreigabe diese zum Absturz bringen und möglicherweise auch beliebigen Code ausführen. Eine erfolgreiche Anmeldung ist hierzu nicht erforderlich.

Systeme von Heim-Anwendern werden grossteils von diesem Problem nicht betroffen sein, da die per Default aktive Firewall Zugriffe von aussen auf Dateifreigaben unterbindet. Speziell gefährdet sind jedoch Fileserver in Firmennetzen, falls die Möglichkeit besteht, dass entsprechende Schadsoftware zum Beispiel via Notebook in das interne Netzwerk gebracht wird.

Da der Angreifer dadurch eventuell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet.
Wir erwarten, dass entsprechende Schadsoftware bald in Umlauf gebracht werden wird.

Betroffene Systeme

Laut den bisher vorliegenden Informationen sind zumindest folgende Versionen von Microsoft Windows betroffen:

Windows XP SP3
Windows Server 2003 SP 2

Ob auch andere Versionen davon betroffen sind, ist noch nicht bekannt, wir können es jedoch nicht ausschliessen.

Abhilfe

Ein Patch seitens Microsoft steht noch nicht zur Verfügung, daher kann nur versucht werden, die Auswirkungen zu begrenzen, etwa indem betroffene Dateiserver wo möglich durch etwa Firewalls geschützt werden.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung bei Heise Security
http://www.heise.de/security/meldung/Neue-Luecke-in-Windows-Dateifreigaben-1190797.html
Blog-Eintrag von Microsoft
http://blogs.technet.com/b/michaelkranawetter/archive/2011/02/16/microsoft-untersucht-m-246-gliche-l-252-cke-in-windows-smb.aspx

Adobe veröffentlicht kumulative kritische Sicherheitsupdates für Adobe Reader, Acrobat und Flash

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Adobe veröffentlicht kumulative kritische Sicherheitsupdates für Adobe Reader, Acrobat und Flash

10. Feb 2011

Beschreibung

Sicherheitsupdates von Adobe Reader, Acrobat und Flash ab sofort verfügbar.

Auswirkungen

Adobe veröffentlichte kumulative Sicherheitsupdates für die eigenen Produkte, die eine Reihe von kritischen Sicherheitslücken (Remote Code Execution, etc) beheben. Remode Code Execution ermöglicht einem Angreifer, ein System zu übernehmen.

Für Flash steht eine komplett neue Version 10.2 zur Verfügung, die ebenfalls 13 Remote Code Execution Lücken schliesst.

Betroffene Systeme

Systeme, auf denen folgende Software von Adobe installiert ist:

Adobe Flash Player 10.1.102.64 und vorhergehende Versionen für Windows, Macintosh, Linux und Solaris
Adobe Reader 9 bis inkl. Versionen 9.4.1, für Windows, Macintosh und Unix
Adobe Acrobat X (10.0) und vorhergehende Versionen für Windows und Macintosh
Adobe Reader X (10.0) für Windows und Macintosh

Abhilfe

Upgrade auf die jeweils aktuellen Versionen, Details bitte der Meldung von Adobe zu entnehmen:

(Aktuell sind diese Seiten bei Adobe noch nicht auf Deutsch verfügbar).

Bitte beachten Sie, das ältere PowerPC-basierte Apple Computer nicht auf den neuesten Flash Player und Acrobat Reader upgedated werden können, da Adobe nur noch Intel-basierte Apple Computer unterstützt. Für PowerPC-basierte Systeme stehen somit nur alternative PDF Reader zur Verfügung. Allgemein empfiehlt CERT.at, Acrobat Reader Version 9.x durch Version 10 zu ersetzen, soferne dies möglich ist.

Allgemeiner Hinweis zur Erhöhung der Computersicherheit

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Adobe (Flash)
http://www.adobe.com/support/security/bulletins/apsb11-02.html
Meldung von Adobe (Acrobat, Reader)
http://www.adobe.com/support/security/bulletins/apsb11-03.html

Java (JRE/JDK) Schwachstelle kann zur Endlosschleifen (DOS) führen

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Java (JRE/JDK) Schwachstelle kann zur Endlosschleifen (DOS) führen

9. Februar 2011

Sicherheitslücke in Sun/Oracle Java (JRE/JDK) führt zu Endlosschleifen und ermöglicht somit einen Denial of Service (DOS) Angriff - CERT.at ersucht daher um Beachtung der folgenden Meldung.

Beschreibung

Oracle warnt vor einer kritischen Sicherheitslücke in Java (JRE/JDK), die es Angreifern erlaubt, Java-basierte Programme in eine Endlosschleife zu manövrieren.
Durch Eingabe von "2.2250738585072012e-308" und anschliessendem Konvertieren in einen double Wert kann ein Java-basiertes Programm in eine Endlosschleife gelangen. Die CPU ist in diesem Fall dann vollkommen ausgelastet und das Programm bleibt effektiv aus Benutzersicht "stehen".

Besonders leicht läßt sich dies auf Java-basierten Servern (Tomcat, JBoss) erreichen, indem man von einem beliebigen Rechner am Internet eine entsprechend präparierte HTTP Anfrage sendet.

Mittlerweile ist bekannt, dass die Verwundbarkeit mit einigen Varianten der Zahl auftritt:

0.00022250738585072012e-304 (Dezimalpunkt)
00000000002.2250738585072012e-308 (führende Nullen)
2.225073858507201200000e-308 (Nullen am Ende)
2.2250738585072012e-00308 (führende Nullen im Exponenten)
2.2250738585072012997800001e-308 (extra Ziffern nach Ziffer #17)

Es ist nicht ausgeschlossen, daß es nicht noch andere Varianten gibt.

Hintergrund

Bei der Konvertierung des Zeichestrings "2.2250738585072012e-308" (und obiger Varianten) gerlangt Java in eine Endlosschleife und die Konvertierung oszilliert zwischen 0x1p-1022 (DBL_MIN) und 0x0.fffffffffffffp-1022.

Zum ersten Mal ist das Problem bei PHP bekannt geworden, anschliessend entdeckte Konstantin Preißer, dass die Verwundbarkeit auch auf Java funktioniert.

Auswirkungen

Jedes Java-basierte Programm als auch das Java Development Kit (JDK), das Double Werte extern einliest (z.B.: Internet User Input) und verarbeitet, kann in eine Endlosschleife gelangen (Denial Of Service Attacke).

Betroffene Systeme

Es sind sowohl Java-basierte Server (Tomcat, JBoss) als auch Java Desktop Applikationen betroffen.

Java SE

JDK und JRE 6 Update 23 und vorhergehende Versionen für Windows, Solaris und Linux
JDK 5.0 Update 27 und vorhergehende Versionen für Solaris 9
SDK 1.4.2_29 und vorhergehende Versionen für Solaris 8

Java for Business
- JDK und JRE 6 Update 23 und vorhergehende Versionen für Windows, Solaris und Linux
- JDK und JRE 5.0 Update 27 und vorhergehende Versionen für Windows, Solaris und Linux
- JDK und JRE 1.4.2_29 und vorhergehende Versionen für Windows, Solaris und Linux

Die Sicherheitslücke betrifft sowohl 32-bit als auch 64-bit Systeme.

CERT.at vermutet, daß Java-basierte Smartphones genauso von der Sicherheitslücke betroffen sind.

Abhilfe

Oracle bietet einen Hotfix an. Ein reguläres Update soll laut Oracle am 15.Februar erscheinen.

CERT.at empfiehlt Webserver-Betreibern auch in der Zwischenzeit - soferne möglich - mittels Regular Expressions am Webserver nach HTTP "Accept-Language .*;q=2.225073858507.*" zu filtern und entsprechende HTTP Anfragen an Java-basierte Server (Tomcat, JBoss) zu blockieren. Unter Apache geht dies zum Beispiel mit mod_header. Dieser (mod_header) Filter mittels Regular Expressions ist allerdings nur als schnelle Lösung gegen automatisierte Angriffe zu sehen. Java sollte trotz Regular Expression Filtern gepatcht werden.

mod_header Filter

Mod_header Dokumentation

Einschalten von mod_header: LoadModule headers_module /usr/lib/apache2/modules/mod_headers.so

In der VirtualHosts Konfiguration:

(...)
RequestHeader edit Accept-Language 5073858507 5073858508 early
RequestHeader edit Accept-Charset 5073858507 5073858508 early
RequestHeader edit Accept-Encoding 5073858507 5073858508 early
RequestHeader edit Accept 5073858507 5073858508 early
(...)

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Warnung von Oracle
http://www.oracle.com/technetwork/topics/security/alert-cve-2010-4476-305811.html
Hotfix von Oracle
http://www.oracle.com/technetwork/java/javase/fpupdater-tool-readme-305936.html
Original-Post von Konstantin Preisser
http://www.exploringbinary.com/why-volatile-fixes-the-2-2250738585072011e-308-bug/comment-page-1/#comment-4645
Meldung bei Heise
http://www.heise.de/security/meldung/Oracle-warnt-vor-Java-Schwachstelle-1185967.html

Schwachstelle in der Verarbeitung von MHTML-Dateien in Microsoft Internet Explorer

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Schwachstelle in der Verarbeitung von MHTML-Dateien in Microsoft Internet Explorer

30. Jänner 2011

Die Sicherheitslücke ermöglicht das Ausführen von bösartigen Scripts - CERT.at ersucht daher um Beachtung der folgenden Meldung.

Beschreibung

Microsoft warnt vor einer kritischen Sicherheitslücke in Internet Explorer, die beim Verarbeiten von MHTML (MIME Encapsulation of Aggregate HTML) Dateien auftritt.
Dabei lassen sich durch entsprechend präparierte Dateien unberechtigt Informationen auslesen oder auch Webseiten spoofen, teilweise analog zu den bekannten XSS (Cross Site Scripting) Attacken..

Auswirkungen

Benutzern von Microsoft Internet Explorer können rein durch das Aufrufen entsprechend präparierter Webseiten unbeabsichtigt entsprechenden Code zur Ausführung bringen.
Benutzer von alternativen Internet-Browsern (etwa Mozilla Firefox, Opera, Safari) sind nicht betroffen.

Betroffene Systeme

Alle aktuellen Versionen von Microsoft Internet Explorer auf allen aktuell unterstützten Versionen von Microsoft Windows:

Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 with SP2 for Itanium-based Systems
Windows Vista Service Pack 1 and Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 1 and Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2
Windows 7 for 32-bit Systems
Windows 7 for x64-based Systems
Windows Server 2008 R2 for x64-based Systems
Windows Server 2008 R2 for Itanium-based Systems

Abhilfe

Microsoft hat ein "Fix it"-Tool zur Verfügung gestellt, das die Verarbeitung von MHTML-Dateien in Internet Explorer temporär unterbindet, siehe http://support.microsoft.com/kb/2501696.
Sobald eine endgültige Lösung des Problems zur Verfügung steht, sollte dies wieder rückgängig gemacht werden.

Alternativ kann bis zu einer finalen Lösung auch ein alternativer Internet-Browser (zum Beispiel Mozilla Firefox, Opera, Apple Safari) verwendet werden.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Advisory von Microsoft (englisch)
https://www.microsoft.com/technet/security/advisory/2501696.mspx
"Fix it"-Tool von Microsoft (englisch)
http://support.microsoft.com/kb/2501696
Meldung bei The Register (englisch)
http://www.theregister.co.uk/2011/01/28/windows_vuln_fixit/
Meldung bei Futurezone
http://www.futurezone.at/stories/1665553/

Schwachstelle bei der Anzeige von Thumbnails in Microsoft Windows

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Schwachstelle bei der Anzeige von Thumbnails in Microsoft Windows

5. Jänner 2011
Update am 11. Jänner 2011

Die Sicherheitslücke ermöglicht Remote Code Execution - CERT.at ersucht daher um Beachtung der folgenden Meldung.

Beschreibung

Microsoft warnt vor einer kritischen Sicherheitslücke in Windows, die bei der Anzeige von Thumbnail-Bildern zum Tragen kommt. Dabei lässt sich durch entsprechend präparierte Bilder ein Stacküberlauf erzielen, der als Basis für eine anschließende Remote Code Execution genutzt werden kann. Weitere technische Details sind den Unterlagen zweier Sicherheitsexperten zu entnehmen, die bereits im vergangenen Dezember im Zuge eines Vortrages auf diese Lücke aufmerksam gemacht haben.

Update (11. Jänner 2011):
Es ist momentan unklar, ob die Microsoft Windows Bild- und Faxanzeige auch von dem gegenständlichen Problem betroffen ist - letztere bedient sich ebenso der betroffenen Bibliothek (shimgvw.dll). Seitens Microsoft gibt es diesbezüglich noch keine Aussage. CERT.at empfiehlt daher, diesen Umstand zu berücksichtigen und bei der Anzeige von Grafiken (Bilder, Fotos, ...) aus nicht vertrauenswürdigen Quellen entsprechend Vorsicht walten zu lassen.

Als Infektionsszenario skizziert Microsoft den Verbreitungsweg über Email - das Öffnen eines angehängten Word- oder Powerpoint-Dokuments, das ein solches Bild enthält, wäre bereits ausreichend. Aber auch der Besuch eines Netzwerk-Shares, eines UNC- oder WebDAV-Pfades, oder auch eines USB-Sticks würde durch ein entsprechendes, dort hinterlegtes Bild, zu einer Infektion führen.

Auswirkungen

Ein entsprechendes Exploit-Modul ist via Metasploit bereits beziehbar. Es ist demnach zu erwarten, dass diese Schwachstelle schon bald in großem Stil ausgenützt wird.

Betroffene Systeme

Alle Versionen von Microsoft Windows mit Ausnahme von Windows 7 und Server 2008 R2.

Abhilfe

Ein Patch seitens Microsoft steht noch nicht zur Verfügung. Microsoft empfiehlt in seinem Advisory die Zugriffsberechtigungen der betroffenen Bibliothek (shimgvw.dll) entsprechend einzuschränken. Dies hat aber auch zur Folge, dass Vorschauen legitimer Bilder nicht mehr funktionieren.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Advisory von Microsoft (englisch)
http://www.microsoft.com/technet/security/advisory/2490606.mspx
Vortragsunterlagen der Entdecker
http://www.exploit-db.com/author/?a=3094
Metasploit-Modul
https://www.metasploit.com/redmine/projects/framework/repository/revisions/11466/entry/modules/exploits/windows/fileformat/ms11_xxx_createsizeddibsection.rb
Update: Warnung von Bürger-CERT
http://www.buerger-cert.de/techwarnung_archiv.aspx?param=Zxo7YT%2f0plf547PoiK%2fv5g%253d%253d
Update: Advisory von Microsoft (deutsch)
http://www.microsoft.com/germany/technet/sicherheit/empfehlungen/2490606.mspx

Schwachstelle in Microsoft Internet Explorer - Remote Code Execution

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Schwachstelle in Microsoft Internet Explorer - Remote Code Execution

22. Dezember 2010
Update am 5. Jänner 2011

Die Sicherheitslücke ermöglicht Remote Code Execution - CERT.at ersucht daher um Beachtung der folgenden Meldung.

Beschreibung

Bereits Anfang Dezember wurde ein Fehler in der CSS-Verarbeitung im Internet Explorer gemeldet, damals waren aber die Details noch unter Verschluss. Am 20. 12. wurde ein Demo-exploit in das Metasploit Framework aufgenommen, es ist daher nun damit zu rechnen, dass dieser Fehler aktiv ausgenützt wird.

~~Von Seiten Microsofts liegt noch keine Stellungnahme vor.~~

Update (5. Jänner 2011):
Microsoft hat mittlerweile ein Advisory dazu herausgegeben.

Auswirkungen

Dieses Problem kann bereits durch bloßes Aufrufen einer entsprechend präparierten Webseite ausgenützt werden.

Da der Angreifer dadurch prinzipiell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet.
Es ist zu erwarten, dass diese Schwachstelle schon bald in großem Stil ausgenützt wird, und Links auf entsprechend präparierte Webseiten etwa per Spam-Mail verteilt werden.

Betroffene Systeme

Alle Benutzer von Microsoft Internet Explorer der folgenden Versionen:

Internet Explorer 6
Internet Explorer 7
Internet Explorer 8

auf den Plattformen Windows XP, Vista, 7, Server 2003 und Server 2008.

Abhilfe

Ein Patch seitens Microsoft steht noch nicht zur Verfügung, daher kann momentan nur versucht werden, die Auswirkungen zu begrenzen, oder einen alternativen Browser (zB Mozilla Firefox, Opera, Google Chrome) zu verwenden.

Folgende Security-Features erschweren das Ausnützen des Fehlers. es ist jedoch zu beachten, dass auch diese noch keinen vollständigen Schutz vor dieser Lücke bieten:

Data Execution Prevention (DEP), per Default in Internet Explorer 8 auf Windows XP Service Pack 3, Windows Vista Service Pack 1, Windows Vista Service Pack 2 und Windows 7 aktiv
Protected Mode in Internet Explorer auf Windows Vista und Windows 7, siehe http://windows.microsoft.com/en-US/windows-vista/What-does-Internet-Explorer-protected-mode-do, per Default für die "Internet Zone" aktiv.

Das deutsche Buerger-CERT empfiehlt daher die Internet Explorer Sicherheitseinstellungen so hoch zu setzen, dass ActiveX Controls und Active Scripting nicht für alle Webseiten aktiv sind.

Update (5. Jänner 2011):
Microsoft hat mittlerweile ein Advisory dazu herausgegeben. Darin wird ebenso empfohlen, bis zum Erscheinen eines entsprechenden Updates, als Workaround eine höhere Sicherheitseinstellung (lt. Advisory dezidiert "Hoch") im Internet Explorer zu wählen.
Microsoft empfiehlt darin weiters, den Internet Explorer durch Einsatz ihres Tools EMET akut zu "härten".

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

US-CERT Meldung
http://www.kb.cert.org/vuls/id/634956
Full Disclosure Post
http://seclists.org/fulldisclosure/2010/Dec/110
ThreatPost Meldung
http://threatpost.com/en_us/blogs/new-remotely -exploitable-bug-found-internet-explorer-121010
BreakingPoint Artikel
http://www.breakingpointsystems.com/community/ blog/ie-vulnerability/
Metasploit
Metasploit Proof-of-Concept Code
ComputerWorld
http://www.computerworld.com/s/article/9202001/ Researchers_reveal_attack_code_for_new_IE_zero_day
Update: Advisory von Microsoft (englisch)
http://www.microsoft.com/technet/security/advisory/2488013.mspx
Update: Informationen zu Microsoft's Security-Tool EMET
http://support.microsoft.com/kb/2458544

Adobe veröffentlicht "Out-of-band" Sicherheitsupdates für Adobe Reader und Acrobat

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Adobe veröffentlicht "Out-of-band" Sicherheitsupdates für Adobe Reader und Acrobat

17. November 2010

Beschreibung

Sicherheitsupdates von Adobe Reader und Acrobat für Windows und Macintosh ab sofort verfügbar.

Auswirkungen

Zumindest eine der behobenen Lücken bietet laut Adobe die Möglichkeit zu Remode Code Execution, und daher einem Angreifer einen Weg, ein System zu übernehmen. Laut Aussagen von Adobe wird diese Lücke aktiv für Adobe Reader und Acrobat ausgenützt. Siehe auch unsere Meldung vom 29. Oktober 2010.

Auch die in Adobe Reader und Acrobat integrierten Komponenten von Adobe Flash Player werden mit diesem Update auf aktuellen Stand gebracht.

Betroffene Systeme

Systeme, auf denen folgende Software von Adobe installiert ist:

Adobe Reader 9 bis inkl. Versionen 9.4, für Windows, Macintosh und Unix
Adobe Acrobat 9 bis inkl. Version 9.4 für Windows und Macintosh

Das Update von Adobe Reader für Unix wird voraussichtlich erst am 30. November veröffentlicht.

Abhilfe

Upgrade auf die jeweils aktuellen Versionen, Details bitte der Meldung von Adobe zu entnehmen: http://www.adobe.com/support/security/bulletins/apsb10-28.html

Allgemeiner Hinweis zur Erhöhung der Computersicherheit

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Adobe zu Reader und Acrobat (englisch)
http://www.adobe.com/support/security/bulletins/apsb10-28.html

Kritische Sicherheitslücke in Microsoft Internet Explorer (aktiv ausgenützt)

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Kritische Sicherheitslücke in Microsoft Internet Explorer (aktiv ausgenützt)

3. November 2010

Remote Code Execution - CERT.at ersucht um Beachtung der folgenden Meldung.

Beschreibung

Wie Microsoft berichtet, gibt es aktuell ein Problem mit Microsoft Internet Explorer, das zu Remote Code Execution führen kann, und auch bereits zumindest für gezielte Attacken missbraucht wird.

Auswirkungen

Dieses Problem kann bereits durch bloßes Aufrufen einer entsprechend präparierten Webseite ausgenutzt werden.

Betroffene Systeme

Alle Benutzer von Microsoft Internet Explorer der folgenden Versionen:

Internet Explorer 6
- Windows XP
- Windows Server 2003
Internet Explorer 7
- Windows XP
- Windows Server 2003
- Windows Vista
Internet Explorer 8
- Windows XP
- Windows Server 2003
- Windows Vista
- Windows Server 2008
- Windows 7

Eine detaillierte Liste inkl. der jeweils betroffenen Service Packs kann dem Security Advisory von Microsoft entnommen werden.

Abhilfe

Ein Patch seitens Microsoft steht noch nicht zur Verfügung, daher kann nur versucht werden, die Auswirkungen zu begrenzen, oder einen alternativen Browser zu verwenden.

Laut Microsoft stehen zur Problembegrenzung folgende Security Features zur Verfügung:

Data Execution Prevention (DEP), per Default in Internet Explorer 8 auf Windows XP Service Pack 3, Windows Vista Service Pack 1, Windows Vista Service Pack 2 und Windows 7 aktiv
Protected Mode in Internet Explorer auf Windows Vista und Windows 7, siehe http://windows.microsoft.com/en-US/windows-vista/What-does-Internet-Explorer-protected-mode-do, per Default für die "Internet Zone" aktiv.

Details bitte der Meldung von Microsoft zu entnehmen.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Microsoft (englisch)
http://www.microsoft.com/technet/security/advisory/2458511.mspx
Erklärung zu Internet Explorer "Protected Mode" (englisch)
http://windows.microsoft.com/en-US/windows-vista/What-does-Internet-Explorer-protected-mode-do

Wieder kritische Sicherheitslücke in Adobe Flash, Reader und Acrobat

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Wieder kritische Sicherheitslücke in Adobe Flash, Reader und Acrobat

29. Oktober 2010

Beschreibung

Wie Adobe berichtet, wurde eine weitere Lücke in Adobe Flash Player und Adobe Flash Player für Android gefunden. Dies betrifft genauso die AuthPlay.dll Komponente, die mit Adobe Reader und Adobe Acrobat mitgeliefert wird. Diese Lücke wird bereits unter Windows aktiv ausgenützt.

CVE Referenz-Nummer: CVE-2010-3654

Auswirkungen

Diese Lücke bieten laut Adobe die Möglichkeit zu Remode Code Execution, und daher einem Angreifer einen Weg, ein System zu übernehmen. Laut aktuellen Aussagen von Adobe wird die Lücke derzeit schon aktiv für Adobe Reader und Acrobat ausgenützt. Aktive Attacken gegen Flash sind derzeit noch keine bekannt.

Betroffene Systeme

Systeme, auf denen folgende Software von Adobe installiert ist:

Adobe Flash Player bis zur Version 10.1.85.3 für Windows, Macintosh, Linux und Solaris
Adobe Flash Player bis zur Version 10.1.95.2 für Android Smartphones
Adobe Reader 9.4 und frühere 9.x Versionen für Windows, Macintosh und UNIX
Adobe Acrobat 9.4 und frühere 9.x Versionen für Windows und Macintosh OS X

Abhilfe

Derzeit gibt es von Adobe noch keine korrigierte Software. Es gibt allerdings derzeit eine Abhilfe:
Betroffene Benutzer können die Zugriffsrechte der Datei "authplay.dll" einschränken (alle Rechte entfernen) oder die Datei umbenennen. Alternativ können Benutzer natürlich auch alternative PDF-Viewer verwenden.

Adobe wird Updates am 15. November veröffentlichen.

Da es bei Flash derzeit kaum Alternativen gibt, empfiehlt CERT.at besorgten PC-Benutzern Tools wie zum Beispiel Flashblock für Mozilla Firefox oder ähnliche Tools für andere Browser zu verwenden. Flashblock erlaubt kein automatisches Ausführen von Flash Inhalten auf Webseiten, ausser der Benutzer klickt diese explizit an.

Hinweis

An dieser Stelle möchte CERT.at Benutzer von Shockwave Player bis Version 11.5.9.615 erinnern, dass Adobe heute neue Updates zur Verfügung gestellt hat, die eine weitere kritische Lücke in Shockwave beheben.

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Adobe (englisch)
http://www.adobe.com/support/security/advisories/apsa10-05.html

Sicherheitsupdate für TYPO3 ab 6. Oktober 2010 verfügbar

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Sicherheitsupdate für TYPO3 ab 6. Oktober 2010 verfügbar

5. Oktober 2010

Beschreibung

Wie die TYPO3-Entwickler melden (http://lists.typo3.org/pipermail/typo3-announce/2010/000167.html), wird ab morgen, 6. 10. 2010, eine neue Version des Content Management Systems zur Verfügung gestellt, die eine Sicherheitslücke behebt. Details zu dieser Lücke wird es ebenfalls erst morgen geben.
Die Entwickler ersuchen, sich darauf vorzubereiten, direkt nach Veröffentlichung der neuen Version alle TYPO3-Installationen entsprechend upzudaten, da die behobene Sicherheitslücke als kritisch eingestuft wird.

Ein Security Bulletin wird entsprechend auf http://typo3.org/teams/security/security-bulletins/ veröffentlicht werden.

Auswirkungen

Da noch keine Details zur behobenen Lücke bekannt sind, kann hier noch keine Aussage gemacht werden.
Es ist jedoch angesichts der Umstände davon auszugehen, dass die Lücke für unprivilegierte Benutzer ausnutzbar ist.

Betroffene Systeme

Systeme, auf denen das Content Management System TYPO3 installiert ist:

TYPO3 der Reihe 4.2, 4.3 und 4.4, einschliesslich nicht mehr offiziell unterstützter Versionen

Abhilfe

Upgrade auf die jeweils aktuellen Versionen, sobald zur Verfügung gestellt, Download via http://typo3.org/download/packages/.

Allgemeiner Hinweis zur Erhöhung der Computersicherheit

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

TYPO3 Security Bulletins
http://typo3.org/teams/security/security-bulletins/
TYPO3 Security Bulletin Pre-Announcement
http://lists.typo3.org/pipermail/typo3-announce/2010/000167.html

"Out-of-band"-Patch für Microsoft ASP.NET Problem

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

"Out-of-band"-Patch für Microsoft ASP.NET Problem

28. September 2010

Microsoft veröffentlicht einen "Out-of-band" Patch für den aktuellen Bug in ASP.NET.

Hintergrund und Dimension

Microsoft veröffentlicht üblicherweise Patches nur gebündelt einmal pro Monat (sogenannter "Patch Tuesday", 2. Dienstag des Monats), und sieht davon nur in besonders wichtigen Ausnahmefällen ab - im konkreten Fall stuft Microsoft das Risiko der mit diesem Patch behobenen Lücke als zumindest teilweise kritisch ein.

Microsoft weist auch ausdrücklich darauf hin, dass zumindest vereinzelt bereits aktiv versucht wird, diese Lücke auszunutzen.

Beschreibung

Durch den Fehler können gewisse Statusinformationen (ViewStates) und Cookies ausgelesen und unberechtigt Dateien vom Server heruntergeladen werden. Es kann auch möglich sein, durch gefälschte Authentication Tickets administrativen Zugriff auf Applikationen zu erlangen (siehe http://ekoparty.org/juliano-rizzo-2010.php).

Während die Lücke auch in allen aktuellen Client-Versionen von Microsoft Windows vorhanden ist (.NET Framework), kann sie jedoch nur ausgenutzt werden, wenn ein Webserver (IIS) auf dem System aktiv ist. Dies sollte auf Client-Systemen nur selten der Fall sein.

Betroffene Software

Windows XP
- Windows XP Media Center Edition 2005
- Windows XP Tablet PC Edition 2005
- Windows XP Service Pack 3
- Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003
- Windows Server 2003 Service Pack 2
- Windows Server 2003 x64 Edition Service Pack 2
- Windows Server 2003 with SP2 for Itanium-based Systems
Windows Vista
- Windows Vista Service Pack 1
- Windows Vista Service Pack 2
- Windows Vista x64 Edition Service Pack 1
- Windows Vista x64 Edition Service Pack 2
Windows Server 2008
- Windows Server 2008 for 32-bit Systems
- Windows Server 2008 for 32-bit Systems Service Pack 2
- Windows Server 2008 for x64-based Systems
- Windows Server 2008 for x64-based Systems Service Pack 2
- Windows Server 2008 for Itanium-based Systems
- Windows Server 2008 for Itanium-based Systems Service Pack 2
Windows 7
- Windows 7 for 32-bit Systems
- Windows 7 for x64-based Systems
Windows Server 2008 R2
- Windows Server 2008 R2 for x64-based Systems
- Windows Server 2008 R2 for Itanium-based systems

Abhilfe

Microsoft stellt den Patch momentan nur über das Microsoft Download Center (http://www.microsoft.com/downloads/en/default.aspx) bereit, einen Zugriff über die gewohnte "Automatische Updates"-Funktion soll es erst später geben.

CERT.at rät daher dazu, diesen Patch "händisch" herunterzuladen und zeitnah auf entsprechenden Server Systemen zu testen/installieren.
Client-PCs ohne aktiven Webserver können auf die Verfügbarkeit via "Automatische Updates" warten.

Allgemeiner Hinweis zur Erhöhung der Computersicherheit

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall Software installiert zu haben und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Vulnerability in ASP.NET Could Allow Information Disclosure (englisch)
http://www.microsoft.com/technet/security/advisory/2416728.mspx
Microsoft Security Bulletin MS10-070 (englisch)
http://www.microsoft.com/technet/security/bulletin/MS10-070.mspx
Microsoft Download Center (englisch/deutsch)
http://www.microsoft.com/downloads/en/default.aspx
Padding oracles everywhere (englisch)
http://ekoparty.org/juliano-rizzo-2010.php

Erneut kritische Sicherheitslücke in Adobe Flash und Reader

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Erneut kritische Sicherheitslücke in Adobe Flash und Reader

14. September 2010

Beschreibung

Wie Adobe berichtet, wurde eine weitere Lücke in Adobe Flash Player (bis Version 10.1.82.76) und Adobe Reader bis inklusive Version 9.3.4 gefunden. Diese wird bereits unter Windows aktiv ausgenützt.

Auswirkungen

Diese Lücke (CVE-2010-2884) bieten laut Adobe die Möglichkeit zu Remode Code Execution, und daher einem Angreifer einen Weg, ein System zu übernehmen.

Da in Webseiten integrierte Flash Inhalte am Internet äußerst beliebt sind (Videoportale wie etwa YouTube, Werbung, Spiele, etc.) und meist auch durch jede Firewall durchgelassen werden, erwartet CERT.at, dass bald entsprechend präparierte Flash Dateien und Links etwa per Spam-Mail aktiv beworben werden.

Betroffene Systeme

Betroffen sind alle Versionen von Adobe Flash Player bis zur aktuellen Version 10.1.82.76 auf den Plattformen Windows, Unix, Apple, Solaris und sogar Android Smartphones. Laut Adobe lässt sich die Lücke genauso im Adobe Reader bis zur Version 9.3.4 auf Windows, Apple und Unix als auch auf Adobe Acrobat bis zur Version 9.3.4 auf Windows und Apple ausnützen.

Publik gewordenen sind derzeit nur erfolgreiche Angriffe auf Adobe Flash Player für Windows.

Abhilfe

Derzeit gibt es von Adobe noch keine korrigierte Software. Ob ein Abschalten von JavaScript im Reader hilft, ist nicht bestätigt. Adobe wird Updates am 27. September und am 4.Oktober veröffentlichen. Bis dahin empfiehlt CERT.at, alternative Software zum Öffnen von PDF Dateien zu verwenden.

Da es bei Flash derzeit kaum Alternativen gibt, empfiehlt CERT.at besorgten PC Benutzern Tools wie zum Beispiel Flashblock für Mozilla Firefox oder ähnliche Tools für andere Browser zu verwenden. Flashblock erlaubt kein automatisches Ausführen von Flash Inhalten auf Webseiten, ausser der Benutzer klickt diese explizit an.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Adobe (englisch)
http://www.adobe.com/support/security/advisories/apsa10-03.html
Meldung auf Heise
http://www.heise.de/security/meldung/Angreifer-nutzen-weitere-Zero-Day-Luecke-in-Adobe-Flash-und-Reader-Update-1078219.html
Warning von AusCERT
http://www.auscert.org/render.html?it=13330

Kritische Sicherheitslücke in Adobe Reader und Acrobat

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Kritische Sicherheitslücke in Adobe Reader und Acrobat

9. September 2010

Beschreibung

Wie Adobe berichtet, wurde eine weitere Lücke in Adobe Reader / Acrobat bis inklusive jeweils Version 9.3.4 gefunden. Diese wird bereits aktiv ausgenützt.

Auswirkungen

Diese Lücke bieten laut Adobe die Möglichkeit zu Remode Code Execution, und daher einem Angreifer einen Weg, ein System zu übernehmen.

Da sich PDF-Dateien auch einfach in Webseiten integrieren lassen, und meist auch von Mailfiltern akzeptiert werden, erwartet CERT.at, dass bald entsprechend präparierte Dateien und Links etwa per Spam-Mail verteilt werden.

Betroffene Systeme

Betroffen sind alle Versionen von Adobe Reader und Acrobat jeweils bis inklusive Version 9.3.4 auf den Plattformen Windows, Unix und Macintosh.

Publik gewordenen sind derzeit nur erfolgreiche Angriffe auf Adobe Reader/Acrobat für Windows. Diese nutzen signierte PDFs und funktionieren trotz Datenausführungsverhinderung (DEP) und Speicherverwürfelung (ASLR) auch auf Windows 7.

Abhilfe

Derzeit gibt es von Adobe noch keine korrigierte Software. Ob ein Abschalten von JavaScript im Reader hilft, ist nicht bestätigt.

Aktuell empfiehlt CERT.at daher, alternative Software zum Öffnen von PDFs zu verwenden.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Adobe (englisch)
http://www.adobe.com/support/security/advisories/apsa10-02.html
Meldung auf Heise
http://www.heise.de/security/meldung/Adobe-warnt-vor-Zero-Day-Luecke-in-Reader-und-Acrobat-1075700.html
Secunia
http://secunia.com/advisories/41340/
SecureList Blog
http://www.securelist.com/en/blog/2287/Adobe_Reader_zero_day_attack_now_with_stolen_certificate
Sophos Blog
http://www.sophos.com/blogs/chetw/g/2010/09/08/adobe-advises-reader-acrobat-vulnerability/

Sicherheitsupdate für Adobe Shockwave Player

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Sicherheitsupdate für Adobe Shockwave Player

25. August 2010

Beschreibung

Adobe stellt nun auch eine neue Version des Shockwave Players zur Verfügung. Da diese Software weit verbreitet ist, ersuchen wir um Beachtung der folgenden Warnung.

Auswirkungen

Adobe weist darauf hin, dass sich mehrere der behobenen Fehler für Remote Code Execution ausnutzen lassen.

Wir erwarten, dass bald entsprechend präparierte Webseiten auftauchen und URLs darauf etwa per Spam-Mail verteilt werden.

Betroffene Systeme

Systeme, auf denen folgende Software von Adobe installiert ist:

Adobe Shockwave Player bis inkl. Version 11.5.7.609, für Windows und Macintosh

Wir möchten in diesem Kontext auch nochmals auf unsere Warnungen vom 18. August (http://www.cert.at/warnings/all/20100818.html, Updates für Adobe Reader und Acrobat) und vom 11. August (http://www.cert.at/warnings/all/20100811.html, Updates für Adobe Flash Player, AIR, ColdFusion und Flash Media Server) aufmerksam machen.

Abhilfe

Upgrade auf die jeweils aktuellen Versionen, sobald von Adobe zur Verfügung gestellt, Details bitte dem Warning von Adobe zu entnehmen: http://www.adobe.com/support/security/bulletins/apsb10-20.html

Allgemeiner Hinweis zur Erhöhung der Computersicherheit

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Adobe (englisch)
http://www.adobe.com/support/security/bulletins/apsb10-20.html

Sicherheitsupdates für Adobe Reader und Acrobat ab 19. August 2010 verfügbar

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Sicherheitsupdates für Adobe Reader und Acrobat ab 19. August 2010 verfügbar

18. August 2010

Beschreibung

Adobe meldet, dass morgen, 19. August 2010, Sicherheitsupdates für Reader und Acrobat zur Verfügung gestellt werden.

Auswirkungen

Adobe weist darauf hin, dass sich zumindest eine der zu schließenden Lücken fuer Remote Code Execution ausnutzen lässt.

PDF-Dateien lassen sich einfach in Webseiten integrieren, und auch per etwa Spam-Mail verteilen, wir erwarten daher, dass bald entsprechend präparierte Webseiten und Spam-Mails in Umlauf gebracht werden.

Betroffene Systeme

Systeme, auf denen folgende Software von Adobe installiert ist:

Adobe Reader 9 bis inkl. Versionen 9.3.3, für Windows, Macintosh und UNIX
Adobe Acrobat 9 bis inkl. Version 9.3.3 für Windows und Macintosh
Adobe Reader 8 bis inkl. 8.2.3 für Windows und Macintosh
Adobe Acrobat 8 bis inkl. 8.2.3 für Windows und Macintosh

Wir möchten in diesem Kontext auch nochmals auf unser Warning vom 11. August aufmerksam machen (http://www.cert.at/warnings/all/20100811.html), in dem wir auf Updates zu anderen Adobe-Produkten (Flash Player, AIR, ColdFusion, Flash Media Server) hinweisen.

Abhilfe

Upgrade auf die jeweils aktuellen Versionen, sobald von Adobe zur Verfügung gestellt, Details bitte dem Warning von Adobe zu entnehmen: http://www.adobe.com/support/security/bulletins/apsb10-17.html

Allgemeiner Hinweis zur Erhöhung der Computersicherheit

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Adobe zu Reader und Acrobat (englisch)
http://www.adobe.com/support/security/bulletins/apsb10-17.html

Mehrere kritische Sicherheitslücken in Adobe Flash Player, AIR, Flash Media Server und ColdFusion

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Mehrere kritische Sicherheitslücken in Adobe Flash Player, AIR, Flash Media Server und ColdFusion

11. August 2010

Beschreibung

Wie Adobe berichtet, gibt es eine ganze Reihe an sicherheitsrelevanten Lücken in den aktuellen Versionen von Flash Player, AIR und Flash Media Server, die es einem Angreifer ermöglichen könnten, ein System zu übernehmen, sowie ein Problem mit Directory Traversal und dem unbeabsichtigten Preisgeben von Informationen mit ColdFusion.

Auswirkungen

Mehrere dieser Lücken bieten laut Adobe die Möglichkeit zu Remode Code Execution, und daher einem Angreifer einen Weg, ein System zu übernehmen. Die beschriebene Lücke in ColdFusion bezieht sich auf Directory Traversal und das unbeabsichtigte Preisgeben von Informationen.

Speziell, da sich Flash-Dateien auch einfach in Webseiten integrieren lassen, erwartet CERT.at, dass bald entsprechend präparierte Webseiten und Links darauf etwa per Spam-Mail verteilt werden. Flash Player verfügt zwar über eine automatische Update-Funktion, diese sucht in der Default-Einstellung allerdings nur alle 7 Tage, ob etwaige neue Versionen zur Verfügung stehen.

Betroffene Systeme

Systeme, auf denen folgende Software von Adobe installiert ist:

Adobe Flash Player bis inkl. Version 10.1.53.64, für Windows, Macintosh, Linux und Solaris
Adobe AIR bis inkl. Version 2.0.2.12610, fü Windows, Macintosh und Linux
Adobe Flash Media Server bis inkl. Version 3.5.3 bzw. 3.0.5, fü Windows und Unix
Adobe ColdFusion bis inkl. Versionen 8.0, 8.0.1, 9.0 bzw. 9.0.1

Abhilfe

Upgrade auf die jeweils aktuellen Versionen, Details bitte den jeweiligen Warnings von Adobe zu entnehmen:

Flash Player/AIR: http://www.adobe.com/support/security/bulletins/apsb10-16.html
Flash Media Server: http://www.adobe.com/support/security/bulletins/apsb10-19.html
ColdFusion: http://www.adobe.com/support/security/bulletins/apsb10-18.html

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Adobe zu Flash Player und AIR (englisch)
http://www.adobe.com/support/security/bulletins/apsb10-16.html
Meldung von Adobe zu Flash Media Server (englisch)
http://www.adobe.com/support/security/bulletins/apsb10-19.html
Meldung von Adobe zu ColdFusion (englisch)
http://www.adobe.com/support/security/bulletins/apsb10-18.html

"Out-of-band"-Patch für Microsoft Windows Shell (".LNK-Problem") ab Montag, 2. 8. 2010, verfügbar

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

"Out-of-band"-Patch für Microsoft Windows Shell (".LNK-Problem") ab Montag, 2. 8. 2010, verfügbar

30. Juli 2010

Angesichts der Schwere der Sicherheitslücke, der hohen Verbreitung von Microsoft Software sowie der besonderen Umstände ("Out-of-band"-Patch) ersucht CERT.at um Beachtung der folgenden Meldung:

Microsoft hat soeben angekündigt, am Montag, 2. August 2010, um etwa 19.00 Uhr MESZ (10am PDT) einen "Out-of-band"-Patch zu veröffentlichen, der das aktuelle Problem mit Windows Shell (sogenanntes ".LNK-Problem", vgl. http://www.cert.at/warnings/all/20100720.html) beheben soll.

Hintergrund und Dimension

Microsoft veröffentlicht üblicherweise Patches nur gebündelt einmal pro Monat (sogenannter "Patch Tuesday", 2. Dienstag des Monats), und sieht davon nur in besonders wichtigen Ausnahmefällen ab - im konkreten Fall stuft Microsoft das Risiko der mit diesen Patch behobenen Lücke als zumindest teilweise kritisch ein.
Es wird auch ausdrücklich davor gewarnt, dass momentan vermehrt Schadsoftware in Umlauf gebracht wird, die dieses Problem ausnützt.

Beschreibung

Der Fehler ist in der Windows Shell, und damit überalll relevant, wo Icons zu .LNK Files angezeigt werden. Dies trifft beispielsweise zu auf:

Anzeigen des Inhaltes von USB-Sticks oder Fileshares. Ein aktiviertes Autorun (wie es etwa Conficker ausgenutzt hatte) ist nicht nötig, ein simples "Explore" reicht.
Anzeigen von WebDAV Verzeichnissen. Relevant sind hier primär SharePoint Server; Links zu im Internet erreichbaren WedDAV-Server können aber auch per Email verschickt werden.
gewisse Dokumenttypen, die eingettete Shortcuts unterstützen, als Email-Attachment

Betroffene Software

Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 with SP2 for Itanium-based Systems
Windows Vista Service Pack 1
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 1
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for 32-bit Systems
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for x64-based Systems
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for Itanium-based Systems
Windows Server 2008 for Itanium-based Systems Service Pack 2
Windows 7 for 32-bit Systems
Windows 7 for x64-based Systems
Windows Server 2008 R2 for x64-based Systems
Windows Server 2008 R2 for Itanium-based Systems

Es sind auch nicht mehr offiziell von Microsoft unterstützte Betriebssystemversionen wie Windows 2000 oder Windows XP Service Pack 2 betroffen.

Abhilfe

Zeitnahe Installation des von Microsoft ab Montag zur Verfügung gestellten Patches.

Allgemeiner Hinweis zur Erhöhung der Computersicherheit

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall Software installiert zu haben und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Out of Band Release to address Microsoft Security Advisory 2286198 (englisch)
http://blogs.technet.com/b/msrc/archive/2010/07/29/out-of-band-release-to-address-microsoft-security-advisory-2286198.aspx
Microsoft Security Advisory 2286198 (englisch) - Vulnerability in Windows Shell Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/2286198.mspx
CERT.at-Warnung vom 20. Juli 2010 - Kritischer Fehler in der Behandlung von .LNK Dateien unter Windows
http://www.cert.at/warnings/all/20100720.html

Sicherheitslücken in Typo3

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Sicherheitslücken in Typo3

28. Juli 2010

Angesichts der Schwere der Lücken und der hohen Anzahl an installierten Typo3 Content-Management-Systemen bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

Typo3 enthät Bugs die zu SQL Injection, Arbitrary Code Execution und Cross-Site-Scripting führen können sowie Probleme mit Information Disclosure, unsicheren Zufallszahlen und Authentication/Session Management.

SQL Injection

Benutzer, die das Recht haben, Records zu editieren, die eine bestimmte WHERE-Klausel enthalten bzw. das Auto-Suggest-Feature benutzen, können diesen Bug ausnutzen.

Arbitrary Code Execution

In gewissen Webserver-Setups ist es für gültige Benutzer möglich, Dateien hochzuladen, die dann als PHP mit den Rechten des Webservers selbst ausgeführt werden.

Cross Site Scripting

Für gültige Backend-Benutzer ist es möglich, durch unzureichende Prüfung von Benutzereingaben, XSS-Bugs an mehreren Stellen auszunützen.

Information Disclosure, Insecure Randomness und Authentication/Session Management

Details siehe das Advisory von Typo3.org.

Auswirkungen

Betroffene Systeme

Alle Typo3-Installationen mit entsprechender Konfiguration bis einschliesslich der Versionen

4.1.13
4.2.12
4.3.3
4.4

Abhilfe

Upgrade auf die entsprechend angepassten Versionen

4.1.14
4.2.13
4.3.4
4.4.1

Allgemeiner Hinweis zur Hebung der Systemsicherheit

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Typo3 (Englisch)
http://typo3.org/teams/security/security-bulletins/typo3-sa-2010-012/

Kritischer Fehler in der Behandlung von .LNK Dateien unter Windows

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Kritischer Fehler in der Behandlung von .LNK Dateien unter Windows

20. Juli 2010

Fehler in der Windows Shell bei der Verarbeitung von .LNK Dateien wird aktiv ausgenutzt.

Beschreibung

Praktisch alle Versionen von Microsoft Windows enthalten eine Sicherheitslücke in der Behandlung von .LNK Files, durch die schon beim Anzeigen des Icons (etwa im Explorer-Fenster) Schadcode gestartet werden kann. Microsoft hat dazu ein Advisory veröffentlicht; korrigierte Versionen der fehlerhaften Windows-Komponente sind noch nicht verfügbar.

Der Fehler wurde von VirusBlokAda im Kontext einer Analyse einer Schadsoftware (Stuxnet) entdeckt. Diese enthält Root-Kit Komponenten (interessanterweise als korrekt signierte Treiber) und scheint es primär auf Siemens SCADA Systeme abgesehen zu haben. Die Verbreitung betrifft vor allem Iran und Indonesien. Diese Schadsoftware wird mittlerweilen gut von AV-Software erkannt.

Inzwischen sind Details zu dieser Schwachstelle allgemein bekannt und Demo Exploits sind verfügbar (sogar schon als Metasploit-Modul). Daher ist schon weitere Malware im Umlauf, die diese Lücke aktiv ausnutzt.

Details

Der Fehler ist in der Windows Shell, und damit überall relevant, wo Icons zu .LNK Files angezeigt werden. Das trifft etwa zu auf:

Anzeigen des Inhaltes von USB-Sticks oder Fileshares. Ein aktiviertes Autorun (wie es etwa Conficker ausgenutzt hatte) ist nicht nötig, ein simples "Explore" reicht.
Anzeigen von WebDAV Verzeichnissen. Relevant sind hier primär SharePoint Server; Links zu im Internet erreichbaren WedDAV-Server könnten aber auch per Email verschickt werden.
.LNK-Files als Email-Attachments

Aktuell sehen wir keine Massenausbreitung von Malware, diese Lücke könnte aber durchaus von einem aggressiven Wurm zur Verbreitung ausgenutzt werden.

Auswirkungen

Da der Angreifer prinzipiell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet. Es ist zu erwarten, dass diese einfach auszunutzende Schwachstelle schon bald in großem Stil ausgenutzt wird.

Betroffene Systeme

Praktisch alle Microsoft Windows Systeme. Zu beachten ist im Microsoft Advisory, dass Windows XP SP2 und Windows 2000 nur deswegen dort nicht angeführt werden, da diese nicht mehr offiziell von Microsoft unterstützt werden.

Abhilfe

Das Microsoft Advisory beschreibt unter "Workarounds", wie das Anzeigen von Icons von .LNK Files und das Webclient Service abgeschalten werden kann.

Laut Sophos hilft es auch, per Gruppenrichtlinien das Ausführen von Programmen auf lokale Datenträger einzuschränken.

Diese Maßnahmen haben potentiell unerwünschte Seiteneffekte (im besten Fall nur die Verwirrung von Usern durch ungewohnte Icons), und sollten daher vor einem Ausrollen getestet werden.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Microsoft Advisory
http://www.microsoft.com/technet/security/advisory/2286198.mspx
US-CERT Vulnerability Note VU#940193
http://www.kb.cert.org/vuls/id/940193
Meldung von Heise Security
http://www.heise.de/security/meldung/Exploit-demonstriert-kritische-Windows-LNK-Luecke-1039997.html
Demo Exploit
http://www.exploit-db.com/exploits/14403/
Metasploit
Metasploit Modul
Sophos Blog
http://www.sophos.com/blogs/chetw/g/2010/07/16/windows-day-attack-works-windows-systems/
F-Secure Blog
http://www.f-secure.com/weblog/archives/00001987.html

Kritische Sicherheitslücke im Microsoft Windows Hilfe- und Supportcenter

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Kritische Sicherheitslücke im Microsoft Windows Hilfe- und Supportcenter

10. Juni 2010
Update am 11. Juni 2010

Remote Code Execution - CERT.at ersucht um Beachtung der folgenden Meldung.

Beschreibung

Wie Heise Security berichtet, gibt es aktuell ein Problem mit dem Microsoft Windows Hilfe- und Supportcenter, speziell mit der Funktion des Nachladens von Hilfedokumenten aus dem Internet per hcp://-URLs.
Dieses Problem kann dazu benutzt werden kann, durch Betrachten einer entsprechend präparierten Webseite beliebigen Code mit den Rechten des Benutzers auszuführen.

Ein Patch seitens Microsoft steht noch nicht zur Verfügung.

Auswirkungen

Da der Angreifer prinzipiell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet.
Es ist zu erwarten, dass diese Schwachstelle schon bald in großem Stil ausgenützt wird.

Betroffene Systeme

Alle Systeme, auf denen das Microsoft Hilfe- und Supportcenter installiert ist. Dies werden vermutlich alle Systeme von Windows XP/Server 2003 aufwärts sein, wir können nicht ausschliessen, dass dies auch ältere Windows-Versionen (etwa Windows 2000) betrifft.

Der Beispiel-Exploit funktioniert derzeit auf einem vollständig gepatchten System mit

Microsoft Windows XP SP3, Internet Explorer 8, Media Player 9

Der Author des Beispiel-Exploits gibt jedoch an, dass eine Portierung auf andere Konstellationen trivial sein sollte.

Update (11. Juni 2010):
Microsoft hat mittlerweile ein Advisory dazu herausgegeben.
Laut diesem soll das Problem auf Windows 2000, Vista, 7 und Server 2008 nicht auftreten, es sind nur Windows XP und Server 2003 betroffen.

Abhilfe

Bis ein Patch seitens Microsoft zur Verfügung steht, kann das Nachladen von Hilfe-Dokumenten durch Entfernen des Registry-Keys "HKEY_CLASSES_ROOT/HCP/shell/open" deaktiviert werden.
Sollte eine Organisation auf diese Funktionalität angewiesen sein, stellt der Author auch dafür einen Hotfix bereit, den wir jedoch nicht getestet haben und daher keine Aussage darüber machen können.

Update (11. Juni 2010):
Laut dem mittlerweile vorliegenden Advisory von Microsoft reicht es nicht, den oben angeführten Registry-Key zu entfernen, es muss der komplette Sub-Tree "HKEY_CLASSES_ROOT/HCP" gelöscht werden, Details bitte dem Advisory von Microsoft zu entnehmen.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung bei Heise Security
http://www.heise.de/security/meldung/Windows-Hilfe-als-Einfallstor-fuer-Angreifer-1018965.html
Originales Advisory von Tavis Ormandy (englisch)
http://lock.cmpxchg8b.com/b10a58b75029f79b5f93f4add3ddf992/ADVISORY
Update: Advisory von Microsoft (englisch)
http://www.microsoft.com/technet/security/advisory/2219475.mspx

Update: Kritische Sicherheitslücke in Adobe Flash Player, Reader und Acrobat - aktiv ausgenützt

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Update: Kritische Sicherheitslücke in Adobe Flash Player, Reader und Acrobat - aktiv ausgenützt

7. Juni 2010
Update am 16. Juni 2010

Beschreibung

Wie Adobe berichtet, gibt es eine kritische Lücke in aktuellen Versionen von Flash Player (10.0.x, 9.x), die auch Reader und Acrobat betrifft, und die es einem Angreifer ermöglichen kann, ein System zu übernehmen.
Weiters warnt Adobe davor, dass diese Lücke bereits aktiv ausgenutzt wird.

Auswirkungen

Diese Lücke ermöglicht es einem Angreifer, ein System zum Absturz zu bringen und zu übernehmen.

Mit der Verteilung entsprechend präparierter Links und PDF-Dateien, etwa per Spam-Mail, ist zu rechnen.

Betroffene Systeme

Systeme, auf denen folgende Software von Adobe installiert ist:

Flash Player für Windows, Macintosh und UNIX, Version 9.x bis inkl. Version 10.0.45.2
Reader and Acrobat für Windows, Macintosh und UNIX, Version 9.3.2 und früher

Abhilfe

Upgrade von Flash Player, Reader und Acrobat auf eine entsprechend nachgebesserte Version, sobald Adobe diese zur Verfügung stellt.
Upgrade auf den "Release Candidate" von Flash Player 10.1 (siehe http://labs.adobe.com/technologies/flashplayer10/).
Weiters kann das Problem für Reader und Acrobat (nicht jedoch für Flash Player) durch Löschen/Verschieben einer bestimmten Datei (authplay.dll) mitigiert werden, Details siehe Meldung von Adobe.

Update (16. Juni 2010):
Adobe hat nun Version 10.1 von Flash Player (sowie AIR) herausgebracht, das dieses und mehrere andere Probleme behebt, siehe http://www.adobe.com/support/security/bulletins/apsb10-14.html.

Wir empfehlen, dieses Update so zeitnah wie möglich einzuspielen.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Adobe (englisch)
http://www.adobe.com/support/security/advisories/apsa10-01.html
Update: Meldung von Adobe zu Flash Player 10.1 (englisch)
http://www.adobe.com/support/security/bulletins/apsb10-14.html

Erneut mehrere kritische Sicherheitslücken in Adobe Reader und Acrobat

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Erneut mehrere kritische Sicherheitslücken in Adobe Reader und Acrobat

14. April 2010

Beschreibung

Wie Adobe berichtet, gibt es eine ganze Reihe an sicherheitsrelevanten Lücken in den aktuellen Versionen von Reader und Acrobat bis inkl. Version 9.3.1, die es einem Angreifer ermöglichen könnten, ein System zu übernehmen.

Auswirkungen

Mehrere dieser Lücken bieten laut Adobe die Möglichkeit zu Remode Code Execution, und daher einem Angreifer einen Weg, ein System zu übernehmen.
Da sich PDF-Dateien auch einfach in Webseiten integrieren lassen, und meist auch von Mailfiltern akzeptiert werden, erwartet CERT.at, dass bald entsprechend präparierte Dateien und Links etwa per Spam-Mail verteilt werden.

Betroffene Systeme

Systeme, auf denen folgende Software von Adobe installiert ist:

Reader:
- für Windows bis inkl. Version 9.3.1
- für Unix bis inkl. Version 9.3.1
- für Macintosh bis inkl. Version 9.3.1
Acrobat:
- für Window bis inkl. Version 9.3.1
- für Macintosh bis inkl. Version 9.3.1

Abhilfe

Upgrade von Reader und Acrobat auf die aktuelle Version 9.3.2, etwa über die in den Produkten integrierte Update-Funktionalität (Hilfe -> Nach Updates suchen).

Wir weisen darauf hin, dass es für User, die aus verschiedenen Gründen nicht auf die aktuelle Version 9.3.2 upgraden können, auch ein Update für die 8.2 Versionsreihe gibt.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Adobe (englisch)
http://www.adobe.com/support/security/bulletins/apsb10-09.html

Design-Sicherheitslücken in Adobe Reader, Acrobat, Foxit und anderen PDF Viewern

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Design-Sicherheitslücken in Adobe Reader, Acrobat, Foxit und anderen PDF Viewern

31. März 2010

Kritische Design-Sicherheitslücken in PDF Viewern

Beschreibung

Wie Didier Stevens in seinem Blogeintrag berichtet, gibt es eine sicherheitsrelevante Design-Lücke im PDF Format, welche bei aktuellen Versionen von Adobe Reader und Acrobat bis inkl. 9.3 und anderen alternativen PDF Viewern, wie z.B. Foxit, ausnützbar ist. Ein Angreifer kann hierbei aus dem PDF Viewer eines Benutzers beliebige Kommandos starten und somit auch Schadcode auf den Rechner des Benutzers kopieren und installieren. Es reicht dabei, dass der Benutzer ein entsprechend modifiziertes PDF Dokument ansieht. Üblicherweise reicht es sogar, wenn das PDF nur auf einer Website liegt.

Da PDF in Unternehmen sehr weit verbreitet ist, schätzt CERT.at diese Bedrohung als kritisch ein. Zusätzlich ist mittlerweile Beispielcode aufgetaucht. Somit kann die Lücke via Internet leicht ausgenutzt werden.

Auswirkungen

Die Lücke ist an sich eine Design Schwachstelle im PDF Format. Mit der Option "Launch Actions/Launch File" ist es laut PDF Spezifikation möglich, beliebige Programme aus dem PDF Viewer zu starten. Dieser Umstand läßt sich aber auch zum Nachladen und Installieren von Schadsoftware ausnützen. Im Adobe Reader ist zwar die Möglichkeit vorhanden, den Benutzer vor der Ausführung von Programmen mit einem Popup Fenster zu fragen, ob er dies will, doch dies läßt sich leicht umgehen.

Betroffene Systeme

Systeme, auf denen folgende PDF Viewer installiert sind:

Adobe Reader: für Windows alle Versionen bis zur aktuellen Version 9.3
Adobe Acrobat: für Windows alle Versionen bis zur Version 9.3
Foxit Reader: alle Versionen

Es sind vermutlich noch weitere PDF Viewer auf verschiedenen Betriebsystemen betroffen.

Nicht betroffen ist das Preview Programm auf Mac OS X.

Update (6.4.2010):
Mittlerweile steht eine neue Version 3.2.1.0401 von Foxit Reader zur Verfügung, die diese Sicherheitslücke behebt.

Abhilfe

Da es sich um eine Design Schwachstelle im PDF Format handelt, läßt sich die Option zum Starten externer Programme nur deaktivieren. Dies kann auf folgenden zwei Wegen erreicht werden:

in den Einstellungen von Adobe Reader: Einstellungen/Berechtigungen -> "Nicht-PDF-Dateianlagen dürfen in externen Anwendungen geöffnet werden" deaktivieren
Unternehmensweit per Windows Registry: HKEY_CURRENT_USER\\Software\\Adobe\\Acrobat Reader\\9.0\\Originals\\bAllowOpenFile auf "0" setzen. Sollte dieser Registry Key nicht existieren, kann er einfach angelegt werden (bitte beachten sie, den aktuellen Pfad gegebenenfalls an die Version des installierten Readers anzupassen).

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Heise
http://www.heise.de/security/meldung/PDF-Exploit-funktioniert-ohne-konkrete-Sicherheitsluecke-968031.html
Originalbericht von Didier Stevens
http://blog.didierstevens.com/2010/03/29/escape-from-pdf/

Erneut kritische Sicherheitslücke in Microsoft Internet Explorer

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Erneut kritische Sicherheitslücke in Microsoft Internet Explorer

11. März 2010
Update am 15. März 2010

Erneut kritische Sicherheitslücke in Microsoft Internet Explorer 6 und 7

Remote Code Execution - CERT.at ersucht um Beachtung der folgenden Meldung.

Beschreibung

Seit kurzem gibt es eine Remote-exploitable Sicherheitslücke in Internet Explorer 6 und 7. Da nun aber seit kurzem Sample Code öffentlich für das Metasploit Framework verfügbar ist, und die Sicherheitslücke auch schon aktiv ausgenutzt wird, empfiehlt CERT.at, die folgende Sicherheitsmeldung zu beachten und entsprechend die eigenen Systeme zu überprüfen und zu reagieren. Ein Patch seitens Microsoft steht noch nicht zur Verfügung.

Auswirkungen

Da der Angreifer prinzipiell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet. Es ist zu erwarten, dass diese einfach auszunützende Schwachstelle schon bald in goßem Stil ausgenützt wird.

Betroffene Systeme

Alle Systeme, auf denen Microsoft Internet Explorer Version 6 oder 7 installiert ist und benutzt wird.
Der Metasploit Sample Code funktioniert derzeit auf:

Microsoft Internet Explorer 7 unter Windows Vista SP2
Internet Explorer 7 unter Windows XP SP3
Internet Explorer 6 unter Windows XP SP3

Abhilfe

Update (15.3.2010):
Microsoft hat mittlerweile ein Fix-It Tool herausgegeben, mit dem die unten beschriebenen Schritte durchgeführt werden können.

Umgehen kann man das Problem weiters (bzw. werden die Auswirkungen einer Attacke abgeschwächt), indem man:

Data Execution Prevention (DEP) aktiviert: siehe die Empfehlung von Microsoft
die Zugriffsrechte auf die Datei iepeers.dll restrikiver setzt: Details siehe Empfehlung von Microsoft
ActiveScripting (JavaScript) im Internet Explorer abdreht (dies kann aber Auswirkungen auf die Verfügbarkeit von Webseiten haben)

Microsoft hat noch nicht bekanntgegeben, ob es für diesen Fehler einen "out-of-band"-Patch geben wird, oder ob dieser erst mit dem nächsten regulären sog. "Patch Tuesday" behoben werden wird.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Microsoft
http://www.microsoft.com/technet/security/advisory/981374.mspx
Meldung von Heise Security
http://www.heise.de/security/meldung/Exploit-fuer-neue-IE-Luecke-952065.html

Sicherheitslücken in Typo3

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Sicherheitslücken in Typo3

24. Februar 2010

Sicherheitslücken in Typo3

Angesichts der Schwere der Lücken und der hohen Anzahl an installierten Typo3 Content-Management-Systemen bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

Typo3 enthät Bugs im Bereich Authentication, sowie Probleme mit Cross-Site-Scripting und Information Disclosure.

Information Disclosure

Wenn ein neuer Backend-User angelegt wird, kann der ausführende Benutzer alle persönlichen Daten aller existierenden Backend-User (ausser Passwörtern) auslesen.

Cross-Site-Scripting via Backend

Benutzer mit gültigem Backend-Account können aufgrund mangelhafter Prüfung von Usereingaben Cross-Site-Scripting an mehreren Stellen auslösen

Cross-Site-Scripting via Frontend

Wird Typo3 unter PHP als CGI betrieben, kann unter Umständen durch Übergabe eines URL-Parameters ein Fehler ausgelöst werden und dadurch beliebiges HTML angezeigt werden.

Authentication Bypass

Wir in Typo3 in Version 4.3.x die Erweiterung "saltedpasswords" verwendet, ist es unter Ümständen möglich, ohne Kenntnis des tatsächlichen Passworts, nur mit dem Salted/Hashed Passwort, gegen das System zu authentisieren.
Diese Erweiterung ist per Default allerdings nicht aktiv.

Auswirkungen

Vor allem das Problem mit Cross-Site-Scripting via Frontend wird wohl bald für Defacements ausgenützt werden.
Weitere Details können dem Advisory von Typo3 entnommen werden.

Betroffene Systeme

Alle Typo3-Versionen mit entsprechender Konfiguration vor Version 4.2.12 bzw. 4.3.2.

Abhilfe

Upgrade auf aktuelle Version 4.2.12 bzw. 4.3.2.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Typo3 (auf Englisch)
http://typo3.org/teams/security/security-bulletins/typo3-sa-2010-004/

Sicherheitslücken in Adobe Reader, Acrobat und Flash Player/AIR

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Sicherheitslücken in Adobe Reader, Acrobat und Flash Player/AIR

17. Februar 2010

Sicherheitslücken in Adobe Reader, Acrobat und Flash Player/AIR

Mehrere Sicherheitslücken - CERT.at ersucht um Beachtung der folgenden Meldung.

Beschreibung

Wie Adobe berichtet, gibt es zwei sicherheitsrelevante Lücken in aktuellen Versionen von Reader und Acrobat bis inkl. 9.3, die es einem Angreifer ermöglichen könnten, ein System zu übernehmen.

Auswirkungen

Eine der Lücken betrifft unauthorisierte Cross-Domain-Requests, über die andere hat Adobe noch keine Details bekanntgegeben, ausser dass diese potentiell einem Angreifer erlauben könnte, die Kontrolle über ein System zu übernehmen.

Wir weisen darauf hin, dass es zu Cross-Domain-Requests am 11. Februar eine Meldung von Adobe bezüglich Flash Player und AIR gab, und empfehlen, auch diese Updates zu installieren.

Betroffene Systeme

Systeme, auf denen folgende Software von Adobe installiert ist:

Reader:
- für Windows Version 9.3
- für Unix Version 9.3
- für Macintosh Version 9.3
Acrobat:
- für Window Version 9.3
- für Macintosh Version 9.3
- für Windows Version 8.2
- für Macintosh Version 8.2
Flash Player bis inkl Version 10.0.42.34
AIR bis inkl. Version 1.5.3.9120

Abhilfe

Upgrade von Reader und Acrobat auf die aktuelle Version 9.3.1 bzw. 8.2.1, Flash Player auf Version 10.0.45.2 sowie AIR auf Version 1.5.3.9130.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Adobe (englisch)
http://www.adobe.com/support/security/bulletins/apsb10-07.html
Meldung von Adobe zu Flash Player/AIR (englisch)
http://www.adobe.com/support/security/bulletins/apsb10-06.html

Mehrere Sicherheitslücken in OpenOffice.org

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Mehrere Sicherheitslücken in OpenOffice.org

15. Februar 2010

Mehrere Sicherheitslücken in OpenOffice.org

Mehrere Sicherheitslücken - CERT.at ersucht um Beachtung der folgenden Meldung.

Beschreibung

Wie das Debian-Projekt berichtet, gibt es eine Reihe von sicherheitsrelevanten Lücken in allen OpenOffice.org-Versionen bis inkl. 3.1, die Auswirkungen bis hin zu Code Execution haben können.

Auswirkungen

Da je nach Angriffs-Szenario (zB präparierte Dateien werden per Email verschickt) ein Angreifer möglicherweise beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen potentiell gefährdet.

Betroffene Systeme

Alle Systeme, auf denen das OpenOffice.org-Paket installiert ist und benutzt wird.

Abhilfe

Upgrade von OpenOffice.org auf die aktuelle Version 3.2 bzw. entsprechend angepaßter Versionen (etwa bei Debian).

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung des Debian-Projekts (englisch)
http://www.debian.org/security/2010/dsa-1995
Security Bulletin von OpenOffice.org (englisch)
http://www.openoffice.org/security/bulletin.html

Sicherheitslücke in Microsoft Internet Explorer

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Sicherheitslücke in Microsoft Internet Explorer

4. Februar 2010

Sicherheitslücke in Microsoft Internet Explorerr

Information Disclosure - CERT.at ersucht um Beachtung der folgenden Meldung.

Beschreibung

Wie Microsoft berichtet, gibt es eine Lücke in allen aktuellen Internet Explorer - Versionen, mittels welcher es einem Angreifer möglich ist, Dateien auszulesen, sofern deren Dateinamen bekannt sind - was zB bei Konfigurationsdateien regelmässig der Fall sein wird.
Auch gezieltes Auslesen von etwa den Dateien, in denen gängige Browser Passwörter speichern, ist in diesem Szenario denkbar.

Auswirkungen

Da der Angreifer prinzipiell beliebige Dateien auf betroffenen Systemen auslesen kann, sind alle Daten auf diesen Systemen potentiell gefährdet.

Betroffene Systeme

Alle Systeme, auf denen Microsoft Internet Explorer installiert ist und benutzt wird.

Laut der mittlerweile vorliegenden Meldung von Microsoft sind folgende Versionen betroffen:

Internet Explorer ab Version 5.01

Abhilfe

Microsoft empfiehlt, die Sicherheitseinstellungen in Internet Explorer auf "Hoch" zu setzen, damit vor dem Ausführen von ActiveX und Active Scripting (JavaScript) beim Benutzer nachgefragt wird, Details siehe Microsoft-Meldung.
Auf Windows Vista und später wird Internet Explorer per Default im "Protected Mode" betrieben, was die Auswirkungen dieses Fehlers limitieren sollte.
Für Windows XP - Systeme wird empfohlen, das "Internet Protocol Lockdown"-Feature zu aktivieren, Details siehe wiederum Microsoft-Meldung.

Microsoft hat noch nicht bekanntgegeben, ob es für diesen Fehler einen "out-of-band"-Patch geben wird, oder ob dieser erst mit dem nächsten regulären sog. "Patch Tuesday" behoben werden wird.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Microsoft (englisch)
http://www.microsoft.com/technet/security/advisory/980088.mspx

Erneut kritische Sicherheitslücke in Microsoft Internet Explorer

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Erneut kritische Sicherheitslücke in Microsoft Internet Explorer

15. Jänner 2010, Updates am 19. und 21. Jänner.

Erneut kritische Sicherheitslücke in Microsoft Internet Explorer

Potentielle Remote Code Execution - wegen der Dringlichkeit und des Umfangs des Problems bittet CERT.at um Beachtung der folgenden Meldung:

Beschreibung

Wie Microsoft berichtet, gibt es aktuell eine Lücke in allen aktuellen Internet Explorer - Versionen, mittels welcher Remote Code Execution möglich ist. Laut anderen Meldungen (zB bei Heise Security) wurde diese Lücke bereits für gezielte Attacken eingesetzt, und es ist durch das allgemeine Bekanntwerden nun damit zu rechnen, dass breiter angelegte Angriffe bald auftauchen werden.

Update
Code zum Ausnützen dieser Schwachstelle wurde bereits in das Metasploit Framework integriert.

Auswirkungen

Betroffene Systeme

Alle Systeme, auf denen Microsoft Internet Explorer installiert ist und benutzt wird.

Laut der mittlerweile vorliegenden Meldung von Microsoft sind folgende Versionen betroffen:

Internet Explorer ab Version 6

Update
Die Versionen 7 und 8 des Microsoft Internet Explorers enthalten zwar auch den Fehler, dieser gilt aber wegen weiterer Schutzmaßnahmen als nicht so leicht ausnutzbar.

Es ist aber zu erwarten, dass bald auch funktionierende Exploits für diese Versionen geschrieben und publiziert werden.

Laut dem deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) sind auch folgende Windows-Programme potentiell verwundbar, da sie auf die gleiche Codebasis zum Anzeigen von HTML-Dokumenten zurückgreifen:

Microsoft Outlook (bis einschließlich Outlook 2003)
Microsoft Outlook Express
Microsoft Windows Mail
Microsoft Windows Live Mail
Microsoft Hilfesystem
Microsoft Sidebar

Details stehen in der technischen Warnung des BSI.

Abhilfe

Eine Möglichkeit ist das Abschalten von JavaScript (Active Scripting für Internet-Zone deaktivieren), da die aktuell bekannten Exploits JavaScript verwenden. Allerdings werden ohne JavaScript viele Webseiten nicht mehr wie gewohnt funktionieren. Microsoft empfiehlt auch, für die Versionen 6 und 7 DEP (Data Execution Prevention) zu aktivieren, Details siehe Microsoft-Meldung.

Update
In den oben genannten Mailprogrammen sollte für die Anzeige von Mails die höchsten Sicherheitseinstellungen gelten ("Eingeschränkte Zone", kein HTML). Details siehe Meldung des BSI.

Microsoft arbeitet mit Hochdruck an einem Out-of-band Bugfix. Wir empfehlen, diesen möglichst zeitnah einzuspielen, sobald er verfügbar ist.

Update
Eine korrigierte Version des Internet Explorers ist jetzt erhältlich und wird über Windows Update verteilt. Details stehen in Microsofts Security Bulletin MS10-002.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Microsoft (englisch)
http://www.microsoft.com/technet/security/advisory/979352.mspx
Hintergrundinformationen von Microsoft (englisch)
http://blogs.technet.com/srd/archive/2010/01/15/assessing-risk-of-ie-0day-vulnerability.aspx
Technische Warnung des BSI
http://www.buerger-cert.de/techwarnung_archiv.aspx?param=Zxo7YT%2f0plfLqIWJ5YT%2fUA%253d%253d
Microsoft Security Bulletin MS10-002
http://www.microsoft.com/technet/security/bulletin/ms10-002.mspx

Updates für Adobe Reader, Acrobat und Flash 6 (Windows XP)

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Updates für Adobe Reader, Acrobat und Flash 6 (Windows XP)

13. Januar 2010

CERT.at warnte am 15. Dezember 2009 vor einer kritischen Sicherheitslücke in Acrobat/Adobe Reader und Adobe Flash 6 (Standardversion von Windows XP). Hierfür gibt es seit heute Updates von Adobe.

Beschreibung

Im Dezember gab es eine bis jetzt ungepatchte Sicherheitslücke in Adobe Acrobat und Adobe Reader. Dabei war es möglich, unbemerkt Schadcode via PDF Dokumenten auszuführen. CERT.at hat hierzu im Dezember schon eine Warnung geschrieben. Bis heute war die einzige Abhilfe, Javascript zu deaktivieren.

Weiters gibt es eine zweite Warnung von Microsoft (im Rahmen des Patch Tuesdays), dass die Version 6 von Adobe Flash Player, die mit Windows XP standardmäßig mitgeliefert wurde, mehrere Verwundbarkeiten hat. Siehe die Meldung von Microsoft hierzu.

Weitere Details siehe: CVE-2009-3953, CVE-2009-3954, CVE-2009-3955, CVE-2009-3956, CVE-2009-3957, CVE-2009-3958, CVE-2009-3959, CVE-2009-4324

Betroffene Systeme

Windows Flash Player 6 Problem:

Windows XP Service Pack 2 und Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2

Adobe Reader and Acrobat:

Adobe Reader 9.2 und frühere Versionen für Windows, Macintosh und UNIX
Adobe Acrobat 9.2 und frühere Versionen für Windows und Macintosh

Abhilfe

CERT.at empfiehlt, Adobe Acrobate und Adobe Reader und Adobe Flash zu aktualisieren. Adobe stellt hierzu Downloads bereit.

Adobe Reader and Acrobat:

Flash Player 6:

Beim Flash Player 6 Problem empfiehlt Microsoft, direkt eine neuere Version von Flash bei Adobe zu installieren.

Hinweis

Sowohl Acrobat/Adobe Reader als auch Adobe Flash sind sehr verbreitet. Sicherheitslücken in dieser Software sind daher als ähnlich schwerwiegend anzusehen wie Fehler in Microsoft Windows oder Office.

JavaScript in Acrobat/Adobe Reader abzuschalten ist auch unabhängig von dem aktuellen Problem empfehlenswert.

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Adobe
http://www.adobe.com/support/security/bulletins/apsb10-02.html
Meldung von Microsoft
http://www.microsoft.com/technet/security/advisory/979267.mspx

Kritische Lücken und Sicherheitsupdates für Oracle

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Kritische Lücken und Sicherheitsupdates für Oracle

13. Januar 2010

Wegen der Dringlichkeit, dem weit verbreiteten Einsatz von Oracle in Unternehmen und der grossen Zahl an potentiell ausnützbaren Sicherheitslücken bittet CERT.at um Beachtung der folgenden Meldung:

Beschreibung

Diverse Oracle Produkte sind derzeit, laut Angaben des Herstellers, für verschiedene Angriffe anfällig. In dem Critical Patch Update für Jänner 2010 listet Oracle 24 dieser Sicherheitslücken auf und empfiehlt ein Update. Hierbei verteilen sich die Sicherheitslücken auf :

10 Oracle Database
3 Oracle Application Server
3 Oracle Applications Suite
1 PeopleSoft und JD Edwards Suite
5 BEA Products Suite
2 Oracle Primavera Products Suite

Auswirkungen

Da der Angreifer unter anderem via Oracle Net und der Listener Komponente prinzipiell direkt beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, die Inhalte der Datenbank sowie potentiell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet.

Viele der Sicherheitslücken erlauben aber auch - als authentifizierter Benutzer - über das Netzwerk, beliebigen Schadcode auszuführen. Es ist also denkbar, dass ein Angriff genauso über einen authentifizierten (Webfrontend-) Benutzer erfolgen kann.

Betroffene Systeme

Oracle Database 11g, Version 11.1.0.7
Oracle Database 10g Release 2, Versionen 10.2.0.3, 10.2.0.4
Oracle Database 10g, Version 10.1.0.5
Oracle Database 9i Release 2, Versionen 9.2.0.8, 9.2.0.8DV
Oracle Application Server 10g Release 3 (10.1.3), Versionen 10.1.3.4.0, 10.1.3.5, 10.1.3.5.1
Oracle Application Server 10g Release 2 (10.1.2), Version 10.1.2.3.0
Oracle Access Manager Versionen 7.0.4.3, 10.1.4.2
Oracle E-Business Suite Release 12, Versionen 12.0.4, 12.0.5, 12.0.6, 12.1.1 und 12.1.2
Oracle E-Business Suite Release 11i, Version 11.5.10.2
PeopleSoft Enterprise HCM (TAM), Versionen 8.9 und 9.0
Oracle WebLogic Server 10.0 bis MP2, 10.3.0 und 10.3.1
Oracle WebLogic Server 9.0 GA, 9.1 GA und 9.2 bis 9.2 MP3
Oracle WebLogic Server 8.1 bis 8.1 SP6
Oracle WebLogic Server 7.0 bis 7.0 SP7
Oracle JRockit R27.6.5 und frühere (JDK/JRE 6, 5, 1.4.2)
Primavera P6 Enterprise Project Portfolio Management 6.1, 6.2.1 und 7.0
Primavera P6 Web Services 6.2.1, 7.0 und 7.0SP1

Abhilfe

Oracle stellt eine genaue Beschreibung und Updates zur Verfügung. Evtentuell müssen ältere kritische Updates vorher eingespielt werden. Details sind der Oracle Seite zu entnehmen.

CERT.at empfiehlt Administratoren, obige Beschreibung genau anzusehen und entsprechende Updates nach Massgabe der Möglichkeiten und sobald als möglich einzuspielen. Auf jeden Fall sollten Administratoren ihre Firewall Regeln genau überprüfen, sodass Oracle Net und Oracle nur von autorisierten und sicheren Rechnern über das Netzwerk erreichbar sind.

Hinweis

Generell empfiehlt CERT.at, womöglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

US-CERT Warnung
http://www.us-cert.gov/current/index.html#oracle_releases_critical_patch_update9
Oracle
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2010.html

Kritische Sicherheitslücke in Microsofts IIS

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Kritische Sicherheitslücke in Microsofts IIS

28. Dezember 2009

Kritische Sicherheitslücke in Microsofts IIS.

Wegen der Dringlichkeit und der zu erwartenden Tragweite des Problems bittet CERT.at um Beachtung der folgenden Meldung:

Beschreibung

Laut Angaben eines unabhängigen IT Sicherheitsexperten sind Microsofts Internet Information Services (IIS) aktuell von einer gravierenden Verwundbarkeit betroffen.

Ein Angreifer könnte sich den Umstand unterschiedlicher Ansätze der Namensverifikation von hochzuladenden bzw. auszuführenden Dateien zwischen (typischen) Webapplikationen und den IIS, zum Einschleusen von Schadcode auf dem betroffenen Server, zu Nutze machen.
Beispielsweise wird ein Dateiname wie "beispiel.asp;.jpg" üblicherweise von Webapplikationen aufgrund des abschließenden Suffixes ".jpg" zum Upload akzeptiert. Seitens der IIS würde diese Datei allerdings als ASP angesehen und bei Abruf ausgeführt werden.

Auswirkungen

Es ist zu erwarten, dass diese einfachst auszunützende Schwachstelle schon bald in großem Stil ausgenützt wird.

Betroffene Systeme

Laut aktuellem Wissensstand sind alle älteren Versionen des IIS bis inklusive Version 6 betroffen. Eine Überprüfung der Version 7 ist noch ausständig. Die Version 7.5 ist laut Information des Entdeckers (Stand vom 25. Dezember) nicht betroffen.

Abhilfe

Microsoft stellt noch kein Update zur Verfügung.

Über die Rechte des Upload-Verzeichnisses kann die Ausführung von Code in selbigem unterbunden werden. Dies ist über die Eigenschaften des betreffenden Vezeichnisses im IIS Manager zu erreichen.

Grundsätzlich ist es empfehlenswert, Upload-Verzeichnissen keinerlei Ausführungsrechte zu gewähren.

Da die Behebung dieses riskanten Zusammenspiels auf beiden Seiten, also auf IIS, wie auch Webapplikationen zu erwarten ist, sollte unbedingt auch mit Updates etwaiger CMS-Lösungen gerechnet werden.

Hinweis

Generell empfiehlt CERT.at, womöglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Bericht des Entdeckers
http://soroush.secproject.com/downloadable/iis-semicolon-report.pdf
Stellungnahme vom Microsoft Security Response Center (Englisch)
http://blogs.technet.com/msrc/archive/2009/12/27/new-reports-of-a-vulnerability-in-iis.aspx
Meldung auf Heise
http://www.heise.de/security/meldung/Sicherheitsluecke-in-Microsoft-IIS-892828.html
Meldung des Internet Storm Center (ISC) von SANS (Englisch)
http://isc.sans.org/diary.html?storyid=7816

Kritische Sicherheitslücke in Adobe Reader und Acrobat

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Kritische Sicherheitslücke in Adobe Reader und Acrobat

15. Dezember 2009

Da Acrobat/Adobe Reader sehr verbreitet ist, diese Schwachstelle bereits für gezielte Angriffe benutzt wird und der Schutz durch Antiviren-Software noch sehr mangelhaft ist, bittet CERT.at um Beachtung der folgenden Meldung:

Beschreibung

Das Adobe Product SIRT warnt vor einer gravierenden Verwundbarkeit in Adobe Reader und Acrobat die auch schon aktiv ausgenützt wird. Das Öffnen eines präparierten PDF-Dokuments startet den dort verstecken Schadcode. Ein solches Dokument kann etwa direkt per Email, oder auch als Link in Emails, Webseiten und anderen Internetdiensten verbreitet werden.

Auswirkungen

Da der Angreifer prinzipiell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet. Da typische Schadsoftware weiteren Code nachlädt, kann nichts ausgeschlossen werden.

Betroffene Systeme

Laut aktuellem Wissensstand sind alle Systeme, auf denen Adobe Reader oder Acrobat installiert ist und benutzt wird, betroffen.

Seit 11. Dezember sind Angriffe, die die Lücke aktiv ausnützen, bekannt. Es dürfte sich hierbei laut Shadowserver primär um gezielte Attacken handeln.

Abhilfe

Der Fehler scheint in der JavaScript-Verarbeitung zu liegen. Da Adobe noch keinen Patch anbietet, ist derzeit die einzige Möglichkeit das Abschalten von JavaScript. Dies geht zu Beispiel mit:

Bearbeiten – Voreinstellungen – JavaScript – Häkchen bei "Acrobat JavaScript aktivieren" entfernen

Für das simple Anzeigen von PDF-Dokumenten gibt es auch Alternativen zur Software von Adobe.

Derzeit wird der Schadcode nur von 5 aus 41 AV-Herstellern (laut Virustotal) erkannt, was sich aber relativ rasch bessern sollte.

Hinweis

JavaScript in Acrobat/Adobe Reader abzuschalten ist auch unabhängig von dem aktuellen Problem empfehlenswert.

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Adobe
http://blogs.adobe.com/psirt/2009/12/new_adobe_reader_and_acrobat_v.html
Analyse von Shadowserver
http://www.shadowserver.org/wiki/pmwiki.php/Calendar/20091214
Meldung bei Heise
http://www.heise.de/security/meldung/Angriffe-auf-ungepatche-Luecke-in-Adobe-Reader-und-Acrobat-885980.html

Update - Kritische Sicherheitslücke in Microsoft Internet Explorer

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Update - Kritische Sicherheitslücke in Microsoft Internet Explorer

23. November 2009

Update - Kritische Sicherheitslücke in Microsoft Internet Explorer

Wegen der Dringlichkeit und des Umfangs des Problems bittet CERT.at um Beachtung der folgenden Meldung:

Beschreibung

Wie auf der Sicherheits-Mailingliste Bugtraq gemeldet wurde, scheint es aktuell ein gravierendes Problem mit einer Komponente des Microsoft Internet Explorer zu geben. Der veröffentlichte Exploit-Code ist noch instabil, es ist aber damit zu rechnen, dass in den nächsten Tagen stabiler funktionierende Exploits auftauchen werden.

Auswirkungen

Betroffene Systeme

Alle Systeme, auf denen Microsoft Internet Explorer installiert ist und benutzt wird.
Laut den diversen Meldungen konnte das Problem bereits in den Versionen 6 und 7 des Internet Explorer auf Windows XP SP3-Systemen bestätigt werden, ob die aktuelle Version 8 des Internet Explorer bzw. Internet Explorer auf anderen Microsoft Windows Betriebssystemen auch betroffen sind, steht noch nicht fest, vor allem, da es noch kein Statement von Microsoft hierzu gibt.

Update
Laut der mittlerweile vorliegenden Meldung von Microsoft sind folgende Versionen betroffen:

Internet Explorer 6 Service Pack 1 auf Microsoft Windows 2000 Service Pack 4
Internet Explorer 6 auf Windows XP, Windows Server 2003, Windows Vista und Windows Server 2008
Internet Explorer 7 auf Windows XP, Windows Server 2003, Windows Vista und Windows Server 2008

Abhilfe

Eine Möglichkeit ist das Abschalten von JavaScript (Active Scripting für Internet-Zone deaktivieren). Allerdings werden ohne JavaScript viele Webseiten nicht mehr wie gewohnt funktionieren.

Da der Fehler in der Komponente mshtml.dll vermutet wird, die von anderen Browsern wohl nicht benutzt wird, ist auch die Benutzung alternativer Browser, etwa Mozilla Firefox oder Opera, ein gangbarer Weg.

Update
Microsoft empfiehlt betroffenen Benutzern, auf Internet Explorer Version 8 upzugraden.
Auch das Aktivieren von "DEP" für Internet Explorer 6 Service Pack 2 oder Internet Explorer 7 soll helfen: siehe http://support.microsoft.com/kb/977981

Weitere Informationen entnehmen sie bitte der mittlerweile vorliegenden Meldung von Microsoft: http://www.microsoft.com/technet/security/advisory/977981.mspx.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung auf Bugtraq
http://www.securityfocus.com/archive/1/507984/30/0/threaded
Meldung von VUPEN
http://www.vupen.com/english/advisories/2009/3301
Meldung bei Heise
http://www.heise.de/security/meldung/Neue-kritische-Luecke-im-Internet-Explorer-aufgetaucht-865897.html

Kritische Sicherheitslücken in Adobe Shockwave Player

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Kritische Sicherheitslücken in Adobe Shockwave Player

3. November 2009

Kritische Sicherheitslücken in Adobe Shockwave Player

Wegen der Dringlichkeit und des Umfangs des Problems bittet CERT.at um Beachtung der folgenden Meldung:

Beschreibung

Mehrere Sicherheitslücken im Adobe Shockwave Player, die auch für Remote Code Execution und möglicherweise Drive-by Attacken ausgenützt werden können.

Auswirkungen

Betroffene Systeme

Shockwave ist eine verbreitete Methode zur Einbindung von Multimedia-Inhalten in Webseiten, daher wird sich der entsprechende Player auf vielen Arbeitsplatzrechnern befinden, und auch auf manchen Servern, die eine graphische Benutzeroberfläche und einen Internet-Browser installiert haben.

Laut der Meldung von Adobe sind folgende Versionen betroffen:

Adobe Shockwave Player 11.5.1.601 und älter

Abhilfe

Updates stehen für Windows und Macintosh-Systeme zur Verfügung.

Da die Software für andere Betriebssysteme (etwa Linux, Solaris) nicht zur Verfügung steht, sind diese auch nicht von dem Problem betroffen.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Security Bulletin von Adobe
http://www.adobe.com/support/security/bulletins/apsb09-16.html

Kritische Sicherheitslücke in Adobe Reader/Acrobat 9.1.3 und älter (aktiv ausgenützt)

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Kritische Sicherheitslücke in Adobe Reader/Acrobat 9.1.3 und älter (aktiv ausgenützt)

09. Oktober 2009

Kritische Sicherheitslücke in Adobe Reader/Acrobat 9.1.3 und älter (aktiv ausgenützt)

Beschreibung

Eine Sicherheitslücke in einer Komponente des Adobe Readers und Acrobat, jeweils Version 9.1.3 und älter, wird bereits aktiv, zumindest für gezielte Attacken, ausgenutzt.

Auswirkungen

Da noch nicht bekanntgegeben wurde, wie genau sich dieser Angriff auswirken kann, muß davon ausgegangen werden, daß der Angreifer prinzipiell beliebigen Code auf betroffenen Systemen ausführen kann, daher sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und anderen Systeme potentiell gefährdet.

Betroffene Systeme

Da PDF eine beliebte und sehr weit verbreitete Technik ist, wird sich zumindest der entsprechende Acrobat Reader auf fast allen Arbeitsplatzrechnern befinden, und auch auf vielen Servern mit graphischer Benutzeroberfläche.

Systeme, die Adobe Reader bzw. Acrobat, in Version 9.1.3 oder älter installiert haben.
Laut der Meldung des Adobe PSIRT sind folgende Betriebssysteme betroffen: :

Windows (ausser Windows Vista mit aktiviertem DEP)
Macintosh
Unix

Abhilfe

Ein entsprechendes Update von Adobe ist noch nicht verfügbar, jedoch für 13. Oktober geplant.
Für die aktuell bekannten Exploits hilft es auch, JavaScript abzuschalten, es sind jedoch auch Varianten denkbar, die ohne JavaScript auskommen.

Es sollte daher bis zur Verfügbarkeit & Installation der Patches speziell PDF-Dateien in Email-Attachments oder auf Webseiten mit Vorsicht begegnet werden.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung des Adobe Product Security Incident Response Team
http://blogs.adobe.com/psirt/2009/10/adobe_reader_and_acrobat_issue_1.html
Adobe Security Advisory for Adobe Reader and Acrobat
http://www.adobe.com/support/security/bulletins/apsb09-15.html

Kritische Schwachstelle in Apple QuickTime für Windows und Mac OS X

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Kritische Schwachstelle in Apple QuickTime für Windows und Mac OS X

10. September 2009

Kritische Sicherheitslücke in Apple QuickTime Versionen vor 7.6.4

Angesichts der hohen Verbreitung der Multimediasoftware Apple QuickTime (Komponente von Mac OS und Systemerweiterung für Microsoft Windows) bittet CERT.at um Beachtung der folgenden Hinweise:

Beschreibung

Versionen von Apple QuickTime vor der Version 7.6.4 enthalten Fehler, die beim Abspielen von entsprechend präparierten Multimediadateien zum Einschleusen und Ausführen von Code ausgenützt werden können. Diese können in Webseiten enthalten sein oder über Email, Tauschbörsen, ... verbreitet werden. Apple listet in dem kumulativen Patch vom 9. Sept 2009 vier remote code execution Möglichkeiten auf, die auf H.264 oder FlashPix in Quicktime anwendbar sind.

Auswirkungen

Betroffene Systeme

Laut Apple sind sowohl die Versionen für Microsoft Windows (die z.B. mit iTunes oder als Browserplugin installiert wird) als auch für Mac OS betroffen.

Abhilfe

Nutzen Sie das Apple Software Update Programm. CERT.at empfiehlt, dort automatische Updates zu aktivieren (Bearbeiten->Einstellungen).

Alternativ können Sie die Auto-Update Funktion des QuickTime Players nutzen: (Hilfe->"Vorhandene Software aktualisieren") oder installieren Sie das Update direkt von Apple:

Informationsquelle(n):

Meldung von Apple (auf Englisch)
http://support.apple.com/kb/HT3859
Meldung bei Heise Security
http://www.heise.de/security/Vier-kritische-Luecken-in-QuickTime-geschlossen--/news/meldung/145148
Information zu Apple QuickTime auf Apple.com
http://www.apple.com/at/quicktime/
Information zu Apple QuickTime auf Wikipedia
http://de.wikipedia.org/wiki/QuickTime

Lücke in SMB ermöglicht DOS / remote code execution in Windows

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Lücke in SMB ermöglicht DOS / remote code execution in Windows

9. September 2009

Lücke in SMB ermöglicht DOS / remote code execution in Windows

Da schon sehr einfach zu bedienende Programme existieren, die die folgende Denial of Service (DOS) Schwachstelle von Windows ausnutzen können, bittet CERT.at um Beachtung der folgenden Meldung:

Beschreibung

Im SMB2.0 Code von Windows Vista / Windows Server 2008 / Windows 7 wurde eine Schwachstelle entdeckt, die im harmlosesten Fall einen Absturz des Betriebsystems zur Folge haben kann, im schlimmsten Fall sogar remote Code Execution erlaubt.

Durch Senden eines speziell geformten Packets kann ein beliebiger Angreifer am lokalen Netzkwerk oder am Internet den Rechner zum Absturz bringen oder sogar Schadcode einschleusen.

Windows Vista und Windows 7 / Server 2008 werden mit dem neuen SMB2.0 Protokoll ausgeliefert. Windows XP ist hiervon nicht betroffen.

Auswirkungen

Über diesen Fehler kann potentiell beliebiger Code auf dem betroffenen Systemen ausgeführt werden. Es sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Windows Vista, Windows Vista Service Pack 1, und Windows Vista Service Pack 2
Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1, und Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for 32-bit Systems und Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for x64-based Systems und Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for Itanium-based Systems und Windows Server 2008 for Itanium-based Systems Service Pack 2

Im Labor konnte die RTM (Build 7600) Version von Windows 7 nicht zum Absturz gebracht werden, Evaluationsversionen von Windows 7 allerdings schon.

Abhilfe

Microsoft stellt noch kein Update zur Verfügung.
Microsoft hat ein paar Empfehlungen in einem Security Advisory zusammengefasst.

CERT.at empfiehlt in der Zwischenzeit:

Port 445 und Port 139 per Firewall zu sperren, soferne möglich.
Wenn möglich SMB2 abzuschalten.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung des Internet Storm Centers
http://isc.sans.org/diary.html?storyid=7093
Microsoft Advisory
http://www.microsoft.com/technet/security/advisory/975497.mspx
Demoexploit
http://securitynightmares2.blogspot.com/2009_09_01_archive.html
CVE Referenz
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-3103
Post auf Full-Disclosure
http://archives.neohapsis.com/archives/fulldisclosure/2009-09/0090.html

Schwachstelle im FTP-Modul von Microsoft IIS 5, 5.1 und 6

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Schwachstelle im FTP-Modul von Microsoft IIS 5, 5.1 und 6

1. September 2009

Schwachstelle im FTP-Modul von Microsoft IIS 5, 5.1 und 6

Da diese Schwachstelle über das Netz ausgenützt werden kann, bittet CERT.at um Beachtung der folgenden Meldung:

Beschreibung

Es wurde Code zur Ausnutzung eines Fehlers im FTP-Modul des Internet Information Servers (IIS) veröffentlicht. Dieser Exploit basiert auf einem Buffer Overflow beim Ausführen des NLST Kommandos in einem speziell angelegtem Verzeichnis.

Auswirkungen

Über diesen Fehler kann beliebiger Code auf dem betroffenen Systemen ausgeführt werden. Beispielcode, der neue User anlegt oder einen Fernzugriff erlaubt, wurde bereits im Internet publiziert. Es sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Auf jeden Fall betroffen ist der IIS in der Version 5, so wie er auf Windows 2000 zu finden ist.

Die in IIS 5.1 und 6 verwendete "stack cookie protection" erschwert das Ausnützen dieser Schwachstelle deutlich. Ein Denial-of-Service Angriff auf den FTP-Dienst ist leicht möglich, eine Komprommitierung des Rechners ist hingegen deutlich schwieriger zu erreichen. Code dazu wurde noch nicht publiziert.

Für einen erfolgreichen Angriff ist es nötig, dass sich der Angreifer per FTP einloggen kann und danach die Rechte hat um Verzeichnisse anzulegen. Ersteres ist oft durch den Standardaccount für anonymen FTP-Zugang ("anonymous") möglich.

Abhilfe

Microsoft stellt noch kein Update zur Verfügung.

CERT.at empfiehlt in der Zwischenzeit:

Das FTP-Modul des IIS zu deaktivieren, wenn dieser Dienst nicht bewusst eingeschalten und auch benötigt wird.
Den anonymen FTP-Zugang abzudrehen, so dieser nicht gewünscht wird.
Die Schreibrechte für alle Benutzer, insbesondere "anonymous", so weit wie möglich zu limitieren.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung des Internet Storm Centers
http://isc.sans.org/diary.html?storyid=7039
Demoexploit
http://milw0rm.com/exploits/9541
Meldung bei Heise
http://www.heise.de/security/
US-CERT Alert
http://www.kb.cert.org/vuls/id/276653
Advisory von Microsoft
http://www.microsoft.com/technet/security/advisory/975191.mspx
Secunia Klarstellung
http://secunia.com/blog/62/

Sicherheitslücke in BIND 9 (aktiv ausgenutzt)

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Sicherheitslücke in BIND 9 (aktiv ausgenutzt)

29. Juli 2009

Sicherheitslücke in BIND 9 (aktiv ausgenutzt)

Angesichts der Schwere der Lücke und der großen Bedeutung der DNS-Software BIND für das Internet bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

In der, vor allem bei Internet Providern, weit verbeiteten DNS-Software BIND gibt es eine Lücke im Zusammenhang mit "Dynamic Update Messages", die sich zumindest fuer Denial-of-Service - Attacken durch Software-Absturz ausnützen läßt.
Es ist zum Ausnutzen dieses Problems nicht notwendig, Dynamic Updates nur in der Softwarekonfiguration abzuschalten.

Organisationen, die BIND 9 im Einsatz haben, sollten sobald als möglich das Update auf die neueste Versionen einspielen.

Auswirkungen

Da diese Lücke ersten Berichten zufolge bereits aktiv ausgenutzt wird, können Angreifer beliebig mit BIND betriebene DNS-Server zum Absturz bringen, was zumindest Endbenutzern betroffener ISPs das Besuchen von Webseiten und Nutzen diverser anderer Internet-Angebote (etwa Email, Chat etc.) unmöglich machen würde.
Auch Kunden von Organisationen/Firmen, die ihre Nameserver mit BIND betreiben, können ähnliche Schwierigkeiten haben.

Betroffene Systeme

BIND 9 (alle Versionen)

Abhilfe

Update auf die aktuelle Version, siehe https://www.isc.org/node/474.
Manche Firewalls haben auch Funktionalität, mit der entsprechende "nsupdate"-Messages gefiltert werden können. Dies kann als Workaround bis zur Installation einer aktuellen Softwareversion genutzt werden.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung des Internet Software Consortiums (ISC)
https://www.isc.org/node/474

"Out-of-band"-Patches für Microsoft Visual Studio/C++ und Internet Explorer

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

"Out-of-band"-Patches für Microsoft Visual Studio/C++ und Internet Explorer

29. Juli 2009

"Out-of-band"-Patches für Microsoft Visual Studio/C++ und Internet Explorer

Angesichts der Schwere der Sicherheitslücken, der hohen Verbreitung von Microsoft Software sowie der besonderen Umstände ("out-of-band"-Patches) ersucht CERT.at um Beachtung der folgenden Meldung:

Microsoft hat soeben 2 "Out-of-band"-Patches für Visual Studio/C++ und Internet Explorer veröffentlicht.

Hintergrund und Dimension

Microsoft veröffentlich üblicherweise Patches nur gebündelt einmal pro Monat (sogenannter "Patch Tuesday", 2. Dienstag des Monats), und sieht davon nur in besonders wichtigen Ausnahmefällen ab - im konkreten Fall stuft Microsoft das Risiko der mit diesen Patches behobenen Lücken als zumindest teilweise "kritisch" ein.

Microsoft weist weiters darauf hin, daß beide Patches Probleme mit Remote Code Execution beheben (teils in Internet Explorer, teils in Programmen, die mit Visual Studio entwickelt wurden), damit wären alle Daten auf betroffenen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und anderen Systemen gefährdet.

Wir machen ausdrücklich darauf aufmerksam, daß Entwickler, die die "Active Template Library" (ATL) von Visual Studio in ausgelieferten Programmen verwenden, nicht nur den Patch installieren, sondern auch selbst entsprechend angepaßte neue Programmversionen ausliefern sollten.

Beschreibung

Das behobene Problem in Visual Studio/C++ betrifft die "Active Template Library" (ATL), welche in Visual Studio inkludiert ist, und betrifft eine Lücke, die in Programmen, die in Visual Studio und mit dieser Library entwickelt und ausgeliefert wurden, auftritt bzw. auftreten kann.
Nochmals besonders hervorzuheben ist hier, daß nicht nur Entwickler, die diese Library benutzen, diesen Fix installieren sollten, sondern diese auch neue, speziell angepaßte Versionen der entsprechenden Programme ausliefern sollten.
Weitere Details siehe http://www.microsoft.com/technet/security/bulletin/MS09-035.mspx (englisch).
In Internet Explorer wiederum wurden 3 Sicherheitsprobleme behoben, die jeweils nur durch das Aufrufen speziell präparierter Webseiten für Remote Code Execution benutzt werden können. Da diese Informationen nun öffentlich sind, ist mit dem baldigen Auftreten entsprechender Webseiten (und der Verbeitung entsprechender Links, zum Beispiel via Spam-Mails) zu rechnen.
Weiters wurden Probleme in Zusammenhang mit der oben angeführten "Active Template Libary" behoben.
Im Prinzip sind die Versionen 5, 6, 7 und 8 von Internet Explorer betroffen, Details finden sich unter http://www.microsoft.com/technet/security/bulletin/MS09-034.mspx (englisch).

Betroffene Software

Microsoft Visual Studio .NET 2003
Microsoft Visual Studio 2005
Microsoft Visual Studio 2008
Microsoft Visual C++ 2005
Microsoft Visual C++ 2008
Internet Explorer auf:
- Windows 2000
- Windows XP
- Windows Server 2003
- Windows Vista
- Windows Server 2008

Abhilfe

Entwickler: Installation der von Microsoft zur Verfügung gestellten Patches, Auslieferung entsprechend angepaßter neuer Programmversionen
Endbenutzer: Installation des Patches für Internet Explorer, und gegebenenfalls Anforderung neuer Programmversionen beim Hersteller

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall Software installiert zu haben und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Microsoft Security Bulletin MS09-035 (englisch) - Visual Studio/C++, Active Template Library
http://www.microsoft.com/technet/security/bulletin/MS09-035.mspx
Microsoft Security Bulletin MS09-034 (englisch) - Internet Explorer
http://www.microsoft.com/technet/security/bulletin/MS09-034.mspx

Kritische Sicherheitslücke in Adobe Flash-Player/Acrobat/Reader (aktiv ausgenützt)

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Kritische Sicherheitslücke in Adobe Flash-Player/Acrobat/Reader (aktiv ausgenützt)

23. Juli 2009

Kritische Sicherheitslücke in Adobe Flash-Player/Acrobat/Reader (aktiv ausgenützt)

Wegen der Dringlichkeit und des Umfangs des Problems bittet CERT.at um Beachtung der folgenden Meldung:

Beschreibung

Eine Sicherheitslücke iin einer Komponente des Adobe Flash Players, die auch von Adobe Reader und Acrobat benutzt wird, wird bereits aktiv zur Remote Code Execution und für Drive-by Attacks ausgenutzt.

Auswirkungen

Betroffene Systeme

Da Flash eine beliebte und sehr weit verbreitete Technik auf Webseiten ist, wird sich der entsprechende Player auf fast allen Arbeitsplatzrechnern befinden, und auch auf vielen Servern, die eine graphische Benutzeroberfläche und einen Internet-Browser installiert haben.
Zusätzlich ist es möglich, Flash in PDF-Dateien einzubetten, und so PDF als Angriffsvektor zu benutzen (etwa als Attachment in Emails). Laut der Meldung des Internet Storm Centers sind folgende Versionen betroffen:

Adobe Flash Player Version 9 und 10
Adobe Acrobat Version 9.1.2

Abhilfe

Ein entsprechendes Update von Adobe ist noch nicht verfügbar.

Momentan sind keine anderen Möglichkeiten zur Abhilfe bekannt, auch ein Deaktivieren von JavaScript im Adobe Reader ist nicht ausreichend.
Laut verschiedenen Meldungen ist die Erkennungsrate von Virenscannern noch sehr niedrig (erst 7/41 getesten Virenscannern erkennen wenigstens einen der entsprechenden im Umlauf befindlichen Trojaner).

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung des Internet Storm Centers
http://isc.sans.org/diary.html?storyid=6847
Blog-Eintrag des Adobe Product Security Incident Response Team (PSIRT)
http://blogs.adobe.com/psirt/2009/07/potential_adobe_reader_and_fla.html

Sicherheitslücke im Web-Browser Mozilla Firefox

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Sicherheitslücke im Web-Browser Mozilla Firefox

14. Juli 2009

Sicherheitslücke im Web-Browser Mozilla Firefox

Angesichts der Schwere der Lücke und der großen Anzahl an installierten Firefox-Browsern bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

Die Mozilla Foundation berichtet, daß eine schwere Sicherheitslücken im Just-In-Time (JIT) JavaScript Compiler gefunden wurde. Dieser kann es Angreifern ermöglichen, über speziell präparierte Webseiten beliebigen Schadcode auf dem System auszuführen.

Auswirkungen

Da über diese Lücke bereits öffentlich berichtet wird, ist zu erwarten, daß bald die ersten entsprechend präparierten Webseiten auftauchen und zB per Spam-Mail verbreitet werden.

Betroffene Systeme

Firefox-Browser Version 3.5

Abhilfe

Update auf die aktuelle Version, sobald verfügbar.
Als Workaround kann die JIT-Komponente des JavaScript-Compilers vorübergehend deaktiviert werden, jedoch mit negativen Auswirkungen auf die JavaScript-Performance.
Weiters besteht natürlich auch die Möglichkeit, JavaScript komplett zu deaktivieren.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Mozilla Security Blog
http://blog.mozilla.com/security/2009/07/14/critical-javascript-vulnerability-in-firefox-35/
Meldung beim Internet Storm Center, isc.sans.org
http://isc.sans.org/diary.html?storyid=6796

Erneut kritische Sicherheitslücken in Microsoft Office ActiveX (wird aktiv ausgenützt)

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Erneut kritische Sicherheitslücken in Microsoft Office ActiveX (wird aktiv ausgenützt)

13. Juli 2009

Erneut kritische Sicherheitslücke in Microsoft Office ActiveX (Excel)

Angesichts der Schwere der Lücke, der hohen Verbreitung von Windows und der Tatsache, dass diese laut Microsoft schon aktiv ausgenutzt wird, bittet CERT.at um Beachtung folgenden Hinweises.

Beschreibung

Mittels eines speziell präparierten Excel-Dateien ist es möglich, den folgenden Versionen von Microsoft Windows beliebigen Programmcode unterzuschieben und somit Remote-Code-Execution zu erzielen:

Microsoft Office XP Service Pack 3
Microsoft Office 2003 Service Pack 3
Microsoft Office XP Web Components Service Pack 3
Microsoft Office 2003 Web Components Service Pack 3
Microsoft Office 2003 Web Components for the 2007 Microsoft Office system Service Pack 1
Microsoft Internet Security and Acceleration Server 2004 Standard Edition Service Pack 3
Microsoft Internet Security and Acceleration Server 2004 Enterprise Edition Service Pack 3
Microsoft Internet Security and Acceleration Server 2006
Internet Security and Acceleration Server 2006 Supportability Update
Microsoft Internet Security and Acceleration Server 2006 Service Pack 1
Microsoft Office Small Business Accounting 2006

Auswirkungen

Die starke Verwendung von Excel-Dateien im Geschäftsalltag macht diesen Angriffsweg besonders effizient. Da Angreifer potentiell beliebigen Code auf betroffenen Systemen ausführen können, sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Siehe oben.

Abhilfe

Es gibt derzeit kein Update, da Microsoft einen Patch noch testet. Allerdings hilft ein Quick Fix, den Microsoft bereitgestellt hat - der Quick Fix löscht Registry-Keys. Systemadministratoren, die diesen Schritt lieber selber machen wollen, können dies wie unter Suggested Actions beschrieben mittels Group-Policy im Unternehmen machen.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen (etwa Microsoft Windows, Sun Java, Adobe Flash). Durch diese Vorgehensweise kann die Zeitspanne zwischen der Verfügbarkeit und Installation eines Updates minimiert werden.

Informationsquelle(n):

Microsoft Security Advisory (973472)
http://www.microsoft.com/technet/security/advisory/973472.mspx
Microsoft Fix It For Me Workaround
http://support.microsoft.com/kb/972890

Kritische Sicherheitslücken in Microsoft ActiveX (wird aktiv ausgenützt)

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Kritische Sicherheitslücken in Microsoft ActiveX (wird aktiv ausgenützt)

7. Juli 2009

Kritische Sicherheitslücken in Microsoft ActiveX

Angesichts der Schwere der Lücken, der hohen Verbreitung von Windows und der Tatsache, dass diese Security Lücke in kurzer Zeit auf einschlägigen Hackerforen aufgetaucht ist und schon aktiv ausgenutzt wird, bittet CERT.at um Beachtung folgenden Hinweises.

Beschreibung

Mittels eines speziell präparierten Videos ist es möglich, Windows XP und Windows Server 2003 beliebigen Programmcode unterzuschieben und somit Remote-Code-Execution zu erzielen.

Auswirkungen

Das hohe Verbreitungspotential von Videos am Internet macht diesen Angriffsweg besonders effizient. Da Angreifer potentiell beliebigen Code auf betroffenen Systemen ausführen können, sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Windows XP, Windows Server 2003. Windows Vista und Windows Server 2008 sind nicht betroffen. Allerdings empfiehlt Microsoft auch dort, den Quick Fix einzusetzen.

Abhilfe

Es gibt derzeit kein Update, da Microsoft einen Patch noch testet. Allerdings hilft ein Quick Fix den Microsoft bereitgestellt hat. Der Quick Fix löscht Registry-Keys. Systemadministratoren, die diesen Schritt lieber selber machen wollen, können dies wie unter Suggested Actions beschrieben mittels Group-Policy im Unternehmen machen. Eine weitere Abhilfe stellt das Abschalten von Javascript dar, allerdings werden hierbei viele Webseiten unbenutzbar.

Hinweis

Informationsquelle(n):

Microsoft Security Advisory (972890)
http://www.microsoft.com/technet/security/advisory/972890.mspx
Microsoft Fix It workaround
http://support.microsoft.com/kb/972890

Kritische Sicherheitslücken in Microsoft DirectShow (wird aktiv ausgenützt)

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Kritische Sicherheitslücken in Microsoft DirectShow (wird aktiv ausgenützt)

29. Mai 2009

Kritische Sicherheitslücken in Microsoft DirectShow

Angesichts der Schwere der Lücken, der hohen Verbreitung von Windows und damit von DirectShow und der Tatsache, dass die Lücke schon aktiv ausgenützt wird, bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

Mittels eines speziell präparierten Videos ist es möglich, Windows XP, Windows Server 2003 und Windows 2000 beliebigen Programmcode unterzuschieben und somit Remote-Code-Execution zu erzielen.

Auswirkungen

Die aktuellen Schwachstellen beruhen auf einem Fehler in den Parsing Routinen von Quicktime. Dieser Exploit erlaubt es dem Angreifer, beliebigen Code beim client auszuführen. Das hohe Verbreitungspotential von Videos am Internet macht diesen Angriffsweg besonders stark. Da Angreifer potentiell beliebigen Code auf betroffenen Systemen ausführen können, sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Windows XP, Windows Server 2003, Windows 2000. Vista ist nicht betroffen.

Abhilfe

Es gibt derzeit kein Update. Allerdings hilft ein quick fix. Microsoft empfiehlt, den Registry Key

HKEY_CLASSES_ROOT\\CLSID\\{D51BD5A0-7548-11CF-A520-0080C77EF58A}

zu löschen, um das Lesen von Quicktime Videos zu unterbinden.

Hinweis

Informationsquelle(n):

Microsoft Security Advisory 971778 Blog Artikel
http://blogs.technet.com/msrc/archive/2009/05/28/microsoft-security-advisory-971778-vulnerability-in-microsoft-directshow-released.aspx
Microsoft Security Advisory 971778
http://www.microsoft.com/technet/security/advisory/971778.mspx

Mehrere kritische Sicherheitslücken in Adobe Acrobat Reader

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Mehrere kritische Sicherheitslücken in Adobe Acrobat Reader

29. April 2009

Kritische Sicherheitslücken in Acrobat Reader

Angesichts der Schwere der Lücken, der hohen Verbreitung von Acrobat Reader und dem Fehlen von Updates seitens Adobe bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

Mittels JavaScript ist es möglich, Acrobat Reader beliebigen Programmcode unterzuschieben und somit Remote-Code-Execution zu erzielen. Der Angriffsvektor sind speziell präparierte PDF-Dateien. Da Adobe derzeit kein Update bereitstellt, hilft nur ein Abschalten von JavaScript im Acrobat Reader.

Auswirkungen

Die aktuellen Schwachstellen beruhen auf dem Missbrauch von JavaScript, um beliebigen Schadcode auszuführen. Dies kann in gezielten Attacken durchgeführt werden, indem einem Adressaten per Mail eine solche PDF-Datei geschickt wird. Der Betroffene öffnet das PDF und der Rechner führt somit den Schadcode aus. Allerdings ist sich die IT Security Gemeinde einig, dass es ein kleiner Schritt ist, eine grosse Zahl von Benutzern anzugreifen (PDFs auf Webseiten, Spam Mail).

Betroffene Systeme

Betroffen sind die Versionen 7.0 bis einschließlich 9.1 unter allen Betriebsystemen.

Abhilfe

Da es derzeit keine Patches gibt, wird empfohlen, JavaScript in Acrobat Reader abzuschalten. Man muss dazu in die Einstellungen von Acrobat Reader gehen und dort JavaScript deaktivieren. (Windows: Bearbeiten -> Grundeinstellungen -> JavaScript -> Acrobat JavaScript aktivieren, Mac: Einstellungen -> JavaScript -> JavaScript aktivieren)

Des weiteren besteht auch die Möglichkeit, alternative Software zum Anzeigen von PDF-Dateien zu verwenden.

Hinweis

Informationsquelle(n):

SecurityFocus Meldungen (englisch)
http://www.securityfocus.com/bid/34736/info
http://www.securityfocus.com/bid/34740/info
F-Secure Meldung (englisch)
http://www.f-secure.com/weblog/archives/00001671.html
Heise Meldung
http://www.heise.de/security/Demo-Exploits-fuer-neue-Schwachstellen-im-Adobe-Reader--/news/meldung/136958
Bestätigung von Adobe (englisch)
http://blogs.adobe.com/psirt/2009/04/potential_adobe_reader_issue.html

Kritische Schwachstelle in Microsoft Powerpoint

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Kritische Schwachstelle in Microsoft Powerpoint

3. April 2009

Kritische Schwachstelle in Microsoft Powerpoint

CERT.at ersucht um Beachtung der folgenden Hinweise.

Beschreibung

Durch einen Fehler in Microsoft Powerpoint ist es Angreifern möglich, durch speziell präparierte Dateien beliebigen Code mit den Rechten des Anwenders auszuführen. Es ist nach derzeitigem Wissensstand nicht möglich, solche Attacken ohne Benutzer-Interaktion durchzuführen, dh. ein Angreifer muss den Benutzer dazu bringen, eine speziell präparierte Datei zu öffnen.

Auswirkungen

Da Angreifer potentiell beliebigen Code auf betroffenen Systemen ausführen können, sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Laut Microsoft sind folgende Produkte betroffen:

Microsoft Office PowerPoint 2000 Service Pack 3
Microsoft Office PowerPoint 2002 Service Pack 3
Microsoft Office PowerPoint 2003 Service Pack 3
Microsoft Office 2004 for Mac

Abhilfe

Da es noch keine Patches für dieses Problem gibt, emfpiehlt Microsoft, Office-Dateien aus nicht vertrauenswürdigen Quellen bzw. unerwartet zugesandte (etwa per Email) Office-Dateien nicht zu öffnen.

Eine andere Möglichkeit ist es, MOICE (Microsoft Office Isolated Conversion Environment) zu verwenden, eine Software von Microsoft, die es ermöglicht, "alte" Dateiformate in einer sicheren Sandbox-Umgebung in aktuelle zu konvertieren. Details siehe das Advisory von Microsoft.

Weiters ist es möglich, das Öffnen von "alten" Office-Dateien generell zu deaktivieren, Details bitte wieder dem Advisory von Microsoft zu entnehmen.

Microsoft hat bisher keine Aussagen zu Patches für dieses Problem gemacht. Bitte beachten sie hierzu auch den entsprechenden Punkt unter "Hinweise"!

Hinweise

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Im Fall von Microsoft-Produkten weisen wir darauf hin, dass es in vielen Fällen notwendig ist, zumindest ein Mal manuell die Microsoft-Update-Website zu besuchen, um automatische Updates auch für Microsoft-Produkte ausser dem Betriebssystem Windows - wie Microsoft Office - zu aktivieren.

Informationsquelle(n):

Microsoft Security Advisory (969136) (englisch)
http://www.microsoft.com/technet/security/advisory/969136.mspx
Microsoft-Update Website
http://www.update.microsoft.com/

Sicherheitslücken im Web-Browser Mozilla Firefox

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Sicherheitslücken im Web-Browser Mozilla Firefox

27. März 2009

Sicherheitslücken im Web-Browser Mozilla Firefox

Angesichts der Schwere der Lücken und der hohen Anzahl an installierten Firefox-Browsern bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

Die Mozilla Foundation plant, in einigen Tagen folgende schwere Sicherheitslücken zu beheben:

Fehler in der XSLT-Komponente
der bei der CanSecWest 2009 - Konferenz entdeckte sog. "pwn2own"-Bug

Auswirkungen

Es existiert bereits Proof-of-Concept - Code für den XSLT-Fehler, der den Browser abstürzen lässt, vermutlich kann diese Lücke zum Ausführen beliebigen Schadcodes ausgenutzt werden.
Der sog. "pwn2own"-Bug wurde bei der CanSecWest 2009 - Konferenz benutzt, um Code in den Browser einzuschleusen und in dessen Kontext auszuführen.

Betroffene Systeme

Laut dem Bug-Tracking-System der Mozilla Foundation sind folgende Produkte und Versionen betroffen:

Firefox 3.0.x bis inkl. Version 3.0.7

Abhilfe

Update auf die aktuelle Version 3.0.8, sobald verfügbar - voraussichtlich um den 31.3./1.4. herum

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Bug bei der Mozilla Foundation
https://bugzilla.mozilla.org/show_bug.cgi?id=485217
Proof-of-Concept
http://milw0rm.com/exploits/8285
Mozilla Security Blog
http://blog.mozilla.com/security/2009/03/26/cansecwest-2009-pwn2own-exploit-and-xsl-transform-vulnerability/
Meldung bei Heise Security (deutsch)
http://www.heise.de/security/Exploit-fuer-ungepatchte-Luecke-in-Firefox--/news/meldung/135284

Patch für Adobe Acrobat ist verfügbar

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Patch für Adobe Acrobat ist verfügbar

11. März 2009

Für die aktuelle Schwachstelle von Acrobat - CERT.at berichtete am 20. Februar 2009 - sind jetzt Updates verfügbar. Da die ursprüngliche Verwundbarkeit sich als noch tückischer als vermutet herausgestellt hat, raten wir dazu, die von Adobe zur Verfügung gestellten Updates ehebaldigst zu installieren.

Updates für Adobe Reader 9 und Acrobat 9: http://www.adobe.com/support/security/bulletins/apsb09-03.html

Für die Versionen 7 bzw. 8 hat Adobe das Update für die nächste Woche angekündigt. Linux-User müssen sich noch 2 Wochen gedulden.

Informationsquelle(n):

Adobe
http://www.adobe.com/support/security/bulletins/apsb09-03.html
Heise
http://www.heise.de/security/Adobe-schliesst-kritische-Luecke-in-Reader-und-Acrobat--/news/meldung/134366
CERT.at-Warnung vom 20. März 2009
http://cert.at/warnings/all/20090220.html

Sicherheitslücken im Web-Browser Mozilla Firefox

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Sicherheitslücken im Web-Browser Mozilla Firefox

5. März 2009

Sicherheitslücken in Web-Browser Mozilla Firefox

Angesichts der Lücken und der hohen Anzahl an installierten Firefox-Browsern bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

Die Mozilla Foundation warnt vor mehreren Sicherheitslücken im Web-Browser Firefox, unter anderem:

URL spoofing with invisible control characters
memory safety hazards in PNG library
XML data theft via RDFXMLDataSource and cross-domain redirect
Mozilla Firefox XUL Linked Clones Double Free Vulnerability
MFSA 2009-07 Crashes with evidence of memory corruption

Auswirkungen

Die Auswirkungen dieser Bugs sind teilweise noch nicht bekannt, speziell aber die Speicherprobleme könnten prinzipiell auch zum Ausführen von von beliebigem Code benutzt werden. Mit URL-Spoofing kann dem Anwender vorgetäuscht werden, sich auf einer vermeintlich bekannten und sicheren Seite zu befinden.

Betroffene Systeme

Laut dem Advisory der Mozilla Foundation sind folgende Produkte und Versionen betroffen:

Firefox vor Version 3.0.7

Auch von Firefox abgeleitete Email-Programme wie Mozilla Thunderbird sind von manchen der behobenen Bugs betroffen, sollten jedoch in der Standard-Einstellung sicher sein.

Abhilfe

Update auf die aktuelle Version 3.0.7.

Hinweis

Generell empfiehlt CERT.at, wo möglichh die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software installiert zu haben und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Advisory der Mozilla Foundation
http://www.mozilla.com/en-US/firefox/3.0.7/releasenotes
Meldung des SANS Internet Storm Centers
http://isc.sans.org/diary.html?storyid=5965

Erneut kritische Sicherheitslücke in Adobe Flash-Player

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Erneut kritische Sicherheitslücke in Adobe Flash-Player

26. Februar 2009

Erneut kritische Sicherheitslücke in Adobe Flash-Player bis einschliesslich Version 10.0.12.36.

Wegen der Dringlichkeit und des Umfangs des Problems bittet CERT.at um Beachtung der folgenden Meldung:

Beschreibung

In Versionen des Adobe Flash-Player bis einschliesslich 10.0.12.36 existiert eine Sicherheitslücke, mit der vom Angreifer beliebiger Code auf betroffenen Systemen ausgeführt werden kann.

Auswirkungen

Betroffene Systeme

10.0.12.36 und früher
10.0.15.3 und früher für Linux

Abhilfe

Update des Flash Players auf aktuelle Versionen oder Blockieren von Flash-Dateien auf Firewall/Proxy etc. Updates sind via http://get.adobe.com/de/flashplayer/ verfügbar.

CERT.at weist weiters darauf hin, dass mit den Standard-Einstellungen des Adobe Flash Players ein Check auf neuere Versionen nur alle 30 Tage stattfindet.

Dieses Update behebt natürlich nicht das aktuelle Problem mit dem Adobe Acrobat Reader - dieses ist weiterhin ungepatched und hat grosses Schadpotential, siehe http://www.cert.at/warnings/all/20090220.html.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen (etwa Microsoft Windows, Sun Java, Adobe Flash).

Informationsquelle(n):

Adobe Advisory
http://www.adobe.com/support/security/bulletins/apsb09-01.html
Heise Meldung (deutsch)
http://www.heise.de/security/Adobe-stopft-Flash-Luecke-PDF-Loch-weiterhin-offen-2-Update--/news/meldung/133493

Kritische Schwachstelle in Microsoft Excel

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Kritische Schwachstelle in Microsoft Excel

25. Februar 2009

Kritische Schwachstelle in Microsoft Excel

CERT.at ersucht um Beachtung der folgenden Hinweise.

Beschreibung

Durch einen Fehler in Microsoft Excel ist es Angreifern möglich, durch speziell präparierte Dateien beliebigen Code mit den Rechten des Anwenders auszuführen. Es ist nach derzeitigem Wissensstand nicht möglich, solche Attacken ohne Benutzer-Interaktion durchzuführen, dh. ein Angreifer muss den Benutzer dazu bringen, eine speziell präparierte Datei zu öffnen.

Auswirkungen

Betroffene Systeme

Laut Microsoft sind folgende Produkte betroffen:

Microsoft Office Excel 2000 Service Pack 3
Microsoft Office Excel 2002 Service Pack 3
Microsoft Office Excel 2003 Service Pack 3
Microsoft Office Excel 2007 Service Pack 1
Microsoft Office Excel Viewer 2003
Microsoft Office Excel Viewer 2003 Service Pack 3
Microsoft Office Excel Viewer
Microsoft Office Compatibility Pack for Word, Excel, and PowerPoint 2007 File Formats Service Pack 1
Microsoft Office 2004 for Mac
Microsoft Office 2008 for Mac

Abhilfe

Weiters ist es möglich, das Öffnen von "alten" Office-Dateien generell zu deaktivieren, Details bitte wieder dem Advisory von Microsoft zu entnehmen.

Microsoft hat noch keinen Termin für entsprechende Patches genannt, wir erwarten diesen aber spätestens zum nächsten "Patch-Day" im März - dieses Update sollte dann natürlich sobald wie möglich installiert werden. Bitte beachten sie hierzu auch den entsprechenden Punkt unter "Hinweise"!

Hinweise

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software installiert zu haben und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Microsoft Security Advisory (968272)
http://www.microsoft.com/technet/security/advisory/968272.mspx
Microsoft-Update Website
http://www.update.microsoft.com/

Kritische Schwachstelle in Adobe Acrobat Reader (Updated)

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Kritische Schwachstelle in Adobe Acrobat Reader (Updated)

20. Februar 2009

Kritische Schwachstelle in Adobe Reader

Angesichts der Schwere der Lücke und der hohen Verbreitung von Adobe Acrobat Reader und dem Fehlen von Updates seitens Adobe bittet CERT.at um Beachtung der folgenden Hinweise.

Update 2009/02/25

Laut Informationen von Secunia kann diese Lücke auch ohne Javascript ausgenutzt werden. Die hier (und auch von Adobe) empfohlene Abhilfe bietet daher keinen umfassenden Schutz.

Beschreibung

Mittels Javascript ist es möglich, Adobe Acrobat Reader beliebigen Programmcode unterzuschieben und somit remote code execution zu erzielen. Der Angriffsvektor sind speziell präparierte PDF Dateien. Da Adobe derzeit kein Update bereitstellt, hilft nur ein Abschalten von Javascript im Adobe Acrobat Reader (Bearbeiten -> Grundeinstellungen -> Javacript -> Acrobat JavaScript aktivieren ).

Auswirkungen

CERT.at hat von Attacken erfahren, die derzeit aktiv ausgenutzt werden. Sie beruhen auf Javascript und Heap Spraying, um beliebigen Schadcode auszuführen. Meist wird dies in gezielten Attacken durchgeführt, indem einem Adressaten per Mail eine solche PDF Datei geschickt wird. Der Betroffene öffnet das PDF und der Rechner führt somit den Schadcode aus. Allerdings ist sich die IT Security Gemeinde einig, dass es ein kleiner Schritt ist, eine grosse Zahl von Benutzern anzugreifen (PDFs auf Webseiten, Spam Mail).

Betroffene Systeme

Laut Adobe sind Versionen 9 und darunter betroffen. Die Schwachstelle betrifft alle Betriebsysteme

Abhilfe

Da es derzeit keine Patches gibt, wird empfohlen, Javascript in Adobe Acrobat Reader abzuschalten. Man muss dazu in die Einstellungen von Adobe Acrobat Reader gehen und dort Javascript deaktivieren. (Windows: Bearbeiten -> Grundeinstellungen -> Javacript -> Acrobat JavaScript aktivieren
Mac: Einstellungen -> Javascript -> Javascript aktivieren )

Informationsquelle(n):

Heap Spraying
http://en.wikipedia.org/wiki/Heap_spraying
Meldung von Adobe
http://www.adobe.com/support/security/advisories/apsa09-01.html
Meldung von Heise
http://www.heise.de/security/Zero-Day-Luecke-in-Adobe-Reader-und-Acrobat--/news/meldung/133225
Blogpost von Secunia
http://secunia.com/blog/44/

Erneut kritische Schwachstelle in Typo3

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Erneut kritische Schwachstelle in Typo3

10. Februar 2009

Erneut kritische Schwachstelle in Typo3

Angesichts der Schwere der Lücke und der hohen Anzahl an installierten Typo3 Content-Management-Systemen bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

Praktisch alle Versionen von Typo3 enthalten einen Information-Disclosure Fehler, der es Angreifern erlaubt, beliebige Dateien mit den Rechten des Typo3-Users zu lesen - dies betrifft unter Anderem auch die Datei "localconf.php", welche das Passwort des Installations-Tools sowie den Datenbank-Usernamen/-Passwort enthält.

Auswirkungen

Angreifer können alle Dateien mit den Rechten des Typo3-Users lesen, gegegenfalls in diesen Dateien enthaltene Informationen wie Passwörter, sind daher potentiell als kompromittiert zu betrachten.

Mit Hilfe der so erhaltenen Zugangsdaten kann der Angreifer potentiell auch die Kontrolle über die gesamte Typo3-Installation an sich erlangen und entsprechend Daten verändern bzw. zerstören.

Betroffene Systeme

Laut dem Advisory von Typo3 sind folgende Versionen betroffen:

3.3.x
3.5.x
3.6.x
3.7.x
3.8.x
4.0 bis inklusive 4.0.11
4.1.0 bis inklusive 4.1.9
4.2.0 bis inklusive 4.2.5
4.3alpha1

Abhilfe

Upgrade auf aktuelle Versionen:

4.0-Serie: 4.0.12
4.1-Serie: 4.1.10
4.2-Serie: 4.2.6

Patches für ältere Versionen sind zumindest teilweise auch verfügbar.

Informationsquelle(n):

Meldung von Typo3
http://typo3.org/teams/security/security-bulletins/typo3-sa-2009-002/

Kritische Sicherheitslücken im Web-Browser Firefox

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Kritische Sicherheitslücken im Web-Browser Firefox

04. Februar 2009

Kritische Sicherheitslücken im Web-Browser Firefox

Angesichts der Schwere der Lücken und der hohen Anzahl an installierten Firefox-Browsern bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

Die Mozilla Foundation warnt vor mehreren Sicherheitslücken im Web-Browser Firefox, unter anderem:

Local File Stealing
Arbitrary Code Execution
Cookie Stealing
Privilege Escalation via .desktop Files

Auswirkungen

Da Angreifer dadurch potentiell nicht nur lokale Dateien stehlen, sondern wahrscheinlich auch beliebigen Code auf betroffenen Systemen ausführen können, sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Laut dem Advisory der Mozilla Foundation sind folgende Produkte und Versionen betroffen:

Firefox vor Version 3.0.6

Vermutlich treffen diese Sicherheitslücken auch von Mozilla/Firefox abgeleitete Produkte wie Thunderbird und SeaMonkey - für diese stehen allerdings noch keine Updates zur Verfügung.

Abhilfe

Firefox: Update auf die aktuelle Version 3.0.6
Thunderbird/SeaMonkey: noch keine Updates verfügbar, daher erhöhte Aufmerksamkeit sowie sicherstellen, dass JavaScript nicht fuer Mails aktiviert ist (diese Einstellung ist Default)

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software installiert zu haben und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldungen der Mozilla Foundation
http://www.mozilla.org/security/known-vulnerabilities/firefox30.html
Meldung auf Heise Security
http://www.heise.de/security/Sicherheits-Update-fuer-Firefox--/news/meldung/126855

Kritische Sicherheitslücken im Content-Management-System Typo3

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Kritische Sicherheitslücken im Content-Management-System Typo3

23. Jänner 2009

Kritische Sicherheitslücken in Typo3

Angesichts der Schwere der Lücken und der hohen Anzahl an installierten Typo3 Content-Management-Systemen bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

Versionen von Typo - 4.0.0 bis 4.0.9, 4.1.0 bis 4.1.7, 4.2.0 bis 4.2.3 - enthalten Bugs im Bereich Authentication and Session Management, sowie Probleme mit Cross-Site-Scripting, ungenügende Zufallszahlengenerierung und Remote Command Execution. Besonders das letztere Problem ist besonders schwerwiegend, da es einem Angreifer erlaubt, beliebige System-Kommandos auf betroffenen Systemen auszuführen, meist mit den Rechten des Webserver- bzw. Typo3-Benutzeraccounts.

Auswirkungen

Betroffene Systeme

Laut dem Advisory von Typo3 sind folgende Versionen betroffen:

4.0.0 bis 4.0.9
4.1.0 bis 4.1.7
4.2.0 bis 4.2.3

Abhilfe

Upgrade auf aktuelle Versionen:

4.0-Serie: 4.0.10
4.1-Serie: 4.1.8
4.2-Serie: 4.2.4

Informationsquelle(n):

Meldung von Typo3 (auf Englisch)
http://typo3.org/teams/security/security-bulletins/typo3-sa-2009-001/
Meldung bei TecChannel.de
http://www.tecchannel.de/sicherheit/news/1782988/hoch_kritische_schwachstellen_in_typo3_ausgebessert/

Kritische Schwachstelle in Apple QuickTime für Windows und Mac OS X

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Kritische Schwachstelle in Apple QuickTime für Windows und Mac OS X

22. Jänner 2009

Kritische Sicherheitslücke in Apple QuickTime vor Version 7.6.

Angesichts der hohen Verbreitung der Multimediasoftware Apple QuickTime (Komponente von Mac OS und Systemerweiterung für Microsoft Windows) bittet CERT.at um Beachtung der folgenden Hinweise:

Beschreibung

Versionen von Apple QuickTime älter als 7.6 enthalten Fehler, die beim Abspielen von entsprechend präparierten Multimediadateien zum Einschleusen und Ausführen von Code ausgenützt werden können. Diese können in Webseiten enthalten sein oder über Email, Tauschbörsen, ... verbreitet werden.

Auswirkungen

Betroffene Systeme

Laut Apple sind sowohl die Versionen für Microsoft Windows (die z.B. mit iTunes oder als Browserplugin installiert wird) als auch für Mac OS betroffen.

Abhilfe

Nutzen Sie die Auto-Update Funktion des QuickTime Players (Hilfe->"Vorhandene Software aktualisieren") oder installieren Sie das Update direkt von Apple:

Anmerkung für Windows-User: Die Autoupdate Funktion scheint noch nicht verlässlich das Update anzubieten. Überprüfen sie daher Ihre Version mit Hilfe->"Über QuickTime Player".

Informationsquelle(n):

Meldung von Apple (auf Englisch)
http://support.apple.com/kb/HT3403
Meldung bei Heise Security
http://www.heise.de/security/Update-fuer-QuickTime-schliesst-zahlreiche-Luecken--/news/meldung/122139
Information zu Apple QuickTime auf Apple.com
http://www.apple.com/at/quicktime/
Information zu Apple QuickTime auf Wikipedia
http://de.wikipedia.org/wiki/QuickTime

Update: CERT.at Empfehlungen zur Abwehr des Wurms Conficker

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Update: CERT.at Empfehlungen zur Abwehr des Wurms Conficker

14. Jänner 2009

CERT.at Empfehlungen zur Abwehr des Wurms Conficker

Aufgrund des Auftretens des Conficker.B/Downadup Wurms in teilweise kritischen Umgebungen wie Behörden und Spitälern empfiehlt CERT.at dringend die Beachtung der folgenden Hinweise, die unsere Warnung vom 10. Jänner 2009 (http://www.cert.at/warnings/all/20090110.html) ergänzen:

Generell gilt, dass ein Einspielen des Patches zu MS08-067 vom Oktober 2008 keinen ausreichenden Schutz darstellt, da der Wurm auch andere Methoden zur Ausbreitung nutzt.

CERT.at empfiehlt folgende präventive Maßnahmen:

Aktuelle Patches einspielen, insbesondere das Update zu MS08-067 http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx
Sorgen Sie für eine aktuelle Antivirensoftware.
Abdrehen von Autorun für alle externen Datenträger http://support.microsoft.com/kb/953252/de
Shares sollten dringend mit nicht-trivialen Passwörtern gesichert sein
Aktivieren Sie Password Complexity für lokale Accounts http://technet.microsoft.com/de-de/library/cc786468.aspx

Mittlerweile haben mehrere Hersteller von Antivirensoftware nicht nur ihre Erkennungssoftware aktualisiert, sondern stellen auch Tools zur Entfernung des Wurms zum Download bereit.

Microsoft hat ein Update des "Malicious Software Removal Tools" MSRT publiziert, das auch über Windows Update verteilt wird. Da der Wurm diesen Mechanismus unterbindet empfiehlt CERT.at, dieses Tool von Hand zu laden und zu starten.

Siehe http://www.microsoft.com/austria/security/malwareremove/default.mspx

Das MSRT sollte insbesondere auf private PCs ausgeführt werden, und zwar unabhängig vom Lizenzstatus der Windowsinstallation.

Falls Ihr Firmennetz betroffen ist:

Deaktivieren Sie die automatische Benutzerkontensperre bei Login-Fehlversuchen, um das Aussperren von Benutzern zu verhindern.
Loggen Sie sich auf keinen Fall als Domain Administrator auf einem infizierten PC ein, da der Wurm dann Ihre Credentials zur Ausbreitung nutzen kann.
Scheuen Sie sich nicht, den Hersteller ihres Antivirenproduktes zu kontaktieren und um Hilfe zu bitten. Die Entwurmung von größeren Netzen ist nicht trivial.
Betreiber von kritischer Infrastruktur können sich bei Bedarf auch an CERT.at wenden; wir können Experten vermitteln.

Allgemeine Lage in Österreich

Die finnische Security-Firma F-Secure hat den Algorithmus geknackt, nach dem der Wurm die Domains berechnet, von denen er weiteren Code nachlädt. Diese Liste ist auf http://www.f-secure.com/weblog/archives/00001578.html verfügbar. Mit Hilfe dieser Liste können Systemverwalter a) das Nachladen von Schadcode verhindern, und b) Infektionen innerhalb des eigenen Netzes schnell erkennen.

F-Secure hatte am Wochenende einige der berechneten Domain selber registriert und so gesehen, von welchen IP-Adressen aus infizierte PCs Software nachladen wollten. Siehe http://www.f-secure.com/weblog/archives/00001579.html

Die Zahlen belegen, dass es sich um ein globales Phänomen handelt, und nicht um eine auf österreich (oder gar auf Kärnten) gerichtete Kampagne.

Symantec hat vergleichbares für die Conficker.A Variante gemacht und die Windows-Versionen aufgeschlüsselt. Siehe https://forums.symantec.com/t5/blogs/blogarticlepage/blog-id/malicious_code/article-id/224 und https://forums.symantec.com/t5/blogs/blogarticlepage/blog-id/malicious_code/article-id/225

Nach den vorliegenden Informationen enthält der Wurm aktuell keine direkten Schadensroutinen, sondern versucht weiteren Code nachzuladen. Es ist derzeit nirgendwo publiziert, was da eigentlich nachgeladen wird, primär weil die Webadressen, die probiert werden, schlicht (noch) nichts liefern.

Für die Schreiber des Wurms ist es damit möglich, zeitgesteuert beliebigen Code nachladen zu lassen. Was dieser dann tun wird, kann nicht vorhergesagt werden.

Informationsquelle(n):

Technet
http://blogs.technet.com/kfalde/archive/2009/01/08/malware-win32-conficker-b-w32-downadup-b.aspx
Technet
http://blogs.technet.com/rhalbheer/archive/2009/01/13/additional-information-on-conficker-msrt-removing-conficker.aspx
Technet
http://blogs.technet.com/gerhardg/archive/2009/01/14/entfernen-von-conficker-b.aspx
F-Secure
http://www.f-secure.com/weblog/archives/00001580.html
F-Secure
http://www.f-secure.com/v-descs/worm_w32_downadup_al.shtml

Computerwurm bedroht Behörden- und Firmennetzwerke

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Computerwurm bedroht Behörden- und Firmennetzwerke

10. Jänner 2009

Wegen der Dringlichkeit und des Umfangs des Problems bittet CERT.at um Beachtung der folgenden Meldung.

Computerwurm bedroht Behörden- und Firmennetzwerke

CERT.at bittet um erhöhte Vorsicht, auch wenn der Patch zu MS08-067 eingespielt wurde.

Beschreibung

Die im November von Microsoft gefundene und gepatchte Schwachstelle im RPC-Dienst von Microsoft Windows wird aktiv von Schadsoftware ausgenutzt. Innerhalb eines LANs nutzt der Wurm dann auch andere Methoden zur Weiterverbreitung.

Auf diese Art wurden in der letzten Woche die IT mehrerer grösserer österreichischer Organisationen lahmgelegt.

Einschätzung

Risiko: steigend
Potential: sehr hoch

Hintergrund

Microsoft hatte schon im initialen Advisory im Oktober darauf hingewiesen, dass diese Schwachstelle das Potential hat, von einem Wurm zur Verbreitung genutzt zu werden. Es ist daher kein Fehlverhalten von Benutzern nötig, damit der Wurm weitere PCs infiziert.

Die aktuell im Umlauf befindlichen Würmer kombinieren die Ausnutzung von MS08-067 mit traditionellen Fortpflanzungstechniken wie das Durchprobieren von Passwörtern oder das Ablegen von Kopien in Shares.

Diese Kombination von Verbreitungsmethoden hat dazu geführt, dass es der Wurm geschafft hat, sich auch in geschützten Umgebungen auszubreiten. Dazu ist es nur nötig, dass ein einziges infiziertes System innerhalb des LANs aktiv wird.

Eine reine Sicherung der Netzwerkgrenzen ist daher nicht genug, wenn Laptops oder alternative Netzzugänge (UMTS, ...) Löcher in diesen Verteidigungsring brechen.

Auswirkungen

Der Wurmcode selber enthält (nach den bislang bekannten Information) keine Schadfunktion, er lädt aber aus dem Internet Programme nach und startet diese. Schadfunktion (z.B. Keylogger, Spamversand, ...) können daher nicht ausgeschlossen werden.

Als Seiteneffekt der Fortplanzungsversuche kann es auch zu gesperrten Accounts (wegen des Passwortratens) und hoher Last auf den internen Servern kommen.

Empfehlungen

Aktualisieren Sie Ihre Windows-Installationen, insb. sollte MS08-067 eingespielt sein.
Überprüfen Sie den Stand Ihrer Antiviren-Software. Insbesondere ist es wichtig, dass auch das RAM gescannt wird, da bei der Ausbreitung per RPC Dienst der Wurm gar nicht auf die Platte geschrieben wird.
Sorgen sie für nicht-triviale Passwörter.
Achten Sie darauf, dass mobile Geräte (z.B. Laptops) oder Datenträger (z.B. USB-Sticks) nicht den Wurm in Ihr Netz tragen.
Deaktivieren Sie Autorun für externe Datenträger.
Erhöhtes Monitoring Ihres Netzes, etwa:
- Beobachten Sie die Namensauflösungen der Clients: der Wurm frägt bestimmte Domains ab. (Siehe Links)
- Beachten Sie Meldungen zu fehlgeschlagenen Logins
- Beobachten Sie ihrer Proxy-logs: die nachgeladene Software kommt derzeit von bekannten Domainnamen.

Informationsquelle(n):

Microsoft
http://www.microsoft.com/security/portal/Entry.aspx?name=Worm:Win32/Conficker.A
Microsoft
http://www.microsoft.com/security/portal/Entry.aspx?name=Worm:Win32/Conficker.B
F-Secure
http://www.f-secure.com/weblog/archives/00001574.html
F-Secure
http://www.f-secure.com/weblog/archives/00001576.html
F-Secure
http://www.f-secure.com/v-descs/worm_w32_downadup_al.shtml
Internet Storm Center (SANS)
http://isc.sans.org/diary.html?storyid=5653
Computer Associates (CA)
http://www.ca.com/at/securityadvisor/virusinfo/virus.aspx?id=75911
Computer Associates (CA)
http://www.ca.com/us/securityadvisor/virusinfo/virus.aspx?id=76852
Symantec
http://www.symantec.com/security_response/writeup.jsp?docid=2008-112203-2408-99&tabid=1

Kritische Sicherheitslücke im Internet Explorer erlaubt remote code execution

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Kritische Sicherheitslücke im Internet Explorer erlaubt remote code execution

12. Dezember 2008

Wegen der Dringlichkeit und des Umfangs des Problems bittet CERT.at um Beachtung der folgenden Meldung:

UPDATE (17.12.2008): Out of Band Patch von Microsoft

Microsoft hat am Mittwoch, 17.12.2008 einen Patch veröffentlicht. Man beachte den Microsoft technet blog für Updates. CERT.at empfiehlt, den Patch per Autoupdate einzuspielen.

Beschreibung

In Versionen des Internet Explorers bis einschliesslich Beta 8 existiert eine Sicherheitslücke beim Parsen von XML Texten, die dazu führen kann, daß beliebiger Code beim Besuch von präparierten Webseiten mit den Rechten des angemeldeten Benutzers ausgeführt wird (CVE-2008-4844) und die Kontrolle über den Rechner erlangt werden kann. Microsoft hat hierzu eine Warnung herausgegeben.

Einschätzung

Risiko: steigend
Potential: sehr hoch

Hintergrund und Dimension

Eine Schwachstelle im Verarbeiten von XML Texten erlaubt es einem Angreifer, Code in den Rechner einzuschleusen. Sobald ein Benutzer auf eine manipulierte Webseite geht, wird ohne Vorwarnung der Schadcode durch die bekannt gewordene Lücke im Internet Explorer auf dem Rechner des Opfers ausgeführt. Meist wird dabei als erster Schritt andere Schadsoftware nachgeladen.

CERT.at weist darauf hin, dass bei ähnlichen Schwachstellen in der Vergangenheit die Angreifer auf verschiedenen Wege versucht haben, Nutzer auf ihre Seiten zu locken. Weiters wurde verstärkt versucht, über Schwachstellen in populären seriösen Webseiten (etwa per SQL-Injection oder Cross-Site Scripting) entsprechende Code-Fragmente einzubauen.

Obwohl die Sicherheitslücke gestern schon bekannt war, hat sich CERT.at entschlossen, gestern noch keine Warnung herauszugeben da nach allen bekannten Analysen nur chinesische Webseiten betroffen waren. Es wurde hierbei nur ein Gamekeylogger installiert. Durch das Auftauchen des Codes auf milw0rm.com sieht CERT.at allerdings die Gefährdung akut gesteigert. Wir erwarten in Zukunft somit Attacken auch ausserhalb Chinas.

Auswirkungen

Betroffene Systeme

Alle üblicherweise verwendete Versionen des Internet Explorers

Abhilfe

Es wird empfohlen, die Sicherheitsstufe im Internet Explorer auf "Hoch" zu setzen und die Schritte in der Microsoft Warnung zu befolgen. Da dies allerdings die Bedienbarkeit bestehender Webseiten, die Javascript verwenden, massiv beeinträchtigen kann, empfiehlt CERT.at bis zur Bereitstellung eines Patches seitens Microsoft, alternative Browser zu verwenden.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall Software installiert zu haben und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Microsoft Warnung
http://www.microsoft.com/technet/security/advisory/961051.mspx
ISC Internet Storm Center SQL Injection code
http://isc.sans.org/diary.html?storyid=5464
ISC Internet Storm Center SQL IE6 und IE8 betroffen
http://isc.sans.org/diary.html?storyid=5470

Kritische Sicherheitslücke in Adobe Reader und Acrobat Professional

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Kritische Sicherheitslücke in Adobe Reader und Acrobat Professional

5. November 2008

Kritische Sicherheitslücke in Adobe Reader bis einschliesslich Version 8.1.2.

Wegen der Dringlichkeit und des Umfangs des Problems bittet CERT.at um Beachtung der folgenden Meldung:

Beschreibung

In Versionen des Adobe Reader bis einschliesslich 8.1.2 existiert eine Sicherheitslücke, mit der vom Angreifer beliebiger Code auf betroffenen Systemen ausgeführt werden kann (CVE-2008-4812, CVE-2008-4813, CVE-2008-2992, CVE-2008-4817) und die Kontrolle über den Rechner erlangt werden kann. Diese Lücke betrifft genauso Adobe Acrobat Professional (Professional, 3D, and Standard) bis zur Version 8.1.2 . Adobe hat eine detaillierte Warnung herausgegeben.

Auswirkungen

Betroffene Systeme

PDF und damit Adobe Acrobat und Reader sind häufig verwendete Formate und Programme für den elektronischen Schriftverkehr. Adobe stellt Updates für Mac OS X und Windows Systeme zur Verfügung.

Abhilfe

Update des Adobe Readers oder Adobe Acrobat auf Version 8.1.3 oder 9 oder Blockieren von PDF Dateien auf Firewall/Proxy etc. Updates sind via http://www.adobe.com/support/security/bulletins/apsb08-19.html verfügbar.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen (etwa Microsoft Windows, Sun Java, Adobe Flash). Falls Sie das Update manuell downloaden, empfehlen wir, ausschließlich den oben angegebenen Link zu verwenden!

Informationsquelle(n):

Adobe Advisory
http://www.adobe.com/support/security/bulletins/apsb08-19.html
Heise Meldung (deutsch)
http://www.heise.de/security/Mehrere-kritische-Luecken-im-Adobe-Reader-8-und-Acrobat-8-geschlossen--/news/meldung/118413
US-CERT Meldung zu APSB08-19
http://www.kb.cert.org/vuls/byid?searchview&query=APSB08-19

Kritische Sicherheitslücke im RPC-Dienst von Microsoft Windows

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Kritische Sicherheitslücke im RPC-Dienst von Microsoft Windows

24. Oktober 2008

Kritische Sicherheitslücke im RPC-Dienst von Microsoft Windows

Wegen des Schadens-Potentials des Problems bittet CERT.at um Beachtung der folgenden Meldung:

Beschreibung

In den aktuellen Versionen von Microsoft Windows (Details siehe Meldung von Microsoft) gibt es eine Sicherheitslücke, die sich durch präparierte RPC-Requests von aussen ausnutzen lässt, und durch die potentiell beliebiger Code in das System eingeschleust werden kann.

Es gibt auch erste Hinweise darauf, dass versucht wird, diese Lücke aktiv auszunutzen.

Auswirkungen

Microsoft weist auch darauf hin, dass diese Lücke theoretisch das Potential hat, von einem Wurm wie "MSBlaster" (Wikipedia-Eintrag) ausgenutzt zu werden, und hat deshalb entsprechende Patches ausserhalb des gewohnten Update-Zyklus zur Verfügung gestellt.

Betroffene Systeme

Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003
Microsoft Windows Vista
Microsoft Windows Server 2008

Details zu verwundbaren Patch-Levels/Service-Packs siehe www.microsoft.com/technet/security/Bulletin/MS08-067.mspx.

Hinweis

Es sollte beachtet werden, dass auch hinter Firmen-Firewalls befindliche Systeme bzw. solche, die die Default-Firewall aktiv haben, nicht unbedingt auf Dauer sicher sind, da es durchaus vorstellbar ist, dass entsprechend präparierte Angriffe auf anderen Wegen als direkt über das Internet eingeschleust werden können.

Abhilfe/Workarounds

Einspielen der von Microsoft zur Verfügung gestellten Patches.
Dies geschieht für Windows-Systeme am einfachsten über einen Besuch der "Windows Update"-Webseite unter: windowsupdate.microsoft.com.

Als Erst-Massnahme (bis etwa die aktuellen Patches auf Betriebssicherheit getestet wurden) kann auch sichergestellt werden, dass der RPC-Dienst nicht von aussen erreichbar ist, dies ist jedoch keine dauerhafte Lösung des Problems.

Weiters kann der "Computer Browser Service" deaktiviert werden, Details siehe Meldung von Microsoft. Dies kann jedoch je nach Setup Auswirkungen auf die gewünschte Funktionalität des Systems bzw. der Umgebung haben.

Allgemeiner Hinweis zu Updates

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen (etwa Microsoft Windows, Sun Java, Adobe Flash).

CERT.at-Policy zu Warnungen

Wir weisen darauf hin, dass CERT.at nur vor besonders kritischen Sicherheitslücken warnt, die ernsthafte Auswirkungen auf das Internet bzw. grosse Teile der in Österreich installierten Systeme haben können. Reguläre Updates - etwa von Microsoft jeden 2. Dienstag im Monat (sog. "Patch Tuesday") zur Verfügung gestellt - werden von uns nicht extra aufgeführt.

Informationsquelle(n):

Microsoft Advisory
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
Heise Meldung (deutsch)
http://www.heise.de/security/Microsoft-patcht-kritische-Luecke-im-RPC-Dienst--/news/meldung/117867
SANS Internet Storm Center Meldung
http://isc.sans.org/diary.html?storyid=5227

Kritische Sicherheitslücke in Adobe Flash-Player

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Kritische Sicherheitslücke in Adobe Flash-Player

17. Oktober 2008

Kritische Sicherheitslücke in Adobe Flash-Player bis einschliesslich Version 9.0.124.0.

Wegen der Dringlichkeit und des Umfangs des Problems bittet CERT.at um Beachtung der folgenden Meldung:

Beschreibung

In Versionen des Adobe Flash-Player bis einschliesslich 9.0.124.0 existiert eine Sicherheitslücke, mit der vom Angreifer beliebiger Code auf betroffenen Systemen ausgeführt werden kann. Weiters wurden mit der aktuellen Version 10.0.12.36 auch Bugs bez. ClickJacking und einer potentiellen Port-scanning Lücke behoben.

Auswirkungen

Betroffene Systeme

Abhilfe

Update des Flash Players auf Version 10.0.12.36 oder Blockieren von Flash-Dateien auf Firewall/Proxy etc. Updates sind via http://www.adobe.com/shockwave/download/download.cgi?P1_Prod_Version=ShockwaveFlash verfügbar.

ACHTUNG

Sucht man derzeit mit Google nach "flash player", so führt einer der angebotenen Links (www.flash-player-10.com) zu Downloads, die Schadsoftware enthalten. Nutzen Sie daher bitte den oben angegebenen Link!

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen (etwa Microsoft Windows, Sun Java, Adobe Flash).

Informationsquelle(n):

Adobe Advisory
http://www.adobe.com/support/security/bulletins/apsb08-18.html
Heise Meldung (deutsch)
http://www.heise.de/security/Kritische-Sicherheitsluecken-in-Adobe-Flash-9--/news/meldung/117496
Informationen zur ClickJacking-Lücke
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-4503
Informationen zur Port-scanning - Lücke
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2007-4324

CERT.at publiziert DNS Bericht zur Lage in Österreich bzgl. Cache Poisoning.

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

CERT.at publiziert DNS Bericht zur Lage in Österreich bzgl. Cache Poisoning.

24. Juli 2008 Angriffscode wurde veröffentlicht -- CERT.at publiziert Bericht zur DNS-Sicherheitslage in Österreich

Zusammenfassung

Schwerwiegende Sicherheitslücke im Domain Name System (DNS) des Internets entdeckt und automatisiert angreifbar geworden. CERT.at empfiehlt, rekursive DNS Server jetzt zu aktualisieren.

Die Diskussion um Dan Kaminsky's Entdeckung einer schwerwiegenden Schwachstelle im DNS System hat eine neue Wendung bekommen: während noch vor kurzem davon auszugehen war, dass Internet Service Provider (ISPs) und Firmen bis zum 6.August Zeit hatten, ihre rekursiven DNS Server zu patchen, verkürzte sich diese Zeitspanne nunmehr auf "bis gestern" nachdem Matasano die Details zu dem Angriff veröffentlichte. Wenig später nur war der Angriff schon automatisiert in Metasploit implementiert.

Untersuchungen von CERT.at zeigen, dass etwa 2/3 der aller rekursiven DNS Server in Österreich derzeit verwundbar sind.

Update, 28. 7. 2008:
Aktuelle Daten zeigen zwar leichte Fortschritte, es sind aber immer noch mehr als die Hälfte aller Server verwundbar.

Hintergrund

DNS (Domain Name System) ist das zentrale System im Internet, um eine Zuordnung von domains (wie zB www.google.com) zu IP Adressen (Internet Adressen) zu gewährleisten.

Die Schwachstelle im DNS System attackiert über sogenanntes "cache poisoning" zentrale DNS Server. Angreifern ist es somit möglich, eine gefälschte Antwort für DNS Anfragen in zentrale DNS Server einzuschmuggeln.

Während ein Internet Bentuzer einfach nur auf die Seite "www.meinebank.at" gehen will, kann der DNS Server schon eine falsche Antwort in seinem Zwischenspeicher ("cache") haben und in Wirklichkeit auf "www.boesercracker.com" zeigen. Der Internet Benutzer merkt hiervon nichts.

CERT.at hat die Situation aller DNS Server in Österreich untersucht und kommt zu dem Ergebniss, dass mind. zwei drittel aller DNS Server in Österreich angreifbar sind.

Im Zusammenspiel mit der mittlerweile automatisierbarene Angriffsmöglichkeit via Metasploit, möchten wir die Öffentlichkeit eindringlich erinnern, sämtliche DNS Server auf neuere Versionen aktualisieren.

Es wurde daher notwendig, alle verfügbaren Verteidigungsmechanismen einzusetzen, dazu gehört auch Source Port Randomization. Dieses Feature wurde in der letzten Zeit in Nameserversoftware eingebaut.

Abhilfe

Was kann gegen das Problem unternommen werden?

Überprüfen Sie, ob der DNS Server, den Sie verwenden angreifbar ist. (Linux Benutzer können dies auch mit dig +short porttest.dns-oarc.net TXT machen)
Falls Ihr DNS Server verwundbar ist, aktualisieren Sie ihn jetzt.
Falls Sie den DNS Server nicht updaten können, informieren Sie ihren Systemadministrator.

Informationsquelle(n):

CERT.at advisory
http://cert.at/warnings/all/20080708.html
BIND Nameserver
http://www.isc.org/index.pl
Leak pastebin
http://amd.co.at/dns.htm
Exploit veroeffentlicht
http://blogs.zdnet.com/security/?p=1545
CERT report
http://www.cert.at/
Cache poisoning
http://de.wikipedia.org/wiki/Cache_Poisoning
Bind updates
http://www.isc.org/sw/bind/
Dan Kaminksy's DNS checker test
http://www.doxpara.com/
Dan Kaminsky's initialer Bericht
http://www.doxpara.com/?p=1162
CERT.org Bericht
http://www.kb.cert.org/vuls/id/800113
Leak pastebin
http://amd.co.at/dns.htm
exploit published
http://blogs.zdnet.com/security/?p=1545
Dan Kaminsky's test
http://www.doxpara.com/
background on hackers finding out *everything* if they want to
http://searchsecurity.techtarget.com.au/articles/25718-What-we-can-all-learn-from-how-the-DNS-flaw-was-handled

Sun Java Remote Vulnerabilities

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Sun Java Remote Vulnerabilities

13. Juli 2008 Sun Java Remote Vulnerabilities

Zusammenfassung

US-CERT berichtet von neuen schwerwiegenden Schwachstellen in Sun Java, die es Angreifern ermoeglicht, mittels speziellen Websites, Untrusted Java Applets auf eine lokale Maschine einzuschleusen, dort ungehindert Netzwerkverbindungen zu oeffnen und Dateien zu lesen, zu schreiben und evt. auch auszufuehren.

Laut US-CERT wird ein Upgrade dringend empfohlen.

Auswirkungen

Mittels spezieller Websites ist es moeglich, Java Applets mit Schadcode auf den lokalen Rechner zu installieren, der ohne Sicherheitscheck lesend und schreibend auf Dateien und Netzwerkressourcen zugreifen darf.

Betroffene Systeme

Ein Grossteil aller installierten Client-Systeme mit Webbrowser hat auch Sun JRE installiert, im geschaeftlichen Umfeld aus Kompatibilitaetsgruenden mit geschaeftlichen Anwendungen oft veraltete Versionen.

Sun JDK und JRE 6 Update 6 und fruehere
Sun JDK und JRE 5.0 Update 16 und fruehere
Sun SDK und JRE 1.4.2_17 und fruehere
Sun SDK und JRE 1.3.1_22 und fruehere

Java Implementationen / JREs anderer Hersteller sind hiervon nicht betroffen.

Abhilfe

US-CERT empfiehlt, folgende Patches einzuspielen oder Java zumindest im Webbrowser komplett zu deaktivieren.

Java im Webbrowser deaktivieren: http://www.us-cert.gov/reading_room/securing_browser/

Patches von Sun:

JDK and JRE 6 Update 7
JDK and JRE 5.0 Update 16
SDK and JRE 1.4.2_18
SDK and JRE 1.3.1_23

http://java.sun.com/javase/downloads/index.jsp

Informationsquelle(n):

US-CERT Advisory
http://www.us-cert.gov/cas/techalerts/TA08-193A.html

Angriffe auf die Caches von DNS Resolvern.

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Angriffe auf die Caches von DNS Resolvern.

8. Juli 2008 Angriffe auf die Caches von DNS Resolvern.

Zusammenfassung

Es wurde ein neuer Angriff auf die Integrität von Caches von Nameservern bekannt, der das Einschleusen von falschen Daten deutlich vereinfacht.

Für die meiste Nameserversoftware haben die Hersteller Updates herausgegeben, die mittels "Source Port Randomization" die Erfolgswahrscheinlichkeit dieses Angriffs minimieren.

Es wird dringend empfohlen, diese Updates einzuspielen. Details zu dem Angriff werden in den nächsten Wochen publik, und dann ist mit massiven Angriffsversuchen zu rechnen.

Autoritative Nameserver sind davon nicht betroffen.

Beschreibung

Das Domain Name System sorgt für die Auflösung von Domainnamen zu IP Adressen und anderen Adressierungsinformationen im Internet.

Recursive (Caching) Nameserver ("Resolver") nehmen Anfragen von Clients entgegen, fragen die relevanten autoritativen Nameserver und leiten die Antworten an die Kunden weiter. Antworten werden auch zwischengespeichert und für andere Anfragen wiederverwendet.

Es ist seit längerem bekannt, dass sich diese Caches durch gezieltes Fälschen von Antwortpaketen manipulieren lassen. Siehe etwa draft-ietf-dnsext-forgery-resilience.

Das neu entdeckte Angriffsmuster reduziert den Aufwand für einen erfolgreichen Angriff signifikant. Damit ist dies keine theoretische Schwachstelle mehr; "cache poisoning" ist somit machbar geworden.

Auswirkungen

Ein erfolgreichen Cache Poisoning Angriff führt dazu, dass der Nameserver falsche Daten an seine Clients liefert. Ist der Nameserver der eines grossen ISPs oder einer grösseren Organisation, so kann ein einzelner erfolgreicher Angriff viele Clients betreffen.

Falsche DNS Antworten bewirken typischerweise, dass falsche IP Adressen für nachfolgenden Verbindungen verwendet werden. Das kann unter anderem folgende Auswirkungen haben:

Denial of Service
Webbrowser werden auf falsche Webserver geleitet.
Ausgehende Mail wird an falsche Mailserver übergeben.
Webbrowser nutzen auf falsche Proxyserver
...

Betroffene Systeme

Direkt alle recursive Nameserver, indirekt alle deren Clients da diese den Antworten ihrer Nameserver vertrauen.

Abhilfe

Aktuelle Versionen von Nameserversoftware minimieren die Chancen eines Angreifers. Ein Upgrade und das Aktivieren von Source Port Randomization ist daher dringend angeraten.

Für BIND siehe:
http://www.isc.org/index.pl?/sw/bind/bind-security.php
http://www.debian.org/security/2008/dsa-1603

Für Microsoft siehe:
http://www.microsoft.com/technet/security/bulletin/ms08-037.mspx

Für Nominum CNS siehe:
http://nominum.com/asset_upload_file741_2661.pdf

Bei PowerDNS, MaraDNS und Unbound ist das schon jetzt Standard, es sind keine Updates nötig.

Update (2008/07/24)

Details zu diesem Angriff sind jetzt publik geworden, und Code zum Ausnutzen der Schwachstelle wurde auch schon publiziert. Wir raten daher dringendst, die empfohlenden Updates einzuspielen.

CERT.at hat einen Report über den Status der Absicherung der Nameserver veröffentlicht.

Informationsquelle(n):

US-CERT Advisory
http://www.kb.cert.org/vuls/id/800113
Securosis Blog
http://securosis.com/2008/07/08/dan-kaminsky-discovers-fundamental-issue-in-dns-massive-multivendor-patch-released/

Kritische Schwachstelle in Adobe Flash Player vor Version 9.0.124.0

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Kritische Schwachstelle in Adobe Flash Player vor Version 9.0.124.0

30. Mai 2008

Kritische Sicherheitslücke in Adobe Flash Player vor Version 9.0.124.0.

Die einschlägigen Medien haben schon ausführlich berichtet, ob der Dringlichkeit und des Umfangs des Problems bittet CERT.at nochmals um Beachtung der folgenden Hinweise:

Beschreibung

In Versionen des Adobe Flash Player älter als 9.0.124.0 wird eine Lücke im Adobe Flash Player aktiv ausgenutzt, mit der vom Angreifer beliebiger Code auf betroffenen Systemen ausgeführt werden kann.

Auswirkungen

Betroffene Systeme

Abhilfe

Update des Flash Players auf Version 9.0.124.0 oder Blockieren von Flash-Dateien auf Firewall/Proxy etc. Updates sind via http://www.adobe.com/shockwave/download/download.cgi?P1_Prod_Version=ShockwaveFlash verfügbar

Informationsquelle(n):

Meldung des Adobe PSIRT
http://blogs.adobe.com/psirt/2008/05/potential_flash_player_issue.html
Meldung bei Heise Security (Deutschsprachig)
http://www.heise.de/security/Kritische-Schwachstelle-im-Flash-Player-wird-aktiv-ausgenutzt-Update--/news/meldung/108560

Sicherheitsproblem mit OpenSSL/OpenSSH

CERT.at — Mon, 15 Apr 2013 14:16:03 GMT

Sicherheitsproblem mit OpenSSL/OpenSSH

15. Mai 2008

Das Debian Projekt hat eine Warnung zu einem Sicherheitsproblem mit OpenSSL/OpenSSH veröffentlicht.

Die einschlägigen Medien haben schon ausführlich berichtet, ob der Dringlichkeit und des Umfangs des Problems bittet CERT.at nochmals um Beachtung der folgenden Hinweise:

Beschreibung

Die unter Debian erzeugten OpenSSH und OpenSSL Keys waren verwundbar, da die vom Pseudo Random Number Generator erzeugten Zufallszahlen nicht wirklich zufällig waren.

Auswirkungen

Dies bedeutet, dass gewisse SSH Keys und OpenSSL Zertifikate für einen Angreifer erratbar und die damit verschlüsselten Nachrichten entschlüsselbar sind.

Damit ist die Serverauthentizitätsprüfung mittels Hostkeys und die Userauthentisierung durch SSH Authorized Keys nicht mehr sicher.

Betroffene Systeme

Der Fehler betrifft OpenSSL ab Version 0.9.8c-1, diese wurde 17. 9. 2006 von Debian veröffentlicht und auch von abgeleiteten Linux-Distributionen wie Ubuntu oder Knoppix übernommen. Die alte "stable" Version "sarge" ist nicht betroffen.

Der Fehler betrifft die Erzeugung von Schlüsseln: wo diese dann eingesetzt werden spielt keine Rolle. Ein simpler Update der Software löst das Problem daher nicht: es müssen auch alle mit den besagten Versionen erstellten Schlüssel ersetzt werden!

Abhilfe

Es wird dringend empfohlen, die von Debian und Ubuntu bereitgestellten Patches zu installieren.
Siehe http://www.debian.org/security/2008/dsa-1571, http://www.debian.org/security/2008/dsa-1576 und http://www.ubuntu.com/usn/usn-612-1.

Hintergrund

Ursprünglich haben die Debian Entwicker einen Funktionsaufruf in OpenSSL entfernt, der die Zufallszahlen durchmischen sollte, weil das Analysetool 'valgrind' ziemlich viele Warnungen wegen nicht initialisierter Variablen aufwarf. Das hat zur Folge dass der Zuffallszahlengenerator nur noch die PID (ProzessID) als Grundlage der Zufallszahl heranzieht: also eine Zahl zwischen 0 und 32768.

Nach Bekanntwerden der Sicherheitslücke hatte Debian zuerst ein Vulnerability Check Tool bereitgestellt (http://security.debian.org/project/extra/dowkd/dowkd.pl.gz), welches eine Liste aller verwundbaren Schlüssel in allen ihren gängigen Kombinationen (also Format wie OpenSSL, OpenSSH, OpenVPN ... , Bit-Breite wie 1024, 2048... Typ RSA, DSA, etc..) enthält.

Diese Liste aller möglichen Schlüsselpaare ist auch schon in automatisierten Test- aber auch Angriffstools eingebaut worden. Dies bedeutet, dass auch technisch wenig versierte Angreifer ("script kiddies") diese Lücke trivial ausnützen können.

Was bedeutet dies in der Praxis?

Überall, wo die Schlüssel direkt zur Authentisierung verwendet werden, kann ein Attacker mittels Durchprobieren der entsprechenden Schlüssel in das System eindringen. (z.b.: authorized_keys bei SSH)

Jede aufgezeichnete Kommunikation, die mit diesen Schlüsseln gesichert war, ist innerhalb kurzer Zeit entschlüsselbar.

Überall, wo Schlüssel, Signaturen oder Zertifikate zur Verifikation des Gegenübers oder der Nutzdaten eingesetzt werden, ist eine Verfälschung dieser Informationen möglich.

Das betrifft auch gekaufte (HTTPS-) Zertifikate oder CACert-Zertifikate, wenn sie vom User mit OpenSSL direkt erstellt wurden und nur zur Signierung an die CA geschickt wurden.

Bei Fragen: Kontakt

Quellen: Debian, Ubuntu, ISC, Adrian Dabrowski

www.CERT.at - Warnungen

Update - Zero-Day-Sicherheitslücke in Microsoft Internet Explorer 8 - aktiv ausgenützt

Update - Zero-Day-Sicherheitslücke in Microsoft Internet Explorer 8 - aktiv ausgenützt

Beschreibung

Auswirkungen

Betroffene Systeme

Abhilfe

Hinweis

Kritische Sicherheitslücke in IBM Lotus Notes

Kritische Sicherheitslücke in IBM Lotus Notes

Beschreibung

Betroffene Systeme

Abhilfe

Allgemeiner Hinweis

Sicherheitslücken in TYPO3

Sicherheitslücken in TYPO3

Beschreibung

SQL Injection in der Subkomponente Extbase Framework

Open Redirection in der Subkomponente Access Tracking Mechanism

Betroffene Systeme

Abhilfe

Allgemeiner Hinweis zur Hebung der Systemsicherheit

Erneute Schwachstelle in Oracle Java 7 und Java 6 (aktiv ausgenützt)

Erneute Schwachstelle in Oracle Java 7 und Java 6 (aktiv ausgenützt)

Beschreibung

Auswirkungen

Betroffene Systeme

Abhilfe

Hinweise

Kritische Schwachstellen in Adobe Reader und Acrobat (aktiv ausgenützt)

Kritische Schwachstellen in Adobe Reader und Acrobat (aktiv ausgenützt)

Beschreibung

Auswirkungen

Betroffene Systeme

Abhilfe

Hinweise

Update für Sicherheitslücken in Adobe Flash Player (aktiv ausgenützt)

Update für Sicherheitslücken in Adobe Flash Player (aktiv ausgenützt)

Beschreibung

Auswirkungen

Betroffene Systeme

Abhilfe

Hinweis

Mehrere kritische Schwachstellen in Barracuda Networks Produkten (SSH Backdoor)

Mehrere kritische Schwachstellen in Barracuda Networks Produkten (SSH Backdoor)

Beschreibung

Backdoor Accounts und SSH Backdoor

Barracuda Networks SSL VPN Authentication Bypass

Auswirkungen

Betroffene Systeme

Abhilfe

Credits

Hinweise

Erneute Schwachstelle in Oracle Java 7

Erneute Schwachstelle in Oracle Java 7

Beschreibung

Auswirkungen

Betroffene Systeme

Abhilfe

Kontext

Hinweise

Update - Kritische Zero-Day Schwachstelle in Oracle Java 7

Update - Kritische Zero-Day Schwachstelle in Oracle Java 7

Beschreibung

Auswirkungen

Betroffene Systeme

Abhilfe

Hinweise

Lücke in Microsoft Internet Explorer

Lücke in Microsoft Internet Explorer

Beschreibung

Auswirkungen

Betroffene Systeme

Abhilfe

Hinweis

Mehrere kritische Sicherheitslücken in Adobe Shockwave Player

Mehrere kritische Sicherheitslücken in Adobe Shockwave Player

Beschreibung

Shockwave Player anfällig für Downgrade-Attacken

Shockwave Player installiert alte Version von Flash Player