Aktuelle IT-Nachrichten und Informationen

Angriff über einen Buffer-Overflow ermöglicht Übernahme eines Rechners

Eine Schwachstelle in der aktuellen Version 3.6 des Browsers Firefox erlaubt die Übernahme eines Rechners über einen Angriff aus der Ferne. Die Mozilla-Entwickler haben bislang noch keinen Patch für die Sicherheitslücke veröffentlicht.

Der russische Sicherheitsexperte Evgeny Legerov vom Unternehmen Intevydis erklärt, der Exploit funktioniere auf Rechnern mit den Betriebssystemen Windows XP mit Service Pack 3 und Vista. Der Angriff erfolgt über einen Buffer Overflow. Mozilla-Entwickler haben die Veröffentlichung zur Kenntnis genommen, aber noch keine Stellungnahme veröffentlicht oder einen Patch in Aussicht gestellt.

Der von Legerov entwickelte Exploit wurde bereits als Modul in dem kostenpflichtigen Addon Vulndisco für das kommerzielle Exploit-Toolkit Canvas des Unternehmens Immunity eingepflegt. Das Unternehmen Secunia, das regelmäßig Informationen über 0-Day-Exploits veröffentlicht, wertet die neue Schwachstelle als kritisch.

Es wäre einer der seltenen Fälle, in denen ein 0-Day-Exploit zu Mozillas Browser Firefox vor der Veröffentlichung eines entsprechenden Patches bekanntwurde. In ihrer Stellungnahme äußern die Mozilla-Entwickler auch verhaltene Kritik an dem russischen Sicherheitsunternehmen: “Wir schätzen die Beiträge aller Sicherheitsexperten und ermutigen sie, mit uns innerhalb unseres Sicherheitsprozesses zu arbeiten. Verantwortungsvolle Veröffentlichungen von Schwachstellen sollen die höchstmögliche Sicherheit für unsere Benutzer gewährleisten.”

Quelle: Golem

Mit einer Infektionsrate von 14,39 Prozent im August 2009 baut der Trojaner Clicker seine Führungsposition unter den E-Threats weiter aus. Insgesamt hat sich in den Top 10 im Vergleich zum Vormonat wenig getan. Die ersten fünf Plätze bleiben unverändert. Mit Win32.Induc.A und Win32.Virtob.Gen.12 betreten lediglich zwei Neuankömmlinge das Feld der gefährlichsten E-Threats.

Clicker erhöhte seine Erfolgsrate auch deshalb, weil er sich vermehrt über sogenannte “Warez”-Websites verbreitet. Dabei handelt es sich um Download-Portale für Keygens und Cracks für kommerzielle Software und Spiele. Seine beiden Verfolger büßten dagegen leicht an Prozentpunkten ein: Der sich überwiegend über Wechseldatenträger verbreitende Trojan.AutorunINF.Gen kann zwar sein zweistelliges Ergebnis aus dem Vormonat nicht halten, belegt aber weiterhin Rang zwei. Mit 5,68 Prozent folgt der Trojaner Wimad.Gen.1. Dieser hat es vornehmlich auf Advanced System Format (ASF)-Files abgesehen. Dabei handelt es sich um ein von Microsoft entwickeltes Containerformat für digitale Audio- und Video-Dateien. Der Schädling manipuliert ASF-Files derart, dass sie anstatt eines gewünschten Video-Codecs ein gefährliches Binärprogramm downloaden.

Seit mittlerweile acht Monaten befindet sich der als Conficker bekannte Win32.Worm.Downadup in den BitDefender-Top 10 - im August erneut auf Position vier. Die neueste Variante des Wurms installiert fehlerhafte Sicherheits-Software auf dem befallenen System. Ihm folgt auf Platz 5 der polymorphe Datei-Infektor Win32.Sality.OG (2,9 Prozent).

Neu eingestiegen ist auf Platz sechs Win32.Induc.A. Diese Malware befällt insbesondere Applikationen, die auf der von Embarcadero Technologies (vormals Borland) entwickelten Software Delphi basieren. Der Virus infiziert dabei keine Binärdateien, sondern modifiziert die SYSCONST.PAS-File, mit einem schädlichen Code. Sein plötzlicher Einstieg in die BitDefender-Top 10 zeigt, dass sich nur wenige Delphi-User dieser Gefahr bewusst sind. Den im Ranking unverändert liegenden Trojanern Autorun.AET (Platz sieben, 2,35 Prozent) und JS.PYV (Platz acht, 1,87 Prozent) folgt ein weiterer Neuling unter den gefährlichsten E-Threats: Win32.Virtob.Gen. Dieser Infektor versteckt sich in anderen Windows-Prozessen - hauptsächlich .exe- und .scr-Dateien - indem er sie mit einem Virus-Code infiziert. Damit öffnet er eine Art Hintertür für die wirklich aggressiven Angreifer, die so auf einfache Weise die Kontrolle über den jeweiligen Rechner übernehmen können.

Die Tatsache, dass immer noch zu viele User die Sicherheitsanweisungen von Microsoft ignorieren und notwendige Security-Patches nicht installieren, beweist neben der Platzierung von Conficker auch die Präsenz von Worm.Autorun.VHG unter den gefährlichsten E-Threats. Dieser Wurm nutzt typische Windows-Schwachstellen aus, beispielsweise in der Autorun-Funktion, um PCs effektiv zu schaden. Er schließt die Top 10 mit 1,63 Prozent ab.

Sowohl in Windows Vista als auch in Windows 7 klafft eine Sicherheitslücke im Betriebssystem, die dazu ausgenutzt werden kann, um den Rechner via Internet neu zu starten. Ermöglicht wird dies durch einen Fehler im SMB2-Protokoll, der in der Treiberdatei “srv2.sys” steckt.

Es existiert bereits ein Exploit, der dieses Leck in der Systemsicherheit ausnutzt, wie heise Security berichtet.

Um nicht selbst Opfer eines unfreiwilligen Neustart über das Internet zu werden, genügt es nach aktuellem Kenntnisstand, aus der Windows-Firewall die Ausnahme für die Datei- und Druckerfreigabe zu entfernen bzw.. den Zugriff auf Port 445 zu unterbinden.

Während Windows Vista und Windows 7 RC bei erfolgreicher Ausnutzung dieser Sicherheitslücke neustarten, zeigt sich die finale Version von Windows 7 unbeeindruckt und reagiert in keiner Weise.

Microsoft hat sich zu diesem Problem bislang noch nicht zu Wort gemeldet, sodass momentan noch keine Aussage darüber getroffen werden kann, ob und wann diese Sicherheitslücke durch einen Patch geschlossen wird.

Nur wenige Wochen nachdem Adobe ein gefährliches Sicherheitsleck im Reader schließen konnte, ist jetzt erneut eine Schwachstelle im Zusammenhang mit der JavaScript-Funktionalität bekannt geworden.

Sicherheitsexperten haben eine neue Schwachstelle im weit verbreiteten PDF-Programm Adobe Reader entdeckt und das Unternehmen über diese Lücke informiert. Wie schon bei der letzten Schwachstelle des PDF-Readers, die erst vor wenigen Wochen geschlossen werden konnte, ist es auch dieses Mal eine Unzulänglichkeit in der JavaScript-Umsetzung, durch die durch ein manipuliertes PDF-Dokument Schadcode auf den Rechner des Anwenders eingeschleust und ausgeführt werden kann.

Nachdem bereits erste Demonstrationen zur Ausnutzung des Lecks veröffentlicht wurden, ist es sehr wahrscheinlich, dass in Kürze zahlreiche echte Angriffe erfolgen werden. Adobe selbst weist jedoch darauf hin, dass zumindest bislang noch keine Berichte über derartige Exploits bekannt seien.

Alle aktuellen Versionen sind betroffen

Betroffen von der Schwachstelle sind alle aktuellen Versionen des Adode Readers (7.1.1, 8.1.4 und 9.1) für die Plattformen Windows, Mac OS X und Unix. Adobe empfiehlt daher bis zur Fertigstellung des Patches, in den Einstellungen des Readers die JavaScript-Funktion zu deaktivieren.

Unabhängige Sicherheitsexperten gehen sogar noch deutlich weiter und raten mittlerweile sogar ganz vom Adobe Reader ab. So hatte kürzlich etwa das finnische Sicherheitsunternehmen F-Secure empfohlen, auf andere PDF-Reader auszuweichen, da sich der Adobe Reader aufgrund der vielen zuletzt bekannt gewordenen Sicherheitslecks und seiner hohen Verbreitung zu einem der beliebtesten Angriffsziele der letzten Monate entwickelt hatte.

Adobe arbeitet nach eigenen Angaben bereits an einem entsprechenden Patch, konnte aber bisher noch nicht sagen, wann das Sicherheitsupdate fertiggestellt sein wird.