Die Sicherheit von Clients wurde im Juni durch 0-Day-Schwachstellen in Adobes Flash Player, Adobe Reader und Acrobat sowie Microsofts Windows XP und Server 2003 bedroht. Angriffe über Schwachstellen in Java haben merklich zugenommen, außerdem wurde an eher exotischen Stellen Schadsoftware gefunden.

0-Day-Schwachstelle in Flash Player, Adobe Reader und Acrobat

Adobe warnte am 4. Juni vor einer 0-Day-Schwachstelle in Adobe Flash Player für Windows, Mac OS X, Linux und Solaris sowie der authplay-Komponente für Adobe Reader und Acrobat für Windows, Mac OS X und Unix. Die Schwachstelle erlaubt die Ausführung beliebigen Codes und wurde laut Adobe bereits für Angriffe ausgenutzt.

PDF-Dateien, die die Schwachstelle ausnutzen, wurden u.a. von Trend Micro und Avira gemeldet, Symantec berichtet sowohl von PDF- als auch Flash-Dateien. Die Websense Security Labs berichten, dass der Exploit kurz nach der Veröffentlichung bereits im Rahmen von Massenkompromittierungen harmloser Websites für Drive-by-Infektionen eingesetzt wurde. Analysen des PDF-Exploits gibt es z.B. von zynamics und Symantec.

Adobe hat die Schwachstelle am 10. Juni im Flash Player und AIR und am 29. Juni in Adobe Reader und Acrobat behoben. Apple veröffentlichte am 15. Juni ein Security Update für Mac OS X, dass noch die angreifbare Version des Flash Players enthält. Zwar wird diese anscheinend nicht über die neuere Version installiert, trotzdem sollte die Version des Flash Players nach der Installation des Security Updates geprüft werden.

F-Secure fragte angesichts der Updates für den Flash Player Have you ever configured your Adobe Flash Player? Haben Sie?

0-Day-Schwachstelle in Windows XP und Server 2003

Am 10. Juni hat Tavis Ormandy auf der Mailingliste Full-Disclosure ein Advisory veröffentlicht, in dem er eine Schwachstelle im Windows Help and Support Center beschreibt. Die Funktion, die beim Aufruf eines hcp://-URL anhand einer Whitelist prüft, ob der URL erlaubt ist, lässt sich austricksen. Dadurch ist es möglich, beliebige Programme zu starten. Ormandy hat als Proof-of-Concept einen Exploit veröffentlicht, der ohne Zutun des Benutzers den Taschenrechner startet. Um die Schwachstelle auszunutzen, muss ein Angreifer sein Opfer nur auf eine präparierte Webseite locken. Als Workaround kann der Handler für hcp://-URL deaktiviert werden, wofür Microsoft inzwischen eine Fix it-Lösung bereit gestellt hat. Microsoft hat ein Security Advisory veröffentlicht, betroffen sind Windows XP SP2 und SP3 sowie Server 2003 SP2.

Die Veröffentlichung der Schwachstelle als 0-Day sorgte für einige Aufregung, da Ormandy die Schwachstelle samt Exploit bereits 5 Tage, nachdem er Microsoft darüber informierte, veröffentlichte. Hinzu kommt, dass Travis Ormandy in Googles Sicherheitsteam arbeitet und Google selbst für "Responsible Disclosure" eintritt. Einige Zeit später verkündete Travis Ormandy über Twitter, was in den 5 Tagen passierte:

"I'm getting pretty tired of all the "5 days" hate mail. Those five days were spent trying to negotiate a fix within 60 days."

60 Tage sind eine durchaus angemessene Frist und lassen das ganze gleich ganz anders aussehen.

Inzwischen wird die Schwachstelle laut Berichten von z.B. Sophos und Trend Micro für Drive-by-Infektionen ausgenutzt. Wer noch Windows XP oder Server 2003 einsetzt, sollte daher Microsofts Fix it-Tool nutzen. Falls Microsoft die Schwachstelle nicht am kommenden Patchday behebt, wird sie in Windows XP SP2 überhaupt nicht mehr behoben, denn das erreicht am 13. Juli sein Lebensende.

Schadsoftware - Vertrauenswürdig dank Signatur

F-Secure berichtet, dass immer mehr Schadsoftware für Windows mit Microsofts Authenticode signiert ist und dadurch als vertrauenswürdig angesehen wird. Dadurch wird z.B. bei der Installation eines ActiveX-Controls oder Treibers keine Warnung ausgegeben. Die Signaturen stammen aus verschiedenen Quellen: Sie können z.B. von fremden Programmen kopiert werden (was zwar zu einer Warnung führt, die aber oft falsch interpretiert wird), mit erschwindelten Codesigning-Zertifikaten selbst erstellt werden oder das gesamte Schadprogramm auf infizierten Entwickler-Rechnern kompiliert und signiert werden. Sophos berichtet über einen Trojaner, der ein eigenes, gefälschtes Root-Zertifikat einschleust, um danach als korrekt signiert erkannt zu werden.

Starke Zunahme bei Java-Exploits

Sophos berichtet über eine auffällige Zunahme an Java-Exploits, die für Drive-by-Infektionen eingesetzt werden. I.A. nutzen die Cyberkriminellen Schwachstellen in weit verbreiteten Programmen wie z.B. dem Flash Player, Adobe Reader, Internet Explorer oder Windows Media Player aus. Schwachstellen in Java haben für sie den Vorteil, im Rahmen der webbasierten Drive-by-Infektionen leicht ausnutzbar zu sein, außerdem ist Java weit verbreitet. Daher ist mit einer weiteren Zunahme zu rechnen. Brian Krebs befürchtet, dass Java die Adobe-Programme als beliebteste Angriffsziele ablösen wird. Da der Update-Prozess nicht besonders gut durchdacht ist und außerdem alte Versionen meist nicht oder zumindest nicht vollständig entfernt werden, sind die meisten Java-Installationen angreifbar. Hinzu kommt, das manche Java-Anwendungen alte Java-Versionen voraussetzen, die daher gar nicht aktualisiert bzw. gelöscht werden können.

Schadsoftware an ungewöhnlichen Stellen

Im Juni wurde an mehreren eher ungewöhnlichen Stellen Schadsoftware entdeckt: Auf den Support-Seiten von Lenovo, den internen Speicherkarten von Olympus Stylus Tough Kameras, den microSD-Karten von Samsung Wave Telefonen und den Quelltexten des IRC-Servers UnrealIRCd.