Relativ kleine Ursache, riesengroße Wirkung. So ungefähr kann man die Folgen einer Pufferüberlaufschwachstelle in NCTsofts NCTAudioFile2 ActiveX-Control umschreiben. Eine Schwachstelle, die über präparierte Webseiten die Ausführung beliebigen Codes erlaubt, ist fast immer eine üble Sache. Noch schlimmer wird es in diesem Fall dadurch, dass dieses ActiveX-Control anscheinend mit der Ausnahme von Microsofts Mediaplayer und Apples Quicktime in so ziemlich jedem Windows-Programm verwendet wird, das irgendetwas mit dem Abspielen, Codieren, Bearbeiten oder Verwalten von Musik zu tun hat. Die Liste der betroffenen Programme umfasst (bisher) 78 Programme. Da NCTsoft auf der eigenen Website von über 2000 Kunden spricht, könnten die bisher bekannten, betroffenen Programme nur die Spitze eines Eisbergs sein. Vermutlich wäre es einfacher und kürzer gewesen, die nicht betroffenen Programm aufzuzählen. Wer irgendwann einmal eines dieser Programme installiert hat, hat damit auch das ActiveX-Control installiert. Wer dann auch noch den Internet Explorer nutzt, der das ActiveX-Control automatisch einbindet, hat schon verloren, wenn er auf einer präparierten Seite landet. Die einzige Möglichkeit, eine Ausnutzung der Schwachstelle zu verhindern, ist das Setzen des Killbits für dieses ActiveX-Control. Wenn ich mir die Liste der Programme so ansehe, scheint ein Großteil davon für normale Benutzer gedacht zu sein. Ob die ohne Weiteres ein Killbit setzen können, bezweifle ich. Funktionen, um automatisch nach einem Update zu suchen, kennen die meisten Programme wohl auch nicht. Also wird es einige Zeit dauern, bis alle Benutzer entweder das Killbit gesetzt oder ein Update installiert haben. Ein Update, das außerdem erst einmal entwickelt werden muss, denn bisher ist von NCTsoft noch keines erhältlich. Für ein einziges Programm ist bisher ein Update veröffentlicht worden: Vom Sienzo Digital Music Mentor sind nur Versionen vor 2.6.0.4 von der Schwachstelle betroffen.

Ach ja, der zweite Lösungsvorschlag von Secunia: 'Use another product.' Eigentlich immer eine gute Lösung. Nur könnte es diesmal schwierig werden, ein nicht verwundbares Programm zu finden. Das ist doch mal ein neuer Ansatz für die Werbung: 'Kaufen/Nutzen sie XYZ - ein Programm ohne NCTsofts NCTAudioFile2 ActiveX-Control!'

Was bleibt: Ein riesiger Haufen verwundbarer Rechner, von deren Verwundbarkeit die Anwender oft nicht einmal etwas wissen. Eine Lücke, für die es keinen Patch gibt. Und wenn es einen Patch gibt, muss der erst einmal an alle betroffenen Softwarehersteller und danach an alle betroffenen Anwender verteilt werden. Wenn das kein lohnendes Ziel für jeden Schädlingsentwickler ist, weiß ich nicht, was die sonst anlocken könnte wie das Aas die Geier...

Word, mal wieder
Aas, Geier... in Word sind sie auch mal wieder fündig geworden: Ein Trojaner nutzt eine bisher unbekannte Schwachstelle in Word zur Verbreitung. Diesmal war ich bei der Formulierung der 'Security aktuell'-Meldung vorsichtig und habe auf das in solchen Fällen übliche '0-Day' vor der Schwachstelle verzichtet. Es wäre ja nicht das erste Mal, dass eine angebliche 0-Day-Schwachstelle sich als längst geflicktes Loch entpuppt. Diesmal ist die Lücke aber tatsächlich neu. Inzwischen hat Microsoft reagiert und sowohl einen Eintrag im Microsoft Security Response Center Blog als auch ein Security Advisory veröffentlicht: Die Schwachstelle betrifft nur Word 2000, ein Update ist in Vorbereitung.

Fischen mit sozialem Netz, oder: Phishing im Social Network
Dass mein vorletzter Satz im ersten 'Standpunkt Sicherheit' dieses Jahres so schnell akut wird, hätte ich nicht gedacht: 'Social Networks schreien doch geradezu nach Social Engineering.' Am Donnerstag wurde auf Full-disclosure unter dem Titel 'A Recent Phishing Evolution?' über eine neue Phishing-Masche berichtet. Die Idee, sich mit gefälschter Identität und passendem Hintergrund in ein Social Network einzuschleichen und dann nach gewonnenem Vertrauen dieses auszunutzen, ist eigentlich so genial einfach, dass ich mich frage, wieso das erst jetzt bzw. erstmals im Oktober 2006 versucht wurde. Oder ist es erst jetzt aufgefallen, aber schon viel länger durchgezogen worden? Zwar ist es billiger und einfacher, ein paar tausend Mails zu verschicken und dann gemütlich auf die Opfer zu warten, als reale Kontakte aufzubauen und über eine gewisse Zeit zu pflegen. Andererseits: Kann man das nicht in Billiglohnländer auslagern? Wenn große Unternehmen dort Callcenter einrichten oder anmieten, wieso dann nicht die Phisher, Scammer und Konsorten? Das werden interessante Zeiten für die 'Social Network'-Betreiber werden, wenn diese Masche erst mal einreißt. Denn eine sowohl einfache als auch komfortable Lösung, solche Angriffe zu verhindern, fällt mir so auf die Schnelle nicht ein. Klar, ein Zugang erst nach persönlicher Prüfung der Ausweisdokumente hilft mit Sicherheit. Aber wie viele Nutzer lassen das über sich ergehen? Und dann muss das Ganze am besten auch noch weltweit funktionieren. Das wird schwierig. Z.B. eBay hat da ja schon einige Jahre Erfahrungen gesammelt und ist trotzdem noch meilenweit von einer wirklich sicheren Lösung entfernt.

Carsten Eilers