Auf der Website der OWASP-Konferenz 'AppSec Europe 2009' wurden die Präsentationen des zweiten Konferenztags veröffentlicht. Adobe führt einen Patchday ein, Microsoft verbietet memcpy(), es gibt Hinweise auf neue Tools und Versionen, Angriffe auf WoW-Spieler, die Beschreibung eines Angriffs auf eine WINS-Schwachstellen, Filme von McAfee, "Nigeria-Scam" als deutsches Stellenangebot und Teil 4 der Reihe über den Schädling Pushdo.

Weitere Vorträge von der OWASP-Konferenz 'AppSec Europe 2009'

Auf der Website der OWASP-Konferenz 'AppSec Europe 2009' wurden inzwischen die Präsentationen des zweiten Konferenztags veröffentlicht. Einige Highlights: Luca Carettoni und Stefano di Paola haben einen neuen Ansatz zum Angriff auf Webanwendungen bzw. zum Umgehen von Schutzfunktionen präsentiert: 'HTTP Parameter Pollution' (PDF). Im Wesentlichen werden dabei Reihenfolge, Form und Aufbau der per GET- oder POST-Request übertragenen Parameter in für die Webanwendung unerwarteter Weise geändert. Ähnlich wird z.B. auch vorgegangen, um DOM-basierte XSS-Angriffe vor der Webanwendung zu verbergen, siehe About Security #130. Andrés Riancho hat in 'w3af, A framework to 0wn the web' (PPT) das 'Web Application Attack and Audit Framework' (w3af) vorgestellt, eine in Python entwickelte Kombination aus Schwachstellenscanner und Exploitation-Tool. In Mario Heiderichs Vortrag 'I thought you were my friend! Evil Markup, browser issues and other obscurities' (PDF, PPT) geht es um Angriffe auf und über den Webbrowser: Es gibt in HTML, JavaScript und Co. noch viele wenig erkundete Bereiche, die für einen Angreifer interessante Möglichkeiten bieten. Und Michael Coates widmete sich in 'Real Time Defenses against Application Worms and Malicious Attackers' (PPT, Blogeintrag) Angriffen durch Würmer.

Adobe kapert Microsofts Patchday

Adobe hat angekündigt, Patches zukünftig regelmäßig quartalsweise zu veröffentlichen und dafür jeweils Microsofts Patchday zu verwenden. Adobe patcht ab dem Sommer also am 2. Dienstag jedes dritten Monats. Schwachstellen sollen bei Bedarf außer der Reihe veröffentlicht werden.

memcpy(), Sie sind raus

Microsoft hat im Rahmen seines Security Development Lifecycle (SDL) die Nutzung verschiedener Funktionen verboten, die besonders anfällig für Pufferüberläufe sind. Dazu gehören z.B. strcpy(), strncat() und gets(). Jetzt wurden auch memcpy(), CopyMemory() und RtlCopyMemory() für unerwünscht erklärt.

Neue Tools und neue Versionen

Microsoft hat ein Tool zum Entwickeln sicherer Software veröffentlicht: Das SDL Process Template for Visual Studio benötigt Visual Studio Team System 2008 und dient der Anwendung von Microsofts Security Development Lifecycle (SDL) auf eigene Programme. Im Handler's Diary des ISC wird auf neue Versionen von zwei Tools hingewiesen: Die Linux-Live-CD zum Testen von Webanwendungen Samurai Web Testing Framework liegt in Version 0.6 vor, und der in Java geschriebene httpsScanner zum Testen der Stärke von SSL-Verbindungen in Version 1.1.

Angriffe auf WoW-Spieler

Im Blog von Sophos wird ein Angriff auf WoW-Spieler beschrieben: Nachdem das Opfer zum Kauf virtuellen Golds verleitet wurde, werden danach noch seine Zugangsdaten abgephisht.

Schwachstellen in WINS ausnutzen

Im Handler's Diary des ISC gibt es einen weiteren Eintrag mit der Beschreibung eines Angriffs auf eine der mit Microsofts Security Bulletin MS04-045 behobenen Schwachstellen in WINS. Darin wird beschrieben, wie der eingeschleuste Schadcode sich orientiert und danach aktiv wird.

Neue Filme von McAfee

Die McAfee Avert Labs haben eine sechsteilige Filmreihe angekündigt: In 'H*Commerce: The Business of Hacking You' werden verschiedene Aspekte der Onlinekriminalität behandelt. Alle 2 Wochen wird eine neue Folge auf der Website Stop H*Commerce veröffentlicht.

"Nigeria-Scam" als deutsches Stellenangebot?

Trend Micro warnt vor E-Mails mit deutschen Stellenangeboten: Es werden mal wieder Dumme gesucht, die bei der Geldwäsche helfen. Trend Micros Vergleich mit Nigeria Scam ist allerdings vollkommen falsch: Beim Scam ist der Mailempfänger das Opfer, das geschröpft wird. Bei der jetzt laufenden Mailwelle geht es darum, anderswo gestohlenes Geld über den angeworbenen Geldwäscher an die Kriminellen weiterzuleiten. Das Opfer bekommt sogar Geld dafür - aber auch jede Menge Ärger mit der Polizei.

Pushdo zum 4.

Trend Micro hat den 4. Teil der Serie über den Massenmailer Pushdo veröffentlicht. 'Pushdo/Cutwail – Sniffing for the Win (Part 4 of 5)' behandelt eine weitere Funktion des Schädlings: Einen integrierten Netzwerk-Sniffer, der die Empfänger aller vom infizierten Rechner verschickten E-Mails protokolliert und an einen Sammel-Server schickt.

Gefährliche Schwachstellen vom 20.05.2009

• Mac OS X:
  Mehrere Schwachstellen in Java erlauben u.a. Ausführung beliebigen Codes und z.B. Drive-by-Infektionen
• KingSoft Web Shield:
  Cross-Site-Scripting und Ausführen von Systembefehlen möglich
• Mac OS X:
  Mehrere Schwachstellen erlauben u.a. die Ausführung beliebigen Codes (vom 13.05.2009, aktualisiert)
• Apple Safari:
  Mehrere Schwachstellen erlauben die Ausführung beliebigen Codes (vom 13.05.2009, aktualisiert)
• HP Remote Graphics Software (RGS):
  Nicht näher beschriebene Schwachstelle erlaubt Umgehen der Authentifizierung (vom 15.05.2009, aktualisiert)

Carsten Eilers