Microsoft hat das Webcast-Video und die 'Questions&Answers' zum September-Patchday veröffentlicht. Die verbesserte AutoPlay-Funktion von Windows 7 gibt es jetzt für alle Windows-Versionen, auch Cyberkriminelle setzen Suchmaschinenoptimierung ein, der Phishing-Schutz von Safari Mobile arbeitet unzuverlässig, und ein Botnet wird über Google Groups gesteuert. Vom Host-basierten Intrusion Detection System OSSEC wurde Version 2.2 veröffentlicht, es gibt ein Paper über Informationslecks im Cloud Computing und Robert 'RSnake' Hansen hat eine halbe Million HTTP-Header gesammelt. Denis Sinegubko hat ein Botnet aus Zombie-Webservern entdeckt, woraufhin Chester Wisniewski von Sophos 'Is Linux still safe?' fragt. Und Sophos hat als Newsletter getarnten Spam entdeckt, die enthaltenen Links führen zu einer kanadischen Apotheken-Website, die Viagra und Co. verkaufen möchte.

Video und Q&A zum Patchday

Microsoft hat das 'September 2009 Security Bulletin Webcast Video and Customer Q and A' veröffentlicht, in den Q&A wird u.a. darauf eingegangen, warum die DoS-Schwachstellen im TCP/IP-Stack in Windows XP nicht behoben werden.

Verbesserte AutoPlay-Funktion für alle Windows-Versionen

Die Verbesserungen an der AutoPlay-Funktion in Windows 7 wurden für Windows XP, Server 2003, Vista und Server 2008 rückportiert und stehen schon seit dem 25. August zum Download bereit. Die Änderungen sollen Schadsoftware die Verbreitung über USB-Sticks und andere mobile Massenspeicher erschweren.

Die dunkle Seite der Suchmaschinenoptimierung

Suchmaschinenoptimierung ist auch für die Cyberkriminellen wichtig, schließlich wollen sie möglichst viele potentielle Opfer auf ihre Seiten zum Verbreiten von Fake-Virenscannern locken. Jessa De La Torre von Trend Micro und Graham Cluley von Sophos berichten, dass dafür zur Zeit Stichwörter rund um die Terroranschläge vom 11.9.2001 verwendet werden. Craig Schmugar von den McAfee Avert Labs berichtet, dass dabei auch auf Google Trends zurückgegriffen wird: Alles, was die Google-Nutzer interessiert und häufig gesucht wird, wird auch schnell als Lockvogel für Fake-Virenscanner genutzt. Außerdem ist bald Weihnachten: In den Läden stehen die ersten Lebkuchen und Weihnachtsstollen, und Maria Alarcon von Trend Micro berichtet über die ersten Spam-Mails mit 'Christmas' als Subject (die Glückliche, den Müll hatte ich das ganze Jahr über regelmäßig im Spam-Ordner), dementsprechend dürfte es dann auch im Web bald wieder soweit sein, dass die Suche nach Weihnachtsgeschenken oder -dekorationen zur Fake-Virenscannern und Schlimmeren führt.

Phishing-Schutz von Safari Mobile unzuverlässig

Intego und Dan Moren von Macworld.com berichten, dass der Phishing-Schutz von Safari Mobile, d.h. auf iPhone und iPod Touch, unzuverlässig arbeitet. So wird vor Phishing-Seiten mal gewarnt und mal nicht, ohne das ein Muster erkennbar ist. Ein nicht funktionierender Schutz ist besonders gefährlich, da die Benutzer sich darauf verlassen, vor Phishing-Seiten gewarnt zu werden und daher bei Ausbleiben der Warnung leicht auf eine Phishing-Seite hereinfallen.

Botnet über Google Groups gesteuert

Nach dem über Twitter gesteuerten Botnet (siehe Security-Hinweise vom 17. und 18. August) gibt es nun eines, das über Google Groups gesteuert wird. Gefunden wurde es von Symantec, wo man den zugehörigen Trojaner als Trojan.Grups bezeichnet. Nachdem der Trojaner sich auf einem Rechner eingeschlichen hat, kontaktiert er eine private Google-Groups-Gruppe und lädt neue Anweisungen herunter bzw. Informationen herauf. Da alle Nachrichten in der Gruppe gespeichert werden, konnte Symantec die Aktivitäten des Trojaners zurückverfolgen. Demnach ist der Schädling bereits seit dem November 2008 aktiv, einen Höhepunkt hatte die Aktivität im Februar, seitdem ist sie wieder etwas zurück gegangen. Insgesamt wurden aber unter 3.000 Nachrichten ausgetauscht, der Trojaner scheint also nicht sehr weit verbreitet zu sein.

OSSEC Version 2.2 veröffentlicht

Jim Clausing weist in Handler's Diary des ISC darauf hin, das vom Host-basierten Intrusion Detection System OSSEC Version 2.2 veröffentlicht wurde. Neu ist u.a ein Plugin zur Überwachung von WordPress-Logfiles.

Informationsleck in der Wolke

Toby Kohlenberg weist in Handler's Diary des ISC auf ein neues Paper hin: In 'Hey, You, Get Off of My Cloud: Exploring Information Leakage in Third-Party Compute Clouds' (PDF) von Thomas Ristenpart, Eran Tromer, Hovav Shacham und Stefan Savage geht es um die Frage, wie man Informationen über das physikalische System, auf dem eine virtuelle Maschine läuft, ermitteln und über andere, auf dem gleichen System laufende Virtuelle Maschinen erfahren kann.

HTTP-Header gefällig?

Robert 'RSnake' Hansen hat 'Half a Million HTTP Headers' gesammelt. Die kann man ja immer mal gebrauchen, da kann ein Vorrat nichts schaden. Wer welche braucht, findet sie in einem Eintrag im SecureSEO-Blog.

Gefährliche Schwachstellen vom 11.09.2009

• Graffiti CMS:
  Heraufladen beliebiger Dateien über den enthaltenen FCKeditor
• Mac OS X:
  Mehrere Schwachstellen erlauben u.a. die Ausführung beliebigen Codes
• Mac OS X:
  Veraltete Version des Flash Player Plugins enthält mehrere kritische Schwachstellen
• Advanced Comment System:
  Einbinden entfernter Dateien über Parameter 'ACS_path' im Skript index.php und admin.php
• Drunken:Golem Gaming Portal:
  Einbinden entfernter Dateien über Parameter 'root_path' im Skript admin/admin_news_bot.php
• Apple QuickTime:
  Mehrere Schwachstellen erlauben Ausführung beliebigen Codes (vom 10.09.2009, aktualisiert)
• Mozilla Firefox:
  Mehrere Schwachstellen erlauben u.a. die Ausführung beliebigen Codes (vom 10.09.2009, aktualisiert)
• Icarus:
  Pufferüberlauf beim Verarbeiten präparierter .PGN-Dateien erlaubt Ausführung beliebigen Codes (vom 19.03.2009, aktualisiert)
• Windows:
  Schwachstelle im SMB2.0-Kerneltreiber von Windows Vista und 7 erlaubt DoS-Angriffe und evtl. die Ausführung beliebigen Codes (vom 08.09.2009, aktualisiert)
• jetAudio:
  Pufferüberlauf beim Verarbeiten präparierter .wav-Dateien erlaubt evtl. Ausführung beliebigen Codes (vom 15.07.2009, aktualisiert)
• jetAudio:
  Pufferüberlauf beim Verarbeiten präparierter .m3u-Dateien erlaubt evtl. Ausführung beliebigen Codes (vom 05.08.2009, aktualisiert)

Carsten Eilers