WordPress 2.8.5 soll als 'Hardening Release' die Sicherheit verbessern. Rapid7 kauft Metasploit, Google Docs haben (k)ein Datenleck, und es gibt Informationen über den Microsoft DCE Locator und ein neues Plugin für IDA. Microsoft hat die 'October 2009 Security Bulletin Webcast Questions and Answers' und das zugehörige Video veröffentlicht, und Robert 'RSnake' Hansen bloggt über 'Porn, CSS History Hacking, User Recon and Blackmail': "Ich weiß, auf welchen Porno-Seiten du warst..." Ups! Und M.K. Low von Symantec berichtet über die Standorte der Server, die Fake-Virenscanner verteilen.

WordPress 2.8.5 mit verbesserter Sicherheit

Die WordPress-Version 2.8.5 wird von den Entwicklern als 'Hardening Release' bezeichnet: Außer der Beseitigung einer DoS-Schwachstelle im Trackback-Code gibt es Verbesserungen an der allgemeinen Sicherheit: Code, in dem PHP-Variablen für eval()-Aufrufe verwendet wurden, wurde entfernt, und auch Admins können in Zukunft wie schon zuvor normale Benutzer nur Dateien hochladen, die auf einer Whitelist zugelassen wurden.

Außerdem wird auf das Plugin WordPress Exploit Scanner hingewiesen, mit dem eine WordPress-Installation nach verdächtigen Änderungen in Dateien und verdächtigen Datenbankeinträgen durchsucht werden kann.

Rapid7 kauft Metasploit

Das US-Security-Unternehmen Rapid7 hat das Exploit-Framework Metasploit gekauft. Laut Sheldon Malm von Rapid7 werden der Gründer des Metasploit-Projekts H D Moore und sein Mitstreiter 'Egypt' in Zukunft von Rapid7 bezahlt, um in Vollzeit am Metasploit-Projekt zu arbeiten. Das Framework soll Open Source bleiben und von Rapid7 mit eigenen Daten unterstützt werden. Der in Zukunft als Chief Security Officer von Rapid7 agierende Moore beschreibt im Metasploit-Blog seine Beweggründe. Der in Zukunft als erster Core Developer agierende 'Egypt' ist begeistert davon, in Zukunft für sein bisheriges Wochenend-Hobby bezahlt zu werden und mehr Zeit für die Entwicklung zu haben.

Bug? Feature? Google!

Neben den versehentlich veröffentlichten Google Voice Mails gibt bzw. gab es eine weitere Möglichkeit, unfreiwillig persönliche Daten aus der Cloud in die Allgemeinheit zu befördern: Wie das ZDF berichtet, konnten eine Zeit lang über eine von einem Drittanbieter bereit gestellte Dokumentvorlage für Google Docs darin eingegebene Änderungen an die anderen Nutzer der Vorlage verteilt werden. Was Google als Verkettung von Missverständnissen und eine fehlerhafte Dokumentvorlage betrachtet, könnte man auch als Social-Engineering-Angriff über ein ungeschickt implementiertes Feature einstufen.

Port 135: Microsoft DCE Locator

Am 21. Tag des Cyber Security Awareness Month ging es im Handler's Diary des ISC um Port 135. Der wird vom Microsoft DCE Locator genutzt und gibt Auskunft darüber, welche Ports für RPC genutzt werden. In der Vergangenheit gab es mehrere darüber zugängliche Schwachstellen, so das der Port i.A. durch die Firewall geschützt werden sollte.

Neues IDA-Plugin: Turbodiff

Turbodiff ist ein binäres diff-Tool als IDA-Plugin, das mit IDA ab Version 5.0 eingesetzt werden kann. Das Tool wurde auf der Ekoparty 2009 vorgestellt, die Präsentation steht online zur Verfügung.

Gefährliche Schwachstellen vom 21.10.2009

• Adobe Reader:
  Integerüberlauf-Schwachstelle in der Linux-Version erlaubt evtl. Ausführung beliebigen Codes
• Oracle-Produkte:
  Schwachstellen in verschiedenen Produkten erlauben u.a. die Ausführung beliebigen Codes

Carsten Eilers