Kommende Woche ist bei Microsoft und Adobe wieder Patchday. Novell ändert zum 1.2. seine Supportbedingungen, und Daniel Wesemann beschreibt die statische Analyse von PDF-Dateien. Im Threat Research & Response Blog von Microsoft Malware Protection Center werden 'Some Observations on Rootkits' beschrieben, Ben Edelman hat Googles Verbindung mit Spyware untersucht (Google Still Charging Advertisers for Conversion-Inflation Traffic from WhenU Spyware), Bruce Schneier berichtet über 'Gift Cards and Employee Retail Theft' und Billy McCourt von Sophos schreibt über neue Entwicklungen im Bereich der Schadsoftware, die eigentlich gar nicht so neu sind: 'Looking forward by looking back'.

Januar-Patchday bei Microsoft und Adobe

Am kommenden Dienstag ist wieder mal Patchday. Microsoft hat dafür nur ein Security Bulletin für Windows angekündigt, das für Windows 2000 als kritisch eingestuft wird und die Ausführung beliebigen Codes aus der Ferne betrifft. Für alle anderen Systeme ist die Einstufung low/niedrig, die Ausnutzung der behobenen Schwachstelle(n) also unwahrscheinlich oder nur unter seltenen Bedingungen möglich.

Adobe hat in Voraus ein Security Advisory zu Adobe Reader und Acrobat veröffentlicht. Behoben werden mehrere kritische Schwachstellen, darunter die im Dezember bekannt gewordene 0-Day-Schwachstelle (Adobes Security Advisory dazu), die unvermindert weiter ausgenutzt wird.

Novell ändert Supportbedingungen

Zum 1. Februar ändert Novell seine Supportbedingungen: Während bei Netware unverändert alle Patches, Service Packs und Security-Patches frei zugänglich sind und für SUSE-Linux wie schon bisher eine Subskription notwendig ist, gelten für alle anderen Produkte getrennte Regeln: Patches und Service Packs erhalten nur Kunden mit einem Maintenance-Vertrag oder einer Subskription, während Security-Patches weiterhin frei zugänglich sind. Novell hat eine FAQ (PDF) zur Änderung bereit gestellt.

Bösartige PDF-Datei analysiert

Daniel Wesemann beschreibt im Handler's Diary des ISC die statische Analyse, d.h. eine Analyse ohne Ausführung des Schadcodes, bösartiger PDF-Dateien: In Teil 1 geht es um eine PDF-Datei, die die aktuelle 0-Day-Schwachstelle im Acrobat Reader ausnutzt, in Teil 2 um eine PDF-Datei, in der der Schadcode gut getarnt ist.

Gefährliche Schwachstellen vom 07.01.2010

• VMware ESX Server:
  Schwachstellen in Network Security Services (NSS) und NetScape Portable Runtime (NSPR) erlauben u.a. die Ausführung beliebigen Codes
• VMware vMA:
  Schwachstellen in Network Security Services (NSS) und NetScape Portable Runtime (NSPR) erlauben u.a. die Ausführung beliebigen Codes
• PowerDNS Recursor:
  Ausführung beliebigen Codes, DoS- und Spoofing-Angriffe möglich
• Transmission:
  Schwachstelle beim Verarbeiten des 'name'-Key erlaubt Überschreiben beliebiger Dateien über präparierte .torrent-Dateien
• PlayMeNow:
  Pufferüberlauf beim Verarbeiten präparierter .m3u- oder .pls-Dateien erlaubt Ausführung beliebigen Codes
• Quick Player:
  Pufferüberlauf beim Verarbeiten präparierter .m3u-Dateien erlaubt Ausführung beliebigen Codes
• Apple QuickTime:
  Pufferüberlauf beim Verarbeiten präparierter RTSP-Responses erlaubt Ausführung beliebigen Codes (vom 23.11.2007, aktualisiert)
  Kritisch, weil: Mehrere funktionsfähige Exploits sind im Umlauf
• Adobe Illustrator:
  Pufferüberlauf beim Verarbeiten präparierter .eps-Dateien erlaubt Ausführung beliebigen Codes (vom 03.12.2009, aktualisiert)

Carsten Eilers