Adobe hat die angekündigten Updates für Adobe Reader und Acrobat veröffentlicht. Bösartige PDF-Dateien sind im Vormarsch, die Websense Security Labs haben Google Buzz unter die Lupe genommen, der Angriff auf Twitter.Grader.com ist glimpflich verlaufen, und das EMV-Verfahren ist in Deutschland sicher spezifiziert. Und Robert 'RSnake' Hansen stellt fest: 'Nevermind, I Was Wrong, Google Is Evil' (denn Google zensiert in China trotz gegenteiliger Aussagen munter weiter).

Updates für Adobe Reader und Acrobat

Adobe hat wie angekündigt Updates für Adobe Reader und Acrobat veröffentlicht. Mit dem Update auf Version 8.2.1 bzw. 9.3.1 werden zwei Schwachstellen behoben: Zum einen die auch im Flash Player behobenen Cross-Domain-Zugriffe, zum anderen eine nicht näher beschriebene Schwachstelle, die DoS-Angriffe und evtl. die Ausführung beliebigen Codes erlaubt.

Bösartige PDF-Dateien im Vormarsch

Laut des Annual Global Threat Report 2009 (PDF) von ScanSafe machten bösartige PDF-Dateien im 1. Quartal 2009 56% der über Websites verbreiteten Exploits aus, im 4. Quartal waren es 80%. Im Vergleich fiel der Anteil von Flash-Exploits von 40% im 1. Quartal auf 18% im 4. Quartal. Insgesamt zielte der größte Teil der Angriffe also auf Adobe-Produkte. Dancho Danchev setzt diese Zahlen u.a. in Relation zu Statistiken über die Verbreitung des Adobe Readers und Flash Players aus einer Studie von Trusteer (PDF), der zu Folge der Großteil der Benutzer veraltete Versionen des Adobe Readers (83,5% der Benutzer) und Flash Players (80%) einsetzen.

Google Buzz unter der Lupe

Die Websense Security Labs haben Google Buzz genauer unter die Lupe genommen und geben Tipps zur Optimierung der Datenschutz-Einstellungen: 'The Wizard of Buzz'. Auch die erste Schwachstelle wurde bereits gefunden: Robert 'RSnake' Hansen weist auf eine Cross-Site-Scripting-Schwachstelle in Buzz hin.

Angriff auf Twitter.Grader.com glimpflich verlaufen

Chester Wisniewski berichtet, dass die Kompromittierung von Twitter.Grader.com Dank der Verwendung von OAuth glimpflich verlaufen ist, da die Angreifer dadurch keine Zugangsdaten ausspähen konnten. Dharmesh Shah, der Entwickler von Twitter Grader, kommentiert das mit 'One Lesson From The Twitter Grader Screw-up: OAuth Rocks'. Chester Wisniewski sieht den Angriff als gutes Beispiel, wieso man seine Zugangsdaten auch keinem noch so vertrauenswürdigen Dritten anvertrauen und auch nicht für verschiedene Websites verwenden sollte. Da man sich die bei Verwendung einzigartiger Zugangsdaten für alle Websites etc. anfallende Menge von Benutzernamen und Passwörtern kaum merken kann, schlägt er als Hilfsmittel Passwortmanager vor, um die Zugangsdaten sicher zu speichern und zu verwalten.

EMV-Verfahren in Deutschland sicher spezifiziert

Der Zentrale Kreditausschuss (ZKA) hat erklärt, dass die von britischen Forschern entwickelten Angriffe auf das EMV-Verfahren nicht auf deutsche Girocards und Kreditkarten anwendbar sind und begründet dies mit den entsprechenden EMV-Spezifikationen. Die Forscher haben dieses Argument aber auch von den betroffenen britischen Banken gehört - trotz der durch die erfolgreichen Angriffe nachgewiesenen Schwachstellen in den Implementierungen. Ob die deutschen Implementierungen einem Angriff standhalten, bleibt noch zu beweisen.

Gefährliche Schwachstellen vom 16.02.2010

• Micro Upload:
  Heraufladen beliebiger PHP-Skripte möglich
• Adobe Reader:
  Zwei Schwachstellen erlauben Cross-Domain-Requests und die Ausführung beliebigen Codes
• Adobe Acrobat:
  Zwei Schwachstellen erlauben Cross-Domain-Requests und die Ausführung beliebigen Codes
• Microsoft Internet Explorer:
  Mehrere Schwachstellen erlauben die Ausführung beliebigen Codes sowie im IE 8 das Umgehen des XSS-Filters (MS10-002) (vom 21.01.2010, aktualisiert)
• Wireshark (ehemals Ethereal):
  Mehrere Schwachstellen erlauben DoS-Angriffe (vom 28.01.2010, aktualisiert)
• Windows:
  Schwachstelle im Shell Handler erlaubt Ausführung beliebigen Codes (MS10-007) (vom 09.02.2010, aktualisiert)

Carsten Eilers