Microsoft hat für den Februar-Patchday dreizehn Security Bulletins angekündigt. Auf Facebook kursiert mal wieder ein Hoax, Bruce Schneier befasst sich mit nachgerüsteter Sicherheit, und Larry Suto hat Schwachstellen-Scanner für Webanwendungen getestet. Im Blog von F-Secure wird beschrieben, wie Google Images beim Aufdecken von Betrugsversuchen helfen kann, Robert 'RSnake' Hansen berichtet über die Probleme beim Versuch, Firefox-Updates über SSL zu laden, Avira hat die 'Most abused TLDs in January 2010' veröffentlicht, Symantec meldet eine Zunahme an Phishing-Mails mit Pornographie als Lockvogel, und das Handelsblatt berichtet über 'verdächtigen Datenhunger' von Social Networks, insbesondere Facebook.

Februar-Patchday bringt 13 Security Bulletins

Microsoft hat für den Februar-Patchday dreizehn Security Bulletins angekündigt, von denen fünf als kritisch, sieben als wichtig und eins als moderat eingestuft werden. Insgesamt werden damit 26 Schwachstellen behoben, darunter die lokale Privilegieneskalation in Windows, die im Januar bekannt wurde.

Die fünf kritischen Bulletins betreffen Windows. Zwei der wichtigen Bulletins betreffen Microsoft Office, die restlichen wichtigen sowie das moderate Bulletin wiederum Windows. Auffallend ist, dass auch das moderate Bulletin die Ausführung beliebigen Codes aus der Ferne erlaubt, was eigentlich eine höhere Einstufung zur Folge haben müsste. Die Schwachstelle kann also nach Microsofts Einschätzung entweder nur sehr schwer oder nur unter besonders seltenen Umständen ausgenutzt werden.

Sicherheit rennt hinterher...

Bruce Schneier befasst sich in einem Essay mit 'Security and Function Creep': Systeme werden für Einsatzzwecke verwendet, für die sie ursprünglich nicht vorgesehen waren und für die sie keine ausreichenden Sicherheitsmaßnahmen mitbringen, die dann, meist mehr schlecht als recht, ergänzt werden müssen. Als Beispiel dient ihm dabei u.a. der amerikanische Führerschein, der eigentlich nur beweisen sollte, dass jemand Auto fahren kann. Danach galt er als Nachweis dafür, alt genug zum Alkoholkauf zu sein, was die ersten Nachrüstungen erforderlich machte, da nun das manipulieren interessanter wurde. Inzwischen soll er als Identitätsnachweis dienen, was weitere Nachrüstungen erforderlich macht.

Hoax auf Facebook: 'Automation Labs'

Paul Ducklin und Graham Cluley von Sophos berichten über einen weiteren Hoax, der auf Facebook die Runde macht: Wer in den Datenschutz-Einstellungen unter den geblockten Benutzern manuell nach 'Automation Labs' sucht, findet darin laut des Hoax ca. 20 ihm unbekannte Personen, die Zugriff auf sein Profil haben. Das erste stimmt, das zweite ist natürlich Blödsinn. Man kann dort nach allem möglichen suchen und im Prinzip jeden anderen Facebook-Benutzer finden, aber die haben natürlich keinen Zugriff auf das Profil des Suchenden. Würde man alle gefundenen Benutzer blocken, hätte man danach ganz Facebook gesperrt. Graham Cluley hat das ganze in einem Video erklärt:

Schwachstellenscanner-Test

Robert 'RSnake' Hansen weist im Blog auf ha.ckers.org auf einen Test von Schwachstellen-Scannern für Webanwendungen hin, den Larry Suto durchgeführt hat. Als Test mussten alle Scanner an den Testseiten ihrer Konkurrenten zeigen, was sie können: "Analyzing the Accuracy and Time Costs of Web Application Security Scanners" (PDF). Aus dem Abstract: "This paper focuses on the accuracy and time needed to run, review and supplement the results of the web application scanners (Accunetix, Appscan by IBM, BurpSuitePro, Hailstorm by Cenzic, WebInspect by HP, NTOSpider by NT OBJECTives) as well as the Qualys managed scanning service."

Gefährliche Schwachstellen vom 04.02.2010

• Novell NetStorage:
  Nicht beschriebene Schwachstelle erlaubt Ausführung beliebigen Codes

Carsten Eilers