Die letzte Woche war sehr ruhig. Das einzig wirklich bemerkenswerte war Microsofts außerplanmäßiger Patchday am Dienstag, an dem eigentlich nur ein Patch für die erst am 29.3. veröffentlichte ".Ani-Lücke" erwartet worden war. Doch Microsoft hat die Gelegenheit genutzt und gleich noch einige weitere Lücken im GDI behoben: Eine bereits seit dem "Month of Kernel Bugs" bekannte Schwachstelle, die lokalen Benutzern das Erlangen höherer Benutzerrechte erlaubt, sowie einige bisher unbekannte. Die meisten neuen Schwachstellen erlauben ebenfalls lokalen Benutzern das Erlangen höherer Benutzerrechte, außerdem kann durch präparierte Windows Metafile (WMF) Dateien ein Denial-of-Service verursacht werden.

Wer dachte, mit dem außerplanmäßigen Patchday sei das Thema für Microsoft für diesen Monat erledigt, wurde am 5. eines besseren belehrt: In der Microsoft Security Bulletin Advance Notification wurden für den 10. April vier Security Bulletins für Windows, darunter mindestens ein als kritisch eingestuftes, sowie ein ebenfalls kritisches Bulletin für den Microsoft Content Management Server angekündigt. Falls die Patches am 3. schon fertig waren hätte man sie ruhig alle außer der Reihe veröffentlichen können, dann wäre das ganze in einem Durchlauf erledigt gewesen.

Ein kurzer Blick auf die Übersicht des Internet Storm Centers zeigt noch eine kritische Schwachstelle in Word, die seit Anfang Februar bekannt ist. Die bleibt dann wohl noch einen weiteren Monat offen, sofern Microsoft am 10. nicht einen unangekündigten Patch liefert oder die Ursache der Schwachstelle eigentlich in Windows und gar nicht in Word liegt. Beides ist schon vorgekommen, sowohl mehr Patches als ursprünglich angekündigt als auch eine Lücke, die im Internet Explorer gemeldet und dann in Windows behoben wurde. Warten wir also ab, was kommt.

Und sonst?
Wie oben geschrieben war es eine sehr ruhige Woche. Daher mal wieder ein paar Linktipps:

• Kcpentrix ist ein Standalone-Penetrationstest auf Basis einer Slackware-Live-DVD, der neu in Version 2.0 vorliegt.
• Max Moser beschreibt die Umwandlung eines Standard-Bluetooth-Dongles in einen Bluetooth-Sniffer: "Busting The Bluetooth Myth" (PDF).
• Dann war da "The Week Of Vista Bugs [TWOVB]" mit einigen interessanten Ergebnissen. Auch wenn die vielleicht anders ausfallen, als manche gedacht haben.
• Von David Litchfield gibt es drei neue Paper zum Thema "Oracle Forensics" (alles PDF):
  • Oracle Forensics Part 1: Dissecting the Redo Logs
  • Oracle Forensics Part 2: Locating Dropped Objects
  • Oracle Forensics Part 3: Isolating Evidence of Attacks Against the Authentication Mechanism
• Von CYBSEC wurden ein Whitepaper und ein Open-Source-Tool für Penetatrionstests an SAP R/3 veröffentlicht:
  • Exploiting SAP Internals (PDF)
  • sapyto (v0.93) (.tgz)

Zu guter Letzt...
Und das war es dann auch schon für diesmal. Oder sollte ich noch kurz was über den Bundestrojaner schreiben? Eigentlich habe ich von den abgedrehten Ideen der wohl an Verfolgungswahn leidenden Innenpolitiker (ist das für die eigentlich eine anerkannte Berufskrankheit?) die Nase voll. Aber vielleicht mal ein kleiner Denkanstoß: Die vertrauen dem Volk nicht, aber wir sollen ihnen vertrauen? Irgendwas stimmt da doch nicht, oder?

Herrn Schäuble stört die Verfassung, also muss die seiner Meinung nach geändert werden. Ich sehe das etwas anders: Der Innenminister stört die Verfassung, also muss er geändert werden. Frau Merkel, was halten sie von einer kleinen Kabinettsumbildung?

Carsten Eilers