In einigen Archiven der Joomla!-Komponente RSGallery2 wurde eine Hintertür gefunden. Die Twitter-API erleichtert die Verbreitung von Würmern, IM-Zugangsdaten wurden im Internet gefunden und Brian Krebs verrät, was ein gehackter PC wert ist. F-Secure rät zum Aufschreiben von Passwörtern auf Post-its, und im Handler's Diary des ISC wurde eine Liste mit Server-Blacklists veröffentlicht. Außerdem gibt es einige Lese-Tipps.

Joomla!-Komponente mit Hintertür

In einigen Archiven der Joomla!-Komponente RSGallery2 wurde eine Hintertür gefunden. Der Vorfall wird zur Zeit noch untersucht, der Download der Komponente ist bis auf weiteres gesperrt worden. Da niemand nur zum Spass eine Hintertür einbaut, ist mit Angriffen auf betroffene Systeme zu rechnen. Wer RSGallery2 installiert hat, sollte prüfen, ob seine Version betroffen ist.

Twitter-API gut für Würmer geeignet

Aviv Raff berichtet, das die Twitter-API die Verbreitung von Würmern erleichtert. Filtert ein Drittanbieter keinen HTML- und JavaScript-Code aus den Original-Twitter-Profilen, wie es Twitter selbst seit einiger Zeit macht, kann im Profil beim Drittanbieter bösartiger JavaScript-Code eingeschleust werden, der dann im Browser der Besucher des Profils ausgeführt wird. Der Code kann dann über die Twitter-API beliebige Aktionen auslösen. Als Beispiel hat Aviv Raff einen Wurm geschrieben, der eine Schwachstelle in Twitpic.com ausnutzt.

IM-Zugangsdaten im Internet

Symantec meldet, das mehrere Trojaner die Zugangsdaten zu IM-Anwendungen ausspähen und die Ergebnisse teilweise im Internet veröffentlicht wurden. Gefunden werden können sie z.B. über die Google-Suchanfrage "[IM-Benutzername] password txt filetype:txt".

Was ist ein gehackter PC wert?

Brian Krebs listet in seinem Blog auf, welchen Wert ein gehackter PC für den Angreifer hat. Das geht von der Nutzung als Webserver für bösartige Angebote über die Nutzung als Teil eines Bot-Nets zum Spam-Versand und weiter...

Passwort auf Post-its?

F-Secure rät zum Aufschreiben von sicheren Passwörtern auf Post-its. Der Hintergedanke: Es ist besser, ein gutes Passwort zu notieren und zu riskieren, das Dritte es finden, als ein schwaches, leicht ermittelbares Passwort zu verwenden. Damit Dritte nichts mit dem Post-it anfangen können, soll nicht das gesamte Passwort aufgeschrieben werden, sondern nur ein Teil. Der Rest bleibt geheim, dient also quasi als PIN. Sollte jemand das Passwort finden, fehlen ihm immer noch der zugehörige Benutzername und die 'PIN', und damit das Finden nicht so leicht ist, sollte das Post-it nicht gerade am Monitorrand oder unter der Tastatur platziert werden.

Server-Blacklist-Liste

Im Handler's Diary des ISC wurde eine Liste mit Server-Blacklists veröffentlicht. Aufgeführt sind z.B. Listen mit bösartigen Webservern und mehr. Einen weiteren Artikel zum Thema gibt es von Steven Burn.

Lesenswertes

In Microsofts Security Research & Defense Blog wurde ein Beitrag über 'Safe Unlinking in the Kernel Pool' veröffentlicht. In Windows 7 werden einige Integritätsprüfungen für den Kernel-Pool aktiviert, die Pufferüberläufe erschweren sollen.
Steve Friedl hat eine gute Beschreibung der WebDAV-Schwachstelle im IIS veröffentlicht: ' Understanding Microsoft's KB971492 IIS5/IIS6 WebDAV Vulnerability'.
Dancho Danchev berichtet in 'Inside the botnets that never make the news - a gallery' über kleine Botnets, über die kaum berichtet wird, obwohl sie ebenso Schaden anrichten, wie die Riesen-Netze, die regelmäßig in den Nachrichten auftauchen.
Endlich gibt es mal eine für Deutschland brauchbare Schadsoftware- und Pishing-Statistik: Die 'Malware and Phishing statistics for Germany' von Avira. Leider ist sie etwas kurz.
Das SANS-Institute hat ein neues Blog rund um die Sicherheit von Webanwendungen gestartet: Das 'SANS Web Application Security Blog'.

Gefährliche Schwachstellen vom 27.05.2009

• BlackBerry Enterprise Server:
  Schwachstellen im PDF-Distiller erlauben Ausführung beliebigen Codes
• BlackBerry Professional Software:
  Schwachstellen im PDF-Distiller erlauben Ausführung beliebigen Codes
• cpCommerce:
  Einbinden entfernter Dateien über Parameter 'GLOBALS[prefix]' im Skript _functions.php
• eZoneScripts.com Hot Or Not Script:
  Fehlende Authentifizierung für den Administrationsbereich und fehlende Prüfung heraufgeladener Dateien erlauben Hochladen beliebiger PHP-Skripte
• SonicOS:
  Formatstring-Schwachstelle im Logfile-Parser erlaubt Ausführung beliebigen Codes
• Joomla/RSGallery2 Component:
  Manipulierte Archive installieren eine Hintertür
• Zeeways PHOTOVIDEOTUBE:
  Umgehen der Authentifizierung durch Setzen von Cookies, persistentes Cross-Site-Scripting und Heraufladen beliebiger Dateien möglich
• Mac OS X:
  Mehrere Schwachstellen erlauben u.a. die Ausführung beliebigen Codes (vom 13.05.2009, aktualisiert)
• DokuWiki:
  Einbinden lokaler Dateien über Parameter 'config_cascade[main][default][]' im Skript doku.php (vom 26.05.2009, aktualisiert)
• Soulseek:
  Pufferüberlauf beim Verarbeiten präparierter Such-Nachrichten erlaubt Ausführung beliebigen Codes (vom 26.05.2009, aktualisiert)
• Microsoft Internet Information Server:
  Schwachstelle beim Verarbeiten von WebDAV-Requests erlaubt Umgehen der Authentifizierung für Passwortgeschützte Verzeichnisse und den Up- und Download beliebiger Dateien (vom 18.05.2009, aktualisiert)

Carsten Eilers