Es gibt weitere Neuigkeiten rund um die Schwachstellen in Microsofts Active Template Library (ATL). Im 'Month of Twitter Bugs' wurden weitere Schwachstellen veröffentlicht, und es laufen DoS-Angriffe auf BIND. Es gibt eine neue Statistik, ein neues Video, eine neue Studie und ein neues E-Zine, und Trend Micro hat sein "Thread Center" TrendWatch gründlich überarbeitet.

Neues zu Microsofts Active Template Library (ATL)

Es gibt weitere Neuigkeiten rund um die Schwachstellen in Microsofts Active Template Library (ATL). Neben Adobes Flash Player und Shockwave Player ist auch Cisco Unity von den Schwachstellen betroffen, an ihrer Behebung wird noch gearbeitet.

Verizon Business hat einen kostenlosen Online-Test bereitgestellt, mit dem verdächtige ActiveX-Controls daraufhin untersucht werden können, ob sie die Schwachstellen enthalten oder nicht. Da nur statisch gelinkter Code getestet werden kann und Verizon weder false positives noch false negatives ausschließt, ist der Test aber eigentlich nicht nur kostenlos, sondern sogar umsonst - was soll man mit einem Test, dessen Ergebnis sowieso manuell überprüft werden muss? Dann kann man auch darauf verzichten und gleich von Hand prüfen.

Month of Twitter Bugs

Im Rahmen des 'Month of Twitter Bugs' wurden am 28. Tag eine reflexive XSS-Schwachstelle in tweetburner und am 29. Tag eine reflexive XSS-Schwachstelle in chart.ly veröffentlicht, die beide bisher nicht behoben wurden - die Hersteller haben wie zuvor bereits mehrere ihrer Mitbewerber nicht auf die Information über die Schwachstellen reagiert. Sind die nun unfähig, das Problem zu erkennen oder die Schwachstelle zu beheben, oder ist es ihnen schlichtweg egal?

DoS-Angriffe auf BIND

Im Handler's Diary des ISC wird darauf hingewiesen, dass die gestern veröffentlichte DoS-Schwachstelle in BIND "in the wild" ausgenutzt wird, die bereit stehenden Updates sollten daher zügig installiert werden.

Statistik, Video, Studie, E-Zine

Die McAfee Avert Labs haben den Q2 Threat Report (PDF) veröffentlicht, in dem es vor allem um Botnets und Spam sowie "Cybercrime as a Service" und Angriffe auf Social Networks geht.

Graham Cluley weist auf ein Video hin, in dem Paul Ducklin Phishing-Angriffe erklärt. Das Video richtet sich zwar eigentlich an Finanzinstitute, ist aber auch allgemein verständlich und interessant.

Forscher der Carnegie Mellon University berichten, das Warnungen vor Problemen mit SSL-Zertifikaten meist ignoriert werden: Je nach Webbrowser haben zwischen 55 und 100% der 100 Testpersonen Warnungen ignoriert. Viele Benutzer verstehen die Zertifikate sowieso falsch und denken, dass das Zertifikat beweist, das der Betreiber der entsprechenden Website vertrauenswürdig ist. Das es tatsächlich nur bescheinigt, das der Benutzer auf der gewünschten Website gelandet ist, ist weniger bekannt.

In letzter Zeit wurden mehrere Sicherheits-Websites kompromittiert. Die dafür verantwortliche Gruppe hat jetzt ein E-Zine namens ZF0 (Zero For Owned) veröffentlicht, in dem sie viele der dabei gesammelten Daten präsentiert ( Mail mit dem Text auf der Mailingliste 'Full-disclosure'). In einem Eintrag im Handler's Diary des ISC gibt es einige weitere Informationen dazu.

Gefährliche Schwachstellen vom 29.07.2009

• In-Portal:
  Heraufladen beliebiger PHP-Skripte durch authentifizierte Benutzer
• Ultrize TimeSheet:
  Einbinden entfernter Dateien über Parameter 'config[include_dir]' im Skript include/timesheet.php
• Adobe Flash Player (ehemals Macromedia):
  Schwachstellen in der Active Template Library (ATL) erlauben Ausführung beliebigen Codes
• Adobe Shockwave Player:
  Schwachstellen in der Active Template Library (ATL) erlauben Ausführung beliebigen Codes
• Cisco Unity:
  Schwachstellen in der Active Template Library (ATL) erlauben Ausführung beliebigen Codes
• PHP Paid 4 Mail Script:
  Einbinden entfernter Dateien über Parameter 'page' im Skript home.php (vom 27.07.2009, aktualisiert)

Carsten Eilers