Adobe hat am Freitag Patches für Adobe Reader und Arcobat veröffentlicht. Das Paper mit der Beschreibung der Schwachstellen in Microsofts Active Template Library (ATL) wurde veröffentlicht. Brian Krebs hat einen Fake-Virenscanner verfolgt, und Deborah Hale berichtet über infizierte Websites. Clomp/Clampi missbraucht PsExec, der 'Month of Twitter Bugs' ist vorüber, und es gibt Angriffe auf Hotmail-User. Ein Windows-Rootkit nutzt eine einfache, aber effektive Tarnung, eine SMS lockt zu Premium-Diensten und ein neues Tool analysiert Office-Dateien. Und Denys Ma beschreibt im Blog der McAfee Avert Labs anschaulich, wie die DoS-Schwachstelle in BIND ausgenutzt werden kann.

Patches für Adobe Reader und Acrobat

Adobe hat am Freitag die bereits vorab angekündigten Patches für 0-Day-Schwachstelle in Adobe Reader und Acrobat veröffentlicht, die auf die am Donnerstag behobene 0-Day-Schwachstelle im Flash Player zurück geht. Aufgrund dieser außerplanmäßigen Patches wurde der nächste reguläre Adobe-Patchday für Dienstag, den 13. Oktober angekündigt.

Paper zu den ATL-Schwachstellen

Mark Dowd, Ryan Smith und David Dewey haben ihr Paper mit Details zu den am außerplanmäßigen Patchday behobenen Schwachstellen in Microsofts Active Template Library (ATL) veröffentlicht: "Attacking Interoperability" (PDF) beschreibt die Schwachstellen, ihre Auswirkungen und Ausnutzung.

Fake-Virenscanner verfolgt

Brian Krebs hat einen Fake-Virenscanner bis zu seinen Herstellern zurückverfolgt. Was gar nicht so einfach war, da die Cyberkriminellen natürlich keinen Wert darauf legen, von ihren Opfern oder den Strafverfolgungsbehörden gefunden zu werden.

Vertrauenswürdige Websites infiziert

Deborah Hale berichtet im Handler's Diary des ISC über mehrere Fällen eigentlich harmloser und vertrauenswürdiger Websites, die für Drive-by-Infektionen präpariert wurde: 'Google Safe Browsing' hilft beim Endecken kompromittierter Websites und 'Website Warnings' weist u.a. auf die Wichtigkeit guter Passwörter hin.

Clomp/Clampi: With a little help from PsExec

PsExec ist ein Bestandteil von Microsofts Sysinternals und dazu gedacht, sich mit einem entfernten Rechner zu verbinden und dort ein Programm auszuführen. Etwas, was auch viele Schadprogramme tun wollen. Richard Cohen von Sophos berichtet, das der bereits in den Security-Hinweisen vom 13. und 31. Juli erwähnte Trojaner Clomp/Clampi PsExec verwendet, um sich mit anderen Rechner im Netzwerk zu verbinden und sich dort selbst auszuführen.

'Month of Twitter Bugs' - Das Finale

Der 'Month of Twitter Bugs' ist vorüber. Am 30. Tag wurde die unsichere Kommunikation von TweetDeck veröffentlicht, die bisher nicht behoben wurde: Videos werden ungeschützt übertragen und können dadurch manipuliert werden. Der Betreiber arbeitet daran, die Schwachstelle durch die Nutzung von HTTPS zu beheben. Und am 31. und letzten Tag wurde eine reflexive XSS-Schwachstelle in Twitter Search veröffentlicht, die inzwischen behoben wurde.

Trojaner-Angriff auf Hotmail-User

Trend Micro warnt vor eine Spam-Welle an Hotmail-User, die denen einen Trojaner unterschieben soll. Eine angeblich angehängte JPEG-Datei ist tatsächlich ein Link, der beim Anklicken zum Download der Schadsoftware TROJ_DLOADR.AQJ führt.

Getarntes Windows-Rootkit

Sophos hat ein Windows-Rootkit untersucht, das sich u.a. dadurch tarnt, indem es beep.sys beendet, dessen Image auf der Festplatte durch eigenen Code austauscht und den Treiber danach neu lädt. Dabei wird der ausgetauschte Code anstelle des Originalcodes geladen, und das Rootkit fällt nicht als fremder Eintrag in <System>\drivers\ auf. Nach dem Laden wird die überschriebene Datei beep.sys durch eine Kopie der Originaldatei ersetzt und die Spuren des Eingriffs verwischt.

SMS lockt zu Premium-Dienst

F-Secure berichtet über SMS-Spam, der seine Opfer über einen Link auf eine Webseite lockt, auf denen ihnen dann ein Premium-Dienst untergeschoben wird, der über die Telefonrechnung abgerechnet wird. Das ist möglich, da beim Zugriff über ein WAP-Gateway die entsprechenden Informationen an den Website-Betreiber weitergeleitet werden.

OffVis 1.0 Beta angekündigt

Microsoft hat OffVis 1.0 Beta angekündigt, ein 'Office Visualization Tool' zur Analyse von Dateien in Word-, PowerPoint- und Excel-Format, das auch einige bekannte Schwachstellen in den Dateien erkennt. Das Programm steht im Microsoft Download Center zum Download bereit.

Gefährliche Schwachstellen vom 31.07.2009

• Adobe AIR:
  Mehrere Schwachstellen erlauben u.a. die Ausführung beliebigen Codes
• Network Security Services (NSS):
  Zwei Schwachstellen erlauben das Unterschieben gefälschter Zertifikate und evtl. die Ausführung beliebigen Codes
• justVisual:
  Einbinden entfernter Dateien über Parameter 'fs_jVroot' in mehreren Skripten
• Adobe Flash Player (ehemals Macromedia):
  Nicht näher beschriebene 0-Day-Schwachstelle erlaubt Ausführung beliebigen Codes (vom 23.07.2009, aktualisiert)
  Kritisch, weil: Schwachstelle wird im Rahmen von Drive-by-Infektionen ausgenutzt
• VLC Media Player:
  Pufferüberlauf-Schwachstelle im SMB-Modul der Windows-Version erlaubt Ausführung beliebigen Codes (vom 26.06.2009, aktualisiert)
• Ultrize TimeSheet:
  Einbinden entfernter Dateien über Parameter 'config[include_dir]' im Skript include/timesheet.php (vom 29.07.2009, aktualisiert)
• Adobe Flash Player (ehemals Macromedia):
  Schwachstellen in der Active Template Library (ATL) erlauben Ausführung beliebigen Codes (vom 29.07.2009, aktualisiert)

Carsten Eilers