Die Mozilla Foundation hat einen Sicherheits-Check für Browser-Plugins veröffentlicht. Es gibt eine neue Welle des "SSL-Trojaners", ein falscher Michael Jackson Song führt zu Schadsoftware, ein Botnet wurde in der Scripting-Sprache AutoIT entwickelt, es wurde eine neue Möglichkeit zum Umgehen von JavaScript-Filtern gefunden, gehackte Facebook-Anwendungen führen zu Drive-by-Infektionen, und der Trojaner Bredolab wurde analysiert. Bruce Schneier verweist in seinem Blog auf einem Artikel, in dem der aktuelle Status des P-NP-Problems zusammengefasst wird, und am 14. Tag des 'Cyber Security Awareness Month' ging es im Handler's Diary des ISC um 'Port 514 - syslog' und dessen Anwendung.

Mozilla prüft Plugins

Die Mozilla Foundation hat einen Sicherheits-Check für Browser-Plugins entwickelt und nun offiziell veröffentlicht. Der Test ist in der Lage, mehr als 15 populäre Plugins zu erkennen und auf Aktualität zu prüfen. Bei veralteten Plugins wird ein Link zur entsprechenden Update-Seite angezeigt, bei bekannten Schwachstellen zusätzlich eine Warnung ausgegeben. In der kommenden Firefox-Version 3.6 wird eine entsprechende Prüfung ebenfalls enthalten sein. Ein Eintrag im Blog der Entwickler beschreibt die Funktionsweise des Tests.

"SSL-Trojaner", die nächste Welle

Die am Dienstag gemeldeten E-Mails, laut denen ein angebliches Server-Update die Installation neuer SSL-Zertifikate erfordern, werden jetzt mit etwas geändertem Text verschickt. Laut einem Eintrag im Handler's Diary des ISC ist es nun eine angeblich notwendige Änderung der Einstellungen für den 'mailing service', die zum Herunterladen und Starten des Trojaners verleiten soll.

Falscher Michael Jackson Song führt zu Schadsoftware

Symantec warnt vor gefälschten E-Mails, die angeblich von CNN stammen und den Link zu Michael Jacksons neuem Lied enthalten. Tatsächlich führt das Anklicken des Links zum Download eines Trojaners.

Botnet mit AutoIT

Paul Wood beschreibt im Blog von Symantec, wie mit der Scripting-Sprache AutoIT ein Botnet aufgebaut werden kann. Die eigentlich für das Skripting von Windows-Anwendungen gedachte Sprache wird öfter für Trojaner oder Würmer missbraucht. MessageLabs hat nun einen Trojaner gefunden, der über AutoIT via IRC eine Verbindung zu einem Command&Control-Server aufnimmt. Der Trojaner wird von den Cyberkriminellen als angebliches GIF-Bild per E-Mail in Umlauf gebracht und versucht, sich selbst mit Hilfe der AutoRun-Funktion über Wechselmedien zu verbreiten.

JavaScript-Filter umgehen

Robert 'RSnake' Hansen berichtet im Blog auf ha.ckers.org über eine von 'MaXe' entdeckte Möglichkeit, bestimmte JavaScript-Filter zu umgehen. Ausgangspunkt ist ein Parameter, der eine URL enthalten soll und daraufhin geprüft wird, ob "://" darin vorkommt. In diesem Fall lässt sich über "javascript://[JavaScript-Code]" kein JavaScript-Code einschleusen, da der durch die "//" auskommentiert wird. Fügt man aber hinter das "//" ein "%0a" (Newline) oder "%0d" (Carriage Return) ein, erkennt der Browser eine neue Zeile und führt den folgenden Code aus.

Gehackte Facebook-Anwendungen

Roger Thompson von AVG berichtet über gehackte Facebook-Anwendungen, die ihre Benutzer auf russischen Server leiten, auf denen ihnen im Rahmen von Drive-by-Infektionen Schadsoftware untergeschoben werden soll. Folgende Anwendungen wurden von AVG als gehackt gemeldet:

• Aquariumlife
• CityFireDepartment
• Ferrarifone
• Fillinthe
• Mashpro
• MyGirlySpace
• Mynameis
• Pass-it-on

Dabei handelt es sich um keine von Haus aus bösartigen Anwendungen, sondern die Anwendungen wurden selbst Opfer der Cyberkriminellen.

Trojaner Bredolab analysiert

Gilou Tenebro von Sophos beschreibt in einem Blogeintrag und einem Paper (PDF) den Trojaner Bredolab, der über Spam-Mails und Drive-by-Infektionen verbreitet wird und nach dem erfolgreichen Eindringen in einen Rechner verschiedene andere Schadsoftware nachladen kann.

Gefährliche Schwachstellen vom 14.10.2009

• Sun Java Enterprise System:
  Pufferüberlauf-Schwachstelle im Network Security Services (NSS) erlauben Ausführung beliebigen Codes
• Achievo:
  Remote-File-Inclusion-, SQL-Injection- und Cross-Site-Scripting-Schwachstellen behoben
• Unix / Sun Solaris:
  Pufferüberlauf-Schwachstelle im Network Security Services (NSS) erlauben Ausführung beliebigen Codes
• Adobe Reader:
  Kritische Schwachstelle erlaubt Ausführung beliebigen Codes (vom 09.10.2009, aktualisiert)
  Kritisch, weil: Schwachstelle wird für gezielte Angriffe auf Windows-Systeme ausgenutzt
• Adobe Acrobat:
  Kritische Schwachstelle erlaubt Ausführung beliebigen Codes (vom 09.10.2009, aktualisiert)
  Kritisch, weil: Schwachstelle wird für gezielte Angriffe auf Windows-Systeme ausgenutzt
• Windows:
  Schwachstellen in der Windows Media Runtime erlauben Ausführung beliebigen Codes (MS09-051) (vom 13.10.2009, aktualisiert)
• Windows:
  Acht Schwachstellen in GDI+ erlauben die Ausführung beliebigen Codes (MS09-062) (vom 13.10.2009, aktualisiert)

Carsten Eilers