Das SANS-Institute hat seine Liste mit den Top 25 der gefährlichsten Programmierfehler aktualisiert. Eine "Logische Zeitbombe" hat eine US-Stadtverwaltung getroffen, das Zeus/Zbot-Botnet ist im Visier seiner Konkurrenten gelandet, und Bundespräsident Horst Köhler hat das "Zugangserschwerungsgesetz" unterzeichnet. Die BBC berichtet, dass Google Buzz ohne sonst übliche Tests veröffentlicht hat, und Rob VandenBrink liefert im Handler's Diary des ISC einige Definitionen für den Begriff "Cloud Computing" und meint Defining Clouds - "A Cloud by any Other Name Would be a Lot Less Confusing" - aber wo kämen wir denn hin, wenn wir konkrete Namen statt des Buzzworts "Cloud Computing" verwenden würden? Am Ende könnte dann ja womöglich noch jemand merken, das manches eigentlich nur alter Wein in neuen Schläuchen ist.

Top 25 der gefährlichsten Programmierfehler aktualisiert

Das SANS-Institute hat seine 2009 erstmals veröffentlichte Liste mit den Top 25 der gefährlichsten Programmierfehler aktualisiert. Wie schon 2009 soll die Liste auch dieses Jahr dabei helfen, diese Programmierfehler und damit die sich dadurch ergebenden Schwachstellen zu vermeiden. Neu sind Umstrukturierungen der Liste zur besseren Trennung von Schwachstellen und möglichen Schutzmaßnahmen und eine Aufstellung der effektivsten Schutzmaßnahmen ("Monster Mitigations"), mit denen sich eine Vielzahl der Programmierfehler bzw. Schwachstellen verhindern lassen. Außerdem wurden einige Programmierfehler durch andere, die es im Vorjahr nicht in die Top 25 geschafft haben und die inzwischen als schwerwiegender eingeordnet werden, ersetzt. Eine Reihe von "Focus Profiles" hilft, für verschiedene Aufgaben die jeweils relevanten Informationen schnell zu finden.

"Logische Zeitbombe" trifft US-Stadtverwaltung

Brian Krebs berichtet, dass im US-amerikanischen Norfolk 784 Notebooks und Desktop-Rechner der Stadtverwaltung durch eine "logische Zeitbombe", die wichtige Windows-Systemdateien gelöscht hat, unbrauchbar gemacht wurden. Der Vorfall wird noch untersucht. Der Schadcode wurde von einem Printserver aus verbreitet, Dank übereifriger Techniker wurde er aber nicht gesichert, bevor das System neu aufgesetzt wurde.

'Bot vs. Bot' - der nächste Teilnehmer

Bereits im vergangenen Oktober gab es erste Berichte über einen Bot, Bredo, der Code zum deaktivieren eines Konkurrenten, Zeus/Zbot, enthält. Roland Dela Paz von Trend Micro und Peter Coogan von Symantec berichten nun, dass ein weiterer Bot, von Trend Micro EYEBOT und von Symantec SpyEye genannt, ebenfalls versucht, Zeus/Zbot zu deaktivieren. Bisher ist Zeus/Zbot zwar noch der 'King of the Bots', aber anscheinend beginnen die Cyberkriminellen, sich um die Beute zu streiten.

Zensursula-Gesetz unterzeichnet

Bundespräsident Horst Köhler hat das Internet-Zensurgesetz aka "Gesetz zur Bekämpfung von Kinderpornographie in Kommunikationsnetzen" unterzeichnet und hofft, dass die Bundesregierung nun auf Grundlage des Gesetzes "Kinderpornographie im Internet effektiv und nachhaltig bekämpft". Die will von dem Gesetz aber gar nichts mehr wissen und es laut Koalitionsvertrag nach In-Kraft-Treten per Erlass für ein Jahr aus dem Verkehr ziehen. Außerdem hat man sich inzwischen entschlossen, doch effektiv gegen Kinderpornographie vorzugehen und diese zu löschen. Fragt sich nur, wie man sich jetzt dieses inzwischen unerwünschten Gesetzes entledigt. Da hat der Herr Bundespräsident der Regierung ein schönes Kuckucksei ins Nest gelegt.

Gefährliche Schwachstellen vom 17.02.2010

• Multiple File Attachments Mail Form:
  Heraufladen beliebiger Dateien einschließlich PHP-Skripten möglich
• OtsTurntables:
  Pufferüberlauf beim Verarbeiten präparierter .ofl-Dateien erlaubt evtl. Ausführung beliebigen Codes (vom 18.01.2010, aktualisiert)
• Google Chrome:
  Mehrere Schwachstellen erlauben u.a. die Ausführung beliebigen Codes (vom 11.02.2010, aktualisiert)
• OpenOffice:
  Mehrere Schwachstellen erlauben u.a. die Ausführung beliebigen Codes (vom 12.02.2010, aktualisiert)

Carsten Eilers