Eine neu entdeckte Sicherheitslücke im Microsoft-Browser MSIE gefährdet die Rechner

auch wenns langsam langweilig wird.... ;-) wieder mal:

Ungepatchter Fehler im Internet Explorer ermöglicht Datenspionage

Der Internet Explorer von Microsoft macht beim Import von kaskadierenden Stylesheets (CSS) einen kritischen Fehler. Wie aus dem Advisory[1] des Entdeckers Matan Gillon hervor geht, lässt sich dieser ausnutzen, um unter Umständen vertrauliche Nutzerdaten, wie Kredikartennummern, Passwörter oder Zugangsdaten für Online-Dienste auszuspionieren.

Als Proof-Of-Concept liefert Matan Gillon, der diese Methode in Anlehnung an bekannte Cross-Site-Scripting-Angriffe als CSSXSS bezeichnet, eine HTML-Seite, die Informationen einer installierten Google-Desktop-Suche ausliest. Ein boshaften Angreifer könnte diese Informationen beispielsweise durch geeignete HTTP-Anfragen zu einem anderen Rechner im Internet schicken lassen.

Externe Stylesheet-Quellen lassen sich durch @import oder durch die Javascript-Funktion addImport einbinden. Die sonst üblichen Restriktionen für die so genannte Cross-Domain-Interaktion, die ein direktes Auslesen verhindern würden, sind dabei zur Vermeidung von Komplikationen gelockert. Die empfangenen Daten brauchen dann lediglich ein zusammengehöriges Paar aus geschweiften Klammern zu enthalten, damit der IE diese als CSS-Daten interpretiert. Selbst wenn die interpretierten Daten im CSS-Kontext keinen Sinn ergeben, lassen sie sich teilweise durch das DOM-Objekt cssText vom Javascript-Code auslesen und verwerten.

Benutzer des Internet Explorer sollten besondere Vorsicht beim Besuch von nicht vertrauenswürdigen Seiten walten lassen und im Zweifelsfall JavaScript deaktivieren, bis ein Patch für diese Sicherheitslücke verfügbar ist. Nach Angaben von Gillon sind Firefox und Opera für diese Lücke nicht anfällig, da sie mit härteren Restriktionen arbeiten beziehungsweise die notwendigen Funktionen nicht unterstützen.

Siehe dazu auch:

* Advisory von Matan Gillon[2], zur CSS-Lücke im Internet Explorer

(cr[3]/c't) (cr/c't)

URL dieses Artikels:


Links in diesem Artikel:
[1] http://www.hacker.co.il/security/ie/css_import.html
[2] http://www.hacker.co.il/security/ie/css_import.html
[3] mailto:cr@ct.heise.de

Copyright © 2005 Heise Zeitschriften Verlag

Internet-Explorer-Loch: Rund 40 Prozent surfen ungeschützt

Internet-Explorer-Loch: Rund 40 Prozent surfen ungeschützt

Noch immer gibt es keinen Patch gegen den Win32/Delf.DH-Trojaner[1] --neuerdings als "Zero Day IE Exploit" bekannt -- doch trotz zahlreicher Warnungen surfen weiterhin rund 40 Prozent mit offenem Visier, sprich mit eingeschaltem Active Scripting. Das lässt sich der laufenden Statistik des Internet Storm Center[2] entnehmen, die die Zero-Day-Verwundbarkeit der Browser der Besucher im Verlauf der letzten Stunde ausgibt. Auf der Seite bekommt man zudem sofort Aufschluss über die eigene Verwundbarkeit: " You are considered [not] vulnerable".

Zunehmend werden inzwischen Reports über infektiöse Websites gemeldet, hier bahnt sich also langsam eine trojanische Katastrophe an, falls Microsoft nicht zügig den versprochenen[3] Patch bereitstellt. Der nächste offizielle Patch Day ist der 13. Dezember, doch wäre jetzt wohl ein Emergency Release geboten.
(as[4]/c't) (as/c't)

URL dieses Artikels:


Links in diesem Artikel:
[1] http://www.heise.de/security/news/meldung/66846
[2] http://isc.sans.org/
[3] http://www.microsoft.com/technet/sec...ry/911302.mspx
[4] mailto:as@ct.heise.de

Copyright © 2005 Heise Zeitschriften Verlag

Verseuchter Seuchenschutz

DER SPIEGEL 49/2005 - 05. Dezember 2005
URL: http://www.spiegel.de/spiegel/0,1518,388324,00.html

Computer

Verseuchter Seuchenschutz

Von Hilmar Schmundt

Eine neue Bedrohung verbreitet sich im Internet: Nun sind es die Schutzprogramme selbst, die zum Einfallstor für Computerviren werden.

Seit "Witty" unterwegs ist, steht die Welt Kopf: Wer Angst hat vor einem Einbruch und auf teure Überwachungstechnik setzt, macht sich gerade dadurch angreifbar.

Mit diesem Paradoxon schlägt sich die Software-Branche herum, seit der Computerwurm Witty sein Unwesen treibt. Das Dilemma begann damit, dass in der Computerschutz-Software "Black Ice" der amerikanischen Firma ISS eine Sicherheitslücke gefunden wurde. Um die Lücke zu stopfen, bot die Firma ihren Kunden ein Reparaturprogramm an. Doch damit wurde die Lücke öffentlich bekannt, und noch bevor alle Kunden ihre digitale Rüstung flicken konnten, schlug der Feind erneut zu.

Mitten in der Nacht von Freitag auf Sonnabend, als die meisten Computernutzer in den USA schliefen, schlich sich Witty von Rechner zu Rechner und infizierte mehrere 10.000 Geräte durch die Schwachstelle in der löchrigen Schutzsoftware.
Nach wenigen Stunden flaute die Epidemie wieder ab. Zur Beruhigung der Lage kam es nicht etwa, weil die Lücke geschlossen worden wäre. Vielmehr agierte Witty zu aggressiv: Der Wurm brachte Tausende seiner Wirtsrechner zum Absturz, indem er Teile der Festplatte überschrieb.

Diese Episode ereignete sich bereits am 20. März 2004. Die Presse nahm davon kaum Notiz; verglichen mit Computerschädlingen wie "I Love You", der im Jahr 2000 mehrere Millionen Rechner befallen hatte, schien Witty kaum der Erwähnung wert.

Es hätte schlimmer kommen können, dachten viele Experten. Und tatsächlich: Es kam schlimmer.

Denn Wittys Nachkommen könnten noch gefährlicher sein. Der Computerwurm war nur der Auftakt einer Flutwelle neuartiger Schadprogramme, die gezielt jene Programme missbrauchen, die doch eigentlich Schutz bieten sollen. Sogar Backup-Programme, die eigentlich dem Datenverlust vorbeugen sollen, sind ins Visier der Angreifer geraten.

Erst vorige Woche wurde bekannt, dass auch Software der Firma Panda offenbar eine Sicherheitslücke enthält - ein Eindringling könnte diese ausnutzen und fremde Rechner zum Absturz bringen. Das wäre noch vergleichsweise harmlos. Am gefährlichsten sind Schädlinge, die sich unbemerkt einnisten, um dann etwa unbemerkt jede Tastatureingabe mitzuprotokollieren und nach Passwörtern zu durchforsten.

Computer Associates, F-Secure, Kaspersky, Symantec - viele namhafte Hersteller von Sicherheitssoftware mussten inzwischen eingestehen, dass ihre Programme Schwachstellen enthalten. Unauffällig flickten die betroffenen Firmen jeweils ihre Löcher. Und wiegeln ab: "Die meisten dieser Bedrohungen sind doch rein hypothetisch", sagt etwa Mikko Hyppönen, Virenspezialist der finnischen Sicherheitsfirma F-Secure. Doch in Insiderkreisen wird das Versagen der Branche kontrovers diskutiert.

Schutzprogramme üben einen besonderen Reiz auf zwielichtige Bastler aus: "Wer sich in der Szene einen Namen machen will, sucht nicht mehr nach der 1000. Lücke in Windows", sagt Andrew Jaquith, Analyst bei der Bostoner Beratungsfirma Yankee Group. "Es gilt als viel cooler, einen Virenscanner direkt zu attackieren."

Indirekt ist Witty auch der erhöhten Sicherheit von Microsoft-Produkten zu verdanken. "Windows-Produkte führen zwar immer noch die Risikostatistiken an", so der Analyst, "aber der Missbrauch ist doch etwas schwieriger geworden."

Neuerdings besteht die Gefahr, dass sich die Witty-Welle verselbständigt, warnt Rohit Dhamankar von der Sicherheitsfirma Tipping Point: "Jeder Anfänger kann mit frei erhältlichen Bausätzen einen neuen Eindringling zusammenklicken." Der Programmcode des Witty-Wurms dient sich geradezu für die Weiterverwendung an. Der Name Witty bezieht sich auf eine Botschaft, die im Programmcode versteckt ist: "insert witty message here" - eine Aufforderung an Trittbrettfahrer, einfach den Code weiterzuverwenden und an diese Stelle eine "geistreiche Botschaft" einzubetten, als wäre der Killerwurm nur eine Art elektronische Postkarte.

Doch die wichtigsten Gründe für die neue Verletzlichkeit liegen nicht bei den oft minderjährigen Angreifern, sondern bei einer Branche, die sich beharrlich weigert, erwachsen zu werden. Seit Jahren schon liefern sich über ein Dutzend Hersteller einen erbitterten Verdrängungswettbewerb. So gibt es bis heute keine einheitliche Benennung von Viren.

"Der Zeitdruck ist enorm gestiegen, fast alle Anbieter bringen fast jeden Tag ein neues Update, und oft bleibt kaum Zeit, die Software zu testen", sagt Andreas Marx, Sicherheitsberater aus Magdeburg. Außerdem werden die Sicherheitspakete ständig um neue Funktionen erweitert, bisweilen mit mangelhaften Komponenten von Drittanbietern. Die vermeintlichen Flicken sind daher manchmal selbst löchrig.

Die meisten Computernutzer sind noch ahnungslos. Brav zahlen sie oft über 40 Euro für ihre Computerschutz-Programme - ohne zu ahnen, dass ihr Seuchenschutz selbst blitzartig hochinfektiös werden könnte.

Wie aber sollen sich die Kunden verhalten? "Das Allerdümmste wäre es, in Panik zu verfallen und auf den Virenschutz zu verzichten", rät Andreas Marx, "Wo im Leben gibt es schon absolute Sicherheit?"

© DER SPIEGEL 49/2005

Meint

ihr nicht das auch das Geld für diese ganzen AntiViren Prog eine Rolle spielt ? Wie ja bekannt ist entwickeln 16-20 Jährige Viren usw für große Software Firmen, um die entsprechende Software auf den Markt zu bringen..

................

Die Szene der Virenschreiber ist ausgesprochen aktiv. Mittlerweile ist eine eigene Subkultur entstanden. Virenentwickler sind männlich und zwischen 14 und 21 Jahre alt. Wenn sie erwachsen sind, hören sie auf, Viren in Umlauf zu bringen. Viren werden meistens geschrieben, um Freunden zu imponieren. Ziel ist es, möglichst unter dem jeweiligen Namen bekannt zu werden. Je mehr Schäden ein Virus verursacht, je stärker es sich verbreiten kann, desto berühmter wird sein Schöpfer.

Generell zum Thema: ich bin immer noch der Meinung, dass Virenhersteller und Antivirenhersteller Hand in Hand arbeiten !?!
Natürlich tun sie das... das ist ein indutrielles Abkommen ... denn wozu AntiViren Software wenns keine Viren gibt... die AntiViren-Software Firmen bezahlen die Virenentwickler auf ganz "legale" weise für deren Programmcodes... es ist sogar eine art wettlauf, da jeder Software-Riese der erste sein will, der den ganzen Code und damit den "AntiVirus" hat. Ich hab dazu die Theorie dass es nur dann zu großen problemen (z.B. damals der Blaster Worm) kommt, weil die AntiVirus-firmen sich nicht einigen und schlichtweg zu spät den code erhalten...

Wie schon gesagt , DAS wird in fast jedem Forum Diskutiert. Deswegen das : Wie ja bestimmt schon jeder weiß...

Gruß matze

"BKA-Wurm" Sober.Z lädt im Januar nach

Nach Angaben einiger Hersteller[1] von Antivirensoftware könnte der immer noch sehr aktive "BKA-Wurm" Sober.Z[2] am 5. Januar 2006 weitere Funktionen nachladen, um neue Aufgaben zu erledigen. Auf die gleiche Weise mutierte auch der "WM-Ticket-Wurm" Sober.O im Mai vor der Landtagswahl in Nordrhein-Westfalen zum Spam-Roboter, um Mails mit rechtsgerichteten Inhalten[3] zu versenden. Sober.G[4] versuchte Mitte 2004 ebenfalls vor einer Landtagswahl mit Nazi-Spam Stimmung zu machen.

Ob Sober.Z das gleiche Ziel hat, ist derzeit unklar, da auf den Nachlade-Servern noch keine Inhalte oder Programme hinterlegt sind. Allerdings ist der 5. Januar der Jahrestag der Gründung der Deutschen Arbeiterpartei (DAP), die sich kurz darauf in NSDAP umbenannte. Der Zeitpunkt legt also den Schluss nahe, dass auch die kommenden Aktionen von Sober darauf ausgelegt sind, das Netz mit Mails rechtsgerichteten Inhalts zu fluten -- sofern das Nachladen nicht verhindert wird.

Dass dies geht, bewies im Mai dieses Jahres das Bundesamt für Sicherheit in der Informationstechnik (BSI) zusammen mit den Betreibern der bekannten Internet-Domainnamen. Durch das Blockieren der Domains liefen die Nachladeversuche des Spam-Trojaners Sober.Q[5] ins Leere. Ob das BSI und die Betreiber auch diesmal Vorbereitungen treffen, ist nicht bekannt.
(dab[6]/c't) (dab/c't)

URL dieses Artikels:


Links in diesem Artikel:
[1] http://www.symantec.com/avcenter/ven...ober.x@mm.html
[2] http://www.heise.de/security/news/meldung/66482
[3] http://www.heise.de/security/news/meldung/59562
[4] http://www.heise.de/security/news/meldung/48135
[5] http://www.heise.de/security/news/meldung/59729
[6] mailto:dab@ct.heise.de

Copyright © 2005 Heise Zeitschriften Verlag

Viren

Vielleicht nur ´ne Verschwörungstheorie.

Aber in den 50er Jahren war der Spruch bekannt, dass einmal im Jahr ein Bauernhof brennen muss, damit die anderen ihre Höfe versichern.

Und aus der Historie heraus dienten Würmer mal einer guten Sache. Sie sollten in Großrechnern die Speichermedien aufräumen. Kein WITZ - TATSACHE.