News
Security-Hinweise zu Smartphone-Schädlingen und mehr
Symantec und McAfee haben neue Schädlinge für Smartphones gemeldet. Im Blog von Sophos wird beschrieben, warum man seine Programmdateien nicht packen sollte, und im Blog der McAfee Avert Labs wird über eine Schwachstelle im Signaturprozess für iPhone-Anwendungen berichtet. Im Blog von Sophos wird über einen Rootkit mit enthaltenem Debug-Code berichtet, es gibt weitere Infos zum chinesischen Hacker-Tool zur Ausnutzung der RPC-Schwachstelle, und Erez Metula hat ein Paper über das Verbergen von Schadcode in .NET veröffentlicht. Im Handler's Diary des ISC wird beschrieben, wie den Kontrollkanälen von Trojanern auf die Spur gekommen wurde, und im Blog des Microsoft Security Response Centers wurden die Fragen und Antworten aus dem November 2008 Security Bulletin Webcast veröffentlicht.
Wurm und Virus im Smartphone
Im Blog von Symantec wird über einen neuen Wurm berichtet, der sich auf
Smartphones mit Windows CE auf ARM-Prozessoren ausbreitet:
A Smart Worm for a Smartphone – WinCE.PmCryptic.A.
Ausser sich selbst zu verbreiten kann das digitale Ungeziefer u.a. Anrufe
zu kostenpflichtigen Telefonnummern durchführen und damit direkt finanziellen
Schaden anrichten.
Im Blog der McAfee Avert Labs wird über einen alten Trick aus DOS-Zeiten
berichtet,
der jetzt für Smartphones neu aufgewärmt wird: Einen sog. 'companion
virus', der keine Programmdatei befällt, sondern sich als dieses Programm
ausgibt, um an seiner Stelle gestartet zu werden. Nach Ausführen des
Schadcodes startet der Virus dann das eigentliche Programm, um so einer
Enttarnung zu entgehen.
Warum man keine Programm-Packer verwenden sollte
Im Blog von Sophos wird beschrieben, warum man seine Programmdateien nicht packen sollte, und wenn es doch unbedingt sein muss, dann nur mit bekannten Standardpackern: Da Schadsoftware Packprogramme zur Verschleierung verwendet, könnte das eigene Programm leicht in den Verdacht kommen, Schadsoftware zu sein.
Schwachstelle im Signaturprozess für iPhone-Anwendungen
Im Blog der McAfee Avert Labs wird über eine Schwachstelle im Signaturprozess für iPhone-Anwendungen berichtet: iPhone-Anwendungen müssen vor ihrer Aufnahme in den App Store und der Installation auf dem iPhone vom Hersteller und Apple signiert werden, um das Vorhandensein schädlicher oder unerwünschter Funktionen auszuschließen. Beim Berechnen der Signatur werden jedoch symbolische Links nicht aufgelöst. Enthält eine iPhone-Anwendung, die aus mehreren Dateien in einem Ordner bestehen kann, einen symbolischen Link auf eine Datei außerhalb des Anwendungs-Ordners, wird diese Datei nicht bei der Berechnung der Signatur berücksichtigt. Dadurch kann sie später durch nachgeladenen Schadcode ausgetauscht werden, ohne das die Signaturprüfung fehl schlägt.
Schädling mit Debug-Code
Im Blog von Sophos wird über einen Rootkit mit enthaltenem Debug-Code berichtet. Der Debug-Code erleichtert natürliche die Analyse und das Finden des Schädlings. Anscheinend hat der Rootkit-Autor vergessen, die Debug-Informationen vor der Verbreitung seines Schädlings zu löschen.
Weitere Infos zum chinesischen Hacker-Tool
Zum bereits letzte Woche erwähnten chinesischen Hacker-Tool, das die von Microsoft im Oktober außerplanmäßig behobene Schwachstelle im RPC-Server ausnutzt, gibt es weitere Informationen im McAfee Avert Labs Blog.
Neues Paper: '.NET Framework Rootkits: Backdoors inside your Framework'
Erez Metula hat ein Paper über das Verbergen von Schadcode in .NET veröffentlicht: .NET Framework Rootkits - Backdoors inside your Framework. Er beschreibt darin, wie das .NET-Framework so manipuliert werden kann, das danach jedes darin ausgeführte Programm und jede darin ausgeführte Bibliothek unbemerkt den eingeschleusten Schadcode ausführen.
Gefährliche Schwachstellen vom 14.11.2008
- Apple Safari:
Mehrere Schwachstellen erlauben u.a. die Ausführung beliebigen Codes und das Ausspähen sensitiver Informationen - StarOffice:
Mehrere Integerüberlauf-Schwachstellen erlauben die Ausführung beliebigen Codes durch eine präparierte EMF-Datei - MemHT Portal:
SQL-Injection über 'X-Forwarded-For'-Header im Skript inc/ajax/ajax_rating.php erlaubt u.a. Einschleusen beliebigen PHP-Codes - ScriptsFeed Auto Classifieds Software:
Heraufladen beliebiger Dateien über den Bilder-Upload - ScriptsFeed Real Estate Classifieds Software:
Heraufladen beliebiger Dateien über den Bilder-Upload - ScriptsFeed Recipes Listing Portal:
Heraufladen beliebiger Dateien über den Bilder-Upload
Carsten Eilers
Folgende Links könnten Sie auch interessieren
- Security-Hinweise zu Chrome, MS-Patchday und ungeschützten Routern
[http://phpconference.com/entwicklerde/news/Security-Hinweise-zu-Chrome-MS-Patchday-und-ungeschuetzten-Routern-045042.html] - Security-Hinweise zu weniger bekannten PHP-Schwachstellen, JavaScript-Injection und mehr
[http://phpconference.com/entwicklerde/news/Security-Hinweise-zu-weniger-bekannten-PHP-Schwachstellen-JavaScript-Injection-und-mehr-045227.html] - Security-Hinweise zu Angriffen auf OpenSSH und Redirection-Spam
[http://phpconference.com/entwicklerde/news/Security-Hinweise-zu-Angriffen-auf-OpenSSH-und-Redirection-Spam-045244.html] - Security-Hinweise zur Täuschung von IDS und IPS, gestohlenen Notebooks und mehr
[http://phpconference.com/entwicklerde/news/Security-Hinweise-zur-Taeuschung-von-IDS-und-IPS-gestohlenen-Notebooks-und-mehr-045264.html] - Security-Hinweise zu Informationslecks und mehr
[http://phpconference.com/entwicklerde/news/Security-Hinweise-zu-Informationslecks-und-mehr-045370.html]
