cert Warnungen
|
www.CERT.at - Warnungen
|
Dieser Feed beinhaltet alle Warnungen von www.CERT.at
|
-
wetter.com verteilte Malware
wetter.com verteilte Malware
16. Mai 2012
Achtung vor Drive-by-Downloads von wetter.com in den vergangenen Tagen.
Aufgrund der Beliebtheit der Webseite - geschätzte 10% der PCs einer größeren Organisation surften die Seite wetter.com im Zeitraum 14.5.-15.5. an - haben wir uns entschlossen, folgende Warnung herauszugeben.
Beschreibung
Wie heise.de berichtet hat, ist über eine Lücke der OpenX Werbebanner Software auf der Webseite www.wetter.com zuletzt am 15.5.2012 Schadsoftware verteilt worden. Der genaue Anfangszeitpunkt ist uns nicht bekannt. Eine Stellungnahme von wetter.com bezüglich des tatsächlichen Anfangszeitpunktes steht noch aus.
Soweit uns bekannt ist, wurde Besuchern der Seite, die keine Adblock Software installiert hatten unter Umständen ohne ihr Wissen Schadsoftware installiert.
CERT.at ist bekannt, dass es verschiedene Varianten von Schadsoftware gab, eine davon ist ein fake-BKA Trojaner.
Auswirkungen
Da der Angreifer dadurch potentiell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und Systeme gefährdet.
Betroffene Systeme
Potentiell betroffen waren Rechner, welche die Seite im relevanten Zeitraum angesurft hatten und die
- keinen AdBlocker (bzw. NoScript) installiert hatten und
- Browser verwendet haben, die nicht das Safe-Browsing-API nutzen
Empfehlungen
Für Systemadministratoren
CERT.at empfiehlt, daß Systemadministratoren ihre Proxy-Logs beziehungsweise Firewall-Logs ansehen, um festzustellen, welche PCs im relevanten Zeitraum die Seite www.wetter.com angesurft haben.
Anschließend könnte es sich auszahlen, diese PCs mit aktuellester Antivirensoftware zu scannen beziehungsweise deren Aktivitäten unter genauerere Beobachtung zu stellen.
Für Endbenutzer
Wir raten dazu, den eigenen PC mit Antiviren Software zu scannen beziehungsweise sogar mit offline Antivirus Software (von CD bootbar) zu überprüfen.
Hinweise
Bei Unternehmen mit mehreren PCs empfiehlt es sich, Proxy-Logs oder Firewall-Logs für den Fall bereit zu haben.
Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features
von Software zu nutzen, und auch auf Servern sich automatisch die verfügbaren Updates
anzeigen zu lassen.
Informationsquelle(n):
Weiterhin Virenalarm auf Wetter.com
http://www.heise.de/security/meldung/Weiterhin-Virenalarm-auf-Wetter-com-1576132.html
-
Sicherheitslücken in Symantec pcAnywhere
Sicherheitslücken in Symantec pcAnywhere
26. Jänner 2012
Der Software-Hersteller Symantec warnt vor Sicherheitslücken in der Fernwartungssoftware pcAnywhere.
Da diese Software auch Teil der Client-Management-Lösungen der Altiris-Reihe ist, und diese in vielen Unternehmen eingesetzt wird, bittet CERT.at um Beachtung der folgenden Hinweise:
Beschreibung
pcAnywhere nimmt auf TCP-Port 5631 Anfragen zur Fernsteuerung des PCs entgegen.
In der Authentisierung dieser Verbindungen wurde ein Fehler (mangelnde Eingabeprüfungen) gefunden, der
es einem Angreifer erlaubt, Code einzuschleusen und auszuführen. (CVE-2011-3478, CVSS2: 8.3)
Es existiert auch eine Lücke in Bezug auf Local Access File Tampering, die sich jedoch deutlich schwieriger ausnützen lassen sollte. (CVE-2011-3479, CVSS2: 6.8)
Wie Symantec weiters berichtet, wurde vor einigen Jahren Quellcode für
diverse Produkte gestohlen, darunter auch für pcAnywhere.
Es ist daher anzunehmen, dass damit die in pcAnywhere verwendeten Verschlüsselungs-
und Authentisierungsalgorithmen analysiert werden und deren Schwachstellen auch
bald publik werden.
Symantec weist darauf hin, dass ein Angreifer mit Kenntnis der Algorithmen weitere
Angriffsvektoren hat (Man-in-the-middle, Abhören, ...) und rät daher zu weiteren
Vorsichtsmaßnahmen beim Einsatz von pcAnywhere.
Symantec hat sowohl eine Warnung zu den Problemen mit pcAnywhere als auch ein allgemeineres Whitepaper dazu herausgegeben.
Auswirkungen
Da der Angreifer dadurch potentiell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und Systeme gefährdet.
Betroffene Systeme
Laut Symantec sind folgende Softwareprodukte/-suiten betroffen:
- pcAnywhere 12.5.x und älter
- IT Management Suite 7.0 pcAnywhere Solution 12.5.x und älteru
- IT Management Suite 7.1 pcAnywhere Solution 12.6.x und älter
Weiters ist pcAnywhere auch in folgenden Produkten der Altiris-Reihe enthalten:
- Altiris Client Management Suite
- Altiris IT Management Suite ab Version 7.0
- Altiris Deployment Solution with Remote 7.1
Abhilfe
Installation der bereitgestellten Updates, wo verfügbar, etwa per LiveUpdate.
Weitere empfohlene Maßnahmen sind im Whitepaper angegeben.
Insbesondere weist Symantec darauf hin, dass in Firmennetzen die pcAnywhere-Installationen nicht von außen erreichbar sein
sollen und der Dienst nur dann laufen soll, wenn er gerade gebraucht wird. Dazu enthält das Whitepaper entsprechende Skripte.
Hinweise
Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features
von Software zu nutzen, und auch auf Servern sich automatisch die verfügbaren Updates
anzeigen zu lassen.
Informationsquelle(n):
Security Advisory von Symantec zu pcAnywhere (englisch)
http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2012&suid=20120124_00
Whitepaper von Symantec zu empfohlenen Massnahmen im Zusammenhang mit diesen Lücken (englisch, PDF)
http://www.symantec.com/connect/sites/default/files/pcAnywhere%20Security%20Recommendations%20WP_01_23_Final.pdf
Erster Artikel bei Heise Security
http://www.heise.de/security/meldung/pcAnywhere-laesst-auch-Angreifer-ans-Steuer-1421170.html
Zweiter Artikel bei Heise Security
http://www.heise.de/security/meldung/Symantec-warnt-nach-Quelltext-Klau-vor-pcAnywhere-1422561.html
-
Oracle Critical Patch Update für Jänner 2012
Oracle Critical Patch Update für Jänner 2012
18. Jänner 2012
Es wurden Updates für kritische Sicherheitslücken in diversen Produkten von Oracle, darunter unter anderen
Oracle Database, Oracle MySQL Server, Solaris, Oracle Fusion Middleware und Oracle Application Server
veröffentlicht.
Angesichts der hohen Verbreitung der Software von Oracle bittet CERT.at um Beachtung der folgenden Hinweise:
Beschreibung
Im Rahmen eines "Critical Patch Update" warnt Oracle vor diversen, zum Teil
schweren (CVSS Score bis zu 7.8) Sicherheitslücken in Software von Oracle.
Eine Sicherheitslücke im Produkt Oracle Database betrifft die
Teilkomponente "listener program", welche remote Befehle akzeptiert. Das
Ausnutzen der Sicherheitslücken kann im schlimmsten Fall dazu führen,
dass ein Zugriff auf die Datenbank nicht mehr möglich ist.
Oracle stellt Patches für Solaris zur Verfügung, welche kritische
Sicherheitslücken im Betriebssystem beseitigen. CVE-2012-0094 betrifft
Solaris 9, 10, 11 Express und kann zu einem Absturz des Betriebssystems
führen.
Andere Patches adressieren Sicherheitslücken in der MySQL Server
Software, wobei das Ausnutzen zumindest einer Sicherheitslücke zu
einer signifikanten Einschränkung der Verfügbarkeit führen bzw. die
Vertraulichkeit der Daten in der Datenbank beeinträchtigen kann.
Weiters warnt Oracle vor diversen HTTP-basierten Sicherheitslücken in
den Produkten Oracle Fusion Middleware, Oracle E-Business Suite, and
Oracle Supply Chain Products Suite. Eine Sicherheitslücke in Oracle
Fusion kann unter Umständen dazu führen, dass Daten vom System gelesen
oder auf das System geschrieben werden können.
Eine Auflistung aller Sicherheitslücken und die dazugehörende
detaillierte Beschreibung (inklusive CVE
und Einstufungen nach CVSS)
veröffentlichte Oracle als
"Oracle Critical Patch Update Advisory - January 2012".
Auswirkungen
Unter Umständen kann das Ausnutzen der Sicherheitslücken zu einem
Teil- bzw. Gesamtverlust der Vertraulichkeit, Integrität oder
Verfügbarkeit der Softwareprodukte führen.
Betroffene Systeme
Laut Oracle sind folgende Versionen betroffen:
- Oracle Database 11g Release 2, versions 11.2.0.2, 11.2.0.3
- Oracle Database 11g Release 1, version 11.1.0.7
- Oracle Database 10g Release 2, versions 10.2.0.3, 10.2.0.4, 10.2.0.5
- Oracle Database 10g Release 1, version 10.1.0.5
- Oracle Fusion Middleware 11g Release 1, versions 11.1.1.3.0, 11.1.1.4.0, 11.1.1.5.0
- Oracle Application Server 10g Release 3, version 10.1.3.5.0
- Oracle Outside In Technology, versions 8.3.5, 8.3.7
- Oracle WebLogic Server, versions 9.2.4, 10.0.2, 11gR1 (10.3.3, 10.3.4, 10.3.5)
- Oracle E-Business Suite Release 12, versions 12.1.2, 12.1.3
- Oracle E-Business Suite Release 11i, version 11.5.10.2
- Oracle Transportation Management, versions 5.5, 6.0, 6.1, 6.2
- Oracle PeopleSoft Enterprise CRM, version 8.9
- Oracle PeopleSoft Enterprise HCM, versions 8.9, 9.0, 9.1
- Oracle PeopleSoft Enterprise PeopleTools, version 8.52
- Oracle JDEdwards, version 8.98
- Oracle Sun Product Suite
- Oracle VM VirtualBox, version 4.1
- Oracle Virtual Desktop Infrastructure, version 3.2
- Oracle MySQL Server, versions 5.0, 5.1, 5.5
Abhilfe
Installation der bereitgestellten Updates. Siehe dazu die Links
im Advisory von Oracle.
Hinweise
Oracle hat sich mit dem Critical Patch Updates Programm vorgenommen,
jedes Quartal gebündelt Patches für (fast) alle Produkte herauszugeben.
Wir empfehlen daher dringend jedem Kunden von Oracle, sich
-- analog zum monatlichen Patch-Day von Microsoft -- auf diese Updates vorzubereiten
und einen Prozess zur geordneten Behandlung zu implementieren.
Wir weisen weiters darauf hin, dass die Java Runtime für Clients unabhängig von diesen "CPUs"
Updates von Oracle bekommt. Ein veraltetes Java-Plugin in Browsern ist aktuell ein häufiges
Einfallstor für Schadsoftware. Ob ein Browser die aktuelle Version verwendet, lässt sich leicht über
java.com überprüfen.
Alte Versionen der JRE sollten
deinstalliert werden.
Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features
von Software zu nutzen, und auch auf Servern sich automatisch die verfügbaren Updates
anzeigen zu lassen.
Informationsquelle(n):
Oracle Critical Patch Update Advisory - January 2012 (Englisch)
http://www.oracle.com/technetwork/topics/security/cpujan2012-366304.html
Orcale Blog zum Patch Update (Englisch)
http://blogs.oracle.com/security/entry/january_2012_critical_patch_update
ars technica (Englisch)
Oracle drops a pile of critical patches in 78-update release
-
"Out-of-band"-Patch für Microsoft ASP.NET Problem
"Out-of-band"-Patch für Microsoft ASP.NET Problem
29. Dezember 2011
Microsoft veröffentlicht einen "Out-of-band" Patch für mehrere Bugs in ASP.NET.
Hintergrund und Dimension
Microsoft veröffentlicht üblicherweise Patches nur gebündelt
einmal pro Monat (sogenannter "Patch Tuesday", 2. Dienstag des Monats),
und sieht davon nur in besonders wichtigen Ausnahmefällen ab - im
konkreten Fall stuft Microsoft das Risiko der mit diesem Patch behobenen
Lücken als kritisch ein.
Beschreibung
Laut Microsoft behebt der gegenständliche Patch
- eine Denial-of-Service (DOS) Möglichkeit - bereits durch vergleichsweise wenige speziell präparierte Anfragen an einen betroffenen Webserver,
kann dessen Leistung derart beeinträchtigt werden, dass legitime Anfragen kaum noch abgearbeitet werden können.
Dies wird von Microsoft als "wichtig" eingestuft.
- ein Privilege Elevation-Problem, das nur unter bestimmten Umständen augenützt werden kann.
Dies ist laut Microsoft "kritisch".
Während die Lücke auch in allen aktuellen Client-Versionen
von Microsoft Windows vorhanden ist (.NET Framework), kann sie jedoch nur
ausgenutzt werden, wenn der Internet Information Server (IIS) auf dem System aktiv ist. Dies
sollte auf Client-Systemen nur selten der Fall sein.
Betroffene Software
- Windows XP
- Windows XP Service Pack 3
- Windows XP Professional x64 Edition Service Pack 2
- Windows Server 2003
- Windows Server 2003 Service Pack 2
- Windows Server 2003 x64 Edition Service Pack 2
- Windows Server 2003 with SP2 for Itanium-based Systems
- Windows Vista
- Windows Vista Service Pack 2
- Windows Vista x64 Edition Service Pack 2
- Windows Server 2008
- Windows Server 2008 for 32-bit Systems Service Pack 2
- Windows Server 2008 for x64-based Systems Service Pack 2
- Windows Server 2008 for Itanium-based Systems Service Pack 2
- Windows 7
- Windows 7 for 32-bit Systems
- Windows 7 for 32-bit Systems Service Pack 1
- Windows 7 for x64-based Systems
- Windows 7 for x64-based Systems Service Pack 1
- Windows Server 2008 R2
- Windows Server 2008 R2 for x64-based Systems
- Windows Server 2008 R2 for x64-based Systems Service Pack 1
- Windows Server 2008 R2 for Itanium-based Systems
- Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
Abhilfe
Installation des bereitgestellten Updates, zum Beispiel über das Microsoft Download
Center (http://www.microsoft.com/downloads/en/default.aspx).
Allgemeiner Hinweis zur Erhöhung der Computersicherheit
Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall Software installiert zu haben und den Virenschutz aktuell zu halten.
Informationsquelle(n):
Vulnerability in ASP.NET Could Allow Denial of Service (englisch)
http://technet.microsoft.com/en-us/security/advisory/2659883
Microsoft Security Bulletin MS11-100 - Critical (englisch)
http://technet.microsoft.com/en-us/security/bulletin/ms11-100.mspx
Microsoft Security Bulletin Summary for December 2011 (englisch)
http://technet.microsoft.com/en-us/security/bulletin/ms11-dec
-
Sicherheitslücke in Microsoft Windows 7 64bit
Sicherheitslücke in Microsoft Windows 7 64bit
23. Dezember 2011
Eine Schwachstelle in Microsoft Windows 7 64bit in Kombination mit älteren Versionen des Internet Explorer ermöglicht System-Abstürze - CERT.at ersucht um Beachtung der folgenden Meldung.
Beschreibung
Microsoft konnte eine bislang ungepatchte Sicherheitslücke in der sogenannten "win32k.sys"-Komponente,
die erst nur im Kombination mit dem Apple Safari Browser aufgetaucht war, nun auch mit älteren
Versionen des Microsoft Internet Explorer nachvollziehen.
Es ist davon auszugehen, dass an entsprechendem Exploit-Code bereits intensiv gearbeitet wird.
Auswirkungen
Da je nach Angriffs-Szenario (z.B. Links auf präparierte Webseiten werden per Email verschickt) ein Angreifer
zumindest System-Abstürze provozieren, und möglicherweise auch beliebigen Code auf betroffenen Systemen ausführen,
kann, sind alle Daten auf diesen Systemen gefährdet.
Betroffene Systeme
Laut Aussagen von Microsoft sind 64bit-Versionen von Microsoft Windows 7 betroffen.
Es ist auch davon auszugehen, dass ein Ausnützen auch mit anderen Web-Browsern als Apple Safari und
Microsoft Internet Explorer möglich ist.
Abhilfe
Zur Überbrückung bis zum offiziellen Patch emfehlen wir, auf betroffenen 64bit Windows 7 Systemen
auf die aktuelle Version (9) von Microsoft Internet Explorer umzusteigen, da ein Ausnützen der Lücke
damit nach derzeitigem Wissensstand nicht möglich ist.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):
Blog-Eintrag bei Microsoft
http://blogs.technet.com/b/michaelkranawetter/archive/2011/12/23/update-windows-7-64-bi-version-amp-apple-safari-details-zur-schwachstelle.aspx
|
Copyright © 2012 www.itplanet.cc. Alle Rechte vorbehalten.
|
|
|
Virenticker 
