Thema: Ungepatchte Lücke im Internet Explorer erlaubt Codeschmuggel

[SiLæncer]

In seinem Sicherheitsblog berichtet McAfee von einer Schwachstelle im Internet Explorer 6 und 7 unter Windows XP SP2 auf aktuellem Patch-Stand, durch die Angreifer mit präparierten Webseiten oder E-Mails schädlichen Code auf Rechner schleusen können. Manipulierte Dateien für animierte Cursor (.ani) würden untergeschobenen Schadcode ohne Auffälligkeiten wie etwa einem Browserabsturz auf dem Rechner ausführen.

Zunächst hätten die Sicherheitsforscher des Unternehmens eine Proof-of-Concept-Datei in einem Forum gefunden, kurze Zeit später tauchte dann ein erster Schädling auf. McAfee erkennt ihn als Exploit-ANIfile.c, Trend Micro als TROJ_ANICMOO.AX. Hat sich der Schädling ins System eingenistet, lädt er McAfees Beschreibung zufolge weitere Schadsoftware nach. Bislang ist die Verbreitung des Schädlings noch äußerst gering. Es st aber zu erwarten, dass weitere Virenbastler die Lücke untersuchen und neue Schädlinge programmieren werden, die sie ausnutzen.

Der Exploit ist besonders heimtückisch, da er nicht einmal einen Browserabsturz verursacht. Nutzer können so nicht bemerken, dass sie Opfer eines Angriffs geworden sind. McAfee untersucht die Schwachstelle noch. Nähere Details sind bislang genausowenig bekannt wie Maßnahmen, mit denen man den Browser absichern könnte. Daher empfiehlt sich, bis zu einem Patch von Microsoft mit alternativen Browsern wie Opera oder Firefox ins Netz zu gehen. Da McAfee auch E-Mails als potenziellen Angriffsvektor nennt, sollte man sich in Outlook und Outlook Express HTML-E-Mails nur als Text anzeigen lassen.

Bislang hat Microsoft die neue Schwachstelle noch nicht bestätigt. Es ist allerdings unklar, ob McAfee Microsoft über die Lücke informiert hat. Eine ähnliche Sicherheitslücke schloss das Unternehmen bereits Anfang 2005 mit einem Patch.

Siehe dazu auch:

    * Unpatched Drive-By Exploit Found On The Web, Sicherheitsmeldung in McAfees Blog
    * Exploit-ANIfile.c, Schädlingsbeschreibung von McAfee

Quelle und Links : http://www.heise.de/security/news/meldung/87566

[SiLæncer]

Auf die am gestrigen Donnerstag bekannt gewordene Sicherheitslücke im Internet Explorer hat Microsoft mit einer eigenen Sicherheitsmeldung reagiert, in der das Unternehmen das Problem bestätigt. Durch präparierte Dateien für animierte Cursor (.ani) etwa in Webseiten oder E-Mails können Angreifer beliebigen Programmcode auf die Rechner von Anwendern schleusen. Laut der Sicherheitsmeldung untersucht Microsoft die Sicherheitslücke noch. Eine unzureichende Überprüfung des Dateiformats sei jedoch für das Sicherheitsleck verantwortlich. Das Unternehmen plant, ein Update herauszugeben, um die Lücke zu schließen.

Als Workaround schlägt der Hersteller in der Meldung vor, keine vertrauensunwürdigen Webseiten anzusurfen sowie suspekte Mails gar nicht erst anzusehen. Man könne in Outlook ab Version 2002 sowie in Windows Mail HTML-Mails als Text ansehen, was jedoch nicht davor schützt, dass die Lücke beim Weiterleiten von infizierten Mails ausgenutzt wird. In Outlook Express schützt der Textmodus jedoch nicht. Outlook 2007 nutze Word zur Anzeige von E-Mails und sei daher vor einem Angriff geschützt.

Der Fehler betrifft den Internet Explorer 6 und 7 unter den Betriebssystemen Windows 2000 SP 4, XP mit Service Pack 2, XP 64-Bit Version 2003 für den Itanium, XP Professional x64, Windows Server 2003 mit und ohne Service Pack 1 (auch für den Itanium), Server 2003 x64 Edition und auch das neueste Betriebssystem aus Redmond, Windows Vista. In Vista sind jedoch hauptsächlich Outlook und Windows Mail verwundbar, da Microsoft in der Sicherheitsmeldung darauf hinweist, dass der Internet Explorer 7 im geschützten Modus nicht anfällig ist. Wer den geschützten Modus deaktiviert hat, sollte ihn daher wieder einschalten.

Bis zur Verfügbarkeit des angekündigten Sicherheitsupdates sollten Anwender die vorgeschlagenen Workarounds umsetzen. Zum Surfen im Netz ist es jedoch ratsam, zumindest temporär einen alternativen Webbrowser einzusetzen.

Siehe dazu auch:

    * Vulnerability in Windows Animated Cursor Handling, Sicherheitsmeldung von Microsoft -> http://www.microsoft.com/technet/security/advisory/935423.mspx

Quelle : www.heise.de

[SiLæncer]

Eeye Digital Security hat - wie schon in der Vergangenheit bei anderen Lücken in Microsoft-Produkten praktiziert - einen inoffiziellen Patch herausgebracht, um die Schwachstelle in Zusammenhang mit Windows Animated Cursors zu schließen.

Microsoft hat offiziell vor einer neuen Lücke in Windows gewarnt , bei der mittels manipulierter .ani-Dateien bösartiger Code auf Rechner eingeschmuggelt werden kann. Da unklar ist, wie lang auf einen offiziellen Patch zu warten ist, hat sich Sicherheitsspezialist Eeye Digital Security aufgemacht und einen inoffiziellen Flicken bereitgestellt.

Derek Soeder von Eeye Digital Security beschreibt im Patch Source Code den Flicken als "schnell zusammengeschusterten" Fix für die ANI-Zero-Day-Schwachstelle. Die Funktionsweise des Flickens ist denkbar einfach: Cursor, die von außerhalb von %SystemRoot% kommen, werden daran gehindert, zu laden. Web-Seiten, die präparierte Cursor unterzuschieben versuchen, kommen dementsprechend nicht an ihr Ziel und das Arbeiten am Rechner sollte ebenfalls nicht beeinträchtigt werden, so Eeye Digital Security.

Der Download von WindowsANIZeroDayPatchSetup.exe beträgt knapp 1 MB. Der inoffizielle Patch soll auf Windows 2000, XP, Server 2003 und Windows Vista funktionieren. Die x64- oder Itanium-Architektur wird nicht unterstützt.

http://research.eeye.com/html/alerts/zeroday/20070328.html

Quelle : www.pcwelt.de

[SiLæncer]

Microsoft plant für den Dienstag dieser Woche ein vorgezogenes Update, um die kritische Sicherheitslücke beim Verarbeiten von Dateien für animierte Cursor zu schließen. Das ist auch dringend nötig, da die Lücke inzwischen aktiv mit präparierten Webseiten ausgenutzt wird.

Die schädlichen Dateien tragen auf den bislang bekannten Seiten jedoch nie die Dateiendung .ani, sondern .jpg, gif, .css, .htm oder .js. Dadurch hilft das Ausfiltern auf Basis des Dateinamens am Internet-Gateway nicht. Das US-CERT hat in einer Meldung jedoch Daten zusammengetragen, anhand derer man Signaturen für ein Intrusion-Prevention- oder -Detection-System erstellen kann.

Ein häufiges Update der Virensignaturen soll laut Microsoft helfen, neue Versionen des Schädlings rechtzeitig zu entdecken. Andreas Marx von av-test.org zufolge warend die Entdeckungsraten durch die Virenscanner am Wochenende allerdings eher durchwachsen bis schlecht.

Microsoft erwähnt in der Patch-Ankündigung, dass das Unternehmen bereits seit Dezember an einem Update arbeite und dieses bereits gut getestet sei, sodass der vorzeitigen Veröffentlichung nichts im Wege stünde. Wer die inoffiziellen Patches von eEye oder vom ZERT installiert hat, sollte diese vor dem Update deinstallieren.

Die Ankündigung des frühzeitigen Updates fiel unglücklicherweise auf den ersten April. Böse Zungen behaupten daher, es handele sich um einen Aprilscherz aus Redmond. Da die Lücke jedoch so gravierend ist, kann es sich Microsoft gar nicht erlauben, Späße damit zu veranstalten – im Geschäftsumfeld würde man das dem Unternehmen übel nehmen.

Siehe dazu auch:

    * Latest on security update for Microsoft Security Advisory 935423, Eintrag in Microsofts Sicherheits-Blog
    * Microsoft Windows animated cursor ANI header stack buffer overflow, Sicherheitsmeldung vom US-CERT

Quelle und Links : http://www.heise.de/security/news/meldung/87724

[SiLæncer]

Microsoft hat wie angekündigt einen vorgezogenen Patch für die kritische Sicherheitslücke bei der Verarbeitung präparierter Dateien für animierte Cursor (.ani) in zahlreichen Windows-Versionen herausgegeben. Damit schließt der Redmonder Konzern die bereits aktiv ausgenutzte Schwachstelle eine Woche vor dem offiziellen Patchday. Das Update behebt aber auch noch weitere Sicherheitslöcher. Die gravierendste Lücke, die das Update schließt, ist die von Determina entdeckte und bereits im Dezember 2006 an Microsoft gemeldete Schwachstelle beim Verarbeiten von defekten Dateien für animierte Cursor. Sie betrifft die Systembibliothek USER32.DLL der Betriebssysteme Windows NT, 2000, XP, 2003 und auch in Windows Vista. Bei ANI-Dateien handelt es sich um Multimedia-Dateien im RIFF-Format. Ähnlich wie avi-Dateien bestehen diese aus zahlreichen chunks, die jeweils einen Header und Daten enthalten. Der Header enthält vier ASCII-Zeichen sowie einen Wert, der die Größe des Datenblocks anzeigt.

Einer dieser chunks ist ein sogenannter anih-chunk, der als Datensegment einen 36 Byte langen Header für die Animation enthält. Der von Microsoft bereits Anfang 2005 behobene Fehler bei der Verarbeitung von animierten Cursorn schloss eine Lücke in der Funktion LoadCursorIconFromFileMap, die die Länge des anih-chunk nicht überprüfte, bevor sie die Daten in einen Puffer fester Größe kopiert hat. Wenn die durch den damaligen Patch eingeführte Größenprüfung erfolgreich ist, ruft LoadCursorIconFromFileMap die Funktion LoadAniIcon auf, die die restlichen chunks der ANI-Datei verarbeitet. In ihr hat Microsoft jedoch vergessen, eine Längenprüfung einzuführen. Dadurch können nachfolgende, präparierte anih-chunks den Fehler trotzdem provozieren.

In einem Test von heise Security war ein Demo-Exploit für die ANI-Sicherheitslücke nicht mehr in der Lage, in ein aktualisiertes Windows XP SP2 einzubrechen. Daher sollten alle betroffenen Anwender das Update von Microsoft, das die Lücke schließt, so schnell wie möglich einspielen. Etwaige inoffizielle Patches von Drittanbietern sollte man allerdings vorher deinstallieren.

Das Update zu Microsofts Security Bulletin MS07-017 schließt noch weitere Lücken, durch die Angreifer und lokale Nutzer ihre Rechte ausweiten oder das System zum Absturz bringen konnten. Dies konnte unter anderem durch manipulierte WMF- und EMF-Grafiken geschehen. Außerdem enthielt die Render-Engine GDI mehrere Lücken, durch die Anwender oder bösartige Anwendungen ihre Rechte erhöhen und so die komplette Kontrolle über ein System übernehmen konnten. Diese Lücken stuft Microsoft jedoch allesamt lediglich als "wichtig" oder "moderat" ein, nur der Fehler beim Verarbeiten manipulierter animierter Cursor erhält den Status "kritisch".

Microsoft äußerte sich noch nicht dazu, ob am eigentlichen Patchday-Termin am Dienstag kommender Woche weitere Updates veröffentlicht werden. Immerhin listen einige Sicherheitsdienstleister noch mehrere kritische Sicherheitslücken in Microsoft-Produkten auf, für die es bislang noch keine Patches gibt.

Siehe dazu auch:

    * Vulnerabilities in GDI Could Allow Remote Code Execution, Sicherheitsmeldung von Microsoft
    * Windows Animated Cursor Stack Overflow Vulnerability, detaillierte Sicherheitsmeldung zur ANI-Schwachstelle von Determina

Quelle und Links : http://www.heise.de/security/news/meldung/87829

[SiLæncer]

Das Update kann auf Systemen mit Realtek-Soundchip und installierter Realtek-Software nach einem Neustart zu Fehlermeldungen führen, dass eine Bibliothek im Speicher verschoben wurde. Für betroffene Nutzer stellt Microsoft inzwischen einen weiteren Patch bereit, der das Problem beseitigt.

http://support.microsoft.com/kb/935448/

Quelle : www.heise.de

[SiLæncer]

Ein Sicherheitsunternehmen meldet, dass es bereits über 2000 Websites entdeckt hat, die mit Hilfe von Varianten des ANI-Exploits die Rechner ihrer Besucher mit Spyware und anderen Schädlingen infizieren.

Im Laufe der letzen Woche ist Zahl der Websites, die den so genannten "ANI-Exploit" einsetzen, stark angewachsen. Das Sicherheitsunternehmen Websense berichtet, es habe mittlerweile mehr als 2000 solcher Websites entdeckt. Ein erheblicher Teil davon sind gehackte Websites seriöser Unternehmen oder Privatpersonen, die mit eingeschmuggeltem Code auf böswillige Web-Seiten weiterleiten.

Die Forscher im Sicherheitslabor von Websense haben zwei Hauptangriffslinien ausgemacht, mit denen die Mehrheit dieser Websites kompromittiert wird. Die erste hat ihren Ursprung mutmaßlich im asiatischen Raum und zielt vor allem auf chinesische Server. Die gehackten Web-Server liefern manipulierte Web-Seiten aus, in denen ein versteckter iFrame schädlichen Code von anderen Servern lädt. Sie verbreiten hauptsächlich Spionageprogramme, die virtuelle Güter aus in Asien populären Online-Spielen wie "Lineage" stehlen sollen.

Die zweite Linie ist ein paar Tage später gestartet worden, kommt mutmaßlich aus Osteuropa und zielt vor allem auf US-Amerikaner. Die Malware-Gruppe hinter diesen Angriffen ist bereits seit Jahren im Geschäft und nutzt dabei stets aktuelle Sicherheitslücken aus. Das Hauptziel ist hier das Einschleusen von Key-Loggern und Form-Grabbern, also von Trojanischen Pferden, die Zugangsdaten für das Online-Banking ausspionieren sollen. Außerdem setzen sie vorgebliche Anti-Spyware-Programme ein.

Quelle : www.pcwelt.de

[SiLæncer]

Microsoft hat zwei Updates veröffentlicht, die Probleme lösen sollen, über die Anwender vereinzelt nach der Installation des Sicherheitsupdates MS07-17 geklagt hatten. Das Sicherheitsupdate selbst soll aber nicht nachgebessert werden.

Microsoft hat eingeräumt, dass das noch vor dem Patch-Day im April außerplanmäßig veröffentlichte Sicherheitsupdate MS07-17 bei einigen Anwendern Nebenwirkungen gezeigt habe. Microsoft hatte Anfang April mit diesem Sicherheitsupdate die so genannte ANI-Lücke geschlossen.

Bereits einen Tag nach der Veröffentlichung des Sicherheitsupdates war dieser Knowledge-Base-Eintrag erschienen, indem ein Problem dokumentiert wurde, dass nach der Installation des MS07-17 unter Windows XP SP2 im Zusammenhang mit den Realtek HD Audio Control Panel auftrat. Diese Anwendung wollte nicht mehr starten.

Nun hat Microsoft diesen Eintrag aktualisiert und um neue Anwendungen ergänzt, die ebenfalls von dem Problem betroffen sind.


Diese Applikationen sind betroffen - Update verfügbar

Laut aktuellem Stand sind folgende Anwendungen in den jeweils angegebenen Versionen betroffen:

* Realtek HD Audio Control Panel 1.41, 1.45, 1.49, 1.57
* ElsterFormular 2006, 2007
* TUGZip 3.4
* CD-Tag 2.27
* Suunto Ski Manager 1.0.2, 1.1, 1.2
* AVG Anti-Virus Control Center 7.5
* BMC Patrol 7.1
* BricoPack Vista Inspirat 1.1

Nach Installation des Updates und dem Versuch, die genannten Applikationen zu öffnen, erscheint eine Fehlermeldung. Sie rührt laut Microsoft daher, dass die Applikationen die durch das Update geänderte Datei Hhctrl.ocx vor der Datei user32.dll aufrufen.

Bei Realtek HD Audio Control Panel kann das Problem durch die Installation der Version 1.64 gelöst werden. Zusätzlich offeriert Microsoft auf dieser Seite das Update für Windows XP (KB935448), das besagtes Problem lösen soll.

Weiteres Update löst zweites Problem

Andere Nutzer haben Microsoft davon berichtet, dass Probleme nach der Installation von MS07-17 unter Windows 2000 auftraten - und zwar beim Drucken von einem SQL Reporting Services auf einen Printer Command Language (PCL) Drucker. Auf diese Berichte hat Microsoft jetzt mit dem Knowledge-Base-Eintrag KB 935843 reagiert.

Auch in diesem Fall hat Microsoft ein Update bereit gestellt, das auf dieser Seite erhältlich ist und das Problem lösen soll.

Insgesamt, so Microsoft, seien die Berichte über Probleme mit MS07-17 aber nur in begrenztem Umfang aufgetreten. Dementsprechend sei nicht geplant, eine neue Version des Sicherheitsupdates zu veröffentlichen.

Quelle : www.pcwelt.de