lost+found: Schau mal, wer da schnüffelt, Phantom-Jagd und Link-Phishing

Microsofts Promqry berichtet, ob auf einem Windows-System Netzwerkkarten im Promiscuous-Modus laufen, etwa um den Datenverkehr des Netzwerks zu belauschen.

"With a little help from MS-Help" trickst "Parvez" ASLR unter Windows 7 aus. Das Grundproblem ist, dass die Speicherverwürfelung immer noch ein Opt-In erfordert. Beim Aufruf einer URL mit ms-help: lädt der Internet Explorer die mit Microsoft Office 20007/2010 installierte Bibliothek hxds.dll, die auf dieses Opt-In verzichtet. Somit kann ein Exploit eine ROP-Chain bauen, die seinen Shellcode aktiviert. Abstellen lässt sich das, indem man via EMET ASLR für obligatorisch erklärt.

Die Virenexperten von Kaspersky jagen das Wiper-Phantom: Ein mysteriöser Schädling hat offenbar nichts anderes im Sinn, als die Datenspeicher seines Wirts zu zerstören. Und das tut er offensichtlich ziemlich erfolgreich, denn bislang konnten die Experten stets nur die Datentrümmer untersuchen, die der Virus hinterlassen hat. Und natürlich ist auch irgendwie Flame mit im Spiel.

Der norwegische Forscher Henning Klevjer demonstriert (PDF), dass man Dienste wie TinyURL auch als Webhoster für Phishing-Seiten nutzen könnte. Der Trick: Die recht lange data:-URL enthält die komplette Webseite base64-kodiert, ein Browser wie Firefox rendert den Inhalt dann direkt.

Wer dachte, Format-String-Lücken in Netzwerkdiensten gehören der Vergangenheit an, ist ein hoffnungsloser Optimist: EMC NetWorker Format String Vulnerability

Schon erstaunlich, wer sich anscheinend mit den Java-Lücken beschäftigt.

In eigener Sache: Wir haben bis jetzt wenig Feedback zu dieser Serie bekommen. Bedeutet das, dass sie keinen Anklang findet oder genießen Sie alle still? (ju)