lost+found: Was von der Woche übrig blieb
Heute mit: über 200 kritischen Word-Schwachstellen, einem perfiden Android-Bootkit in zweiter Generation, fatalen Fotos, Freiheit für Private Keys, DDoS durch Surfen sowie Lücken in Routern, Cups und Ruby.
- Ronald Eikenberg
Eine automatische Quellcode-Analyse von Microsoft Word 1.1a hat über 200 kritische Sicherheitslücken zu Tage gefördert. Bleibt zu hoffen, dass die Redmonder diese im Laufe der 24 Jahre nach Veröffentlichung der Version geschlossen haben...
Die chinesischen Entdecker des ersten Android-Bootkit haben eine weitere Variante namens Oldboot.B aufgetan. Diese beherrscht einen weiteren schmutzigen Trick: Sie kann Malware-Module in kritische Systemprozesse injizieren.
Auch hinter einer vermeintlich harmlosen .jpg-Datei in einem .rar-Archiv kann ausführbarer Code lauern, wie ein israelischer Sicherheitsforscher berichtet.
Ich bin mir ja nicht sicher, ob das nicht ein Fake ist: Auf Serverfault berichtet ein Admin von einem Security-Auditor, der unter anderem fordert, dass er bei jeder Änderung eines Passworts eine Mail bekommt, die das neue Passwort enthält. Außerdem will er alle eingesetzten Public und Private SSH-Keys. Andererseits: Für wirklich ausgeschlossen halt ich es auch nicht.
Netter Versuch: RFC7169 beschreibt eine Zertifikatserweiterung, die ganz mit der Mode geht: Durch die Extension "No Secrecy Afforded" kann man signalisieren, dass man seinen privaten Schlüssel mit Dritten teilt.
Schon der Besuch einer Webseite kann ausreichen, um sich an einem DDoS-Angriff zu beteiligen. Die Sicherheitsfirma Incapsula will auf einer der Top-50-Alexa-Sites eingeschleusten Angriffscode entdeckt haben, der im Sekundenrhythmus HTTP-Request an einen fremden Server geschickt hat.
Für die kürzlich gemeldete Lücke in Linksys-Routern der E-Serie, die der Router-Wurm The Moon ausnutzt, gibt es übrigens Exploit-Code, der dokumentiert, dass es sich um Remote Command Injection im Parameter Parameter ttcp_ip in den Skripten tmUnblock.cgi und hndUnblock.cgi handelt.
Durch eine Lücke im Discovery-Dienst des Druckerservers Cups können andere Nutzer im gleichen Netz Code einschleusen. Abhilfe soll die aktuelle Version von cups-filters schaffen.
Und auch im YAML-Parser psych von Ruby klafft ein Sicherheitsloch. Es kann zu einem Heap Overflow führen und wird mit psych 2.0.5 geschlossen.
Hat eigentlich jemand gemerkt, dass lost+found ein neues Logo hat? Any comments? Einen eigenen RSS-Feed gibt es übrigens auch. (rei)
