(jp) – Selbst unter den inzwischen mehreren tausend täglich neu entdeckten Schädlingen fällt ein Trojanisches Pferd noch auf, das versucht in die SQL-Datenbanken von Web-Servern einzubrechen.
Im Jahr 2003 machte ein Wurm namens “SQL Slammer” noch Schlagzeilen, weil er sich mit Hilfe der Datenbanksprache SQL (Structured Query Language) fortgepflanzt hat. Heute sind Einbrüche in unzureichend geschützte Datenbanken, die der Verwaltung von Websites dienen, alltäglich geworden. Und doch sticht ein Trojanisches Pferd, das SQL-Server angreift, in der Masse neuer Malware immer noch hervor. So etwa ein Schädling mit dem viel sagenden Namen “Trojan.Eskiuel”, der Malware-Forschern von Symantec aufgefallen ist.
Weiterlesen
(jp) – Der Hersteller Asus hat laut britischen Medienberichten aus Versehen Laptops ausgeliefert, bei denen sich auf der beiliegenden Recovery-DVDs Cracks und andere ungewöhnliche Dinge befanden.
Ein Leser der britischen PC Pro berichtet, er hätte auf der Recovery-DVD, die bei dem von ihm erworbenen Asus-Notebook beilag, ein Crack-Tool entdeckt. Aufgefallen ist dies, nachdem er den Inhalt der Recovery-DVDs durch Antiviren-Software überprüft hatte und diese Alarm schlug.
Weiterlesen
(jp) – Apple kommt in Sachen Quicktime nicht zur Ruhe: Nur wenige Tage, nachdem das Unternehmen einen umfassenden Patch für Quicktime veröffentlicht hat, kursiert neuer Angriffscode im Internet. Dieser kann möglicherweise auch dazu genutzt werden, bösartigen Code auf angegriffenen Systemen auszuführen – sicher ist sich da aber nicht einmal der Urheber.
Ein Hacker hat einen neuen Angriffscode für Quicktime im Internet veröffentlicht. Dabei handelt es sich um eine so genannte Zero-Day-Lücke, es gibt also noch keinen Patch dagegen. Der Angriffscode wurde laut einem Bericht unsere Kollegen von Computerworld auf der Site milw0rm.com präsentiert.
Weiterlesen
(ag) – Microsoft will die internen Security-Tools, mit denen man die Sicherheit der eigenen Software in den vergangenen Jahren verbessert hat, veröffentlichen.
Um die eigenen Applikationen besser abzusichern, hat Microsoft seit 2001 Security-Tools für den Hausgebrauch entwickelt und die Programmentwicklung unter den so genannten Security Development Lifecycle (SDL) gestellt. Einige Werkzeuge und Methoden, die im SDL zur Anwendung kommen, sollen in Zukunft auch Drittherstellern von Software zur Verfügung stehen.
Weiterlesen
(am) - Die am Wochenende vom iPhone Dev Team vorgestellte neuen Version der beliebten iPhone-Hacking-Anwendung QuickPwn bereitet Probleme. Während das PwnageTool 2.1 problemlos funktioniert, arbeitet QuickPwn 1.1 nicht fehlerfrei.
Das Freischalten von iPod Touch mit QuickPwn 1.1 kann in Ausnahmefällen zum Verlust der Bildschirmtastatur führen. Stattdessen erscheint die Zifferneingabe, deren Funktionstasten allerdings unbrauchbar sind, da die Tasten der verdeckten Bildschirmtastatur aktiviert werden, sobald man eine Zifferntaste drückt. Der Fehler ließ sich erst beheben, nachdem mit dem PwnageTool 2.1 ein vollständiges Image erstellt und mit iTunes auf das Gerät übertragen wurde. Anders als mit QuickPwn gehen durch diese Prozedur jedoch sämtliche synchronisierten Daten verloren. Immerhin stellt iTunes die zuvor gesicherten Konfigurationseinstellungen wieder her, sodass E-Mail-Konten und WLAN-Passwörter nach dem Aufspielen der neuen Firmware sofort zur Verfügung stehen.
Weiterlesen
(jp) - Entdecker verschieben auf Wunsch des Herstellers Präsentation der Schwachstelle
Die Sicherheitsforscher Robert Hansen und Jeremiah Grossman haben eine Sicherheitslücke in einer Adobe-Anwendung entdeckt, welche die vollständige Kontrolle über das Mikrofon, die Webcam und die Audiowiedergabe eines Computers ermöglicht. Neben der Adobe-Software soll die Schwachstelle auch mehrere Browser betreffen, darunter Microsofts Internet Explorer.
Auf Wunsch des Herstellers haben die Entdecker der Sicherheitslücke eine geplante Demonstration ihres als “Clickjacking” bezeichneten Angriffs auf der Sicherheitskonferenz Owasp USA verschoben. “Ich bin immer davon ausgegangen, dass es besser ist, eine mittelschwere bis schwere Schwachstelle zu veröffentlichen”, schreibt Hansen in einem Blogeintrag. “Ich habe mir aber auch immer gesagt, dass ich zuerst den Hersteller informiere, falls ich mal einen Weg für einen entfernten Angriff oder etwas derartig Schwerwiegendes finden sollte.”
Weiterlesen
(jp) – Zwei kostenlose Tools von Microsoft und eines von Hewlett-Packard sollen Betreibern von ASP-basierten Websites gegen Angriffe schützen. Vor allem das Kompromittieren von SQL-Datenbanken soll dadurch verhindert werden.
Die Angriffe auf Websites, die Microsofts ASP- und ASP.NET-Technologien verwenden, haben in der letzten Zeit dramatisch zugenommen. In einem Advisory verweist der Hersteller allerdings darauf, dass nicht etwa Schwachstellen an diesen Basistechnologien die Ursache dafür seien, sondern vielmehr das Ignorieren von Richtlinien und Best Practices bei der Programmierung der Websites.
Weiterlesen
