(am) - Die Directory-Traversal-Schwachstelle ermöglicht den unautorisierten Zugriff auf Dateien und Verzeichnisse. Sie war erst einen Tag zuvor gemeldet worden. Ob das Sicherheitsloch bereits ausgenutzt wurde, ist nicht bekannt.
Apple hat eine Schwachstelle in seinem Online-Speicherdienst iDisk beseitigt, durch die Angreifer unautorisiert auf nicht freigegebene Dateien und Verzeichnisse anderer Nutzer unter idisk.me.com zugreifen konnten. Das Sicherheitsloch war einen Tag zuvor von Jeremy Richards gemeldet worden.
Laut Apple handelt es sich bei dem Problem um eine Directory-Traversal-Lücke, bei der durch Manipulation von Pfadangaben auf beliebige Dateien und Verzeichnisse zugegriffen werden kann, die dafür eigentlich nicht vorgesehen waren. Der Angriff basiert auf der Grundlage, sich mit vorangestelltem “../” in der Verzeichnisstruktur eine Ebene nach oben zu bewegen.
Ob Angreifer die Schwachstelle tatsächlich zum unberechtigten Zugriff auf iDisk-Daten genutzt haben, ist nicht bekannt.
Quelle: ZDNet
(am) - Durch die Schwachstelle lässt sich Schadcode mit vollem Zugriff auf das Gerät ausführen. iPhones können geortet oder als Abhörwanzen missbraucht werden. Apple arbeitet bereits an einem Patch.
Laut einem Bericht von Computerworld hat das iPhone eine kritische Sicherheitslücke, über die ein Angreifer mit Hilfe von SMS-Nachrichten Software installieren kann – mit vollen Rechten. Das habe Charlie Miller, Mac-OS-X-Spezialist, Gewinner des Pwn2Own-Hackwettbewerbs und Sicherheitsanalyst bei Independent Security Evaluators auf der SyScan-Konferenz in Singapur erklärt.
Computerworld schreibt weiterhin, dass Apple bereits an einem Patch arbeitet. Nähere Details über die SMS-Lücke habe Miller in Absprache mit dem Unternehmen nicht verraten. Erst auf der Ende Juli stattfindenden Black-Hat-Konferenz in Las Vegas will er weitere Informationen zu der SMS-Sicherheitslücke präsentieren.
Weiterlesen
(am) - Das Social-Networking-Portal Facebook will die Einstellungen zum Schutz der Privatsphäre seiner Mitglieder gründlich überarbeiten. Die bisherigen Einstellungsmöglichkeiten, die sich über sechs verschiedene Seiten und 40 unterschiedliche Settings erstreckten, sollen dabei deutlich reduziert und vereinfacht werden.
Wie Chris Kelly, Chief Privacy Officer bei Facebook, per Blogeintrag wissen lässt, hätte die Kompliziertheit des alten Schemas die Nutzer nur unnötig verwirrt und vielfach dazu geführt, dass diese die weitreichenden Möglichkeiten zum Schutz der Privatsphäre gänzlich ignorierten. “Das ist genau der Grund, warum wir in den nächsten Tagen mit einer Reihe von Tests starten werden, die unsere User an ein neues, einfacheres Set an Kontroll- und Verbindungs-Tools heranführen sollen”, erklärt Kelly. Ziel sei es, den Nutzern eine bessere Übersicht und Handhabung darüber zu geben, welche Informationen sie mit wem im Internet teilen.
“Die Möglichkeit etwas mit anderen zu teilen ist der Grundpfeiler von Facebook. Privatsphäre und Werkzeuge, mit denen festgelegt werden kann, welche Informationen mit wem geteilt werden können, sind für das Vertrauen der Community unverzichtbar”, stellt Kelly fest. Im Laufe der vergangenen fünf Jahre habe Facebook gelernt, dass ein effektiver Schutz der Privatsphäre auf drei grundlegenden Prinzipien beruhe: Kontrolle, Einfachheit und Verknüpfung. “Mit der Einführung neuer Features haben wir in der Regel auch immer ein dazupassendes neues Privacy-Setting integriert. Dies hat im Laufe der Zeit zu einer unglaublichen Fülle und Kompliziertheit der Einstellungsmöglichkeiten geführt. Im Zuge des aktuell gestarteten Testlaufs werden alle diese Settings auf einer einzigen Seite vereint”, erläutert Kelly. Zudem sollen auch die Auswahloptionen standardisiert und Überlappungen gelöscht werden. Dem Facebook-Privacy-Officer zufolge werden User künftig nur mehr zwischen den Standardeinstellungen “share with the public”, “share with friends” und “share with friends of friends” wählen müssen.
Weiterlesen
(am) - Wie aus dem aktuellen Bericht hervorgeht, handelt es sich bei rund 49 Prozent aller gezielten Angriffe um Attacken gegen Adobe Acrobat Reader.
Wie aus der Sektion „Targeted Attacks 2009“ des Berichts hervorgeht, wurden im zweiten Quartal 2009 insgesamt 663 individuelle Dateien mit zielgerichteten Angriffen erfasst. Bei knapp der Hälfte handelte es sich um Angriffe gegen Adobe Acrobat Reader (49%). Weitere Angriffe zielten auf Microsoft Word (39%), Microsoft Excel (7%) und Microsoft PowerPoint (4%) ab. Wie ein Auditing zeigte, ist jeder dritte PC mit Acrobat Reader Software anfällig gegen die aktuellen Angriffe.
Um dieser Entwicklung entgegen zu wirken, erhöhte Adobe die Frequenz seiner Sicherheitsupdates auf drei Monate (ein Quartal). Die Updates sollen zeitgleich zum Microsoft Patchday stattfinden. Weitere Themen im Threat Report Q2/2009: Bemühungen und Initiativen der US-Regierung zur Sicherheit im Cyberspace, Chinas „Green Dam Youth Escort“ Software, der Conflicker Wurm und vieles mehr.
Quelle: TEC Channel
(am) - Die Website Torrentreactor.org, eine der größten Suchseiten für Torrentstreams, wurde von unbekannten Angreifern gehackt und wird zur Einspeisung von Malware missbraucht.
Aktuell ist die Website Torrentreactor.org vom Netz genommen. Wie aus einem Bericht von TheRegister hervorgeht, wurde die Website gehackt und diente über einen iFrame Angriff zur Einspeisung von Malware. Der iFrame verweist auf eine bislang unbekannte russische Website. Da die verwendete Malware nur von zwei der 32 getesteten Virenscannern erkannt wird, ist beim Besuch der Website höchste Vorsicht angebracht.
Quelle: TEC Channel
(am) – Vorsicht vor E-Mails, die auf ein angebliches Update für Microsoft Outlook hinweisen. Die verlinkten Seiten verbreiten eine Malware und versuchen diese per PDF-Exploit auf die Opferrechner zu schieben.
Die Masche mit dem vorgeblichen Update für Outlook läuft bereits seit ein paar Tagen. Inzwischen haben die Malware-Spammer mehrfach die EXE-Datei ausgetauscht, die auf den nachgeahmten Microsoft-Seiten zum Download angeboten wird. Sie haben diese Seiten außerdem mit Exploit-Code präpariert, der eine Sicherheitslücke in nicht ganz aktuellen Versionen des Adobe Reader ausnutzen soll.
Alex Eckelberry, Geschäftsführer von Sunbelt Software, berichtet im Blog des Sicherheitsunternehmens, die Honeypots seiner Firma hätten eine große Zahl gefälschter Microsoft-Mails abgefangen. Diese sollen potenzielle Opfer mit der Aussicht auf ein wichtiges Update für Outlook und Outlook Express auf vorbereitete Web-Seiten locken.
Dort erwartet sie eine recht überzeugende Imitation einer Microsoft-Seite, die den Download einer Datei namens “officexp-KB910721-FullFile-ENU.exe” anbietet. Dabei handelt es sich jedoch um Malware aus der Zbot-Familie. Der Schädling wird inzwischen von vielen Antivirusprogrammen erkannt, es gibt jedoch noch Lücken.
Weiterlesen
(am) – Mit vier Sicherheitslücken ist Aviv Raff gestern in den von ihm ausgerufenen Month of Twitter Bugs gestartet. Jeden Tag sollen nun weitere hinzukommen.
Mit der Aktion will Raff auf Sicherheitslecks in Web-2.0-Angeboten im Allgemeinen und Twitter im Speziellen aufmerksam machen. Zum Start listet er vier Lecks in bit.ly auf, dem zweitpopulärsten Linkverkürzer, der über die Twitter-API direkt Tweets mit den Kurz-URLs veröffentlichen kann. Wegen der vier Lecks, allesamt XSS-Lecks (Cross-Site-Scripting), konnte ein Angreifer aber eigene Tweets unter dem Namen seines Opfers abschicken. Die Lecks wurden mitterlweile abgedichtet, allerdings kritisiert Raff, dass man bei bit.ly gut anderthalb Monate dafür brauchte.
Quelle: PC Professionell
(ag) - Die Virtualisierungs-Spezialisten von Vmware haben eine Sicherheits-Anweisung zur Verfügung gestellt. Diese spricht von Schwachstellen im Kerberos-Paket.
Die Sicherheitslücke lässt sich unter Umständen ausnutzen, um einen so genannten Denial of Service zu erzwingen. Denkbar wäre sogar das Ausführen beliebigen Codes auf betroffenen Rechnern. Das Gute an der Nachricht ist, dass die Daemons kadmind und krb5kdc nicht per Standard bei ESX installiert sind.
Betroffen sind nicht alle VMware-Produkte aus der ESX-Reihe. VirtualCenter unter Windows und ESXi enthalten diese Schwachstelle nicht. Für ESX 3.5 steht ein Flicken zur Verfügung. Hingegen stehen Updates für die ESX-Versionen 4.0, 3.0.3, 3.0.2 und 2.5.5 noch aus.
Quelle: TEC Channel
(ag) - Wie aus einem aktuellen Report von Symantec MessageLabs hervorgeht, wurden im Juni 83,2 Prozent aller Spam-E-Mails über Botnetze versendet.
Damit steigt die Anzahl der über Botnetze versendeten E-Mails drastisch an. Für den Mai dieses Jahres meldete MessageLabs den Botnetz Anteil beim Spamaufkommen mit rund 57,6 Prozent. Bei dem größten Botnetz handelt es sich um „Cutwail“, das aus rund 1,5 bis 2 Millionen aktiven Bots besteht. Weitere große Botnetze sind „Rustock“, „Grum“, „Dunbot“, „Bagle“, „Xarvester“, „Mega-D“, „Gheg“, „Asprox“ und „Darkmailer“.
Für die Entwicklung der Versandzahlen von Spam-E-Mails über Botnetze geben die Experten von Symantec MessageLabs eine düstere Prognose ab: Ende 2009 wird die Quote die 90 Prozentmarke durchbrechen.
Quelle: TEC Channel
