(am) - Über eine Sicherheitslücke in der eBusiness Suite von Oracle können Angreifer XSS-Attacken durchführen. Ein Patch steht bereits zur Verfügung.

Laut einer Meldung auf der IT-Security-Mailingliste „Full Disclosure“ existiert eine Sicherheitslücke in der eBusiness Suite von Oracle, die Cross-Site-Scripting-Attacken erlaubt. Betroffen sind Version 10 und 11 der Anwendung. Nach ersten Informationen steht bereits ein Patch für Oracle Kunden zum Download zu Verfügung. Dieser Patch wurde bislang jedoch nicht verifiziert.

Die Sicherheitslücke wird durch den Gast-Zugriff auf die Weboberfläche der eBusiness Suite ermöglicht. Laut Oracle ist dieser Gast-Zugriff ein geplantes Feature und kein Bug. In insgesamt drei Schritten kann ein Angreifer die Konfigurationseinstellungen des Gast-Zugriffs so manipulieren, dass sich beliebiger Scriptcode in ein betroffenes eBusiness Suite System einspeisen lässt. Durch den Angriff lässt sich beispielsweise die Session ID eines eBusiness Suite Benutzers entwenden und für unbefugte Zugriffe einsetzen. Ein entsprechender Proof-of-Concept findet sich in der Meldung auf Full Disclosure.

Quelle: TEC Channel

(jp) - Der Trojaner Zpack.cr ist per E-Mail unterwegs und behauptet im Anhang eine weihnachtliche Grußkarte zu haben. Und das ist natürlich gelogen. Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Grüße zum Weihnachtsfest. Stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Merry Christmas

E-Mail-Text: Unterschiedlicher Text in englischer Sprache.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Weiterlesen

(jp) – Mit dem Werkzeug gif2png lassen sich GIF-Grafiken in das PNG-Format umwandeln. Über eine Sicherheitslücke können Angreifer beliebigen Schadcode einspeisen.

Laut einer Meldung auf der Sicherheitsmailingliste „Full Disclosure“ tritt die Schwachstelle in der aktuellen Version 2.5.2 von gif2png auf. Frühere Versionen der Anwendung sind unter Umständen ebenfalls betroffen. Gif2png ist bei zahlreichen Linux Distributionen als Zusatzpaket installierbar: Unter Ubuntu 9.10 (oder anderen Debian Derivaten) kommt beispielsweise die Version 2.5.1-3 zum Einsatz. Wie unsere Tests ergaben, ist diese Version ebenfalls vom Angriff betroffen und quittiert mit einem „Segmentierungsfehler“.

Ausgelöst wird dieser durch das Überschreiten der in gif2png festgelegten Maximallänge von 1025 Zeichen für Dateinamen. Mit dem ausgelösten Pufferüberlauf kann ein Angreifer beliebigen Schadcode in ein betroffenes System einspeisen. Besonders kritisch: Wird gif2png beispielsweise in eine Webapplikation eingebunden, können Angreifer durch den einfachen Upload einer Datei einen entsprechenden Pufferüberlauf ausführen. Ein Patch liegt nicht vor, da die Anwendung seit Jahren nicht mehr weiterentwickelt wird.

Quelle: TEC Channel