Schlagwort "code"

(am) – Sicherheitsexperten sind einem ungewöhnlichen Rootkit auf die Spur gekommen, das über Linux-Server Schadcode verbreitet. Es manipuliert direkt die TCP-Datenpakete der ausgelieferten Webseiten.

Experten von Kaspersky Lab haben ein Rootkit untersucht, das vom Betreiber eines Online-Dienstes mehr zufällig gefunden wurde. Es war aufgefallen, dass sich in der Standard-Fehlerseite eines Webservers ein iFrame befand, der dort nichts zu suchen hatte. Der Inhalt des iFrame kam von einem Server mit Schadsoftware. Nach weiteren Prüfungen stellte sich heraus, dass in alle Webseiten iFrames mit gefährlichen Inhalten eingeschmuggelt wurden und das dafür ein Modul des Linux-Kernels verantwortlich war.

Kaspersky hat dem Rootkit den Namen Linux.Snakso gegeben. Das Kernel-Modul module_init.ko des Rootkits wurde speziell für ein 64-Bit Debian Squeezy und Kernel 2.6.32-5-amd64 erstellt. Es ist mehr als 500 KByte groß und enthält noch Debug-Informationen. Außerdem arbeiten noch nicht alle Funktionen richtig. Deshalb nehmen die Experten an, dass sich das Rootkit noch in der Entwicklung befindet. Das Modul wird über einen insmod-Eintrag im Start-Script /etc/rc.local aktiviert. Danach hängt es sich in einige Kernel-Funktionen ein, um sich selbst zu verstecken. Die eigentliche Schadfunktion manipuliert über die System-Funktion tcp_sendmsg direkt die TCP-Datenpakete und schleust die iFrames ein. Das Rootkit erhält Befehle und Daten von einem Command & Control Server (C&C), zu dem es über eine verschlüsselte Verbindung Kontakt aufnimmt.

Weiterlesen

(am) – Ein Sicherheitsforscher der Technischen Universität Berlin hat eine Sicherheitslücke in Smartphones von Samsung gefunden, die es Angreifern erlaubt, ein anfälliges Gerät auf die Werkseinstellungen zurückzusetzen. Ein Nutzer muss dafür nur auf eine präparierte Website gelockt werden. Die Schwachstelle lässt sich auch mit QR-Codes, SMS oder der Nahfunktechnik NFC ausnutzen. Von dem Problem betroffen sind unter anderem das aktuelle Flaggschiff-Modell Galaxy S3 sowie dessen Vorgänger Galaxy S2.

Seine Entdeckung demonstrierte Ravishankar Borgaonkar, Forschungsassistent am Institut für Softwaretechnik und Theoretische Informatik, auf der Sicherheitskonferenz Ekoparty in Argentinien. Ein Video der Veranstaltung zeigt, wie er alle Inhalte von einem Samsung Galaxy S3 löscht, ohne dass eine Warnung angezeigt oder eine Genehmigung eingeholt wird.

Der Fehler steckt in Samsungs Android-Oberfläche TouchWiz. Er tritt bei der Verarbeitung von USSD-Codes (Unstructured Supplementary Service Data) auf, die wiederum Tastaturbefehle ausführen. Die meisten Geräte verlangten, dass ein Nutzer eine Schaltfläche “Senden” betätige, um den Code auszuführen, sagte Borgaonkar. Bei Samsung sei das nicht notwendig.

Weiterlesen

(am) – Der Sicherheitsexperte Eric Romang hat nach eigenen Angaben eine neue Sicherheitslücke in Internet Explorer gefunden. Die Anfälligkeit steckt demnach in IE7 und IE8 und lässt sich unter Windows XP ausnutzen, um beliebigen Schadcode einzuschleusen und auszuführen.

Die Schwachstelle entdeckte Romang bei der Analyse der vor wenigen Wochen aufgetauchten Zero-Day-Lücke in Java SE 7. Auf einem Server, der angeblich von der Hackergruppe Nitro benutzt wird, befand sich demnach ein Ordner mit vier Dateien: einer ausführbaren Datei, einem Flash-Video und zwei HTML-Dateien namens “exploit.html” und “protect.html”.

Besucht ein Nutzer die Seite exploit.html mit IE7 oder IE8, wird der Flash-Film geladen, der wiederum die zweite HTML-Datei protect.html nachlädt. Alle drei zusammen führen dazu, dass die ausführbare Datei auf dem Rechner des Nutzers landet. Sie wird allerdings erst beim nächsten Start des Systems aktiv. Die Funktion des Exploits demonstriert der Forscher in einem Video.

Weiterlesen

(am) – Hacker können in alten Versionen des PDF-Readers Foxit Reader bösartigen Code einschleusen. Die aktuelle Version des Programms behebt das Problem.

Die beliebte Gratis-Alternative zum Adobe PDF-Reader, Foxit Reader, stopft in der aktuellen Version eine gefährliche Sicherheitslücke. Die Angreifer nutzen die im Foxit Reader 5.4 gestopfte Lücke, um eine infizierte DLL-Datei auf die Festplatte ihres Opfers zu schleusen. Weil die Datei den gleichen Namen wie eine harmlose DLL-Datei trägt, fallen alte Versionen vom Foxit Reader auf sie herein und laden die bösartige Datei des Hackers. Sollten Sie noch die Version 5.3 oder älter nutzen, raten wir daher dringend zu einem Update.

Es ist nicht das erste Mal, dass Hacker schädlichen Code durch eine Lücke im Foxit Reader einschleusen können. Schon vor Version 5.0.2 war der Angriff über präparierte PDF-Dateien möglich. Auch damals nutzten die Angreifer eine manipulierte DLL gleichen Namens wie eine Standard-DLL-Datei in Windows. Über eine zweite Lücke provozierten die Angreifer einen Pufferüberlauf, der das Foxit-Plugin im Browser oder gleich den ganzen Browser abstürzen ließ. Wegen ihrer Verbreitung sind PDF-Reader, allen voran der Adobe Reader, ein häufiges Angriffsziel von Hackern.

Quelle: PC Welt

(am) – Sicherheitsforscher berichten von einer Zero-Day-Lücke, die mit Java Runtime Environment 7 die aktuellste Version der Java-Laufzeitumgebung gefährdet. Die Zero-Day-Saison sei damit noch nicht vorbei, kommentiert Atif Mushtaq von FireEye in einem Blogeintrag.

“Die kürzlichen Java-Runtime-Environments wie JRE 1.7x sind anfällig”, berichtet er. “In meiner Laborumgebung konnte ich den Exploit erfolgreich auf einem Testcomputer ausführen, auf dem Firefox mit JRE 1.7 Update 6 installiert war.”

Der ursprünglich entdeckte Exploit war auf einer Domain namens ok.XXX4.net gehostet, die auf eine IP-Adresse in China verwies. Eben diese Adresse war schon zuvor durch die Verteilung anderer Formen von Malware aufgefallen. Derzeit reagiert der Server nicht auf Browseranfragen, ist aber noch immer am Netz.

Weiterlesen

(am) – Betrüger haben offenbar eine neue Masche entdeckt, um Schadcode in Unternehmen einzuschleusen. Sie legten vor einem holländischen Konzern mehrere USB-Sticks als Köder aus. Doch der Versuch schlug fehl.

Wenn es um die Verbreitung von Schadsoftware geht, erweisen sich die Angreifer als äußerst kreativ. Das jüngste Beispiel spielt in den Niederlanden. Dort legten Unbekannte auf dem Parkplatz des Chemiekonzerns DSM mehrere infizierte USB-Sticks als Köder aus. Anscheinend hofften die Angreifer, dass Mitarbeiter, die die Sticks finden, diese erst einmal in einen der Rechner des Konzerns stecken würden. Doch das Kalkül ging nicht auf. Gleich der erste Mitarbeiter und Finder handelte vorbildlich. Er lieferte den verseuchten USB-Stick umgehend in der IT-Abteilung des Unternehmens ab.

Wie die Zeitung De Limburger berichtet, befanden sich auf den kleinen Datenträger Trojaner, die sich zur Wirtschaftsspionage eignen. Die Experten der IT-Abteilung entdeckten darauf Keylogger, die in der Lage sind, Nutzernamen sowie Passwörter auszuspionieren. Diese Informationen schickt dann der Schädling über das Internet an den Server der Kriminellen.

Weiterlesen

(am) – Weniger als eine Woche nach Microsofts jüngstem Patchday ist ein Beispiel-Exploit für eine kritische Internet-Explorer-Lücke im Internet aufgetaucht. Er ist einem Bericht des Blogs Contagio zufolge innerhalb des Sicherheitstools Metasploit frei verfügbar.

Im bisher noch nicht aktualisierten Security Bulletin MS12-037 spricht Microsoft immer noch von “begrenzten Angriffen”. Der Softwarekonzern hatte selbst erwartet, dass ein Exploit innerhalb von 30 Tagen zur Verfügung stehen wird.

Die Veröffentlichung bedeutet, dass Cyberkriminelle nun Zugang zu Beispielcode haben und ihn in sogenannte Exploit-Kits einbauen oder für großangelegte Malware-Attacken verwenden können. Die fragliche Anfälligkeit (CVE-2012-1875) beruht auf einem Fehler im Umgang mit gelöschten Objekten. Sie löst einen Speicherfehler aus und ermöglicht es einem Angreifer, Schadcode mit den Rechten des angemeldeten Benutzers auszuführen.

Weiterlesen

(am) – Eine kritische Sicherheitslücke in der Bibliothek Libpng der Linux-Version von Skype ermöglicht es Angreifern beliebigen Code auszuführen. Betroffene sollten das Programm zeitnah aktualisieren.

Mit Version 2.2.99 des Linux-Clients beseitigt Skype eine seit langem bekannte kritische Schwachstelle in der Linux-Version der Bibliothek Libpng. Es handelt sich dabei wahrscheinlich um den gleichen Fehler, den Mozilla bereits im Februar 2012 in Firefox, Thunderbird und Seamonkey in der PNG-Bibliothek behoben hat.

Die Bibliothek Libpng ist dafür die Verarbeitung von Bilddateien im PNG-Format zuständig. Die kritische Sicherheitslücke befindet sich in der Funktion png_set_text_2(). Die Entwickler von Libpng berichten, das Angreifer einen Speicherfehler ausnutzen können, um über speziell präparierte Bilddateien beliebigen Code einzuschleusen und auszuführen.

Weiterlesen

(am) – Googles für Spam zuständige Abteilung hat erneut 20.000 Webmastern per Mail mitgeteilt, dass ihre Sites Schwachstellen aufweisen und vielleicht gehackt wurden. Das schreibt Manager Matt Cutts bei Twitter. Die Betreiber sollten ihren Code prüfen, ob er ihnen nicht bekanntes JavaScript enthält, sowie ihre Verzeichnisse auf Schaddateien.

Google entdeckt durch seine Crawler teilweise automatisch Schadcode. Es ist nicht verpflichtet, die Betreiber zu informieren, tut das aber immer öfter – auch wenn es sich nur um einen Tropfen im Ozean handelt. Erstmals wurden im Jahr 2010 insgesamt 100.000 Webmaster kontaktiert.

Der mühsame Kampf gegen Site-Infektionen hat sich anscheinend bewährt: 2011 gingen Warnmails an insgesamt fast 600.000 Website-Verantwortliche, während in den ersten beiden Monaten 2012 schon über 700.000 verständigt wurden. Sollte Google diese Rate beibehalten, würde es im Jahresverlauf über 4 Millionen Webmaster anschreiben.

Weiterlesen

(am) – Google hat Chrome auf Version 18 aktualisiert. Das Release kommt mit zwei neuen Techniken, um die Grafikleistung auf älteren und neueren PCs zu erhöhen. Darüber hinaus schließt Google neun Sicherheitslücken und integriert Adobes Flash Player 11.2.

Auf älteren Windows-PCs und Macs verbessert ein von Transgaming lizenzierter Software Rasterizer namens SwiftShader die Darstellung WebGL-basierter Inhalte. Er kommt auf Systemen zum Einsatz, die die in Chrome integrierte Hardwarebeschleunigung nicht unterstützen. Google zufolge haben so mehr Nutzer Zugang zu “grundlegenden 3D-Inhalten im Web”.

Eine weitere Neuerung ist hardwarebeschleunigtes Rendering für 2D-Canvas-Objekte. Darauf basierende Spiele und Animationen sollen spürbar schneller und flüssiger ablaufen. Die Funktion läuft allerdings noch nicht unter Linux.

Weiterlesen