Mehreren Berichten zufolge werden die kürzlich behobenen Schwachstellen im Acrobat Reader zur Zeit sehr aktiv ausgenutzt, und laut den Websense Security Labs nutzt ein chinesisches Hacker-Tool die von Microsoft im Oktober außerplanmäßig behobene Schwachstelle im RPC-Server aus. Im Blog von Sophos wird außerdem über nicht lauffähigen laufenden Schadcode berichtet.
Schwachstellen im Acrobat Reader werden ausgenutzt
Mehreren Berichten zufolge werden die kürzlich behobenen Schwachstellen im Acrobat Reader zur Zeit von verschiedenen Schädlingen sehr aktiv ausgenutzt. Entsprechende Meldungen gibt es z.B. im Handler's Diary des ISC (Adobe Reader Vulnerability - part 2 und Acrobat continued activity in the wild) und im Blog von Trend Micro (Adobe Reader Vulnerability: Actively Being Exploited). Didier Stevens hat zwei der präparierten PDF-Dateien analysiert: Shoulder Surfing a Malicious PDF Author. Wer den Patch bisher nicht installiert hat, sollte das zügig nachholen.
Hacker-Tool nutzt Windows-RPC-Schwachstelle aus
Laut den Websense Security Labs nutzt ein chinesisches Hacker-Tool die von Microsoft im Oktober außerplanmäßig behobene Schwachstelle im RPC-Server aus: Hacker Tool Targeting MS08-067 Vulnerability. Zur Zeit laufen (mal wieder) chinesische Massenhacks und das ist ein chinesisches Hacker-Tool - dann sollte man wohl demnächst mit massenhaft mit entsprechenden Exploits verseuchten Websites rechnen.
"Nicht lauffähiger laufender Schadcode"
Im Blog von Sophos wird über einen Schädling berichtet, der bei der Analyse im Disassembler mit einem Sprung ins Leere startet und damit sofort beendet wird, in einer Testumgebung aber trotzdem ausgeführt wird: Cliff-Jumping Code. Dem Kommentar im Beitrag ist nichts hinzuzufügen:
"You watch the malware jump off a cliff, then turn around and suddenly it's standing right in front of you, back at the top of the cliff. A nifty trick, but it won't stop us from detecting it."
Gefährliche Schwachstellen vom 11.11.2008
- Fresh Email Script:
Einbinden beliebiger Dateien über Parameter 'tmp_sid' im Skript url.php, außerdem Manipulation von Cookies möglich - Apple iLife:
Drei Schwachstellen erlauben die Ausführung beliebigen Codes beim Verarbeiten präparierter TIFF- oder JPEG-Dateien - Apple Aperture:
Drei Schwachstellen erlauben die Ausführung beliebigen Codes beim Verarbeiten präparierter TIFF- oder JPEG-Dateien - NeoOffice:
Mehrere Pufferüberlauf-Schwachstellen erlauben die Ausführung beliebigen Codes durch präparierte WMF- und EMF-Dateien - OptiPNG:
Pufferüberlauf-Schwachstelle erlaubt Ausführung beliebigen Codes durch präparierte BMP-Bilder - Sanusart Simple PHP Guestbook Script:
Einschleusen beliebigen PHP-Codes über Parameter 'message' im Skript act.php - SAP GUI:
Nicht näher beschriebene Schwachstelle im MDrmSap-ActiveX-Control (mdrmsap.dll) erlaubt Ausführung beliebigen Codes - Windows:
Schwachstelle beim Parsen von XML-Daten führt zum Absturz und erlaubt evtl. die Ausführung beliebigen Codes (MS08-069) (vom 05.01.2007, aktualisiert) - VLC Media Player:
Pufferüberläufe beim Verarbeiten präparierter CUE- und RealText-Dateien erlauben Ausführung beliebigen Codes (vom 06.11.2008, aktualisiert)
Carsten Eilers
