Aviv Raff hat den "Month of Twitter Bugs" eröffnet. Es wurde ein Handy-Trojaner gesichtet, es gibt einen neuen Angriff auf AES, die Antwort darauf, was Sarah Palin und Paris Hilton gemeinsam haben, und einen abgesagten Vortrag auf der Black-Hat-Konferenz. Und im Handler's Diary des ISC wurde auf einen weiteren Podcast zur SANSFIRE-Konferenz hingewiesen: Building an Automated Malware Behavioral Analysis Environment using Free and Open-source Tools von Jim Clausing.
Month of Twitter Bugs eröffnet
Aviv Raff hat den für Juli angekündigten "Month of Twitter Bugs" mit der Veröffentlichung von vier Cross-Site-Scripting-Schwachstellen im URL-Verkürzer-Dienst bit.ly eröffnet. Während drei der Schwachstellen bereits vor der Veröffentlichung behoben waren, wurde die letzte Schwachstelle erst 3 Stunden nach ihrer Veröffentlichung korrigiert, obwohl bit.ly bereits am 25. Juni darüber informiert wurde.
Handy-Trojaner gesichtet
Im Handler's Diary des ISC wird ein in Java geschriebenen Trojaner für Handys analysiert. Der Trojaner wurde über ICQ verbreitet und versucht, 6 SMS zu verschicken. Wohin, wurde leider nicht angegeben. Damit sich das ganze für die Trojaner-Hersteller lohnt, müssten es eigentlich kostenpflichtige Angebote sein.
Neuer Angriff auf AES
Bruce Schneier berichtet in seinem Blog über einen neuen Angriff (Paper als PDF) auf AES (siehe About Security #74 f.), durch den die Komplexität eines Angriffs auf AES-256 von 2119 auf ca. 2110.5 sinkt - was immer noch ausreichend ist, um mit heutigen Rechnern nicht berechenbar zu sein.
Was haben Paris Hilton und Sarah Palin gemeinsam?
Graham Cluley berichtet über die "Hacks" von Sarah Palins und Paris Hiltons E-Mail-Accounts, die beide mit Hilfe der erratbaren Antworten auf die Sicherheitsfragen zum Zurücksetzen des Passworts gelangen. Dazu gibt es auch ein Video:
Vortrag über Angriffe auf Geldautomaten abgesagt
Juniper hat einen Vortrag seines Angestellten Barnaby Jack für die kommende Sicherheitskonferenz Black Hat abgesagt. Im Vortrag Jackpotting Automated Teller Machines sollten Angriffe auf Geldautomaten beschrieben werden, die Hersteller der Geldautomaten brauchen aber noch Zeit zum Beheben der dafür verwendeten Schwachstellen.
Höchstens 150 Freunde sollt ihr sein...
Bruce Schneier hat ein interessantes Essay über Security, Group Size, and the Human Brain veröffentlicht: Das menschliche Gehirn kann nur mit bis zu 150 Personen eine soziale Verbindung "verwalten".
Gefährliche Schwachstellen vom 01.07.2009
- VMware ESX Server:
Schwachstelle in Kerberos erlaubt DoS-Angriffe und evtl. die Ausführung beliebigen Codes - Jax FormMailer:
Einbinden entfernter Dateien über Parameter 'BASE_DIR[jax_formmailer]' im Skript formmailer.admin.inc.php - TFM MultiMedia Player:
Pufferüberlauf beim Verarbeiten präparierter Playlists erlaubt Ausführung beliebigen Codes - DM FileManager:
Einbinden entfernter Dateien über Parameter 'SECURITY_FILE' im Skript dm-albums/template/album.php (vom 30.06.2009, aktualisiert) - WordPress/DM Albums Plugin:
Einbinden entfernter Dateien über Parameter 'SECURITY_FILE' im Skript dm-albums/template/album.php (vom 30.06.2009, aktualisiert)
Carsten Eilers
Kommentare