entwickler.de

Microsofts neues CAPTCHA-System für Hotmail wurde ausgetrickst, in den USA beginnt der 'Cyber Security Awareness Month' und Symantec hat eine Statistik über Phishing-Angriffe veröffentlicht. VoIP-Geräte geben zu viele Informationen preis und die McAfee Avert Labs warnen vor den Gefahren sozialer Netzwerke. Außerdem können elektronische Reisepässe gefälscht und die PHP-Funktion create_function() missbraucht werden.

Hotmails neues CAPTCHA-System ausgetrickst

Laut Websense wurde Microsofts neues CAPTCHA-System für Hotmail von Spammern ausgetrickst. Sie können nun über Bots massenhaft neue Hotmail-Accounts zum Spamversand einrichten. Spam von Hotmail-Adressen – das Problem ist ja wohl genau so alt wie Hotmail selbst.

Cyber Security Awareness Month

In den USA ist der Oktober 'Cyber Security Awareness Month' (erinnert irgendwie an die "Month of irgendwas-Bugs" aus den Vorjahren). Im Handlers Diary des Internet Storm Centers wird es dazu jeden Tag Tipps geben. Mal abwarten, was da kommt. Wer eigene Tipps einreichen möchte, sollte beachten das "... the audience is broad, including end users, sysadmins, and managers.". Die Schubladen kommen mir doch irgendwie bekannt vor.

Phishing-Statistik von Symantec

Nach Kaspersky (siehe Meldung vom 25. September) hat nun auch Symantec eine kleine Statistik über Phishing-Angriffe veröffentlicht, laut der durchschnittlich 1,6% der Besucher der Phishing-Sites erfolgreich abgephisht wurden. Das "Geschäft" scheint sich für die Phisher also zu lohnen. Passend dazu wurde von Symantec auch ein 'phishing kit' analysiert.

VoIP-Geräte mit heruntergelassener Hose

Laut McAfee Avert Labs Blog geben viele VoIP-Geräte über ihre Webinterfaces viel zu viele Informationen preis - auch im Internet, wie eine Suche bei Google ergab. Und das betrifft nicht nur VoIP-bezogene Informationen, sondern auch allgemeine Informationen über das lokale Netz. Eine Einladung für jeden Angreifer. Am besten wäre es natürlich, diese Informationen gar nicht erst im Webinterface auszugeben, zumindest sollte aber die Firewall zwischen lokalen Netz und Internet von außen kommende Verbindungen zum Webinterface der VoIP-Geräte unterbinden.

Risiken und Nebenwirkungen sozialer Netzwerke

Im McAfee Avert Labs Blog gibt es eine kurze Zusammenfassung von Risiken und Nebenwirkungen der Nutzung sozialer Netzwerke wie Facebook, MySpace und Co.. Zusammenfassung der Zusammenfassung: Vorsicht vor digitalem Ungeziefer und Social Engineering.

Fälschen von ePassports möglich

THC (The Hacker's Choice) und vonJeek haben einen elektronischen Reisepass gefälscht: The Risk of ePassports and RFID Ein Video beweist es: Elvis lebt, und er hat sogar schon einen elektronischen Reisepass.

PHP-Funktion create_function() kann missbraucht werden

Auf der Mailingliste Bugtraq wurde eine Mail veröffentlicht, die auf die Missbrauchsmöglichkeiten der PHP-Funktion create_function() hinweist. Demnach ist es möglich, beliebigen Code über diese Funktion einzuschleusen und auszuführen. Steven M. Christey von MITRE hat in einer Antwort die nötigen Folgerungen aus der Mail zusammengefasst.

Gefährliche Schwachstellen vom 30.09.2008

• MPlayer:
  Integerüberlauf-Schwachstellen im Real-Demuxer-Code erlauben Ausführung beliebigen Codes
• Micronation Banking System (minba):
  Einbinden beliebiger Dateien über Parameter 'minsoft_path' in mehreren Skripts
• WebBiscuits Events Calendar:
  Einbinden beliebiger Dateien über Parameter 'path[docroot]' und 'component' im Skript panel/common/theme/default/header_setup.php
• Autodesk Design Review:
  Unsichere Methode SaveAS() im ActiveX-Control CExpressViewerControl (AdView.dll) erlaubt Überschreiben beliebiger Dateien
• Novell ZENworks:
  Pufferüberlauf-Schwachstelle in der Funktion CanUninstall() im ActiveX-Control erlaubt Ausführung beliebigen Codes

Carsten Eilers