Wer Kerberos zur Netzwerkauthentifizierung nutzt, sollte ein Update aufspielen, wenn Versionen bis einschliesslich 5-1.6 betrieben werden. Hier sind einige Lücken bekannt geworden, mit denen ein entfernter Angreifer beliebigen Code auf dem betroffenen System ausführen kann, für die er aber bereits im System angemeldet sein muss. Unter anderem soll auch eine Lücke im Telnet-Dienst eine Anmeldung mit Root-Rechten ermöglichen. Insgesamt also eine kritische Ansammlung von Lücken, die ein Update dringend nötig machen.

Viel zu tun hat wieder Microsoft. Die Möglichkeiten die der Ani-Exploit geboten hatte, war wohl doch kritisch genug um einen vorgezogenen Patch vor dem sonst üblichen Patchday zu veröffentlichen. Es hatte schon vermehrt Meldungen über die aktive Nutzung dieses Exploits in präparierten Mails gegeben. Verschiedene Sicherheitsfirmen informierten bereits recht detailiert über diese Lücke, die über manipulierte ani-Dateien Verbreitung finden konnte. Das dazu gehörige Bulletin mit der Kennung MS07-017 schliesst dabei noch weitere Lücken, die durch manipulierte WMF- und EMF-Grafiken einen Denial-of-Service provozieren kann oder eine Rechteauswertung ermöglicht. Microsoft hat also weiterhin noch ernsthafte Probleme mit den Funktionsmöglichkeiten ihrer Multimedia-Formaten.

Zum offiziellen Patchday gab es dann 5 Patches. Dabei durfte sich wiederholt das Client/Server Runtime Subsystem (CSRSS), der Microsoft Agent (agentdpv.dll) und auch wieder der UPnP-Dienst vorstellig machen. Hierbei variieren die Möglichkeiten für Angreifer von lokalen bis hin zu entfernten Zugriffen auf betroffene Systeme. Die Lücken sind zurecht als kritisch eingestuft und gehören vor allem auf Clients und Terminalserver aufgespielt.

Ärgerlich aber nicht überraschend dürfte das Aufkommen von weiteren Zeroday-Exploits für Microsofts Office sein. Provozierte Pufferüberläufe sollen zumindest DoS-Angriffe ermöglichen. Wahrscheinlich steckt aber mehr Protential in den entdeckten Exploits. Bleibt abzuwarten, was sich hier entwickelt.

Für die Server-Betriebssysteme 2000 und 2003 von Microsoft, wurde eine kritische Sicherheitsanfälligkeit an der RPC Schnittstelle für den DNS-Dienst gemeldet. Über einen stackbasierten Pufferüberlauf, der durch eine manipulierte RPC-Anfrage ausgelöst wird, kann beliebiger Code ausgeführt werden. Hier sollen bereits Berichte über die aktive Nutzung dieses Exploits bekannt geworden sein. Microsoft empfiehlt hier die Remote Management Funktion über RPC für die DNS-Server zu deaktivieren.

Oracle schliesst zu ihrem vierteljährlichen Patchday 36 Sicherheitslücken. Welche Produkte jetzt im einzelnen betroffenen sind und welcher Risikofaktor dahinter steckt, sollte in der von Oracle erstellten Risikiomatrix herausgelesen werden. Als schwerwiegend dürfte beispielsweise die Lücke im Oracle Database Server (9.2.0.8) unter Windows XP Betriebssystem bezeichnet werden, die es einem Angreifer ermöglicht hier Administratorrechte zu erlangen.

Nachdem im letzten Monat ungewohnt viele Antiviren-Hersteller schwerwiegende Probleme in ihren Produkten beseitigen mussten, zieht jetzt noch Kaspersky nach. Sicherheitsanfälligkeiten in installierten ActiveX-Controls sollen hier das Herunterladen oder das Löschen von beliebigen Dateien des betroffenen Systems ermöglichen. Hierfür reicht es, wenn das Opfer eine entsprechend manipulierte Website besucht. Zudem gibt es Probleme mit manipulierten ARJ-Archivdateien, die mindestens dafür reichen sollen, um einen DoS-Angriff auf dem System zu initiieren. Ein Update auf die aktuelle Version soll die verschiedenen Lücken beseitigen. Entsprechend dazu soll speziell das Maintenance Pack 2 viele Designfehler für die Produkte Kaspersky Anti-Virus 6.0 und Kaspersky Internet Security 6.0 beseitigen

Nachziehen muss auch der Virenscanner ClamAV. Hier entdeckte man Probleme beim Scannen von präparierten CHM-Hilfe-Dateien und CAB-Dateien. Der Absturz des Scanners oder eventuell auch das Ausführen von beliebigen Dateien könnten über die entdeckten Lücken realisiert werden. Hier bietet die Website von ClamAV ein fehlerbereinigtes Update (Version 0.90.2) an.

Zur Zeit hat Winamp mit verschiedenen schwerwiegenden Anfälligkeiten in seinem Player zu kämpfen. Über manipulierte Dateien wie z.B. MatLab- (.MAT), Impulse-Tracker- (.IT) und ScreamTracker3 (.S3M), sollen Pufferüberläufe möglich sein. Gegebenfalls soll hier das Einschleusen und Ausführen von beliebigem Code hier realisiert werden können. Ein Update soll demnächst erscheinen.

Sogenannte Verzeichnis Traversal Angriffe, machen Instant-Messengern wie AIM und ICQ zu schaffen. Mit relativen Pfadangaben in Dateinamen, die "../" enthalten, können vorgegebene Download-Verzeichnisse übergangen werden, um dann Dateien in beliebigen Verzeichnissen zu überschreiben. Hier empfiehlt es sich jeweils die akutellsten Versionen AIM und ICQ runterzuladen und zu verwenden.

Die weitverbreitete Bildbearbeitungssoftware Photoshop verschluckt sich bei manipulierten Bitmap-Dateien (z.B. .BMP, .DIB, .RLE). Betroffen sind Creative Suite 2 und Creative Suite 3 von Photoshop. Ein Pufferüberlauf ermöglicht das Einschleusen von beliebigem Code. Ein Bespielexploit ist bereits veröffentlicht worden. Adobe arbeitet noch an einem entsprechenden Patch. Vorsicht also vor Bitmap-Dateien aus unbekannten Quellen.

Mit schwerwiegenden Sicherheitsanfälligkeiten hat Cisco wieder zu kämpfen. Rechteausweitung, Auspähen von Daten und Denial of Services, sollen über verschiedene Exploits in Cisco Produkten möglich sein. Beispielsweise besitzt das Cisco Wireless Control System (WCS) eine feste Kennung samt festem Password für Backup Tätigkeiten über FTP. Das Auslesen und Schreiben von beliebigen Dateien wird somit sehr erleichtert, auch wenn hierzu genauere Kenntnisse nötig sind. Weitere Details über betroffene Wireless Komponenten sind über Cisco zu erfahren. Es empfiehlt sich umgehend die entsprechenden Patches einzuspielen, wenn die betroffene Hardware eingesetzt wird.
In weiteren Fehlerberichten von Cisco wird noch über Sicherheitsprobleme in der CNS NetFlow Collection Engine berichtet, welche zum Sammeln von Router- und Switch-Daten verwendet werden. Hier ergibt sich das Problem, das bei der Installation der Collection Engine voreingestellte Standardkonten mit identischer Kennung und Passwort erstellt werden.

Apple kann sich auf die Schulter klopfen und darauf zurückblicken mit dem aktuellen Sicherheitsupdate für Mac OS in der Version 10 bis zu 25 Sicherheitsanfälligkeiten beseitigt zu haben. Die Lücken sollen das Einschleusen und Ausführen von Fremdcode ermöglicht haben. Bereits das Öffnen verschiedener Dateiformate, wie beispielsweise Tar-Archive, UFS-Bilder und Hilfe-Dateien konnten hier ein System kompromitieren. Weitere Details sind im Fehlerbericht von Apple zu finden. Das Einspielen des Sicherheitsupdates ist wärmstens zu empfehlen.