feed-image Feed-Einträge
Original-Meldung von Microsoft:
Flaw in Certificate Enrollment Control Could Allow Deletion of Digital Certificates (Q323172)

Software: Microsoft Windows 98, 98SE, ME, NT4, 2000, XP
Impact: Denial of service
Max Risk: Critical

All versions of Windows ship with an ActiveX control known as the Certificate Enrollment Control, the purpose of which is to allow web-based certificate enrollments. The control is used to submit PKCS #10 compliant certificate requests, and upon receiving the requested certificate, stores it in the user´s local certificate store.

The control contains a flaw that could enable a web page, through an extremely complex process, to invoke the control in a way that would delete certificates on a user´s system. An attacker who successfully exploited the vulnerability could corrupt trusted root certificates, EFS encryption certificates, email signing certificates, and any other certificates on the system, thereby preventing the user from using these features.

An attack could be carried out through either of two scenarios. The attacker could create a web page the that exploits the vulnerability, and host it on a web site in order to attack users who visited the site. The attacker also could send the page as an HTML mail in order to attack the recipient.

Patch und Informationen
Hacker-Experte demonstrierte einfachen Zugriff

Sicherheits-Software, die allgemein fuer E-Banking und E-Commerce verwendet wird, kann einfachst umgangen werden. Kundenkonten von schwedischen Grossbanken bleiben von Risiken nicht verschont. Ein schwedischer Hacker-Experte demonstrierte wie einfach es waere, innert wenigen Minuten in die Web-Server-Software von Microsoft einzudringen. Der Experte knackte kurz hintereinander die Sicherheits-Systeme fuer E-Banking von drei schwedischen Grossbanken. Er zeigte auf, wie die Spuren beseitigt werden koennen und Nachweise schwierig zu erbringen waeren. Weiter sagte er, dass ein Eindringling versteckte Befehle fuer einen Geldtransfer auf ein anderes Konto taetigen koennte, wenn der Kunde von seinem Internet-Bankkonto aus eine Zahlung veranlasse.
Was sind die wirklichen Risiken

Die Washington Post berichtete im Juni ueber einen 12jaehrigen, der 1998 in das Computersystem, welches die Schleusen des Theodore-Roosevelt-Stausees in Arizona steuert, eindrang. Haette er die Tore des Stausees oeffnen koennen, waeren die Staedte Tempe und Mesa, die eine Population von 1 Million zaehlen, mit Wasser ueberflutet worden. Es gab gluecklicherweise ein Problem mit dem Bericht: Er war nicht echt! Es war ein 27jaehriger Mann, der Vorfall ereignete sich bereits 1994 und er hatte nie die Kontrolle ueber die Schleusen. Falschmeldungen sind wie eine Metapher heutiger Debatten ueber die Verwundbarkeit des Internets. Waehrend solche Warnungen zu Regierungen und Medien durchdringen, sind Weltuntergangsszenarien von Cyber-Terrorismus mit Massenvernichtungen hoechstens Stoff fuer Hollywood-Drehbuecher oder Verschwoerungstheorien.
Neue Viren im Umlauf

Das Virenlabor Kaspersky Labs warnt vor einem neuen Wurm, welcher sich ueber das KaZaA-Netzwerk verbreitet. Vom Schaedling namens “D U L O A D“ sind 2 Versionen im Umlauf. Gemaess Kaspersky Labs findet man den Wurm zur Zeit in 39 verschiedenen Dateien. Sobald eine der besagten Dateien geladen und ausgefuehrt wird, kopiert sich der Wurm als “S Y S T E M C O N F I G . E X E“ in das System-Verzeichnis von Windows. Zudem wird ein Verzeichnis namens “M E D I A“ abgelegt, welches wiederum einen Wurm namens “D U L O A D“ enthaelt. Nach einem Neustart der infizierten Geraete haben KaZaA-User auf das neu erstellte Verzeichnis “M E D I A“ Zugriff. Falls man die Variante “D U L O A D . A“ erwischt, wird zudem ein Trojaner auf dem System hinterlegt, welcher via Internet eine Fernsteuerung ermoeglicht.
US-Justiz plant Aktion

John Malcom, ein leitender Mitarbeiter der US-Justiz, kuendigte eine verschaerftere Durchsetzung des Urheberrechts an, berichten US-Zeitungen. Internetnutzer, die unbefugt Tauschboersen anbieten, sollen strafrechtlich belangt werden koennen. Malcom meint, es muesse ein Zeichen gesetzt werden. In besonders extremen Faellen sei nicht nur mit einer Geldstrafe zu rechnen, sondern waere eine Gefaengnisstrafe die Folge. Sprecher der Musik- und Filmindustrie befuerworten ein solch massives Vorgehen. Kritiker hingegen warnen vor einer Kriminalisierung von bis zu 70 Millionen US-Amerikaner. Ueber eine detaillierte Vorgehensweise des US-Justizministeriums ist noch nichts bekannt.
Ex-Hacker bemaengelt Sicherheitsverbesserungen

Kevin Mitnick, ex-Hacker aus Nevada, bemaengelt in einer Aussage die Sicherheitsverbesserungen der Telefongesellschaft Sprint. Zivilklaeger Eddie Munoz beschwerte sich bei der Oeffentlichen Kommission in Las Vegas, dass die Telefonfirma sein Geschaeft behinderte, indem sie seine Telefonate umleitete, ueberwachte und blockierte. Sprint hat die Vorwuerfe zurueckgewiesen und festgehalten, dass Munoz´ Probleme in seiner eigenen Ausruestung laegen und sie nie ein fremdes Eindringen in ihr System erlitten haetten. Es wurden eine Reihe von Anhoerungen durchgefuehrt und der Ex-Hacker Mitnick, der von Munoz als Berater und Sachverstaendiger angestellt wurde, bezeugte, dass er unerlaubte Kontrolle der Schaltsysteme durch Dial-ups hatte. Sprint bezeichnet nun Kevin Mitnick als Luegner und sieht ihn nicht als geeigneten Zeugen, da er nicht ueber genuegend technisches Know-how verfuege. Ein Urteil der Oeffentlichen Kommission wird diesen Herbst erwartet.
Hacker werden mit zwielichtigen Methoden ueberfuehrt

Ein FBI-Agent wurde durch die russische Spionageabwehr ueberfuehrt. Der Agent wird beschuldigt, sich im Rahmen einer FBI-Operation illegal Zugang zu russischen Systemen verschafft zu haben. Der FBI-Ermittler Michael Schuler hatte vor zwei Jahren zwei mutmassliche russische Hacker mit einem fiktiven Job-Angebot der Scheinfirma Invita Security in die USA gelockt, bei einem ebenso fingierten Eignungstest Passwoerter gestohlen und damit spaeter Beweismaterial von deren Rechner in Russland herunter geladen um dieses vor Gericht gegen sie zu verwenden. “Falls die Hacker auf Basis der illegal erworbenen Informationen verurteilt werden, koennte dies bedeuten, dass sich das FBI kuenftig vermehrt auf illegale Weise Zugang zu heiklen Informationen in Russland und in anderen Laendern verschaffen kann,“ schreibt die russische News-Agentur Interfax.
Testen Sie jetzt, ob Ihr Internet Explorer durch die aktuellste “Data Object“-Schwachstelle angreifbar ist. Durch diese Schwachstelle könnte eine Webseite, eine Email oder ein Newsgroup-Beitrag ohne Ihr Wissen beliebige Programme auf Ihr System laden und ausführen, zum Beispiel auch Dialer. Der Test wird von Secunia durchgeführt. [pcs]

http://de.secunia.com/ms03-032/
Die neue Version des kostenlosen Verschlüsselungswerkzeugs wurde für Multi-Core-CPUs angepasst und erlaubt es, ein Windows-Betriebssystem in einem unsichtbaren Volume zu installieren.

Mit Truecrypt verschlüsselt der Anwender Daten auf einem Notebook. Das kostenlose Open-Source-Werkzeug erzeugt ein virtuelles Volume. Alle Dateien, die der Nutzer verschlüsseln will, speichert er darin ab.

Mittlerweile steht Version 6.0a zur Verfügung. Sie gestattet es, die Partition oder Festplatte, auf dem Windows Vista und Windows Server 2008 installiert sind, zu verschlüsseln. Mit Windows XP ist das hingegen nicht machbar.

Zudem kann man nun ein “unsichtbares“ Betriebssystem ablaufen lassen. Dieses wird in einem “Hidden Volume“ installiert. Ein solcher Festplattenbereich. Hierzu muss der Nutzer allerdings ein paar Regeln beachten.

Absichern lassen sich neben Festplatten auch USB-Speicher. Zum Kodieren nutzt das Tool unter anderem den Algorithmus AES-256 (Advanced Encryption Standard).

Da Datenverschlüsselung immer mit Leistungseinbußen einhergehen, haben die Entwickler die Software erweitert, so dass sie nun auch Multi-Core-Prozessoren sowie Rechner mit mehr als einer CPU unterstützen. Auf der Truecrypt-Site finden sich dazu Benchmarks. Unter Linux verwendet das Programm Verschlüsselungsdienste auf Kernel-Ebene, was auch unter dem quelloffenen Betriebssystem zu mehr Leistung führt.

Truecrypt 6.0a ist für Windows ab XP, Linux und Mac OS X verfügbar.

Quelle: www.computerwoche.de
Zukünftig will Yahoo den Nutzern, die Sicherheitslücken melden, mit einem Geldbetrag zwischen 150 und 15.000 Dollar belohnen – je nachdem, wie neu und wie gefährlich die Schwachstelle ist. Somit hofft der Webdienst, die Beziehung zur Sicherheits-Community zu verbessern und künftig Schwachstellen effizienter zu bekämpfen. Ab 31.Oktober 2013 sollen die neuen Regeln gelten, geprüft werden rückwirkend auch alle seit 1. Juli 2013 gemeldeten Schwachstellen. Das dürfte demzufolge auch für die von den Sicherheitsforschern von High-Tech Bridge gemeldeten vier Schwachstellen bei Yahoo gelten, für die der Webdienst zunächst nur mit einem T-Shirt im Wert von 12.50 US-Dollar pro Lücke belohnt werden.

Quelle: heise.de (03.10.2013, ur)