Kategorie-Archiv: Schwachstellen

Windows LNK-Krimi steht vor dem aus

Am 21.07. hatte ich geschrieben “Windows-LNK-Lücke hat das Zeug zum Spionagekrimi”. Morgen will Microsoft dem Krimi ein vorläufiges Ende setzen und die Sicherheitslücke außerhalb des regulären Patch-Zyklus schließen. Bisher war es nur möglich der Schwachstelle mit einem Workaround Herr zu werden, das die Anzeige von Programm- und Dateiicons verhinderte.

Was sich zunächst harmlos anhört führt dazu, dass auf dem Desktop keine Icons mehr angezeigt werden, was für manch einen Zeitgenossen einem Totalausfall des Rechners gleichkommt. Wahrscheinlich ist diese unangenehme Einschränkung der Usability auch der Grund für das vorzeitige Patch.

Schon blöd, wenn das Klicki-Bunti nicht mehr funktioniert…

Facebook sucht nach potentiellen Phishing-Opfern im Freundeskreis

Nachdem ich nach den ganzen Datenschutz-Pannen eine ganze Zeit nicht mehr auf Facebook war, fragt mich Facebook heute:

“Sebastian, wer fehlt?”

Und dann verrät mir Facebook, welche meiner Freunde bereits den automatischen Freundefinder benutzt haben. Wer also bereit ist, einer Webseite ein Passwort für eine andere Webseite zu geben. Ich glaube kaum, dass einer der Betroffenen in die Weitergabe dieser Information einwilligt, nachdem man ihm erklärt welches Risiko dahinter steckt.

Das POC sieht so aus: Webseite aufsetzen die nach Facebook aussieht und Link an einen der genannten Freunde schicken. Die Webseite sagt dann folgendes:

“Hi <Vorname>, Du hast vor kurzem den Facebook Freundefinder genutzt. Facebook hat dabei Dein Passwort vereinbarungsgemäß nicht gespeichert und sofort gelöscht. Datenschutz ist uns sehr wichtig. Wenn Du willst dass Deine neuen Freunde auch zukünftig in Deiner Kontaktliste erhalten bleiben, dann gib bitte erneut Deinen Nutzernamen und Dein Passwort ein. Wenn Du damit nicht einverstanden bist müssen leider alle neuen Kontakte wieder gelöscht werden.”

Geschätzte Trefferquote 95%! Die Antwort auf die Frage, wer den nun fehlt, lautet ganz klar: ein angemessener Schutz der Facebook Nutzer!

WordPress Firestats: Remote Download von Nutzername und Passwort

Packetstorm berichte von einer Schwachstelle im Plugin Firestats für WordPress. Ein GET-Request auf wp-content/plugins/firestats/php/tools/get_config.php ermöglicht es das Config-File mit Nutzername und Passwort herunterzuladen. Betroffen ist die aktuelle Version 1.6.5 des Plugins.

Was bei Packetstorm aussieht wie eine Schwachstelle sind übrigens eigentlich sieben:
http://h.ackack.net/more-0day-wordpress-security-leaks-in-firestats.html