Entwickler Magazin

Security-Hinweise zu einem ersten Exploit für Microsofts Patchday und mehr

Ein erster Exploit für eine an Microsofts September-Patchday veröffentlichte Schwachstelle wurde veröffentlicht, und die Website der BusinessWeek wurde über SQL-Injection mit Schadsoftware infiziert. Außerdem gibt es neue Informationen zu einer Cross-Site-Scripting-Schwachstelle in Opera, und Apple hat Mac OS X 10.5.5 samt Security Update 2008-006 veröffentlicht.

Erster Exploit für MS-Patchday-Schwachstelle

Für die am September-Patchday veröffentlichte Schwachstelle im Windows Media Encoder 9 (MS08-053) wurde auf Milw0rm ein erster Exploit veröffentlicht. Laut Symantec wird die Schwachstelle bereits für Angriffe ausgenutzt. Wer die Patches vom Patchday noch nicht installiert hat, sollte das jetzt dringend nachholen.

BusinessWeek-Website über SQL-Injection verseucht

Wie im Blog der Sophos Labs zu lesen ist, wurde die Website der BusinessWeek über SQL-Injection so präpariert, das sie ihre Besucher mit Schadcode infiziert. Die bereits seit längerem laufenden Angriffe über SQL-Injection sind also immer noch akut.

Cross-Site-Scripting mit Unicode-kodierten Whitespace-Zeichen

Chris Weber hat auf Details zu einer Cross-Site-Scripting-Schwachstelle in Opera hingewiesen: Verschiedene Unicode-Zeichen wurden von Opera als Whitespace-Zeichen interpretiert und erlaubten dadurch XSS-Angriffe: Advisory: Attack of the Mongolian space evaders! (and other Medieval XSS vectors). Geschickt kodiert, wurde der Schadcode von der angegriffenen Webanwendung nicht erkannt, von Opera aber ausgeführt.

Gefährliche Schwachstellen vom 15.09.2008

• Opera:
  Mehrere Schwachstellen erlauben u.a. die Ausführung beliebigen Codes (vom 20.08.2008, aktualisiert)
• TWiki:
  Lesen beliebiger Dateien über Parameter 'image' im Skript twiki/bin/configure (vom 19.08.2008, aktualisiert)
• Windows:
  Schwachstelle im Windows Media Encoder 9 erlaubt Ausführung beliebigen Codes (MS08-053) (vom 09.09.2008, aktualisiert)

Carsten Eilers