Entwickler Magazin

Security-Hinweise zu weniger bekannten PHP-Schwachstellen, JavaScript-Injection und mehr

Stefan Esser hat die Präsentation zu einem Vortrag über 'Lesser Known Security Problems in PHP Applications' veröffentlicht, im F-Secure Weblog wurden JavaScript-Injection-Angriffe analysiert, es gibt keine 0-Day-Schwachstelle in QuickTime, und das Internet Storm Center hat sich mit der Verwendung des User-Agent-Header für die Intrusion Detection beschäftigt. Das Microsoft seine Sicherheitstools mit der Softwareindustrie teilen will, wurde schon von dotnet.de berichtet.

Weniger bekannte Schwachstellen in PHP-Anwendungen

Stefan Esser hat die Präsentation zu seinem Vortrag über 'Lesser Known Security Problems in PHP Applications' auf der ZendCon veröffentlicht. Eine für jeden PHP-Programmierer sehr empfehlenswerte Lektüre!

JavaScript-Injection-Angriff analysiert

Im F-Secure Weblog wurde ein interessanter Beitrag über JavaScript-Injection-Angriffe veröffentlicht, über die eigentlich vertrauenswürdige Websites zur Verbreitung von Schadsoftware missbraucht werden.

Kein 0-Day-Exploit für QuickTime

Die McAfee Avert Labs haben den Mittwoch veröffentlichten Exploit für eine Schwachstelle in QuickTime analysiert: Es handelt sich nicht um einen Heap-Overflow, wie anfangs vermutet, sondern nur um einen Off-By-One-Overflow, der Angreifer kann also nur 1 Byte im Stack überschreiben. Da QuickTime einen Cookie auf dem Stack speichert, um Pufferüberläufe zu erkennen, erscheint die Ausführung eingeschleusten Codes sehr unwahrscheinlich.

User-Agent-Header und Intrusion Detection

Im Handlers Diary des SANS Internet Strom Center gibt es einen interessanten Eintrag über die Erkennung von Angriffen anhand beobachteter User-Agent-Header. Demzufolge verwenden immer mehr Schädlinge erlaubte Dienste wie z.B. Microsofts BITS (Background Intelligent Transfer Service) - den Dienst, über den auch die Patches an Microsofts Patchday heruntergeladen werden. Die Autoren der Schadsoftware laden darüber Code von ihrem eigenen Server nach.

Gefährliche Schwachstellen vom 18.09.2008

• x10 Automatic Mp3 Search Engine Script:
  Einbinden beliebiger Dateien über Parameter 'web_root' im Skript includes/function_core.php und templates/layout_lyrics.php
• Data Dynamics ActiveReports:
  Unsichere Methoden im DDActiveReportsViewer2.ARViewer2 ActiveX-Control ARVIEW2.OCX erlauben Überschreiben von und Schreiben in beliebige Dateien

Carsten Eilers