Ausgabe August 2012
Transcrição
Ausgabe August 2012
scip ag Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum 1. Editorial Da diese Konferenzen häufig viele Teilnehmer anziehen (sehr oft mehrere Tausend), ergeben sich zwangsläufig Probleme, die leider erst in den letzten Jahren angesprochen wurden. Eines dieser Probleme ist, dass es immer mehr Konferenzen gibt. Dadurch überlappen sich manche Konferenzen terminlich und verlieren deshalb eine teilweise betrachtlichte Anzahl TeilnehmerInnen. Auf der einen Seite bedeutet dies, dass es immer mehr Leute gibt, die an der Informationssicherheit und einem aktiven Austausch (Konferenzbesuche) daran interessiert sind. Andererseits bedeutet es, dass viele Chancen verpasst werden, wenn die Konferenzen beide interessante Thematiken anbieten. Ob dies eine gute Entwicklung ist, wird sich in der Zukunft herausstellen. Infosec Konferenzen scip monthly Security Summary 19.08.2012 Kürzlich fanden in Las Vegas drei der grössten Konferenzen im Bereich der Informationssicherheit statt: Blackhat, DEFCON und BSides Las Vegas. Alle drei gibt es seit vielen Jahren und sie gelten als etablierte Treffpunkte für sowohl erfahrene als auch neue Mitglieder der Infosec Community. Sean Rütschi <seru-at-scip.ch> Security Consultant Zürich, 19. August 2012 An solchen Ereignissen erhalten Forscher die Gelegenheit, ihre Untersuchungen zu präsentieren, Hacker können ihre Errungenschaften präsentieren, Menschen mit aussergewöhnlichen Geschichten können ebendiese erzählen. Und neben allen Präsentation und Workshops gibt es die Gelegenheit, sich mit Gleichgesinnten auszutauschen oder mit Andersdenkenden Diskussionen zu führen. Sehr oft ist der soziale Austausch eine noch wichtigere Komponente der Konferenzen als die Präsentationen selbst, da sich viele Teilnehmer jeweils nur an diesen Konferenzen sehen. Denjenigen, die nicht derart in die Ferne reisen möchten, um eine Konferenz zu besuchen, sei ein Besuch der Hashdays, die dieses Jahr wiederum in Luzern stattfinden, empfohlen. 1/25 s c i p a g © scip AG 2. scip AG Informationen 2.1 Security Coaching Das Ziel des Security Coaching ist die direkte Beratung und das unmittelbare Coaching des Kunden in den Bereichen der Information Security zur Sicherstellung nachhaltiger und sicherer Prozesse, Architektur- und Technologieentscheide. Der Kunde bespricht mit uns seine Ziele und Vorgaben. Anhand dessen unterstützen wir den Kunden mit unserer fachmännischen Expertise und langjährigen Erfahrung im Security Bereich. Bei Sitzungen mit Partnern stellen wir das entsprechende Know-How zur Formulierung wichtiger Nachfragen zur Verfügung. Vorbereitung: Zusammentragen aller vorhandenen Informationen zur anstehenden Aufgabe. Research: Einholen von weiteren Informationen (z.B. Erfahrungen von anderen Kunden). Diskussion: Besprechung der Aufgabe und der daraus resultierenden Möglichkeiten. Empfehlung: Aussprechen und Dokumentieren eines vertretbaren Lösungswegs. scip monthly Security Summary 19.08.2012 Durch die direkte Beteiligung an einem Projekt kann unmittelbar Einfluss ausgeübt, damit die Etablierung schwerwiegender Fehler verhindert und ein Höchstmass an Sicherheit erreicht werden. Da Sicherheit von Beginn an zur Diskussion steht, lassen sich Schwachstellen von vornherein vermeiden. Aufwendigen Tests und nachträgliche Anpassungen können so vorgebeugt werden. Dank unserer langjährigen Erfahrung und unserem ausgewiesenen Expertenwissen konnten wir als scip AG bereits eine grosse Anzahl an Kunden beraten und begleiten. Zählen auch Sie auf uns! http://www.scip.ch/?firma.referenzenalle Zögern Sie nicht und kontaktieren Sie unseren Herrn Simon Zumstein unter der Telefonnummer +41 44 404 13 13 oder senden Sie im eine Mail an [email protected]. 2/25 s c i p a g © scip AG 3. Neue Sicherheitslücken Die erweiterte Auflistung hier besprochener Schwachstellen sowie weitere Sicherheitslücken sind unentgeltlich in unserer Datenbank unter http://www.scip.ch/?vuldb einsehbar. Das Dienstleistungspaket VulDB Alert System liefern Ihnen jene Informationen, die genau für Ihre Systeme relevant sind: http://www.scip.ch/?vuldb.alertsystem scip monthly Security Summary 19.08.2012 Inhalt 5960 Adobe Acrobat/Reader Pufferüberlauf [CVE-2012-2051] 5959 Adobe Acrobat/Reader Pufferüberlauf [CVE-2012-4148] 5958 Adobe Acrobat/Reader Pufferüberlauf [CVE-2012-4147] 5957 Adobe Acrobat/Reader Pufferüberlauf [CVE-2012-4162] 5956 Adobe Acrobat/Reader Pufferüberlauf [CVE-2012-4161] 5955 Adobe Acrobat/Reader Pufferüberlauf [CVE-2012-2050] 5954 Adobe Acrobat/Reader Pufferüberlauf [CVE-2012-2049] 5953 Adobe Acrobat/Reader Pufferüberlauf [CVE-2012-1525] 5952 Adobe Shockwave Pufferüberlauf [CVE2012-2047] 5951 Adobe Shockwave Pufferüberlauf [CVE2012-2046] 5950 Adobe Shockwave Pufferüberlauf [CVE2012-2045] 5949 Adobe Shockwave Pufferüberlauf [CVE2012-2044] 5972 Adobe Acrobat/Reader Pufferüberlauf [CVE-2012-4160] 5948 Adobe Shockwave Pufferüberlauf [CVE2012-2043] 5971 Adobe Acrobat/Reader Pufferüberlauf [CVE-2012-4159] 5947 Adobe Flash Player Pufferüberlauf [CVE-2012-1535] 5970 Adobe Acrobat/Reader Pufferüberlauf [CVE-2012-4158] 5946 Microsoft Visio/Visio Viewer Pufferüberlauf [CVE-2012-1888] 5969 Adobe Acrobat/Reader Pufferüberlauf [CVE-2012-4157] 5945 Microsoft Office Pufferüberlauf [CVE2012-2524] 5968 Adobe Acrobat/Reader Pufferüberlauf [CVE-2012-4156] 5944 Microsoft JScript/VBScript Pufferüberlauf [CVE-2012-2523] 5967 Adobe Acrobat/Reader Pufferüberlauf [CVE-2012-4155] 5942 Microsoft Windows Remote Desktop Protocol Pufferüberlauf 5966 Adobe Acrobat/Reader Pufferüberlauf [CVE-2012-4154] 5941 Microsoft Windows Remote Administration Protocol Pufferüberlauf 5965 Adobe Acrobat/Reader Pufferüberlauf [CVE-2012-4153] 5940 Microsoft Windows Remote Administration Protocol Pufferüberlauf 5964 Adobe Acrobat/Reader Pufferüberlauf [CVE-2012-4152] 5939 Microsoft Windows Print Spooler Service Pufferüberlauf 5963 Adobe Acrobat/Reader Pufferüberlauf [CVE-2012-4151] 5937 Microsoft Internet Explorer JavaScript Parser Pufferüberlauf 5962 Adobe Acrobat/Reader Pufferüberlauf [CVE-2012-4150] 5936 Microsoft Internet Explorer NULL Object Handler Pufferüberlauf 5961 Adobe Acrobat/Reader Pufferüberlauf [CVE-2012-4149] 5935 Microsoft Internet Explorer Layout Handler Pufferüberlauf 3/25 s c i p a g scip monthly Security Summary 19.08.2012 © scip AG 5934 Microsoft Internet Explorer Deleted Virtual Function Table Handler Pufferüberlauf 5933 Microsoft SQL Server Common Controls TabStrip ActiveX MSCOMCTL.OCX Pufferüberlauf 5932 Microsoft Office Common Controls TabStrip ActiveX MSCOMCTL.OCX Pufferüberlauf 5925 Google Chrome PDF Viewer Pufferüberlauf [CVE-2012-2862] 5924 Google Chrome PDF Viewer Pufferüberlauf [CVE-2012-2863] 5919 Cisco AnyConnect Secure Mobility Client Spoofing 5917 Cisco AnyConnect Secure Mobility Client Spoofing 5916 Cisco AnyConnect Secure Mobility Client Spoofing 5909 Opera Small Window Download Dialog Box Display Spoofing 5906 Citrix Access Gateway Plugin nsepa.exe StartEPA() Pufferüberlauf 5902 MIT Kerberos 5 src/kdc/kdc_util.c kdc_handle_protected_negotiation() Pufferüberlauf 5901 MIT Kerberos 5 src/kdc/do_as_req.c finish_process_as_req() Pufferüberlauf 5896 Google Chrome WebP Decoder Pufferüberlauf [CVE-2012-2858] 5895 Google Chrome CSS DOM Pufferüberlauf [CVE-2012-2857] 3.1 Adobe Acrobat/Reader Pufferüberlauf [CVE-2012-4160] Risiko: Datum: VulDB: kritisch 14.08.2012 http://www.scip.ch/?vuldb.5972 Eine kritische Schwachstelle wurde in Adobe Acrobat/Reader 9.5.1/10.1.3 gefunden. Dies betrifft eine unbekannte Funktion. Mittels Manipulieren mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Damit lässt sich Programmcode ausführen. Mit Auswirkungen muss man rechnen für Vertraulichkeit, Integrität und Verfügbarkeit. Ein Upgrade auf die Version 9.5.2/10.1.4 vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Adobe hat demnach sofort reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 84632) und Secunia (ID 50281) dokumentiert. 3.2 Adobe Acrobat/Reader Pufferüberlauf [CVE-2012-4159] Risiko: Datum: VulDB: kritisch 14.08.2012 http://www.scip.ch/?vuldb.5971 In Adobe Acrobat/Reader 9.5.1/10.1.3 wurde eine kritische Schwachstelle gefunden. Betroffen ist eine unbekannte Funktion. Durch die Manipulation mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Hiermit lässt sich Programmcode ausführen. Die Auswirkungen sind bekannt für Vertraulichkeit, Integrität und Verfügbarkeit. Ein Aktualisieren auf die Version 9.5.2/10.1.4 vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Adobe hat demnach sofort reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 84631) und Secunia (ID 50281) dokumentiert. 3.3 Adobe Acrobat/Reader Pufferüberlauf [CVE-2012-4158] Risiko: Datum: VulDB: kritisch 14.08.2012 http://www.scip.ch/?vuldb.5970 Es wurde eine kritische Schwachstelle in Adobe Acrobat/Reader 9.5.1/10.1.3 gefunden. Hiervon betroffen ist eine unbekannte Funktion. Dank der Manipulation mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Dadurch lässt sich Programmcode ausführen. Dies wirkt sich aus auf Vertraulichkeit, Integrität und Verfügbarkeit. Ein Upgrade auf die Version 9.5.2/10.1.4 vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Adobe hat demnach sofort reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 84630) und Secunia (ID 50281) dokumentiert. 3.4 Adobe Acrobat/Reader Pufferüberlauf [CVE-2012-4157] Risiko: kritisch 4/25 s c i p a g © scip AG Datum: VulDB: 14.08.2012 http://www.scip.ch/?vuldb.5969 Integrität und Eine kritische Schwachstelle wurde in Adobe Acrobat/Reader 9.5.1/10.1.3 entdeckt. Davon betroffen ist eine unbekannte Funktion. Durch das Beeinflussen mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Damit kann man Programmcode ausführen. Dies hat Einfluss auf Vertraulichkeit, Integrität und Verfügbarkeit. Ein Aktualisieren auf die Version 9.5.2/10.1.4 vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Adobe hat demnach sofort reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 84627) und Secunia (ID 50281) dokumentiert. Ein Aktualisieren auf die Version 9.5.2/10.1.4 vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Adobe hat demnach sofort reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 84629) und Secunia (ID 50281) dokumentiert. 3.7 Adobe Acrobat/Reader Pufferüberlauf [CVE-2012-4154] 3.5 Adobe Acrobat/Reader Pufferüberlauf [CVE-2012-4156] Risiko: Datum: VulDB: kritisch 14.08.2012 http://www.scip.ch/?vuldb.5968 In Adobe Acrobat/Reader 9.5.1/10.1.3 wurde eine kritische Schwachstelle entdeckt. Dies betrifft eine unbekannte Funktion. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Dadurch kann man Programmcode ausführen. Das hat Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit. scip monthly Security Summary 19.08.2012 dies auf Vertraulichkeit, Verfügbarkeit. Ein Upgrade auf die Version 9.5.2/10.1.4 vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Adobe hat demnach sofort reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 84628) und Secunia (ID 50281) dokumentiert. 3.6 Adobe Acrobat/Reader Pufferüberlauf [CVE-2012-4155] Risiko: Datum: VulDB: kritisch 14.08.2012 http://www.scip.ch/?vuldb.5967 Es wurde eine kritische Schwachstelle in Adobe Acrobat/Reader 9.5.1/10.1.3 entdeckt. Betroffen ist eine unbekannte Funktion. Durch das Manipulieren mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Hiermit kann man Programmcode ausführen. Auswirken tut sich Risiko: Datum: VulDB: kritisch 14.08.2012 http://www.scip.ch/?vuldb.5966 Eine kritische Schwachstelle wurde in Adobe Acrobat/Reader 9.5.1/10.1.3 ausgemacht. Hiervon betroffen ist eine unbekannte Funktion. Mittels Manipulieren mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Damit lässt sich Programmcode ausführen. Auswirkungen sind zu beobachten bei Vertraulichkeit, Integrität und Verfügbarkeit. Ein Upgrade auf die Version 9.5.2/10.1.4 vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Adobe hat demnach sofort reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 84626) und Secunia (ID 50281) dokumentiert. 3.8 Adobe Acrobat/Reader Pufferüberlauf [CVE-2012-4153] Risiko: Datum: VulDB: kritisch 14.08.2012 http://www.scip.ch/?vuldb.5965 In Adobe Acrobat/Reader 9.5.1/10.1.3 wurde eine kritische Schwachstelle ausgemacht. Davon betroffen ist eine unbekannte Funktion. Durch die Manipulation mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Hiermit lässt sich Programmcode ausführen. Auswirkungen hat dies auf Vertraulichkeit, Integrität und Verfügbarkeit. Ein Aktualisieren auf die Version 9.5.2/10.1.4 vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Adobe hat demnach sofort reagiert. Mitunter wird der Fehler auch in den 5/25 s c i p a g © scip AG Datenbanken von OSVDB (ID 84625) und Secunia (ID 50281) dokumentiert. 3.9 Adobe Acrobat/Reader Pufferüberlauf [CVE-2012-4152] Risiko: Datum: VulDB: kritisch 14.08.2012 http://www.scip.ch/?vuldb.5964 Es wurde eine kritische Schwachstelle in Adobe Acrobat/Reader 9.5.1/10.1.3 ausgemacht. Dies betrifft eine unbekannte Funktion. Dank der Manipulation mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Dadurch lässt sich Programmcode ausführen. Mit Auswirkungen muss man rechnen für Vertraulichkeit, Integrität und Verfügbarkeit. Ein Upgrade auf die Version 9.5.2/10.1.4 vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Adobe hat demnach sofort reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 84624) und Secunia (ID 50281) dokumentiert. 3.10 Adobe Acrobat/Reader Pufferüberlauf [CVE-2012-4151] scip monthly Security Summary 19.08.2012 Risiko: Datum: VulDB: kritisch 14.08.2012 http://www.scip.ch/?vuldb.5963 Eine kritische Schwachstelle wurde in Adobe Acrobat/Reader 9.5.1/10.1.3 gefunden. Betroffen ist eine unbekannte Funktion. Durch das Beeinflussen mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Damit kann man Programmcode ausführen. Die Auswirkungen sind bekannt für Vertraulichkeit, Integrität und Verfügbarkeit. Ein Aktualisieren auf die Version 9.5.2/10.1.4 vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Adobe hat demnach sofort reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 84623) und Secunia (ID 50281) dokumentiert. 3.11 Adobe Acrobat/Reader Pufferüberlauf [CVE-2012-4150] Risiko: Datum: VulDB: kritisch 14.08.2012 http://www.scip.ch/?vuldb.5962 In Adobe Acrobat/Reader 9.5.1/10.1.3 wurde eine kritische Schwachstelle gefunden. Hiervon betroffen ist eine unbekannte Funktion. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Dadurch kann man Programmcode ausführen. Dies wirkt sich aus auf Vertraulichkeit, Integrität und Verfügbarkeit. Ein Upgrade auf die Version 9.5.2/10.1.4 vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Adobe hat demnach sofort reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 84622) und Secunia (ID 50281) dokumentiert. 3.12 Adobe Acrobat/Reader Pufferüberlauf [CVE-2012-4149] Risiko: Datum: VulDB: kritisch 14.08.2012 http://www.scip.ch/?vuldb.5961 Es wurde eine kritische Schwachstelle in Adobe Acrobat/Reader 9.5.1/10.1.3 gefunden. Davon betroffen ist eine unbekannte Funktion. Durch das Manipulieren mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Hiermit kann man Programmcode ausführen. Dies hat Einfluss auf Vertraulichkeit, Integrität und Verfügbarkeit. Ein Aktualisieren auf die Version 9.5.2/10.1.4 vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Adobe hat demnach sofort reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 84621) und Secunia (ID 50281) dokumentiert. 3.13 Adobe Acrobat/Reader Pufferüberlauf [CVE-2012-2051] Risiko: Datum: VulDB: kritisch 14.08.2012 http://www.scip.ch/?vuldb.5960 Eine kritische Schwachstelle wurde in Adobe Acrobat/Reader 9.5.1/10.1.3 entdeckt. Dies betrifft eine unbekannte Funktion. Mittels Manipulieren mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Damit lässt sich Programmcode ausführen. Das hat Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit. 6/25 s c i p a g © scip AG Ein Upgrade auf die Version 9.5.2/10.1.4 vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Adobe hat demnach sofort reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 84620) und Secunia (ID 50281) dokumentiert. 3.14 Adobe Acrobat/Reader Pufferüberlauf [CVE-2012-4148] Risiko: Datum: VulDB: kritisch 14.08.2012 http://www.scip.ch/?vuldb.5959 In Adobe Acrobat/Reader 9.5.1/10.1.3 wurde eine kritische Schwachstelle entdeckt. Betroffen ist eine unbekannte Funktion. Durch die Manipulation mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Hiermit lässt sich Programmcode ausführen. Auswirken tut sich dies auf Vertraulichkeit, Integrität und Verfügbarkeit. Ein Aktualisieren auf die Version 9.5.2/10.1.4 vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Adobe hat demnach sofort reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 84619) und Secunia (ID 50281) dokumentiert. scip monthly Security Summary 19.08.2012 3.15 Adobe Acrobat/Reader Pufferüberlauf [CVE-2012-4147] Risiko: Datum: VulDB: kritisch 14.08.2012 http://www.scip.ch/?vuldb.5958 Es wurde eine kritische Schwachstelle in Adobe Acrobat/Reader 9.5.1/10.1.3 entdeckt. Hiervon betroffen ist eine unbekannte Funktion. Dank der Manipulation mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Dadurch lässt sich Programmcode ausführen. Auswirkungen sind zu beobachten bei Vertraulichkeit, Integrität und Verfügbarkeit. Ein Upgrade auf die Version 9.5.2/10.1.4 vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Adobe hat demnach sofort reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 84618) und Secunia (ID 50281) dokumentiert. 3.16 Adobe Acrobat/Reader Pufferüberlauf [CVE-2012-4162] Risiko: Datum: VulDB: kritisch 14.08.2012 http://www.scip.ch/?vuldb.5957 Eine kritische Schwachstelle wurde in Adobe Acrobat/Reader 9.5.1/10.1.3 (Mac) ausgemacht. Davon betroffen ist eine unbekannte Funktion. Durch das Beeinflussen mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Damit kann man Programmcode ausführen. Auswirkungen hat dies auf Vertraulichkeit, Integrität und Verfügbarkeit. Ein Aktualisieren auf die Version 9.5.2/10.1.4 vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Adobe hat demnach sofort reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 84617) und Secunia (ID 50281) dokumentiert. 3.17 Adobe Acrobat/Reader Pufferüberlauf [CVE-2012-4161] Risiko: Datum: VulDB: kritisch 14.08.2012 http://www.scip.ch/?vuldb.5956 In Adobe Acrobat/Reader 9.5.1/10.1.3 (Mac) wurde eine kritische Schwachstelle ausgemacht. Dies betrifft eine unbekannte Funktion. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Dadurch kann man Programmcode ausführen. Mit Auswirkungen muss man rechnen für Vertraulichkeit, Integrität und Verfügbarkeit. Ein Upgrade auf die Version 9.5.2/10.1.4 vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Adobe hat demnach sofort reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 84616) und Secunia (ID 50281) dokumentiert. 3.18 Adobe Acrobat/Reader Pufferüberlauf [CVE-2012-2050] Risiko: Datum: VulDB: kritisch 14.08.2012 http://www.scip.ch/?vuldb.5955 Es wurde eine kritische Schwachstelle in Adobe Acrobat/Reader 9.5.1/10.1.3 ausgemacht. Betroffen ist eine unbekannte Funktion. Durch 7/25 s c i p a g © scip AG das Manipulieren mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Hiermit kann man Programmcode ausführen. Die Auswirkungen sind bekannt für Vertraulichkeit, Integrität und Verfügbarkeit. Ein Aktualisieren auf die Version 9.5.2/10.1.4 vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Adobe hat demnach sofort reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 84615) und Secunia (ID 50281) dokumentiert. 3.19 Adobe Acrobat/Reader Pufferüberlauf [CVE-2012-2049] Risiko: Datum: VulDB: kritisch 14.08.2012 http://www.scip.ch/?vuldb.5954 scip monthly Security Summary 19.08.2012 Eine kritische Schwachstelle wurde in Adobe Acrobat/Reader 9.5.1/10.1.3 gefunden. Hiervon betroffen ist eine unbekannte Funktion. Mittels Manipulieren mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Damit lässt sich Programmcode ausführen. Dies wirkt sich aus auf Vertraulichkeit, Integrität und Verfügbarkeit. Ein Upgrade auf die Version 9.5.2/10.1.4 vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Adobe hat demnach sofort reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 84614) und Secunia (ID 50281) dokumentiert. 3.20 Adobe Acrobat/Reader Pufferüberlauf [CVE-2012-1525] Risiko: Datum: VulDB: kritisch 14.08.2012 http://www.scip.ch/?vuldb.5953 In Adobe Acrobat/Reader 9.5.1/10.1.3 wurde eine kritische Schwachstelle gefunden. Davon betroffen ist eine unbekannte Funktion. Durch die Manipulation mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Hiermit lässt sich Programmcode ausführen. Dies hat Einfluss auf Vertraulichkeit, Integrität und Verfügbarkeit. Ein Aktualisieren auf die Version 9.5.2/10.1.4 vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Adobe hat demnach sofort reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 84613) und Secunia (ID 50281) dokumentiert. 3.21 Adobe Shockwave Pufferüberlauf [CVE-2012-2047] Risiko: Datum: VulDB: kritisch 14.08.2012 http://www.scip.ch/?vuldb.5952 Es wurde eine kritische Schwachstelle in Adobe Shockwave bis 11.6.5.635 gefunden. Dies betrifft eine unbekannte Funktion. Dank der Manipulation durch Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Dadurch lässt sich Programmcode ausführen. Das hat Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit. Ein Upgrade auf die Version 11.6.6.636 vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Adobe hat demnach sofort reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 84612) und Secunia (ID 50283) dokumentiert. 3.22 Adobe Shockwave Pufferüberlauf [CVE-2012-2046] Risiko: Datum: VulDB: kritisch 14.08.2012 http://www.scip.ch/?vuldb.5951 Eine kritische Schwachstelle wurde in Adobe Shockwave bis 11.6.5.635 entdeckt. Betroffen ist eine unbekannte Funktion. Durch das Beeinflussen durch Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Damit kann man Programmcode ausführen. Auswirken tut sich dies auf Vertraulichkeit, Integrität und Verfügbarkeit. Ein Aktualisieren auf die Version 11.6.6.636 vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Adobe hat demnach sofort reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 84611) und Secunia (ID 50283) dokumentiert. 3.23 Adobe Shockwave Pufferüberlauf [CVE-2012-2045] Risiko: Datum: VulDB: kritisch 14.08.2012 http://www.scip.ch/?vuldb.5950 8/25 s c i p a g © scip AG In Adobe Shockwave bis 11.6.5.635 wurde eine kritische Schwachstelle entdeckt. Hiervon betroffen ist eine unbekannte Funktion. Mittels dem Manipulieren durch Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Dadurch kann man Programmcode ausführen. Auswirkungen sind zu beobachten bei Vertraulichkeit, Integrität und Verfügbarkeit. Ein Upgrade auf die Version 11.6.6.636 vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Adobe hat demnach sofort reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 84610) und Secunia (ID 50283) dokumentiert. 3.24 Adobe Shockwave Pufferüberlauf [CVE-2012-2044] Risiko: Datum: VulDB: kritisch 14.08.2012 http://www.scip.ch/?vuldb.5949 scip monthly Security Summary 19.08.2012 Es wurde eine kritische Schwachstelle in Adobe Shockwave bis 11.6.5.635 entdeckt. Davon betroffen ist eine unbekannte Funktion. Durch das Manipulieren durch Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Hiermit kann man Programmcode ausführen. Auswirkungen hat dies auf Vertraulichkeit, Integrität und Verfügbarkeit. Ein Aktualisieren auf die Version 11.6.6.636 vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Adobe hat demnach sofort reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 84609) und Secunia (ID 50283) dokumentiert. 3.25 Adobe Shockwave Pufferüberlauf [CVE-2012-2043] Risiko: Datum: VulDB: kritisch 14.08.2012 http://www.scip.ch/?vuldb.5948 dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Adobe hat demnach sofort reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 84608) und Secunia (ID 50283) dokumentiert. 3.26 Adobe Flash Player Pufferüberlauf [CVE-2012-1535] Risiko: Datum: VulDB: kritisch 14.08.2012 http://www.scip.ch/?vuldb.5947 In Adobe Flash Player bis 11.3.300.270 wurde eine kritische Schwachstelle ausgemacht. Betroffen ist eine unbekannte Funktion. Durch die Manipulation mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Hiermit lässt sich Programmcode ausführen. Die Auswirkungen sind bekannt für Vertraulichkeit, Integrität und Verfügbarkeit. Ein Aktualisieren auf die Version 11.3.300.271 vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Adobe hat demnach sofort reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 84607) und Secunia (ID 50285) dokumentiert. 3.27 Microsoft Visio/Visio Viewer Pufferüberlauf [CVE-2012-1888] Risiko: Datum: VulDB: kritisch 14.08.2012 http://www.scip.ch/?vuldb.5946 Es wurde eine kritische Schwachstelle in Microsoft Visio/Visio Viewer bis 2010 SP1 ausgemacht. Hiervon betroffen ist eine unbekannte Funktion. Dank der Manipulation durch Datei kann eine PufferüberlaufSchwachstelle ausgenutzt werden. Dadurch lässt sich Programmcode ausführen. Dies wirkt sich aus auf Vertraulichkeit, Integrität und Verfügbarkeit. Eine kritische Schwachstelle wurde in Adobe Shockwave bis 11.6.5.635 ausgemacht. Dies betrifft eine unbekannte Funktion. Mittels Manipulieren durch Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Damit lässt sich Programmcode ausführen. Mit Auswirkungen muss man rechnen für Vertraulichkeit, Integrität und Verfügbarkeit. Als bestmögliche Massnahme wird das Einspielen des entsprechenden Patches empfohlen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Microsoft hat demnach sofort reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 84606) und Secunia (ID 50228) dokumentiert. Ein Upgrade auf die Version 11.6.6.636 vermag 3.28 Microsoft Office Pufferüberlauf 9/25 s c i p a g © scip AG [CVE-2012-2524] Risiko: Datum: VulDB: kritisch 14.08.2012 http://www.scip.ch/?vuldb.5945 Eine kritische Schwachstelle wurde in Microsoft Office bis 2007 SP3/2010 SP1, ein Office Suite, gefunden. Davon betroffen ist eine unbekannte Funktion. Durch das Beeinflussen durch Computer Graphics Metafile kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Damit kann man Programmcode ausführen. Dies hat Einfluss auf Vertraulichkeit, Integrität und Verfügbarkeit. Als bestmögliche Massnahme wird das Installieren des jeweiligen Patches empfohlen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Microsoft hat demnach sofort reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 84605) und Secunia (ID 50251) dokumentiert. 3.29 Microsoft JScript/VBScript Pufferüberlauf [CVE-2012-2523] scip monthly Security Summary 19.08.2012 Risiko: Datum: VulDB: kritisch 14.08.2012 http://www.scip.ch/?vuldb.5944 In Microsoft JScript/VBScript, ein Programmiersprache, wurde eine kritische Schwachstelle gefunden. Dies betrifft eine unbekannte Funktion. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Dadurch kann man Programmcode ausführen. Das hat Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit. Als bestmögliche Massnahme wird das Einspielen des entsprechenden Patches empfohlen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Microsoft hat demnach sofort reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 84604) und Secunia (ID 50243) dokumentiert. 3.30 Microsoft Windows Remote Desktop Protocol Pufferüberlauf Risiko: Datum: VulDB: kritisch 14.08.2012 http://www.scip.ch/?vuldb.5942 Eine kritische Schwachstelle wurde in Microsoft Windows XP, ein Betriebssystem, entdeckt. Hiervon betroffen ist eine unbekannte Funktion der Komponente Remote Desktop Protocol. Mittels Manipulieren durch RDP Packet kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Damit lässt sich Programmcode ausführen. Auswirkungen sind zu beobachten bei Vertraulichkeit, Integrität und Verfügbarkeit. Als bestmögliche Massnahme wird das Einspielen des entsprechenden Patches empfohlen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Microsoft hat demnach sofort reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 84602) und Secunia (ID 50245) dokumentiert. 3.31 Microsoft Windows Remote Administration Protocol Pufferüberlauf Risiko: Datum: VulDB: kritisch 14.08.2012 http://www.scip.ch/?vuldb.5941 In Microsoft Windows XP, ein Betriebssystem, wurde eine kritische Schwachstelle entdeckt. Davon betroffen ist eine unbekannte Funktion der Komponente Remote Administration Protocol. Durch die Manipulation durch RAP Request kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Hiermit lässt sich Programmcode ausführen. Auswirkungen hat dies auf Vertraulichkeit, Integrität und Verfügbarkeit. Als bestmögliche Massnahme wird das Installieren des jeweiligen Patches empfohlen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Microsoft hat demnach sofort reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 84601) und Secunia (ID 50245) dokumentiert. 3.32 Microsoft Windows Remote Administration Protocol Pufferüberlauf Risiko: Datum: VulDB: kritisch 14.08.2012 http://www.scip.ch/?vuldb.5940 Es wurde eine kritische Schwachstelle in Microsoft Windows XP, ein Betriebssystem, entdeckt. Dies betrifft eine unbekannte Funktion der Komponente Remote Administration Protocol. Dank der Manipulation durch RAP Request kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Dadurch lässt sich Programmcode ausführen. Mit Auswirkungen 10/25 s c i p a g © scip AG muss man rechnen für Vertraulichkeit, Integrität und Verfügbarkeit. Als bestmögliche Massnahme wird das Einspielen des entsprechenden Patches empfohlen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Microsoft hat demnach sofort reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 84600) und Secunia (ID 50245) dokumentiert. 3.33 Microsoft Windows Print Spooler Service Pufferüberlauf Risiko: Datum: VulDB: kritisch 14.08.2012 http://www.scip.ch/?vuldb.5939 Eine kritische Schwachstelle wurde in Microsoft Windows XP/Vista/7/Server 2003/2008 R2, ein Betriebssystem, ausgemacht. Betroffen ist eine unbekannte Funktion der Komponente Print Spooler Service. Durch das Beeinflussen mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Damit kann man Programmcode ausführen. Die Auswirkungen sind bekannt für Vertraulichkeit, Integrität und Verfügbarkeit. scip monthly Security Summary 19.08.2012 Als bestmögliche Massnahme wird das Installieren des jeweiligen Patches empfohlen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Microsoft hat demnach sofort reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 84599) und Secunia (ID 50245) dokumentiert. 3.34 Microsoft Internet Explorer JavaScript Parser Pufferüberlauf Risiko: Datum: VulDB: kritisch 14.08.2012 http://www.scip.ch/?vuldb.5937 Es wurde eine kritische Schwachstelle in Microsoft Internet Explorer 8/9, ein Webbrowser, ausgemacht. Davon betroffen ist eine unbekannte Funktion der Komponente JavaScript Parser. Durch das Manipulieren mit einer unbekannten Eingabe kann eine PufferüberlaufSchwachstelle ausgenutzt werden. Hiermit kann man Programmcode ausführen. Dies hat Einfluss auf Vertraulichkeit, Integrität und Verfügbarkeit. Als bestmögliche Massnahme wird das Installieren des jeweiligen Patches empfohlen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Microsoft hat demnach sofort reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 84597) und Secunia (ID 50237) dokumentiert. 3.35 Microsoft Internet Explorer NULL Object Handler Pufferüberlauf Risiko: Datum: VulDB: kritisch 14.08.2012 http://www.scip.ch/?vuldb.5936 Eine kritische Schwachstelle wurde in Microsoft Internet Explorer bis 9, ein Webbrowser, gefunden. Dies betrifft eine unbekannte Funktion der Komponente NULL Object Handler. Mittels Manipulieren mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Damit lässt sich Programmcode ausführen. Das hat Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit. Als bestmögliche Massnahme wird das Einspielen des entsprechenden Patches empfohlen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Microsoft hat demnach sofort reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 84596) und Secunia (ID 50237) dokumentiert. 3.36 Microsoft Internet Explorer Layout Handler Pufferüberlauf Risiko: Datum: VulDB: kritisch 14.08.2012 http://www.scip.ch/?vuldb.5935 In Microsoft Internet Explorer 6/7, ein Webbrowser, wurde eine kritische Schwachstelle gefunden. Betroffen ist eine unbekannte Funktion der Komponente Layout Handler. Durch die Manipulation mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Hiermit lässt sich Programmcode ausführen. Auswirken tut sich dies auf Vertraulichkeit, Integrität und Verfügbarkeit. Als bestmögliche Massnahme wird das Installieren des jeweiligen Patches empfohlen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Microsoft hat demnach sofort reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 84595) und Secunia (ID 50237) dokumentiert. 3.37 Microsoft Internet Explorer Deleted 11/25 s c i p a g © scip AG Virtual Function Table Handler Pufferüberlauf Risiko: Datum: VulDB: kritisch 14.08.2012 http://www.scip.ch/?vuldb.5934 Es wurde eine kritische Schwachstelle in Microsoft Internet Explorer bis 9, ein Webbrowser, gefunden. Hiervon betroffen ist eine unbekannte Funktion der Komponente Deleted Virtual Function Table Handler. Dank der Manipulation mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Dadurch lässt sich Programmcode ausführen. Auswirkungen sind zu beobachten bei Vertraulichkeit, Integrität und Verfügbarkeit. Als bestmögliche Massnahme wird das Einspielen des entsprechenden Patches empfohlen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Microsoft hat demnach sofort reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 84594) und Secunia (ID 50237) dokumentiert. 3.38 Microsoft SQL Server Common Controls TabStrip ActiveX MSCOMCTL.OCX Pufferüberlauf scip monthly Security Summary 19.08.2012 Risiko: Datum: VulDB: kritisch 14.08.2012 http://www.scip.ch/?vuldb.5933 Eine kritische Schwachstelle wurde in Microsoft SQL Server 2000/2005/2008/2008 R2 entdeckt. Davon betroffen ist eine unbekannte Funktion der Datei MSCOMCTL.OCX der Komponente Common Controls TabStrip ActiveX. Durch das Beeinflussen mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Damit kann man Programmcode ausführen. Auswirkungen hat dies auf Vertraulichkeit, Integrität und Verfügbarkeit. Als bestmögliche Massnahme wird das Installieren des jeweiligen Patches empfohlen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Microsoft hat demnach sofort reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 84593) und Secunia (ID 50247) dokumentiert. 3.39 Microsoft Office Common Controls TabStrip ActiveX MSCOMCTL.OCX Pufferüberlauf Risiko: Datum: VulDB: kritisch 14.08.2012 http://www.scip.ch/?vuldb.5932 In Microsoft Office 2003/2007/2010, ein Office Suite, wurde eine kritische Schwachstelle entdeckt. Dies betrifft eine unbekannte Funktion der Datei MSCOMCTL.OCX der Komponente Common Controls TabStrip ActiveX. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Dadurch kann man Programmcode ausführen. Mit Auswirkungen muss man rechnen für Vertraulichkeit, Integrität und Verfügbarkeit. Als bestmögliche Massnahme wird das Einspielen des entsprechenden Patches empfohlen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Microsoft hat demnach sofort reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 84593) und Secunia (ID 50247) dokumentiert. 3.40 Google Chrome PDF Viewer Pufferüberlauf [CVE-2012-2862] Risiko: Datum: VulDB: kritisch 08.08.2012 http://www.scip.ch/?vuldb.5925 Es wurde eine kritische Schwachstelle in Google Chrome 21.0.1180.74 gefunden. Davon betroffen ist eine unbekannte Funktion der Komponente PDF Viewer. Durch das Manipulieren mit einer unbekannten Eingabe kann eine PufferüberlaufSchwachstelle ausgenutzt werden. Auswirkungen hat dies auf Vertraulichkeit, Integrität und Verfügbarkeit. Ein Aktualisieren auf die Version 21.0.1180.75 vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Google hat demnach unmittelbar reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 84511) und Secunia (ID 50222) dokumentiert. 3.41 Google Chrome PDF Viewer Pufferüberlauf [CVE-2012-2863] Risiko: Datum: VulDB: kritisch 08.08.2012 http://www.scip.ch/?vuldb.5924 Eine kritische Schwachstelle wurde in Google 12/25 s c i p a g © scip AG Chrome 21.0.1180.74 entdeckt. Dies betrifft eine unbekannte Funktion der Komponente PDF Viewer. Mittels Manipulieren mit einer unbekannten Eingabe kann eine PufferüberlaufSchwachstelle ausgenutzt werden. Mit Auswirkungen muss man rechnen für Vertraulichkeit, Integrität und Verfügbarkeit. Ein Upgrade auf die Version 21.0.1180.75 vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Google hat demnach unmittelbar reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 84510) und Secunia (ID 50222) dokumentiert. 3.42 Cisco AnyConnect Secure Mobility Client Spoofing Risiko: Datum: VulDB: kritisch 03.08.2012 http://www.scip.ch/?vuldb.5919 scip monthly Security Summary 19.08.2012 Es wurde eine kritische Schwachstelle in Cisco AnyConnect Secure Mobility Client bis 3.0.07059 ausgemacht. Betroffen ist eine unbekannte Funktion. Durch das Manipulieren mit einer unbekannten Eingabe kann eine SpoofingSchwachstelle ausgenutzt werden. Hiermit kann man Zertifikat vortäuschen. Auswirken tut sich dies auf die Integrität. Ein Aktualisieren auf die Version 3.0.08057 vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Cisco hat demnach unmittelbar reagiert. Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von OSVDB (ID 84472) dokumentiert. 3.43 Cisco AnyConnect Secure Mobility Client Spoofing Risiko: Datum: VulDB: kritisch 03.08.2012 http://www.scip.ch/?vuldb.5917 In Cisco AnyConnect Secure Mobility Client bis 3.0.08066 wurde eine kritische Schwachstelle gefunden. Davon betroffen ist eine unbekannte Funktion. Durch die Manipulation mit einer unbekannten Eingabe kann eine SpoofingSchwachstelle ausgenutzt werden. Hiermit lässt sich Zertifikat vortäuschen. Auswirkungen hat dies auf die Integrität. alternativen Produkts bietet sich im Zweifelsfall an. Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von OSVDB (ID 84470) dokumentiert. 3.44 Cisco AnyConnect Secure Mobility Client Spoofing Risiko: Datum: VulDB: kritisch 03.08.2012 http://www.scip.ch/?vuldb.5916 Es wurde eine kritische Schwachstelle in Cisco AnyConnect Secure Mobility Client bis 3.0.07059 gefunden. Dies betrifft eine unbekannte Funktion. Dank der Manipulation mit einer unbekannten Eingabe kann eine Spoofing-Schwachstelle ausgenutzt werden. Dadurch lässt sich Zertifikat vortäuschen. Mit Auswirkungen muss man rechnen für die Integrität. Ein Upgrade auf die Version 3.0.08057 vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Cisco hat demnach unmittelbar reagiert. Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von OSVDB (ID 84469) dokumentiert. 3.45 Opera Small Window Download Dialog Box Display Spoofing Risiko: Datum: VulDB: kritisch 02.08.2012 http://www.scip.ch/?vuldb.5909 Eine kritische Schwachstelle wurde in Opera bis 12.00, ein Webbrowser, gefunden. Davon betroffen ist eine unbekannte Funktion der Komponente Small Window Download Dialog Box Display. Durch das Beeinflussen mit einer unbekannten Eingabe kann eine SpoofingSchwachstelle ausgenutzt werden. Damit kann man Benutzer umleiten. Auswirkungen hat dies auf die Integrität. Ein Aktualisieren auf die Version 12.01 vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Die Entwickler haben demnach sofort reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 84448) und Secunia (ID 50044) dokumentiert. Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines 13/25 s c i p a g © scip AG 3.46 Citrix Access Gateway Plugin nsepa.exe StartEPA() Pufferüberlauf Risiko: Datum: VulDB: kritisch 01.08.2012 http://www.scip.ch/?vuldb.5906 Eine kritische Schwachstelle wurde in Citrix Access Gateway Plugin bis 9.3.49.5 (Windows) entdeckt. Hiervon betroffen ist die Funktion StartEPA() der Datei nsepa.exe. Mittels Manipulieren mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Damit lässt sich Programmcode ausführen. Dies wirkt sich aus auf Vertraulichkeit, Integrität und Verfügbarkeit. Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 84433) und Secunia (ID 45299) dokumentiert. 3.47 MIT Kerberos 5 src/kdc/kdc_util.c kdc_handle_protected_negotiation( ) Pufferüberlauf scip monthly Security Summary 19.08.2012 Risiko: Datum: VulDB: kritisch 31.07.2012 http://www.scip.ch/?vuldb.5902 In MIT Kerberos 5 bis 1.8 wurde eine kritische Schwachstelle ausgemacht. Hiervon betroffen ist die Funktion kdc_handle_protected_negotiation() der Datei _src/kdc/kdc_util.c_. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Dadurch kann man Programmcode ausführen. Auswirkungen sind zu beobachten bei Vertraulichkeit, Integrität und Verfügbarkeit. Als bestmögliche Massnahme wird das Einspielen des entsprechenden Patches empfohlen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. MIT hat demnach sofort reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 84424) und Secunia (ID 84423) dokumentiert. 3.48 MIT Kerberos 5 src/kdc/do_as_req.c finish_process_as_req() Pufferüberlauf Risiko: kritisch Datum: VulDB: 31.07.2012 http://www.scip.ch/?vuldb.5901 Es wurde eine kritische Schwachstelle in MIT Kerberos 5 bis 1.10 ausgemacht. Davon betroffen ist die Funktion finish_process_as_req() der Datei _src/kdc/do_as_req.c_. Durch das Manipulieren durch Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Hiermit kann man Programmcode ausführen. Auswirkungen hat dies auf Vertraulichkeit, Integrität und Verfügbarkeit. Als bestmögliche Massnahme wird das Installieren des jeweiligen Patches empfohlen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. MIT hat demnach sofort reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 84423) und Secunia (ID 50041) dokumentiert. 3.49 Google Chrome WebP Decoder Pufferüberlauf [CVE-2012-2858] Risiko: Datum: VulDB: kritisch 31.07.2012 http://www.scip.ch/?vuldb.5896 In Google Chrome bis 20.0.1132.57, ein Webbrowser, wurde eine kritische Schwachstelle entdeckt. Dies betrifft eine unbekannte Funktion der Komponente WebP Decoder. Mittels dem Manipulieren durch Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Dadurch kann man Programmcode ausführen. Das hat Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit. Ein Upgrade auf die Version 21.0.1180.57 vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Google hat demnach sofort reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 84378) und Secunia (ID 50105) dokumentiert. In deutscher Sprache berichtet unter anderem Heise zum Fall. 3.50 Google Chrome CSS DOM Pufferüberlauf [CVE-2012-2857] Risiko: Datum: VulDB: kritisch 31.07.2012 http://www.scip.ch/?vuldb.5895 Es wurde eine kritische Schwachstelle in Google Chrome bis 20.0.1132.57, ein Webbrowser, entdeckt. Betroffen ist eine unbekannte Funktion der Komponente CSS DOM. Durch das 14/25 s c i p a g © scip AG Manipulieren mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Hiermit kann man Programmcode ausführen. Auswirken tut sich dies auf Vertraulichkeit, Integrität und Verfügbarkeit. scip monthly Security Summary 19.08.2012 Ein Aktualisieren auf die Version 21.0.1180.57 vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Google hat demnach sofort reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 84377) und Secunia (ID 50105) dokumentiert. Auf Deutsch berichtet mitunter Heise zum Fall. 15/25 s c i p a g © scip AG 4. Statistiken Verletzbarkeiten Die im Anschluss aufgeführten Statistiken basieren auf den Daten der deutschsprachige Verletzbarkeitsdatenbank der scip AG. http://www.scip.ch/?vuldb Zögern Sie nicht uns zu kontaktieren. Falls Sie spezifische Statistiken aus unserer Verletzbarkeitsdatenbank wünschen so senden Sie uns eine E-Mail an info-at-scip.ch. Gerne nehmen wir Ihre Vorschläge entgegen. Auswertungsdatum: 18. August 2012 scip monthly Security Summary 19.08.2012 Verlauf der Anzahl Schwachstellen pro Jahr Verlauf der letzten drei Monate Schwachstelle/Schweregrad Verlauf der letzten drei Monate Schwachstelle/Kategorie 16/25 s c i p a g © scip AG scip monthly Security Summary 19.08.2012 Verlauf der Anzahl Schwachstellen pro Monat - Zeitperiode 2012 Verlauf der Anzahl Schwachstellen/Schweregrad pro Monat - Zeitperiode 2012 17/25 s c i p a g scip monthly Security Summary 19.08.2012 © scip AG Verlauf der Anzahl Schwachstellen/Kategorie pro Monat - Zeitperiode 2012 18/25 s c i p a g © scip AG scip monthly Security Summary 19.08.2012 Verlauf der Anzahl Schwachstellen pro Quartal seit Q1/2003 Verlauf der Anzahl Schwachstellen/Schweregrad pro Quartal seit Q1/2003 19/25 s c i p a g © scip AG scip monthly Security Summary 19.08.2012 Verlauf der Anzahl Schwachstellen/Kategorie pro Quartal seit Q1/2003 20/25 s c i p a g © scip AG 5. Labs In unseren scip Labs werden unter http://www.scip.ch/?labs regelmässig Neuigkeiten und Forschungsberichte veröffentlicht. 5.1 Las Vegas 2012 08./14.08.2012 Stefan Friedli, stfr-at-scip.ch scip monthly Security Summary 19.08.2012 Wenn die Opt-Out Rate am McCarran Airport in Las Vegas schlagartig in die Höhe schiesst, dann heisst das meistens eines: Es ist Sommer, Zeit für die alljährlichen Sicherheitskonferenzen Blackhat, BSides Las Vegas und DEFCON. Für unsere Branche sind die Events, sowohl aus inhaltlicher Sicht wie auch im Hinblick auf Networking, von essentieller Bedeutung. Naheliegenderweise hat es sich die scip AG auch dieses Jahr nicht nehmen lassen, vor Ort zu sein. Stefan Friedli, der selber schon in Vegas präsentieren durfte, fasst seine Erlebnisse in diesem Artikel zusammen. Gut 10’000km lang ist der Flug von Zürich nach Las Vegas via Los Angeles. Die SWISS LX40, angeboten im Codeshare mit United Airlines, legt dabei die längste Direktdistanz im derzeitigen Streckennetz der Schweizer Fluggesellschaft zurück. Gut 13 Stunden dauerte der Flug an diesem Montag. Die Fähigkeit, in einem Flugzeug erholsamen Schlaf zu finden, fehlt mir leider vollends. Dementsprechend schaute ich mir Joss Whedons “Avengers” noch einmal an, beendete das mitgebrachte Buch und ging dann dazu über mir noch einmal die Schedule der anstehenden Events anzuschauen und meine Favoriten herauszupicken. Nachdem dies nicht mein erstes Jahr in Vegas war, weiss ich dass es keinen Sinn macht sich einen allzu ambitionierten Plan aufzustellen: Erstens kommt es anders und zweitens als man denkt. Gerade im Kontext zu Securityund Hackerkonferenzen beweist diese Floskel seine Gültigkeit Jahr für Jahr. So bezahlt man seine Ambition, möglichst viele Talks zu sehen oft mit verpassten Adhoc-Sessions, ungeführten Gesprächen und verpassten neuen Kontakten. Spontanität hilft, dementsprechend hatte ich meine Favoriten gewählt und beschlossen, den Rest auf mich zukommen zu lassen. Für den ersten Teil der Woche stand der industrielastige Grossevent Blackhat an. Da unser Labs Blog zu den meistgelesenen Ressourcen zum Thema Informationssicherheit im deutschsprachigen Raum gehört, kamen wir dieses Jahr in den Genuss eines kostenlosen Pressebadges. Die Blackhat Briefings boten auch dieses Jahr wieder eine Fülle an Inhalt, meine vorgängig genannten Favoriten hier waren SexyDefense – Maximizing the home-field advantage, von Iftach Ian Amit und Don’t Stand So Close To Me: An Analysis of the NFC Attack Surface von Charlie Miller. Beide Talks konnten überzeugen und wurden vom Publikum gesamthaft gut aufgenommen. Ganz anders erging es Dallas De Atley von Apple, der den zweiten Tag mit seinem Talk zum Thema iOS Security eröffnen sollte. Manch einer, der in den letzten Monaten die Freude hatte, sich mit der Integration von iOS Devices in globale Unternehmensnetzwerke auseinanderzusetzen, – ich zähle mich zu ihnen – wartete gespannt auf neue Insights von De Atley, der bei Apple immerhin in führender Position für die Sicherheit des mobilen Betriebssystems zuständig ist. Sie alle wurden bitter enttäuscht. Während 50 Minuten rezitierte der Vortragende das, vor einigen Monaten veröffentlichte, Whitepaper zur iOS Security und ging dabei keinen Schritt über die bereits bekannten Informationen hinaus, was für Kopfschütteln im Publikum sorgte. De Atley komplettierte seine enttäuschende Vorstellung damit, dass er nach Abschluss seiner Präsentation mehr oder minder fluchtartig die Bühne verliess, ohne – wie es eigentlich üblich wäre – auch nur eine einzige Frage zu beantworten. Positiv überraschen konnte dafür die vorhergegangene Keynote, bei der der bekannte SecurityBlogger Brian Krebs (Krebs on Security) ein Interview mit Neal Stephenson, Author zahlreicher Romane wie “Snowcrash” oder “Reamde”, führte. Stephenson, der eigentlich mit der “realen” Informationssicherheitswelt nur limitierte Berührungspunkte hat, beeindruckte dabei durch überlegte Statements und Ansichten zu einer Vielfalt von Themen, die in einem vernetzten Zeitalter von Signifikanz sind. Neben all dem Inhalt, der auf insgesamt 7 Tracks (exkl. Workshops) präsentiert wurde und hier in Form von Slides/Whitepapers online betrachtet werden kann, bot die Blackhat natürlich auch zahlreiche Möglichkeiten zum Networking. So gab Microsoft dieses Jahr, nach eigenen Aussagen, für ihre “Researcher Appreciation Party” mehr Geld aus, als Kim Kardashian für ihre Geburtstagsparty und erhob entsprechend auch den Anspruch, damit eine bessere Party zu haben als das skandalerprobte It-Girl. Die Meinungen dazu dürften auseinandergehen. Doch so waren die Nächte in der “City of Sin” auch dieses Jahr lang und manch einer war froh, wenn er endlich im Taxi zum eigenen Hotel sass, in dem der – erst gerade zur Frühschicht erschienenene und entsprechend muntere – Taxifahrer amüsiert erzählt, er würde während der Woche in der “die Hacker da sind”, nie einen ATM benutzen. Recht hat er, vermutlich. 21/25 s c i p a g © scip AG Es ist schon eine interessante Konstellation, die die drei Konferenzen zur Sommerzeit in Las Vegas bilden: Die BlackHat, die mit ihren relativ hohen Ticketpreisen ein eher businessorientiertes Publikum anzieht bietet meistens exklusiven Inhalt, wirkt aber relativ emotionsfrei. Man bemüht sich, Professionalität zu emphasieren und in der Sponsor Hall bemühen sich diverse Hersteller und Sponsoren darum, möglichst viele Besucher auf die eigenen Produkte aufmerksam zu machen, in der Hoffnung den einen oder anderen grossen Lead an Land zu ziehen. Die BSidesLV versucht seit Jahren, ein kostenloses Alternativprogramm für all jene zu bieten, denen die BlackHat entweder zu teuer oder zu kommerziell/untechnisch geworden ist. Mit Erfolg, denn auch dieses Jahr war das Artisan Hotel, das bereits letztes Jahr als Kulisse für die BSides diente, prall gefüllt. scip monthly Security Summary 19.08.2012 Und trotz der non-kommerziellen Natur konnte die BSides auch dieses Jahr wieder mit hochqualitativen Inhalt punkten: HD Moore präsentierte einen Talk mit dem klangvollen Titel “Empirical Exploitation” sowie einen weiteren mit dem nicht weniger poetischen Namen “Global Loot”. Ian Amit, der bereits letzte Woche Erwähnung für seinen vielbeachteten BlackHat Talk fand, präsentierte denselben Inhalt, in leicht Zielgruppenoptimierter Form. Aber auch sonst präsentierte sich ein durchaus attraktives, abgerundetes Programm im Artisan. Die Schedule sowie Informationen zu den Talks sind auf der offiziellen Webseite der BSides Las Vegas einsehbar. Am meisten Aufmerksamkeit dürfte dieses Jahr allerdings mit Abstand die grösste der drei Konferenzen abgestaubt haben: Die DEFCON feierte ihr 20-jähriges Bestehen und zog zu diesem Anlass natürlich auch alle Register. So warteten fünf prall gefüllte Tracks auf die Besucher, die bereits lange vor Türöffnung Schlange standen, um einen der begehrten elektronischen Badges zu ergattern, nachdem die Verfügbarkeit der “regulären” Badges in vergangenen Jahren öfters mal bereits nach kurzer Zeit zur Neige ging. Besonders viel Beachtung erhielt zu Anfang der Konferenz der Direktor der NSA, General Keith B. Alexander, der in seinem Talk mit dem Titel “Shared Values, Shared Responsibility” um die Gunst der Anwesenden buhlte und dabei auf überraschend viel Zuspruch stiess. In Jeans und T-Shirt erschienen, erläuterte Alexander die Aktivitäten des Geheimdienstes und forderte die Hackercommunity zur Mitarbeit auf. Die Reaktionen waren, wie zu erwarten war, gemischt, trotzdem dürfte das öffentliche Auftreten eines Geheimdienstlers, das in der 20-jährigen Existenz der DEFCON eine Premiere darstellt, einen Mei- lenstein in deren Geschichte darstellen. Ein anderer Talk, der vor allem in unserem Feld durchaus einiges an Beachtung erhalten dürfte, kam von Moxie Marlinspike, der demonstrierte wie PPTP VPN Authentisierungen via MSCHAPv2 binnen absehbarer Frist gecrackt werden können, sofern ein Mitschnitt des Traffics vorliegt. Gerade viele kleinere Firmen, die auch heute noch PPTP einsetzen, dürften hier mittelfristig auf Probleme stossen, sobald entsprechende Tools auch für weniger versierte Angreifer frei zugänglich sind. Entsprechende Proof of Concepts kursierten bereits kurz nach der Präsentation in den üblichen Kanälen. Während meine Auflistung in diesem Rahmen bei weitem nicht alle erwähnenswerten Talks abzudecken vermag, so komme nicht darum herum kurz auf Felix “FX” Lindner’s Talk zu verweisen. Unter dem Titel “Hacking [redacted] Routers” enthüllte FX verschiedene Probleme, die vor allem SOHO-Router des massiven chinesischen Herstellers betreffen. Was durchaus amüsant und interessant präsentierte wurde, ist hoffentlich ein Wake-up Call für den Grosslieferanten: Weder ein Kontakt für Sicherheitsfragen ist vorhanden, noch hat der Konzern jemals ein Sicherheitsadvisory veröffentlicht. Huawei hat inzwischen reagiert und angekündigt, man würde gemeinsam mit der britischen Regierung an der Sicherheit der Produkte arbeiten. Inwiefern dies ein Trost für all jene ist, die bereits mit entsprechenden Produkten arbeiten und unter der mangelhaften Qualität leiden, das bleibt offen. Zurück zur DEFCON als solches: Neben den Präsentationen gab es natürlich, wie jedes Jahr, auch viele andere Dinge zu sehen. So gab es auch dieses Jahr ein Lockpicking- und ein Hardware-Hacking Village und in der Vendor Area boten diverse Händler ihre Waren – T-Shirts, Hardware, Lockpicks, … – feil. Und dann gab es da natürlich auch noch die zahlreichen Social Events, die nach den langen Konferenztagen auch noch für entsprechende lange Nächte sorgten. Unvergessen ist die Performance der israelischen Psy-Trance-Electro Band “Infected Mushroom”, die im Rahmen der IOActive Freakshow ein unglaublich stimmungsvolles Set ablieferten. So verging auch diese Woche in Vegas schnell und bald trat ich den langen Rückflug via Toronto nach Zürich an um dann direkt für eine Woche in die Schweizer Alpen zu fahren, quasi als Kompensation für die Reizüberflutung der bunten und blinkenden Stadt in der Wüste Nevadas. Eine Stadt, in die ich jederzeit gerne reise, solange ich sie nach einiger Zeit auch wieder verlassen kann. 22/25 s c i p a g © scip AG 5.2 Erfahrungen aus der Information Security 16.08.2012 Sean Rütschi, seru-at-scip.ch Durch meine Arbeit als Security Consultant bei der scip AG habe ich die Branche der Information Security besser kennengelernt und Einblick in Dinge erhalten, die ich ausserhalb dieses Bereichs noch nicht gesehen habe. Da ich bisher, wie viele andere, die in die Informationssicherheit einsteigen wollen, aus beruflicher Sicht hauptsächlich als System Engineer gearbeitet habe, möchte ich für Neueinsteiger einen kurzen Erfahrungsbericht vorstellen. troffenen Zugriff hatten, einfach stehlen können. Beispiele für unsicheres Verhalten gibt es also unzählige. Alle Personen, die meine Situation kennen oder nachvollziehen können, haben also ein anderes Verhältnis zu Sicherheit wie der durchschnittliche User (und schlimmstenfalls gar Administrator). Dieses Verhältnis macht einen grossen Teil der Affinität zur Informationssicherheit aus. Einsteiger ohne diese Affinität werden wohl umso grössere Schwierigkeiten haben, sich zurechtzufinden, als jene mit. Neue Trends Information Security Menschen, die in der Informationssicherheit tätig sind, haben meist eine hohe Affinität zu Sicherheit im Allgemeinen. Es ist eine Leidenschaft, die sie beruflich ausleben können. Durch die Tatsache, dass viele Menschen Sicherheit bewusst ignorieren oder deren Wichtigkeit herunterspielen, bleibt die Anzahl an Leuten, die in dieser Branche tätig sind, vergleichsweise klein. Dieses Tatsache ist beispielsweise IT-Supportern bestimmt schon mehrmals untergekommen: scip monthly Security Summary 19.08.2012 User setzen beim erstmaligen Gebrauch kurze Passwörter Diese Passwörter werden nach Ablauf lediglich inkrementell geändert Nach Änderung der Passwörter wird der ITSupport aufgeboten, die frisch vergessenen Passwörter erneut zurückzusetzen Eine weitere beliebte Geschichte sind nicht gesperrte Arbeitsrechner. Seit ich die Funktion der Rechnersperre kenne, nutze ich sie sobald ich mich von meinem Rechner entferne. Umso erstaunter bin ich, dass es Leute gibt, die einen PC stundenlang unbeaufsichtigt lassen. Und kommt dann noch das Passwort auf dem Post-it am Bildschirm dazu ist es geschehen. In solchen Situationen war ich häufig der Einzige der sich daran störte und häufig eine Nachricht auf einem Editor hinterliess, um auf die unsichere Gewohnheit aufmerksam zu machen. Noch erstaunlicher wurde es dann, wenn die betroffenen Personen ausriefen und sich darüber aufregten. Ganz so, als ob ihr Verhalten in bester Ordnung war und sie dies nicht einmal in Frage stellten. Natürlich konnte ich dies nicht verstehen. Denn genauso gut hätte ich via USB-Stick sämtliche geheimen Firmendaten, auf die die Be- Die IT ist an sich schon eine sehr schnelllebige Branche. Was heute noch neu ist, wird morgen bereits mit etwas anderem ersetzt werden. In der Informationssicherheit ist diese Schnelllebigkeit noch extremer. Entsprechend bedeutet dies auch, dass man immer dazu bereit sein muss, Neues zu lernen und sich zu erarbeiten. Es gilt, wichtige Ereignisse als solche zu erkennen und entsprechend zu reagieren. Ein Beispiel dafür ist der im Mai gefundene Schädling Flame. Viele Reaktionen waren masslos übertrieben und entbehrten jeglicher grundlegender Fachkentnnisse. Stefan Friedli fasste es schlussendlich bestens zusammen: Für die meisten Benutzer und Firmen ändert sich nichts, ausser einem neuen Eintrag in der Datenbank ihres Virenscanners. (Quelle: 20 Minuten Online) Ein weiteres Beispiel eines neuen Trends wäre die sogenannte BYOD-Strategie (Bring Your Own Device), die seit der Einführung des iPhone grassiert. Der Trend führt dazu, dass immer mehr Mitarbeiter mit privaten Geräten geschäftliche Daten bearbeiten. Diese Geräte stehen natürlich nicht unter der Kontrolle der für die Daten zuständigen Administratoren und sind aus dieser Sicht ein nicht zu unterschätzendes Gefahrenpotenzial. Da herkömmliche Schutzstrategien nicht mehr greifen, müssen neue erstellt, evaluiert und eingeführt werden. Dies natürlich im besten Falle so schnell wie nur möglich. Grundwissen Alle oben besprochenen Eigenschaften sind sicher sehr wichtig und nicht zu unterschätzende Faktoren. Allerdings setzt die Informationssicherheit ein sehr solides IT-Grundwissen voraus, 23/25 s c i p a g © scip AG ohne das es nicht möglich ist, viele Abläufe zu verstehen. So sollten Begriffe wie beispielsweise Three-Way-Handshake, asymmetrische und symmetrische Verschlüsselung, Exploit, Vulnerability, Risk Assessment oder Firewall (unter vielen, vielen weiteren) nicht unbekannt sein und zumindest im Ansatz verstanden sein. Wer über kein Grundwissen verfügt wird nicht in der Lage sein, Entscheidungen zu treffen, die dieses Grundwissen dringendst voraussetzen, und wird früher oder später eine Fehlentscheidung treffen, die möglicherweise gravierende Folgen mit sich zieht. Schlusswort Die Branche der Informationssicherheit ist ein Kapitel für sich. Wo IT ist, ist auch Security. Und dies ist im heutigen Informationszeitalter nun mal überall. Diese Tatsache macht die Informationssicherheit zu einem der interessantesten Gebiete, auf denen man arbeiten kann, denn man erhält Einblick in die unterschiedlichsten Branchen, Systeme und Kulturen. Für alle Einsteiger oder die, die einsteigen wollen: Bleibt dran, gebt nicht auf und geht stetig Euren Weg. Denn der Weg ist das Ziel! Grundwissen beinhaltet für mich allerdings nicht nur technisches Wissen, sondern auch Wissen über Firmen und Erfahrungen mit der Art und Weise, wie sie funktionieren. Ein rein akademischer Ansatz, der nur mit idealen Voraussetzungen funktioniert, wird in der realen Wirtschaft zwangsläufig versagen. Des weiteren beinhaltet Grundwissen für mich auch ein Verständnis der menschlichen Psyche. Wer nicht versteht, dass ein Verwaltungsratsmitglied einen anderen Kommunikationsansatz wie ein Netzwerkadministrator benötigt, wird trotz bestem technischen Wissen und ausgezeichneter, korrekter Analyse häufig erfolglos sein. Community scip monthly Security Summary 19.08.2012 Schlussendlich empfiehlt es sich, sich in die Community einzubringen. Twitter bietet sich hierfür bestens an, da viele Profis der Branche über Twitter direkt ansprechbar sind und viel Wissen darüber verteilen und zur Verfügung stellen. Ein Einstieg wird auch erleichtert, wenn man keine unbekannte Persönlichkeit ist, sondern vorgägnig auf sich aufmerksam gemacht hat. Vorzugsweise nicht mit peinlichen Nacktfotos, wie es heute unter Hollywoodsternchen verbreitet ist, sondern mit wohlüberlegten Fragen, Überlegungen und Äusserungen zu aktuellen Themen und Anlässen. Auch an Konferenzen, Treffen und ähnlichen Anlässen lassen sich gut Kontakte knüpfen. Im November findet beispielsweise zum 3. Mal die hashdays-Konferenz in Luzern statt, an der man hautnah die neusten Entwicklungen aus der Community präsentiert bekommt. Wer sich aktiv einbringt, wird auch etwas dafür zurückerhalten. Allerdings wird der Einstieg nicht einfach passieren. Man muss sich anstrengen und am Ball bleiben, um nicht in der Flut von “Eintagsfliegen” unterzugehen. 24/25 s c i p a g © scip AG 6. Impressum Herausgeber: scip AG Badenerstrasse 551 CH-8048 Zürich T +41 44 404 13 13 info-at-scip.ch http://www.scip.ch scip monthly Security Summary 19.08.2012 Zuständige Person: Sean Rütschi Security Consultant T +41 44 404 13 13 seru-at-scip.ch scip AG ist eine unabhängige Aktiengesellschaft mit Sitz in Zürich. Seit der Gründung im September 2002 fokussiert sich die scip AG auf Dienstleistungen im Bereich Information Security. Unsere Kernkompetenz liegt dabei in der Überprüfung der implementierten Sicherheitsmassnahmen mittels Penetration Tests und Security Audits und der Sicherstellung zur Nachvollziehbarkeit möglicher Eingriffsversuche und Attacken (LogManagement und Forensische Analysen). Vor dem Zusammenschluss unseres spezialisierten Teams waren die meisten Mitarbeiter mit der Implementierung von Sicherheitsinfrastrukturen beschäftigen. So verfügen wir über eine Reihe von Zertifizierungen (Solaris, Linux, Checkpoint, ISS, Cisco, Okena, Finjan, TrendMicro, Symantec etc.), welche den Grundstein für unsere Projekte bilden. Das Grundwissen vervollständigen unsere Mitarbeiter durch ihre ausgeprägten Programmierkenntnisse. Dieses Wissen äussert sich in selbst geschriebenen Routinen zur Ausnutzung gefundener Schwachstellen, dem Coding einer offenen Exploiting- und Scanning Software als auch der Programmierung eines eigenen LogManagement Frameworks. Den kleinsten Teil des Wissens über Penetration Test und LogManagement lernt man jedoch an Schulen – nur jahrelange Erfahrung kann ein lückenloses Aufdecken von Schwachstellen und die Nachvollziehbarkeit von Angriffsversuchen garantieren. Einem konstruktiv-kritischen Feedback gegenüber sind wir nicht abgeneigt. Denn nur durch angeregten Ideenaustausch sind Verbesserungen möglich. Senden Sie Ihr Schreiben an [email protected]. Das Errata (Verbesserungen, Berichtigungen, Änderungen) der scip monthly Security Summarys finden Sie online. Der Bezug des scip monthly Security Summary ist kostenlos. Anmelden! Abmelden! 25/25