Nur wenige Stunden nach dem Release von Firefox 3 wurde die erste kritische Sicherheitslücke gefunden. Mit dieser Lücke kann Schadcode in das System eingeschleust werden und mit den Rechten des Benutzers ausgeführt werden. Von der Lücke soll außerdem auch Firefox 2 betroffen sein.
Näheres ist über die Lücke noch nicht bekannt. TippingPoint hält sich strikt an die Responsible Disclosure und veröffentlicht Details erst zur Lücke, wenn der Hersteller einen Patch dafür rausgegeben hat. Die Firefox-Entwickler sind bereits informiert und arbeiten an einem Patch.
Das Trojanische Pferd Zlob greift in einer neuen Version die DNS Einstellungen von Routern an. Getarnt als Video Codec verbreitet er sich über verschiedene infizierte Webseiten. Wird der Trojaner heruntergeladen, installiert er sich auf dem Computer und versucht mit einer Liste von Standard Accounts und Passwörtern die DNS Einstellungen des Routers über die Web-Schnittstelle zu ändern. Gelingt dies, werden die DNS und DHCP Einstellungen so verändert, das der gesamte Traffic zuerst durch das Netz des Angreifers fließt.
Beim Aufruf verschiedener Seiten werden dann falsche IP Adresse zurückgegeben, die das Opfer auf verschiedene Phishing Seiten leiten.
Da noch nicht alle Viren-Scanner die neue Zlob Version zuverlässig erkennen, empfiehlt es sich auf jedenfall ein sicheres Passwort für den Router zu wählen und beim download von Codecs aufzupassen. Wurden die Einstellungen bereits geändert, empfiehlt es sich zuerst alle Computer zu überprüfen und bereinigen und anschließend den Router auf Werkseinstellungen zurückzusetzen.
In der Windows Version des beliebten IRC Client XChat besteht eine Sicherheitslücke, die es einem Angreifer unter bestimmten Umständen erlaubt Befehle auszuführen.
Beim Aufruf einer präparierten ircs-URI im Browser, können Befehle in XChat ausgeführt werden. Dies ist möglich, da die URI dem Programmaufruf ohne genaue Überprüfung übergeben wird.
XChat wird beim Aufruf aus dem Browser heraus mit dem Parameter --url="%URI" gestartet, wobei %URI durch den entsprechenden Inhalt ersetzt wird. Ruft meine beispielsweise die präparierte URI ircs://test@1.1.1.1" --command "away Exploitable" auf, wird der Programmaufruf um den Parameter command erweitert, der den entsprechenden Befehl im XChat ausführt. Das ganze wird zudem interessant, weil XChat den Befehl in einer existierenden Instanz der Anwendung ausführt und keine neue Instanz erstellt.
Als Schutzmaßnahme kann man entweder den Registry-Key verändern, der den Aufruf von XChat aus dem Browser heraus beschreibt, oder man deaktiviert das starten von XChat durch den Browser.
Am 13.05. wurde bekannt, dass der Random-Generator des Debian OpenSSL Pakets aufgrund einer falschen Änderung in der md_rand Funktion vorhersagbare Ergebnisse liefert. Als Folge der schwachen Zufallszahlen sind die von OpenSSL generierten Schlüssel ebenfalls angreifbar.
Betroffen sind SSH und SSL/TLS Schlüssel auf Debian (auch ubuntu, kubuntu etc.) Systemen, die mit einer OpenSSL Version ab 0.9.8c-1 (veröffentlicht 2006) erstellt wurden. Der Fehler wurde in der Version 0.9.8c-4etch3 von OpenSSL gefixed. Nach dem Updaten müssen alle Schlüssel die mit der fehlerhaften OpenSSL Version erstellt wurden komplett neu generiert werden.
Immer noch (einen Monat nach Bekanntgabe der Lücke) weisen unzählige Server im Netz schwache Schlüssel auf. Oftmals kann zwar nur eine Kommunikation mitgelesen werden, ohne Zugriff zum System zu erhalten, aber schon dies kann für Firmen große Probleme heißen.
Um die schwachen Schlüssel aufzuspüren, gibt es das Tool dowkd.pl, welches auf der Seite von Debian heruntergeladen werden kann (http://security.debian.org/project/extra/dowkd/dowkd.pl.gz). Aufrufen kann man das Perl-Programm beispielsweise mit dem Parameter "quick" um eine schnelle Übersicht, der schwachen Schlüssel zu bekommen. Anmerk.: Das Tool gibt leider keine 100% Genauigkeit beim Aufspüren schwacher Schlüssel, sollte jedoch trotzdem auf jeden Fall genutzt werden.
11 Sicherheitslücken schließt Microsoft am Patchday im Juni 2008. Darunter einige kritische Sicherheitslücken im Bluetooth-Stack, im IE und in DirectX, durch die sich Schadcode ins System einschleusen lässt. Außerdem gibt es ein Update für die Speech API, bei der bisher durch eine speziell mainipulierte Webseite beliebiger Code ausgeführt werden konnte, diese Lücke wurde allerdings nur als "moderat" eingestuft.