{"id":6224,"date":"2015-10-05T14:26:29","date_gmt":"2015-10-05T14:26:29","guid":{"rendered":"https:\/\/kasperskydaily.com\/germany\/?p=6224"},"modified":"2020-06-30T17:07:11","modified_gmt":"2020-06-30T15:07:11","slug":"security-week-40","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/security-week-40\/6224\/","title":{"rendered":"Sicherheitswoche 40: die &#8222;eigentlich-keine-Sicherheitsl\u00fccke&#8220; in WinRAR, ein alter Fehler in Firefox und das Ups!-Update von Microsoft"},"content":{"rendered":"<p>Ich frage mich, was w\u00e4re, wenn alle Sicherheitsprobleme auf einmal verschwinden w\u00fcrden. W\u00fcrde aus dem <a href=\"https:\/\/threatpost.com\" target=\"_blank\" rel=\"noopener nofollow\">Threatpost.com<\/a>-Newsblog eine Katzenseite werden? H\u00e4tte die Seite \u00fcberhaupt eine Zukunft? Ich denke schon, wenn man das Entwicklungstempo der IT-Branche bedenkt: Derzeit versucht sie noch, ihre Kinderkrankheiten in den Griff zu bekommen, doch sobald das geschafft ist, sehen wir einer strahlenden Zukunft ins Auge. Ich glaube, dass wir eines Tages erwachsene, verantwortungsbewusste Ans\u00e4tze f\u00fcr die IT-Sicherheit sehen werden.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2015\/10\/06133829\/security-week-40-featured-1.jpg\" alt=\"\" width=\"1280\" height=\"840\"><\/p>\n<p>Das Internet ist ein virtuelles Modell der echten Welt und spiegelt alles wider: einsame Genies, die in ihrer Garage ihr eigenes Google erfinden, gro\u00dfe Konzerne, die um ihren Marktanteil k\u00e4mpfen, einfache Anwender und schlie\u00dflich auch diejenigen, die all diese Gruppen ausnutzen m\u00f6chten. Es gibt zwar Ma\u00dfnahmen, die das Leben der Cyberkriminellen schwerer machen, aber k\u00f6nnen wir sie f\u00fcr immer loswerden?<\/p>\n<p>Etwas hat diesen Gedanken ausgel\u00f6st: Die meistgelesene Meldung der letzten Woche (\u00fcber Fehler in Firefox) hat gar nichts mit IT-Sicherheit zu tun \u2013 naja, zumindest relativ gesehen. Die zweite Nachricht dreht sich um eine Sicherheitsl\u00fccke, die irgendwie nicht mehr da ist. Und die dritte Meldung handelt von Microsofts Update, das gar nichts gemacht hat und dann einfach verschwunden ist.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Done Toasting<\/p>\n<p>\u2014 mytoaster (@mytoaster) <a href=\"https:\/\/twitter.com\/mytoaster\/status\/649676117398421504?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">October 1, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Nun, es scheint, als w\u00e4re in der vergangenen Woche nichts passiert \u2013 also sprechen wir doch einfach \u00fcber den Unterschied zwischen echten und theoretischen Bedrohungen. Wie immer, hier noch die Regeln der Sicherheits-News: Das <a href=\"http:\/\/www.threatpost.com\/\" target=\"_blank\" rel=\"noopener nofollow\">Threatpost<\/a>-Team w\u00e4hlt jede Woche drei wichtige Neuigkeiten aus, die ich hier ganz r\u00fccksichtslos kommentiere. Die \u00e4lteren Episoden finden Sie <a href=\"https:\/\/www.kaspersky.com\/blog\/tag\/security-week\/\" target=\"_blank\" rel=\"noopener nofollow\">hier<\/a>.<\/p>\n<p><strong>Zero-Day -(Pseudo)-Sicherheitsl\u00fccke in WinRAR-Archiven<\/strong><\/p>\n<p><a href=\"http:\/\/www.theregister.co.uk\/2015\/09\/30\/500m_winrar_users_open_to_remote_code_execution_zero_day\/\" target=\"_blank\" rel=\"noopener nofollow\">Der Artikel<\/a>. <a href=\"http:\/\/seclists.org\/fulldisclosure\/2015\/Sep\/106\" target=\"_blank\" rel=\"noopener nofollow\">Die Forschungsarbeit<\/a>. Das <a href=\"http:\/\/www.rarlab.com\/vuln_sfx_html.htm\" target=\"_blank\" rel=\"noopener nofollow\">Feedback<\/a> von RARLAB.<\/p>\n<p>Der iranische Forscher Mohammed Reza Espargham hat eine Sicherheitsl\u00fccke in WinRAR entdeckt \u2013 wobei: nicht in der Software selbst, sondern in selbst-extrahierenden Archiven. Das klingt zun\u00e4chst recht kritisch. Indem eine Archivfunktion verwendet wird, kann man beim Extrahieren das Ausf\u00fchren willk\u00fcrlichen HTML-Codes erreichen, so dass damit Schadprogramme aus dem Internet heruntergeladen und installiert werden. Der Inhalt des Archivs ist dabei komplett sauber und harmlos. Die angreifbare Funktion kann Text auf dem Bildschirm darstellen, aber auch HTML annehmen und verarbeiten.<\/p>\n<p><span class=\"embed-youtube\" style=\"text-align:center; display: block;\"><iframe class=\"youtube-player\" type=\"text\/html\" width=\"640\" height=\"390\" src=\"https:\/\/www.youtube.com\/embed\/fo0l0oT4468?version=3&amp;rel=1&amp;fs=1&amp;showsearch=0&amp;showinfo=1&amp;iv_load_policy=1&amp;wmode=transparent\" frameborder=\"0\" allowfullscreen=\"true\"><\/iframe><\/span><\/p>\n<p>Die WinRAR-Entwickler halten das f\u00fcr Panikmache. Um das nachvollziehen zu k\u00f6nnen, muss man sich nur die Beschreibung des Fehlers vereinfachen: \u201eEin Anwender kann Probleme bekommen, wenn er eine seltsame, ausf\u00fchrbare Datei herunterl\u00e4dt und startet.\u201c Habe ich da etwas verpasst? Das ist doch eine fundamentale und nicht patchbare Sicherheitsl\u00fccke von Computern: Sie f\u00fchren JEDEN Code aus, der auf ihnen gestartet wird. Das WinRAR-Team zitiert auch einen \u201eProof-of-Concept\u201c f\u00fcr eine andere \u201eZero-Day\u201c-L\u00fccke: Der Inhalt von selbst-extrahierenden Archiven kann auch automatisch ausgef\u00fchrt werden, ohne dass der Anwender zustimmen muss. EIN VERH\u00c4NGNIS!<\/p>\n<div style=\"width: 1290px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" class=\"\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2015\/10\/06133828\/security-week-40-kitten.jpg\" alt=\"\" width=\"1280\" height=\"873\"><p class=\"wp-caption-text\">Hier kommen die K\u00e4tzchen!<\/p><\/div>\n<p>Beide Seiten haben aber irgendwie Recht. Manchmal kann sich die ungew\u00f6hnliche Nutzung eines Standard-Tools nachteilig auf die Sicherheit des Produkts auswirken. Eine Verschl\u00fcsselung kann sowohl zum Schutz pers\u00f6nlicher Daten als auch zum Verschl\u00fcsseln der Anwenderdaten durch Ransomware genutzt werden. F\u00fcr das Sicherheitsproblem bei WinRAR haben wir also allenfalls einen Alarm-Code birnenfarben (mit einem Hauch hellgr\u00fcn).<\/p>\n<p>Allerdings ist da noch etwas: WinRAR ist weitverbreitet und wahnsinnig beliebt und muss \u2013 anders als andere Programme \u2013 nicht laufend aktualisiert werden. Anders als zum Beispiel ein Browser, l\u00e4uft die Software auch ohne Aktualisierung ewig ohne Probleme. Vor ein paar Jahren haben wir einen <a href=\"https:\/\/securelist.com\/analysis\/publications\/36822\/kaspersky-lab-report-evaluating-the-threat-level-of-software-vulnerabilities\/\" target=\"_blank\" rel=\"noopener\">Bericht zu einer Studie<\/a> ver\u00f6ffentlicht, die zeigen sollte, wie oft die Anwender ihre angreifbare Software aktualisieren. Nun, sie tun das fast gar nicht: Es dauerte zum Beispiel sieben Wochen, damit zumindest 30 Prozent der Anwender auf die neueste Java-Version aktualisierten.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Hey. So. Getting some fan mail on the WinRAR flaw story. Thanks for that <a href=\"http:\/\/t.co\/7PvYJYcmhn\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/7PvYJYcmhn<\/a> Let's make clear what you can and can't do.<\/p>\n<p>\u2014 The Register (@TheRegister) <a href=\"https:\/\/twitter.com\/TheRegister\/status\/649336336084676608?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">September 30, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Unsere Experten haben eine kritische <a href=\"https:\/\/www.cvedetails.com\/cve\/CVE-2008-7144\/\" target=\"_blank\" rel=\"noopener nofollow\">Sicherheitsl\u00fccke<\/a> in WinRAR 3.71 zusammen mit einigen \u00e4lteren Fehlern entdeckt. Wir haben das nie weiter verfolgt, da der Fehler nur extrem schwer auszunutzen ist, aber wir haben die Aktualisierungen gepr\u00fcft und waren schockiert, dass diese angreifbare Version von WinRAR f\u00fcnf Jahre sp\u00e4ter auf Zehntausenden PCs lief \u2013 immer noch ungepatcht.<\/p>\n<p><strong>Das Abenteuer des leeren Windows-Updates<\/strong><\/p>\n<p><a href=\"https:\/\/threatpost.com\/suspicious-windows-7-update-actually-an-accidental-microsoft-test-update\/114860\/\" target=\"_blank\" rel=\"noopener nofollow\">Der Artikel<\/a>. <a href=\"https:\/\/answers.microsoft.com\/en-us\/windows\/forum\/windows_7-update\/windows-7-update-appears-to-be-compromised\/e96a0834-a9e9-4f03-a187-bef8ee62725e?auth=1\" target=\"_blank\" rel=\"noopener nofollow\">Die Diskussion<\/a> im Microsoft-Forum, bei der einige Details ans Licht kamen.<\/p>\n<p>Am 30. September beschloss das Windows Update Center pl\u00f6tzlich, mit den Anwendern Kauderwelsch zu sprechen. Und zwar ganz buchst\u00e4blich: \u201eHello, this is a critical update for language packages. On installation, your computer will need uber#$^%@#$R@%@%@#$wham#@%#@%#^@^$@^ddles\u201c. Die wenigen, die die Updates des Windows Update Center wirklich ansehen, waren verst\u00e4ndlicherweise verwirrt. Da tauchte komisches Zeug auf, versuchte, sich selbst zu installieren, und verschwand dann wieder. Sp\u00e4ter fand man heraus, dass so etwas \u00e4hnliches auch schon am 20. August <a href=\"https:\/\/social.technet.microsoft.com\/Forums\/office\/en-US\/18eeca65-21e1-42df-b882-8c1b099f1a7f\/updates-needing-files-2-downloaded-133254-mb-of-133305-mb?forum=winserverwsus\" target=\"_blank\" rel=\"noopener nofollow\">passiert ist<\/a>.<\/p>\n<div style=\"width: 837px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2015\/10\/06133827\/security-week-40-update.jpg\" alt=\"\" width=\"827\" height=\"546\"><p class=\"wp-caption-text\">Screenshot der entsprechenden Diskussion auf der Microsoft-Webseite<\/p><\/div>\n<p>Sp\u00e4ter gab ein Microsoft-Sprecher zu, dass es sich um ein Test-Update handelte, das versehentlich an die Anwender ausgeliefert worden war und dass wir alle beruhigt sein k\u00f6nnten. Gab es einen Grund zur Sorge? Nun ja, wenn das Windows-Update-System wirklich kompromittiert gewesen w\u00e4re, h\u00e4tte das in einer globalen digitalen Apokalypse im Stil eines Roland Emmerich enden k\u00f6nnen.<\/p>\n<p>Stellen Sie sich nur vor, ein Cyberkrimineller w\u00fcrde willk\u00fcrlichen Code an Millionen von Anwender ausliefern. Gl\u00fccklicherweise ist das kaum machbar: Es gibt digitale Signaturen und Verschl\u00fcsselung. In einem unserer <a href=\"https:\/\/www.kaspersky.com\/blog\/security-week-digest-33\/9591\/\" target=\"_blank\" rel=\"noopener nofollow\">fr\u00fcheren<\/a> Wochenr\u00fcckblicke habe ich bereits \u00fcber den unwahrscheinlichen Hack des WSUS geschrieben, der zeigt, dass das System nicht komplett zerst\u00f6rt werden kann.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Suspicious Windows 7 Update Actually an Accidental Microsoft \u2018Test\u2019 Update: <a href=\"https:\/\/t.co\/NKhqnhBTKK\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/NKhqnhBTKK<\/a> <a href=\"http:\/\/t.co\/D0i0RdGJrJ\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/D0i0RdGJrJ<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/649331802692284416?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">September 30, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Zumindest hoffen wir das.<\/p>\n<p><strong>14 Jahre alter Fehler in Firefox gepatcht<\/strong><\/p>\n<p><a href=\"https:\/\/threatpost.com\/mozilla-fixes-14-year-old-bug-in-firefox-41\/114818\/\" target=\"_blank\" rel=\"noopener nofollow\">Der Artikel<\/a>. <a href=\"https:\/\/adblockplus.org\/blog\/latest-firefox-update-massively-improves-adblock-plus-memory-usage\" target=\"_blank\" rel=\"noopener nofollow\">Der Blog-Beitrag<\/a> von Adblock Plus, dem gr\u00f6\u00dften Opfer des Fehlers. <a href=\"https:\/\/bugzilla.mozilla.org\/show_bug.cgi?id=77999\" target=\"_blank\" rel=\"noopener nofollow\">Der Fehler<\/a> selbst.<\/p>\n<p>https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2015\/09\/30170708\/security-week-40-screenshot.png<\/p>\n<p>Kurz: Firefox verbraucht viel Speicher. Mit der Ver\u00f6ffentlichung von Version 41 wurde das besser, vor allem, wenn man die Erweiterung AdBlock Plus installiert hat. Das Problem war irgendwie die Art, wie der Adware-Blocker und der Browser miteinander kommunizierten. Durch die Verarbeitung einer Adware-Blocking-Methode mit CSS reservierte der Browser zu viel Speicher (bis zu 2 GB!).<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Mozilla Fixes 14-Year-Old Bug in Firefox 41: <a href=\"https:\/\/t.co\/TCr0fEc4tW\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/TCr0fEc4tW<\/a> via <a href=\"https:\/\/twitter.com\/threatpost?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@threatpost<\/a> <a href=\"http:\/\/t.co\/O3JalMyU0F\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/O3JalMyU0F<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/647478983270002688?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">September 25, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Urspr\u00fcnglich tauchte dieser Fehler am 27. April 2001 in der Pre-Release-Version <a href=\"http:\/\/website-archive.mozilla.org\/www.mozilla.org\/firefox_releasenotes\/en-US\/firefox\/releases\/0.9.3.html\" target=\"_blank\" rel=\"noopener nofollow\">0.9.3<\/a> auf. In diesem Jahr kamen auch die erste Version von Mac OS X, Windows XP und der allererste iPod heraus; es war das Jahr, als SATA und USB 2.0 vorgestellt wurden; das Jahr, indem das V.92-Modem-Protokoll abgel\u00f6st wurde und Microsoft endlich die B\u00fcroklammer abschaffte. Was f\u00fcr ein Jahr, richtig?<\/p>\n<p>https:\/\/kasperskydaily.com\/russia\/files\/2015\/10\/b59e023894a64c358a46cce9e3660048.gif<\/p>\n<p>Und auch wenn er nervig war, so war der Fehler in Firefox doch harmlos. Ich frage mich sogar, ob 10 der 14 Jahre, in denen der Fehler existierte, nicht darauf verschwendet wurden, dass sich die Firefox- und Adblock-Entwickler gegenseitig die Schuld daf\u00fcr gaben. Wirklich kritische Sicherheitsl\u00fccken werden schlie\u00dflich schnellstm\u00f6glich geschlossen, oder?<\/p>\n<p>Oder auch nicht! Bei meiner Suche nach alten Fehlern, fand ich auch <a href=\"https:\/\/bugzilla.redhat.com\/show_bug.cgi?id=998\" target=\"_blank\" rel=\"noopener nofollow\">diesen hier<\/a>: Red Hat und einige andere Linux-Distributionen pr\u00fcfen die Echtheit von Updates und anderer installierter Software nicht. Theoretisch ist es damit m\u00f6glich, die Kontrolle \u00fcber ein kompromittiertes System zu \u00fcbernehmen, wenn es von einer sch\u00e4dlichen Ressource installiert worden ist. Den Fehler gibt es seit dem 30. Januar 1999! Und damals ging es noch nicht einmal um Web-Ressourcen, sondern um infizierte Disketten! Er wurde erst im August 2014 ausgebessert (aber wahrscheinlich nicht komplett).<\/p>\n<p>https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2015\/09\/30170709\/security-week-40-84-years.gif<\/p>\n<p>Ok, ok, das ist die Art von \u201eFehler\u201c, die wir auch schon bei WinRAR angesprochen haben. Es ist noch nicht einmal ein richtiger Fehler, sondern eher eine Vermutung wie \u201ewenn man einen Laptop in ein Lagerfeuer wirft, wird er verbrennen\u201c. Ich bezweifle, dass geplant war, den Fehler auszubessern \u2013 wahrscheinlich stand er auf einer Fehlerliste, um hin und wieder Diskussionen \u00fcber die Sicherheit von Linux anzusto\u00dfen. Aber ist der Fehler ein Beweis daf\u00fcr, dass es mit der Sicherheit von Linux nicht gut bestellt ist? Nat\u00fcrlich nicht.<\/p>\n<p>Ich w\u00fcrde sogar so weit gehen, zu behaupten, dass auch schnelle Patches f\u00fcr alle Sicherheitsl\u00fccken die Sicherheit nicht verbessern w\u00fcrden. <a href=\"http:\/\/www.net-security.org\/secworld.php?id=18911\" target=\"_blank\" rel=\"noopener nofollow\">Hier<\/a> sieht man, dass Software-Entwickler durchschnittlich etwa 100 bis 120 Tage f\u00fcr das Patching brauchen. Nat\u00fcrlich w\u00e4re es sch\u00f6n, wenn das schneller klappen w\u00fcrde, aber bedeutet das auch, dass alle ungepatchten Sicherheitsl\u00fccken ausgenutzt werden? Nein. Es gibt so viele Angriffe und potenzielle Fehler, und jeder Versuch, alle Sicherheitsl\u00fccken zu bearbeiten w\u00fcrde nur in Grundrauschen enden.<\/p>\n<blockquote class=\"twitter-pullquote\"><p>Sicherheitswoche 40: \u201eSicherheitsl\u00fccke\u201c in #WinRAR, alter Fehler in #Firefox und Ups!-Update von #Microsoft<\/p><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fkas.pr%2F3TAp&amp;text=Sicherheitswoche+40%3A+%26%238222%3BSicherheitsl%C3%BCcke%26%238220%3B+in+%23WinRAR%2C+alter+Fehler+in+%23Firefox+und+Ups%21-Update+von+%23Microsoft\" class=\"btn btn-twhite\" data-lang=\"en\" data-count=\"0\" target=\"_blank\" rel=\"noopener nofollow\">Tweet<\/a><\/blockquote>\n<p>\u00dcbrigens gab es fr\u00fcher auf der Kaspersky-Webseite einen Bedrohungsindikator, der die allgemeine Bedrohungslage anzeigte. Dann wurde er zu einer Art <a href=\"https:\/\/de.wikipedia.org\/wiki\/Atomkriegsuhr\" target=\"_blank\" rel=\"noopener nofollow\">Doomsday Clock<\/a>. Das sah recht beeindruckend aus, h\u00f6rte aber irgendwann auf, ein angemessener Monitor f\u00fcr das Sicherheitsniveau zu sein und wurde abegschaltet.<\/p>\n<p>Heute haben jeder Anwender und jede Firma ihr eigenes Sicherheitsniveau und das h\u00e4ngt von verschiedenen Variablen ab: Insgesamte \u201eHackbarkeit\u201c, der Wert der gespeicherten Daten und wie wichtig sie ihre eigene Sicherheit selbst nehmen.<\/p>\n<p>https:\/\/twitter.com\/DwightVJackson\/status\/646340189657305088<\/p>\n<p><strong>Was sonst noch passiert ist:<\/strong><\/p>\n<p>Es gab zwar viele Nachrichten in der vergangenen Woche, aber eigentlich nichts Besonders.<\/p>\n<p>In Androids Stagefright-Engine wurde eine weitere <a href=\"https:\/\/threatpost.com\/stagefright-2-0-vulnerabilities-affect-1-billion-android-devices\/114863\/\" target=\"_blank\" rel=\"noopener nofollow\">Sicherheitsl\u00fccke entdeckt<\/a>, nachdem bereits im Sommer eine \u00e4hnliche <a href=\"https:\/\/threatpost.com\/android-stagefright-flaws-put-950-million-devices-at-risk\/113960\/\" target=\"_blank\" rel=\"noopener nofollow\">L\u00fccke gefunden worden war<\/a>, die per MMS ausgenutzt werden kann. Die neue L\u00fccke erlaubt es, willk\u00fcrlichen Code auszuf\u00fchren, wenn ein Anwender eine speziell erstellte Seite im Browser \u00f6ffnet. Das Problem dabei liegt in der Art, wie die Metadaten einer Multimediadatei verarbeitet werden.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">1 Billion <a href=\"https:\/\/twitter.com\/hashtag\/Android?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Android<\/a> devices vulnerable to <a href=\"https:\/\/twitter.com\/hashtag\/NEW?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#NEW<\/a> Stagefright flaws\u2026 <a href=\"https:\/\/twitter.com\/hashtag\/nopatches?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#nopatches<\/a> <a href=\"https:\/\/t.co\/1Wt8iqOY2b\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/1Wt8iqOY2b<\/a> via <a href=\"https:\/\/twitter.com\/threatpost?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@threatpost<\/a> <a href=\"http:\/\/t.co\/LJUuODPDra\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/LJUuODPDra<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/649575239999950848?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">October 1, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>In Mac OS X (El Capitan) wurden <a href=\"https:\/\/threatpost.com\/apple-patches-100-vulnerabilities-in-os-x-safari-ios\/114876\/\" target=\"_blank\" rel=\"noopener nofollow\">101 Fehler verbessert<\/a>. Zudem wurde in iOS 9.0.2 ein weiterer <a href=\"http:\/\/www.idownloadblog.com\/2015\/09\/20\/ios-9-access-photos-contacts-locked-iphone-security-flaw\/\" target=\"_blank\" rel=\"noopener nofollow\">Sperrbildschirm-Bypass-Fehler (\u00fcber Siri) gepatched<\/a> (Hey Siri, <a href=\"https:\/\/xkcd.com\/327\/\" target=\"_blank\" rel=\"noopener nofollow\">DROP TABLE<\/a>).<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"es\" dir=\"ltr\"><a href=\"https:\/\/twitter.com\/hashtag\/Apple?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Apple<\/a> Patches 100+ Vulnerabilities in OS X, Safari, iOS: <a href=\"https:\/\/t.co\/S9UMwmqZdZ\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/S9UMwmqZdZ<\/a> <a href=\"http:\/\/t.co\/aAtgKVBKAl\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/aAtgKVBKAl<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/649609655208050688?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">October 1, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Die lange Suche nach Embeddings in TrueCrypt brachte nichts zu Tage. Allerdings fanden die Forscher einen <a href=\"https:\/\/threatpost.com\/veracrypt-patched-against-two-critical-truecrypt-flaws\/114833\/\" target=\"_blank\" rel=\"noopener nofollow\">Fehler<\/a>, der verschl\u00fcsselte Daten nicht entschl\u00fcsseln kann. TrueCrypt k\u00f6nnte allerdings dazu verwendet werden, Anwenderrechte zu erh\u00f6hen. Der Fehler wurde im TrueCrypt-Spin-Off VeraCrypt bereits ausgebessert.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">VeraCrypt Patched Against Two Critical TrueCrypt Flaws: <a href=\"https:\/\/t.co\/B9NXsdPMIm\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/B9NXsdPMIm<\/a> via <a href=\"https:\/\/twitter.com\/threatpost?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@threatpost<\/a> <a href=\"http:\/\/t.co\/HuBd1xEGeB\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/HuBd1xEGeB<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/648589676496977922?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">September 28, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Mobile Ger\u00e4te k\u00f6nnen f\u00fcr DDoS-Attacken missbraucht werden. Und <a href=\"https:\/\/threatpost.com\/javascript-ddos-attack-peaks-at-275000-requests-per-second\/114828\/\" target=\"_blank\" rel=\"noopener nofollow\">es gibt Vermutungen<\/a>, dass ein JavaScript-Banner, das die Webseite des Opfers angreift, \u00fcber Malvertising-Netzwerke eingeschmuggelt werden kann. Interessanterweise kosten solche Angriffe nur wenige Cent.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\"><a href=\"https:\/\/twitter.com\/hashtag\/JavaScript?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#JavaScript<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/DDoS?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#DDoS<\/a> Attack Peaks at 275,000 Requests-Per-Second \u2013 <a href=\"https:\/\/t.co\/W5JXy4xuOA\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/W5JXy4xuOA<\/a> via <a href=\"https:\/\/twitter.com\/threatpost?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@threatpost<\/a> <a href=\"http:\/\/t.co\/vtajguZIXn\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/vtajguZIXn<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/648546336917299200?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">September 28, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p><strong>Oldies:<\/strong><\/p>\n<p>Bebe<\/p>\n<p>Ein nicht-resistenter, gef\u00e4hrlicher Virus. Er infiziert .COM-Dateien des aktuellen Katalogs. Er vergr\u00f6\u00dfert eine Datei, um ein Vielfaches eines Absatzes zu erreichen, kopiert sich dann selbst ans Ende der Datei und \u00e4ndert die ersten 14 Bytes (PUSH AX;\u2026; JMP FAR Loc_Virus). Da er nicht-resistent ist, erstellt er ein resistentes Programm. Er kopiert einen Teil seines Codes in die Interrupt Vector Table bei 0000:01CE und setzt den 1Ch-Interruption (Timer). Nach einiger Zeit wird die folgende Nachricht auf dem Bildschirm angezeigt:<\/p>\n<p>VIRUS!<\/p>\n<p>Skagi \u201abebe\u2018&gt;<\/p>\n<p>Sobald der Anwender \u201ebebe\u201c eingibt, antwortet der Virus auf Russisch mit \u201eFig Tebe!\u201c (\u201eLeck mich!\u201c), was auf sein Ursprungsland hindeutet. Im Code ist ein Fehler enthalten: Er stellt DTA nicht wieder her. Das kann in einem langsamen PC resultieren. Ein weiterer Fehler: Der Virus zieht die Pipeline in Intel-80\u00d786-Prozessoren nicht in Betracht und modifiziert das Kommando nach dem aktuellen. Das f\u00fchrt dazu, dass er nur auf veralteten IBM-PC-Modellen l\u00e4uft. Neben dem angesprochenen Text enth\u00e4lt er eine *.COM-Zeile.<img loading=\"lazy\" decoding=\"async\" class=\"alignright\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2015\/09\/06140754\/infosec-digest-32-book1.jpg\" alt=\"\" width=\"234\" height=\"300\"><\/p>\n<p><em>Zitat aus \u201eMS-DOS-Computerviren\u201c von Eugene Kaspersky, 1992, Seite 60.\u00a0<\/em><\/p>\n<p><em>Hinweis: Diese Kolumne spiegelt die pers\u00f6nliche Meinung des Autors wider. Diese kann, muss aber nicht mit der Position von Kaspersky Lab \u00fcbereinstimmen. Das ist Gl\u00fccksache.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>In dieser Woche dreht sich unser Wochenr\u00fcckblick um den Unterschied zwischen echten und theoretischen Bedrohungen.<\/p>\n","protected":false},"author":13,"featured_media":6228,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711,6],"tags":[274,810,121,25,1592,382,1598,838,1012,1682],"class_list":{"0":"post-6224","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-bedrohungen","10":"tag-fehler","11":"tag-firefox","12":"tag-microsoft","13":"tag-ruckblick","14":"tag-sicherheitslucken","15":"tag-sicherheitswoche","16":"tag-software","17":"tag-updates","18":"tag-winrar"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/security-week-40\/6224\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/security-week-40\/6102\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/security-week-40\/6296\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/security-week-40\/6263\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/security-week-40\/6984\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/security-week-40\/6712\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/security-week-40\/9170\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/security-week-40\/10092\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/security-week-40\/9120\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/security-week-40\/9170\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/security-week-40\/10092\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/security-week-40\/10092\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/bedrohungen\/","name":"Bedrohungen"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/6224","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/13"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=6224"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/6224\/revisions"}],"predecessor-version":[{"id":24361,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/6224\/revisions\/24361"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/6228"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=6224"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=6224"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=6224"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}