Sicherheitslecks in Powerpoint und Internet Explorer
Nach dem Bekanntwerden einer ActiveX-Sicherheitslücke im Internet Explorer in der vergangenen Woche melden Sicherheitsunternehmen nun eine weiteres Sicherheitsleck in Microsofts Webbrowser. Zudem wird eine neue Sicherheitslücke in Powerpoint gemeldet. Die bislang noch ungepatchte IE-Schwachstelle geht auf einen Fehler bei der Verarbeitung von VML-(Vector-Mark-Up-Language)-Elementen zurück und kann von Angreifern zur Ausführung von beliebigem Code ausgenutzt werden. Wie das Sicherheitsunternehmen Sunbelt, das die Schwachstelle zuerst gemeldet hatte, berichtet, wird das IE-Leck bereits vornehmlich über Pornoseiten ausgenutzt. "Diese Seiten verteilen bereits über 40 verschiedene Malware-Typen wie Keylogger, Adware und Backdoors", erklärt Eric Sites, Vizepräsident Research und Development bei Sunbelt.
Die Sicherheitsunternehmen Secunia und FrSIRT [Link entfernt] gaben für das VML-Leck Sicherheitswarnungen der höchsten Stufe heraus. Ken Dunham, Leiter von Verisigns iDefense Rapid Response Team warnt: "Vollständig gepatchte Internet Explorer sind verwundbar. Dieser neue Zero-Day-Angriff ist einfach zu reproduzieren und hat das Potenzial für großflächige Web-basierte Angriffe in der näheren Zukunft." Microsoft hat zur VML-Sicherheitslücke bereits ein Security Advisory veröffentlicht, in dem ein Sicherheits-Patch für die Schwachstelle zum Oktober-Patch-Day angekündigt wird. Im Falle von weit verbreiteten Angriffen werde ein Sicherheits-Update eventuell auch vor dem Patch-Day bereitgestellt. Mit Microsofts kostenlosem Online-Sicherheitsscanner Live OneCare könne das System auf Schädlinge untersucht und diese entfernt werden.
Während die IE-Sicherheitslücke sich offensichtlich für großflächige Angriffe eignet, scheint die von Symantec entdeckte neue Sicherheitslücke in Powerpoint bislang nur im begrenzten Ausmaß ausgenutzt zu werden. Ähnlich wie bei der Powepoint-Lücke vom Juli, die für gezielte Angriffe eingesetzt worden war, soll auch diese von einem Trojanischen Pferd, Trojan.PPDropper.E, ausgenutzt werden, das eine Backdoor installiert. Von Microsoft liegt zu der neuen Powerpoint-Schwachstelle noch keine Stellungnahme vor.
Wurm in AOLs Instant Messenger-Netzwerk AIM
Nach Angaben des Sicherheitsunternehmen FaceTime ist in AOLs Instant Messenger-Netzwerk AIM momentan ein besonders bösartiger Wurm, W32.pipeline, im Umlauf. AIM-Nutzer erhalten eine IM-Nachricht, die als Absender einen bekannten AIM-Kontakt hat und einen Link enthält. Klickt der Nutzer auf den Link wird eine ausführbare Datei, die sich als JPEG-Bilddatei tarnt, in den Windows-Systemordner geladen. FaceTime zufolge kann der Wurm verschiedene Malware-Routinen ausführen. So könne er den PC des Nutzers als Zombie-Rechner benutzen, indem er einen E-Mail-Port öffnet und Spam-Nachrichten verschickt.
Der Wurm nimmt zudem Kontakt mit Remote-Servern auf, um weitere Botnet-Dateien herunterzuladen. Hierbei sei W32.pipeline schwer beizukommen, da der Wurm an mehrere Seiten zufällig Anforderungen schickt - ein "normaler" Wurm, der nur an eine Seite Anforderungen schickt, kann durch die Abschaltung der jeweiligen Downloadseite leichter unter Kontrolle gebracht werden. Der Wurm könne auch eine Variante des Rootkits "Hacker Defender" installieren und wäre damit nur schwer zu erkennen und zu deinstallieren - bei einer Infektion helfe nur eine Neuformatierung der Festplatte. FaceTime erklärt, die beste Abwehrmaßnahme sei erhöhte Vorsicht vor einem Klick auf Links in unerwarteten Nachrichten von IM-Kontakten.