Sicherheit – Das Leben ist kein Ponyhof

Die Zeiten, wo die Gegenseite nur “War Games” spielt und pubertierende Jugendliche sich selbst unter Beweis stellen wollen, sind vorbei. An deren Stelle sind Profis getreten… oftmals mit Naheverhältnis zur organisierten Kriminalität, die für solche unbekannten Lücken großes Interesse zeigt. Die “braven” Entdecker von Lücken, informieren zuerst den Hersteller und geben diesem Zeit, die Lücke zu schließen,… tja und die, die irgendwo dazwischen sind, posten einfach mal (für Ruhm?) ihre Exploits,..

Auf dem Blog von Gh0ul1 gibt es  z.B. eine 0-day Lücke für OpenSSL 4.3. Das ist zwar schon etwas betagt, aber dennoch oft im Einsatz, siehe zum Beispiel die Diskussion aus dem März bei einem gehackten Provider). Auf selbiger Webseite findet sich neben anderen Nettigkeiten, wie z.B. ein Exploit für phpmyadmin oder auch die Information zu einer Lücke in DirectShow: Microsoft DirectShow MPEG2TuneRequest Stack Overflow Exploit. Heise verweist heute darauf:

image_58

image_59

Quelle: Heise Security

Anders gesagt: wer Windows Vista, Windows 7 oder Windows Server 2008 (R2) hat dürfte (wieder einmal) nicht betroffen sein. Workaround ist derzeit nur, das KillBit für das verwundbare ActiveX Control zu setzen (siehe auch How to stop an ActiveX control from running in Internet Explorer).

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0955AC62-BF2E-4CBA-A2B9-A63F772D46CF}] "Compatibility Flags"=dword:00000400

Offtopic: da mein Chinesisch sich darauf begrenzt, beim Bestellen auf M3 zu zeigen, hilft BING natürlich gaaaanz viel: Microsoft Translator

image_71UPDATE: Micros oft hat einen KB Artikel dazu veröffentlicht: http://support.microsoft.com/kb/972890 inklusive FixIt Installer, der das manuelle BEarbeiten der Registry erspart.

In diesem Zusammenhang fällt seitens allgegenwärtigen Forentrolle wie das Amen im Gebet immer der Hinweis, man möge doch zu Apple oder einem anderen Browser wechseln. Sicherheitsexperten halten das bestensfalls für einen bemitleidenswerten Tipp.

image_60

Ach ja, es reicht mit Firefox auf eine Webseite zu gehen, mehr ist unter Mac nicht notwendig, um sich zu infizieren.

image_61

Quelle: Heise Security

image_62

Quelle: Heise Security

Na gut, jetzt könnte man immer noch sagen, dass das ganze gerade mal eine einzige Lücke war, die zudem an eine bestimmte Java Version gebunden war, die es auch für Windows (und alle anderen Systeme) gab. Da dort allerdings SUN den Java Support übernimmt (oder Oracle?) war die Lücke dort schnell wieder weg. Nicht so am Mac, denn da kümmert sich Apple (nicht) darum… und wenn man sicherheitsrelevante Mac-Seiten besucht,… also “wenig” gibt’s dort ja auch nicht: siehe z.B. http://www.securemac.com/

image_63

Apple nutzt zwar heftig OpenSource, bindet aber Patches sehr langsam ein. Einen mit Microsoft vergleichbaren SDL (Security Developement Lifecycle) gibt es nicht. Damit steht Apple ungefähr dort, wo Microsoft vor ca. 5 Jahren stand. Microsoft auf der anderen Seite hat bei vielen Dingen noch mit den Altlasten (IE, ActiveX, XP) aus dieser Zeit zu kämpfen.

Fazit
Zusammenfassend kann man sagen: Die Welt dreht sich weiter und ein System, das einfach schon einige Jahre auf dem Buckel hat, ist eben auch sicherheitstechnisch nicht mehr State-of-the-Art. Ein Internet Exploiter 6 oder auch Windows XP verursacht eben Kosten, und erhöht den Leidensdruck, vielleicht doch mal etwas moderneres einzusetzen. Damit ist allerdings (vor allem aus dem Blickwinkel “Sicherheit”) sicher nicht MacOS X gemeint, das wäre eher ein vom “Regen in die Traufe”. Ja, nicht populär die Aussage (weder für Microsoft/XP-Liebhaber, noch für Apple-Fans), aber wohl richtig.

Deswegen:

  • Updates. Updates. Updates. Automatisch. Wenn der Hersteller etwas herausbringt, dann soll man das Zeitnahe einspielen. Das gilt für Firmen (die u.U. Patches vorab testen) aber ohne Ausnahme für Privatuser.
  • Das gilt für alle Systeme. Aktuell ist z.B. für BSD und Konsorten OpenSSH 5.2. Wenn man 4.3 einsetzt, … Apple hat ein schönes Logo, es befreit aber nicht von den Notwendigkeiten aller anderen Betriebssysteme.
  • Wenn der Hersteller keine Updates liefert, dann gehört er getreten. Egal ob der Hersteller in Redmond oder Cupertino sitzt.

Für Firmen: schon mal den AppLocker (Windows 7) angeschaut? Da wird es ein Trojaner wieder mal um einiges schwerer haben,…

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s