SICHER o INFORMIERT
Der Newsletter von www.buerger-cert.de
Ausgabe vom 20.03.2008


Die Themen dieses Newsletters:

1. Trojaner im Anmarsch: Spam-Mails locken mit kostenlosen Bildschirmschonern
2. Gefaehrliche Umleitung: Online-Kriminelle missbrauchen vertrauenswuerdige Webseiten zur Schadcodeverbreitung
3. Ausgespaeht: Flash-Funktionen ermoeglichen Datenspionage bei eBay-Auktionen
4. Absturzgefaehrdet: RealPlayer weist Schwachstelle auf
5. Wieder ein Leck: Sicherheitsluecke im VLC Mediaplayer
6. Heimtueckisch: Download-Manager laedt Trojanische Pferde
7. Unbedingt updaten!: Microsoft schliesst kritische Luecken in Office-Programmen
8. Ein Patch kommt selten allein: Apple schliesst 46 Sicherheitsluecken
9. Schnell patchen!: F-Secure stellt Updates fuer mehrere Produkte bereit
10. Damit die Sonne wieder scheint: Sicherheitsluecken in SUN Java geschlossen
11. Provider muessen nachruesten: Online-Kriminelle umgehen vermehrt Spam-Schutz von E-Mail-Diensten

1. STOERENFRIEDE: Spam-Mails locken mit kostenlosen Bildschirmschonern

Trojaner im Anmarsch
Online-Kriminelle verbreiten derzeit E-Mails, in denen vermeintliche
3D-Bildschirmschoner zum kostenlosen Download angeboten werden. Dies
meldet das IT-Sicherheitsunternehmen Sunbelt Software
[http://www.sunbelt-software.com/]. Die Mails mit dem Betreff "Best
screensaver for you" werben mit extrem realistisch wirkenden 3D-Motiven,
die der Empfaenger ueber die angegebenen Webseiten herunterladen koenne.
Folgt man jedoch einem der aufgefuehrten Links und klickt eine der
Dateien an, wird ein Trojanisches Pferd auf dem Rechner installiert.
Dieses laedt weitere Schadsoftware aus dem Netz nach. Empfaenger sollten
die Mails umgehend loeschen und keinesfalls weiterleiten. Ausserdem
sollte der Antivirenschutz stets auf dem aktuellen Stand gehalten
werden. Mehr Infos zu Trojanischen Pferden gibt es auf der
BSI-FUER-BUERGER-Seite [http://www.bsi-fuer-buerger.de/viren/04_04.htm].


2. STOERENFRIEDE: Online-Kriminelle missbrauchen vertrauenswuerdige Webseiten zur Schadcodeverbreitung

Gefaehrliche Umleitung
Online-Betrueger missbrauchen derzeit bekannte Webseiten, um
schaedliche Software im Netz zu verbreiten, berichtet die IT-News-Seite
Heise [http://www.heise.de]. Dazu genuegt es, wenn der Nutzer Links aus
Suchergebnissen von Suchmaschinen anklickt. Die Online-Kriminellen
manipulieren die angegebenen Suchergebnisse, so dass der Nutzer auf eine
praeparierte Webseite umgeleitet wird, wenn er auf den Ergebnis-Link
klickt. Auf den Seiten werden zu Phishing-Zwecken private Daten
ausspioniert oder vermeintliche Videocodecs und Antispyware zum Download
angeboten. Laedt der Nutzer diese Dateien jedoch herunter und fuehrt sie
aus, installiert sich ein Trojanisches Pferd auf den PC. Betroffen sind
unter anderem Webseiten wie ZDnet Asia sowie Webauftritte von
US-Universitaeten und US-Behoerden.


3. STOERENFRIEDE: Flash-Funktionen ermoeglichen Datenspionage bei eBay-Auktionen

Ausgespaeht
Die Verbraucherschutzseite falle-internet.de
[http://www.falle-internet.de] berichtet von einer Schwachstelle, ueber
die Angreifer private Daten von eBay-Anwendern ausspionieren koennen.
Dazu genuegt das Anschauen einer manipulierten Auktion als angemeldeter
Nutzer. Ueber praeparierte Flash-Animationen, die in dem Angebot
eingebunden sind, koennen die Betrueger dann Name, Adresse sowie weitere
private Informationen ausspaehen. Ausserdem koennen mithilfe eines
manipulierten Log-In-Formulars die Anmeldedaten des Nutzers ausgelesen
werden. Anwendern wird geraten, Flash zu deaktivieren.


4. STOERENFRIEDE: RealPlayer weist Schwachstelle auf

Absturzgefaehrdet
Ueber eine Sicherheitsluecke im RealPlayer ist es Angreifern moeglich,
den Browser des Nutzers zum Absturz zu bringen. Moeglicherweise laesst
sich die Schwachstelle auch ausnutzen, um schaedliche Software auf
fremde Rechner zu schleusen. Dies berichtet die IT-News Seite Heise
[http://www.heise.de]. Dazu genuegt es, mit dem Internet Explorer eine
manipulierte Webseite zu besuchen, die ActiveX-Elemente enthaelt. Einen
Patch, der das Problem beseitigt, gibt es bislang nicht. Das
Buerger-CERT raet Anwendern, generell Aktive Inhalte zu deaktivieren.


5. STOERENFRIEDE: Sicherheitsluecke im VLC Mediaplayer

Wieder ein Leck
Ueber eine Schwachstelle im VLC Mediaplayer ist es Online-Kriminellen
moeglich, mithilfe von manipulierten Untertitel-Dateien schaedliche
Software auf fremden Computern auszufuehren. Betroffen sind die
Versionen 0.8.6c bis einschliesslich der erst kuerzlich
veroeffentlichten Version 0.8.6e. Ein Update, das den Fehler beseitigt,
wurde bisher noch nicht veroeffentlicht. Nutzern wird geraten, keine
Multimedia-Dateien aus nicht vertrauenswuerdigen Quellen zu oeffnen, da
Untertitel-Dateien automatisch geladen werden. Sobald ein Patch bereit
steht, sollte dieser umgehend installiert werden.


6. STOERENFRIEDE: Download-Manager laedt Trojanische Pferde

Heimtueckisch
Wie das IT-Sicherheitsunternehmen Kaspersky
[http://www.kaspersky.com/de/] meldet, schleuste der Download-Manager
FlashGet fuer Windows zehn Tage lang Trojanische Pferde auf die Rechner
der Nutzer. Offenbar hatten Cyberkriminelle die Webseite des Herstellers
gehackt und die Schadsoftware dort eingeschmuggelt. Dies hatte zur
Folge, dass FlashGet die schaedlichen Dateien automatisch auf die PCs
der Anwender lud. Der Fehler wurde mittlerweile behoben. Betroffen waren
alle FlashGet-Versionen 1.9.xx. Anwender sollten auf jeden Fall den
Rechner auf Viren ueberpruefen und das FlashGet-Verzeichnis nach den
schaedlichen Dateien inapp4.exe, inapp5.exe und inapp6.exe durchsuchen.
Das Buerger-CERT empfiehlt, beim Download von Programmen aus dem
Internet generell Vorsicht walten zu lassen.


7. SCHUTZMASSNAHMEN: Microsoft schliesst kritische Luecken in Office-Programmen

Unbedingt updaten!
An seinem monatlichen Patch-Day hat Microsoft vier Updates
veroeffentlicht, die insgesamt 12 kritische Sicherheitsluecken in MS
Office beseitigen. Ueber die Schwachstellen ist es Angreifern
beispielsweise moeglich, schaedlichen Code auf fremde Computer zu
schleusen. Dazu genuegt unter anderem der Besuch einer praeparierten
Webseite oder das Oeffnen eines per E-Mail zugesendeten Excel-Dokuments.
Nutzer sollten die Updates MS08-14 bis MS08-17 schnellstmoeglich
einspielen. Dies geschieht am einfachsten ueber die
Windows-Update-Webseite [http://windowsupdate.microsoft.com]. Auch fuer
die Office-Versionen 2004 und 2008 fuer Mac OS X-Systeme stellt
Microsoft Patches zur Verfuegung. Anwender sollten diese umgehend von
der Herstellerseite [http://www.microsoft.com/downloads] herunterladen
und installieren.


8. SCHUTZMASSNAHMEN: Apple schliesst 46 Sicherheitsluecken

Ein Patch kommt selten allein
Apple beseitigt mit seinem Update 2008-002 insgesamt 46 Schwachstellen
in verschiedenen Anwendungen. Viele der Sicherheitsluecken ermoeglichten
es Angreifern bislang, schaedliche Software auf fremde PCs zu schleusen
- beispielsweise ueber praeparierte E-Mail-Anhaenge. Betroffen sind
beispielsweise die Application Firewall, das Appkit, der Help Viewer
sowie in Mac OS X integrierte Programme von anderen Anbietern wie Clam
AV, Apache oder Kerberos. Ausserdem schliesst der Hersteller 13
Schwachstellen in Apple-Safari. Sofern Anwender die automatische
Update-Funktion aktiviert haben, erhalten sie die Patches automatisch.


9. SCHUTZMASSNAHMEN: F-Secure stellt Updates fuer mehrere Produkte bereit

Schnell patchen!
F-Secure hat verschiedene Schwachstellen in seinen Virenscannern
beseitigt. Ueber die Sicherheitsluecken war es Online-Kriminellen
bislang moeglich, Schadprogramme auf fremden Rechnern auszufuehren oder
Komponenten zum Absturz zu bringen. Dazu genuegt das Oeffnen von
praeparierten Archivdateien. Das Buerger-CERT raet Nutzern dazu, die
bereit gestellten Updates umgehend einzuspielen. Die Produkte F-Secure
Messaging Security Gateway, Internet Security sowie Mobile Anti-Virus
werden ueber das automatische Update aktualisiert. Alle anderen
betroffenen Antivirusloesungen muessen manuell auf den aktuellen Stand
gebracht werden. Eine Liste mit allen Updates steht bei F-Secure
[http://f-secure.com/security/fsc-2008-2.shtml] zum Download bereit.


10. SCHUTZMASSNAHMEN: Sicherheitsluecken in SUN Java geschlossen

Damit die Sonne wieder scheint
Ueber Schwachstellen in der SUN Java Laufzeitumgebung und in SUN Java
Webstart ist es Angreifern unter anderem moeglich, Schadcode auf fremde
Rechner zu schleusen oder Sicherheitseinstellungen zu umgehen. Betroffen
sind JDK und JRE bis einschliesslich Version 6 Update 4, JDK und JRE bis
einschliesslich Version 5.0 Update 14 sowie SDK und JRE bis
einschliesslich Version 1.4.2 Update 16. Das Unternehmen stellt Updates
zur Verfuegung, welche die Probleme beseitigen. Sie stehen beim
Hersteller [http://java.sun.com] zum Download bereit.


11. PRISMA: Online-Kriminelle umgehen vermehrt Spam-Schutz von E-Mail-Diensten

Provider muessen nachruesten
Cyberkriminellen gelingt es immer haeufiger, den Spam-Schutz von
E-Mail-Diensten zu umgehen. Dies berichtet das IT-Sicherheitsunternehmen
MessageLabs [http://de.messagelabs.com/] in seinem Intelligence Report
fuer den Monat Februar. Viele E-Mail-Anbieter nutzen das so genannte
"Captcha"-Verfahren (Completely Automated Public Turing test to tell
Computers and Humans Apart, zu Deutsch etwa: Vollautomatischer
Turing-Test, um Computer und Menschen zu unterscheiden), um sich vor
Missbrauch zu schuetzen. Bei diesem Verfahren wird beispielsweise eine
Zahlenfolge angegeben, die der Nutzer manuell eintippen muss, bevor er
sich auf einer Seite registrieren kann. Cyberkriminelle wenden nun
Techniken an, um die Captcha-Abfrage zu umgehen und nutzen ihre
Bot-Netze dazu, um massenweise E-Mail-Konten anzulegen. Diese werden
anschliessend zum Spam-Versand eingesetzt. Laut MessageLabs werden 4,6
Prozent der Spam-Mails ueber Webmail-Dienste verschickt. Den weitaus
groessten Anteil nimmt dabei Yahoo Mail mit 88,7 Prozent ein. Der Anteil
der Spam-Mails ueber Google G-Mail hat sich seit Januar von 1,3 Prozent
auf 2,6 Prozent verdoppelt. E-Mail-Provider muessten daher auf lange
Sicht umdenken, um ihre Dienste wirksam vor Missbrauch zu schuetzen.