audio-video-disco

Microsoft hat wie angekündigt gestern den Mai-Patchday gestartet und insgesamt 19 Lücken in Microsoft-Produkten geschlossen. Unter anderem wurden sechs Fehler im Internet Explorer, eine Sicherheitslücke im DNS-Server sowie drei Schwachstellen in der Tabellenkalkulation Excel behoben.

Eine Zusammenfassung aller geschlossenen Lücken gibt es wie immer in Microsofts Security Bulletin Summary for May 2007.

Alle, die auf einen Patch für die, im Rahmen des Month of ActiveX Bugs gefundene kritische Lücke im Word-Viewer (WordViewer.ocx) warten, müssen sich aber noch etwas gedulden. Das ActiveX Control wurde von der Firma OfficeOCX entwickelt und somit ist von Microsoft kein Patch zu erwarten.

Kaum ist Nico Lummas shoppero.com gelauncht worden, da gibt es auch schon das erste Sicherheitsproblem. Wie Bjoern von ThinkPHP aufgedeckt hat, findet auf einer Empfehlungsseite eines Nutzers eine Second Order XSS Attacke statt, welche mal eben die eigene Session klaut. Damit auch “Otto-Normal” das ganze versteht, dokumentiert Bjoern das ganze noch mit ein paar erschreckenden Screenshots und für alle Experten gibt es eine “Analyse” des HTML-Sourcecodes.

Ok, so etwas kann passieren – Programmierer sind ja auch nur Menschen – aber vielleicht hätte sich das Shoppero-Team doch etwas mehr als knapp 6 Wochen Zeit nehmen sollen, um das System in die Public-Beta zu hieven. Vielleicht hätte es auch ein simples htmlentities() im Code gereicht, um zumindest den “gröbsten Dreck” draußen zu lassen, doch kenne ich den Code nicht um derartige Rückschlüsse zu ziehen.

Nun ja, Nico wurde bereits per E-Mail benachrichtigt und es bleibt abzuwarten, wie lange der Bug bzw. der Schadecode noch online ist. Im Moment ist er es auf jeden Fall noch. Auf jeden Fall ist es kein wirklich guter Anfang für ein so junges Startup … So long, so was passiert und StudioVZ hat´s auch überlebt, von daher wird das Kind noch nicht in den Brunnen gefallen sein ;)

Update
Auch bei fixmbr ist man dem XSS-Problem schon auf die Schliche gekommen und auch hier gibt´s reichlich Stoff zur Diskussion

Wie heise Security berichtet, ist mal wieder ein Fehler im IE aufgetaucht. Ähnlich der Lücke aus dem Jahre 2004 ist auch hier wieder eine Benutzerinteraktion notwendig, was das ganze, so meinen zumindest die Redmonder, zu einem minderschweren Sicherheitsproblem macht. Demzufolge soll ein Patch zum Schließen dieser Lücke auch erst in Service Pack 3 für XP bzw. Service Pack 2 für Windows 2003 enthalten sein. Für Windows 2000 wird es sogar gar kein Patch geben.

Matthew Murphy, der Entdecker der Schwachstelle beschreibt übrigends drei WorkArounds, wie man sein System absichern kann:

1) Javascript aus
2) den Zugriff von Webseiten auf die lokale Zone beschränken
3) Kill-Bit auf das Shell.Explorer-Control setzten

Lösung 4 wäre übrigends ein Patch von Microsoft, aber darauf kann der User mal wieder warten bis er schwarz wird, was für mich mal wieder ein eindeutiger Grund ist, alternative Browser zu bevorzugen.

[via heise.de]

Laut dem Blog der Washingtonpost erkennt das Microsoft Anti-Spyware-Tools seit den Updates 5805 und 5807 das Anti-Viren-Tool “Norton Anti-Virus” als Software, die Passwörter stehlen würde und biete dem User an, dieses zu löschen.

Ein Schelm, wer böses dabei denkt, doch es kommt noch schlimmer: Läßt man das Redmonder Anti-Spyware-Tool seine Arbeit machen und das “böswillige passwortklauende Softwareungetüm” entfernen, läßt sich Norton Anti-Virus weder starten noch vernünftig deinstallieren. Erst Eingriffe in die Registry entfernt Norton Anti-Virus vollständig und ermöglichen eine Neuinstallation.