Das Jahr 2016 beginnt halbwegs erfreulich: Microsoft hat am
Januar-Patchday
zwar einige bereits zuvor veröffentlichte Schwachstellen behoben, es
gibt aber bisher keine Angriffe darauf. Wir haben es diesmal also
ausschließlich mit 0-Day-Schwachstellen zu tun, die gefährlichen
0-Day-Exploits dafür sind uns erspart geblieben.
Zumindest bisher, denn in der Aufzählung vermisse ich ein Bulletin: Es
gibt MS16-001 bis MS16-008 und MS16-010, das Bulletin MS16-009 fehlt aber.
Da scheint Microsoft mal wieder einen Patch kurz vor der
Veröffentlichung gestoppt zu haben, vermutlich weil er noch nicht
fehlerfrei ist. Hoffen wir mal, dass der ebenfalls keinen 0-Day-Exploit
betrifft.
Und nur der Vollständigkeit halber: Auch 2016 werde ich wieder eine
Übersicht
über die veröffentlichten 0-Day-Expoits und -Schwachstellen
führen. Noch ist die aber sehr übersichtlich – es sind ja nur
die drei unten aufgeführten 0-Day-Schwachstellen drin, die eine Remote
Code Execution erlauben.
MS16-001 – Privilegieneskalation im Internet Explorer
“Microsofts Januar-Patchday 2016: Einige 0-Day-Schwachstellen, aber keine Exploits” vollständig lesen
Adobe hat außer der Reihe ein
Sicherheitsupdate
für den Flash Player
veröffentlicht.
Oder genauer: Das Januar-Update vorgezogen, wie man an der Nummerierung des
Security Bulletins (APSB16-01) leicht erkennen kann. Der Grund: Es gibt
mal wieder einen 0-Day-Exploit, der im Rahmen gezielter Angriffe eingesetzt
wird. So spontan drängt sich mir die Frage auf, wer denn da angegriffen
wird, wenn man “zwischen den Jahren” ein außerplanmäßiges Update
veröffentlicht.
“Ein 0-Day-Exploit für den Flash Player zum Jahresabschluss” vollständig lesen
Am
Dezember-Patchday
hat Microsoft mal wieder 0-Day-Schwachstellen behoben. Zwar “nur” 3, aber
2 davon werden bereits für Angriffe ausgenutzt.
Codeausführung in MS Office
“Microsoft hat Patchday, und wie üblich werden 0-Days behoben” vollständig lesen
Für eine seit neun Monaten bekannte und immer noch nicht gepatchte
Schwachstelle in der Java-Library Apache Common Collections wurden von
Stephen Breen 0-Day-Exploits für WebLogic, WebSphere, JBoss, Jenkins und
OpenNMS
veröffentlicht.
Und die sind nur die Spitze eines Eisbergs an betroffenen Anwendungen.
Weshalb Stephen Breen auch die 0-Day-Exploits veröffentlicht hat.
Anders kann man die Gefahr durch die lange Zeit ignorierte Schwachstelle
wohl nicht deutlich machen.
Die Schwachstelle in Common Collections
“0-Day-Exploits für WebLogic, WebSphere, JBoss, …” vollständig lesen
Am
November-Patchday
hat Microsoft 4
0-Day-Schwachstellen
behoben. Keine davon wird bisher ausgenutzt. Und keine davon ist auch nur
im entferntesten kritisch. Noch besser sieht es bei Adobe aus: Im Flash
Player wurden zwar
17 Schwachstelle behoben,
aber keine davon wurde zuvor veröffentlicht oder wird bereits ausgenutzt.
Was beim Flash Player nach bisher
8 0-Day-Exploits in diesem Jahr
(von insgesamt 16) fast an ein Wunder grenzt.
MS15-115, Windows, KASLR umgehen
“Microsofts November-Patchday: 4 0-Day-Schwachstellen, aber keine Exploits” vollständig lesen
Mit dem
Oracle Critical Patch Update – October 2015
hat Oracle mal eben 154 Schwachstelle behoben. Das hat sich ja mal wieder
gelohnt. Aber wenn man nur vierteljährlich patcht und die Benutzer in
der Zwischenzeit im Regen stehen lässt sammelt sich halt so einiges
an.
Da muss man schon froh sein, dass diesmal nur eine der Schwachstelle
bereits vor Veröffentlichung des Patches für Angriffe ausgenutzt
wurde. Dass das mal wieder eine Java-Schwachstelle ist dürfte bei
Oracle niemanden verwundern. Die Cyberkriminellen haben nun mal ein paar
Lieblingsziele, wenn es darum geht, Client-Rechner übers Web
anzugreifen. Und dazu gehört neben den Adobe Reader und Flash Player
von Adobe und dem IE von Microsoft eben auch Java. Ja, auch das
Java-Plugin ist Java, siehe unten im Text!
“Click-to-Play” – statt einziger Schutz gar kein Schutz
“Oracle patcht drei Monate alte 0-Day-Schwachstelle in Java” vollständig lesen
Trend Micro hat einen 0-Day-Exploit für den Flash Player entdeckt.
Und damit einen eigentlich recht erfreulichen Oktober-Patchday
getrübt: Weder Microsoft noch Adobe haben einen Patch für bereits
ausgenutzte Schwachstellen veröffentlicht. Microsoft hat lediglich
vier bereits veröffentlichte, aber noch nicht angegriffene
Schwachstellen behoben.
Gezielte Angriffe mit 0-Day-Exploit für Flash Player
“0-Day-Exploit für Adobes Flash Player im Einsatz, kein Patch verfügbar” vollständig lesen
XcodeGhost ist eine sehr ungewöhnliche Art von Schadsoftware: Sie wird
über eine manipulierte Version von Apples Entwicklungsumgebung Xcode
verbreitet und ist dadurch in etliche damit entwickelte Apps in Apples App
Store gelangt. Etwas, was eigentlich nicht passieren sollte.
XcodeGhost besteht also im Grunde aus zwei Teilen:
- Der in die iOS-Apps eingeschleuste Schadcode zum Ausspähen der
Benutzer und zum Ausführen von Anweisungen der Cyberkriminellen und
- der in den manipulierten Xcode-Versionen enthaltene “Schadcode” zum
Einfügen dieses “Client-Schadcodes” in die Apps.
Nach ersten Berichten in China wurde der Angriff am 17. September von Palo
Alto Networks erstmals auf englisch beschrieben.
1. Der Client-Teil von XcodeGhost
“XcodeGhost – Via manipulierten Xcode-Versionen in den iOS App Store” vollständig lesen
Am September-Patchday hat Microsoft zwei Schwachstellen behoben, die
bereits für Angriffe ausgenutzt werden: Eine Code Execution in
Microsoft Office und eine Privilegieneskalation in Microsoft Graphics.
Außerdem wurden vier weitere 0-Day-Schwachstellen behoben, die bisher
nicht für Angriffe ausgenutzt werden. Bei den kritischen
0-Day-Schwachstellen sind wir damit in diesem Jahr bei
insgesamt
15 Schwachstellen mit 0-Day-Exploit und 3 Schwachstellen ohne Exploit
angekommen.
Codeausführung in Microsoft Office
“Microsofts September-Patchday: Zwei 0-Day-Exploits im Umlauf” vollständig lesen
Microsoft hat gestern
außer der Reihe
ein Update für den Internet Explorer veröffentlicht. Laut dem
zugehörigen Security Bulletin
MS15-093
wird die Schwachstelle mit der CVE-ID
CVE-2015-2502
bereits für Angriffe ausgenutzt. Was aber zu erwarten war, denn warum
sonst sollte Microsoft das Update außer der Reihe
veröffentlichen?
Damit sind wir
in diesem Jahr
bei 14 0-Day-Exploits angekommen. Ungeschlagener Spitzenreiter ist nach
wie vor der Flash Player mit bisher sieben Exploits. Außerdem gab es
drei für Microsoft Office, mit dem heutigen ebenfalls drei für
den Internet Exlorer und einen für Java.
Informationen mal wieder Mangelware
“Microsoft patcht außer der Reihe 0-Day-Schwachstelle im IE” vollständig lesen
Auch am August-Patchday hat Microsoft mal wieder 0-Day-Schwachstellen
behoben, die bereits für Angriffe ausgenutzt werden: Eine Remote Code
Execution in Microsoft Office und eine Privilegieneskalation im Mount
Manager, die wohl auch zum Einschleusen von Code genutzt werden kann, sofern
der Angreifer einen USB-Stick anschließen (lassen) kann.
Damit sind wir bei 13 0-Day-Exploits
in diesem Jahr
angekommen. Ungeschlagener Spitzenreiter ist der Flash Player mit bisher
sieben Exploits. Außerdem gab es drei für Microsoft Office,
zwei für den Internet Exlorer und einen für Java.
Code-Ausführung in MS Office
“Microsoft patcht 0-Day-Schwachstellen in Microsoft Office und Windows” vollständig lesen
Joshua J. Drake von den Zimperium zLabs hat
mehrere Schwachstellen
in der Multimedia-Bibliothek
Stagefright
von Android entdeckt, die die Ausführung beliebigen Codes erlauben. Und
von Trend Micro wurde darin
eine Schwachstelle
entdeckt, über die das Gerät nahezu komplett lahm gelegt werden kann.
Die “Stagefright”-Schwachstellen…
“Stagefright – Multimedia-Daten gefährden Android-Geräte” vollständig lesen
Die Zero Day Initiative (ZDI) hat vier 0-Day-Schwachstellen im Internet
Explorer veröffentlicht. Das passiert automatisch 120 Tage, nachdem
die Schwachstelle den betreffenden Hersteller gemeldet wurde, sofern die
Schwachstelle nicht zuvor gepatcht wurde. Microsoft hat diese Frist sowie
eine zugestandene Verlängerung bei diesen vier Schwachstellen
ungenutzt verstreichen lassen:
Update 24. Juli:
ZDI hat die Advisories gestern
überarbeitet:
Es ist nur die Mobile-Version des IE betroffen und nicht wie ursprünglich
gemeldet auch die Desktop-Version. In der hat Microsoft die Schwachstellen
bereits behoben.
Ende des Updates
“ZDI veröffentlicht vier 0-Day-Schwachstellen im Internet Explorer” vollständig lesen
Am 20. Juli hat Microsoft
außer der Reihe
ein zusätzliches Security Bulletin veröffentlicht:
MS15-078.
Eine Schwachstelle in der Windows Adobe Type Manager Library erlaubt die
Ausführung eingeschleusten Codes, wenn zum Beispiel eine entsprechend
präparierte Webseite aufgerufen oder eine entsprechend
präparierte Datei geöffnet wird.
“Microsoft patcht außer der Reihe 0-Day-Schwachstelle” vollständig lesen
Microsoft hat am gestrigen Patchday mal wieder einige 0-Day-Schwachstellen
behoben. Darunter sowohl bereits für Angriffe ausgenutzte als auch
“nur” öffentlich bekannte Schwachstellen.
Und auch Oracle hat an deren Patchday zugeschlagen und die aktuelle
0-Day-Schwachstelle
in Java behoben.
Fünf 0-Day-Schwachstellen, darunter 2 kritische, im Internet Explorer
“Der Juli-Patchday war ein 0-Day-Patchday” vollständig lesen
