TecChannel Sicherheits-Report

Hässliche Schwachstelle in OpenID, Metasploit Framework 3.7.0 veröffentlicht, Flicken für BIND und Skype für Mac

Durch eine Schwachstlle in OpenID ist Identitäts-Diebstahl denkbar. Skype hat recht schnell auf die entdeckte 0-Day-Schwachstelle reagiert und ein Update bekannt gemacht.

Die OpenID Foundation warnt vor einer Schwachstelle in der Implementierung von Attribute Exchange (AX). Sicherheits-Experten fanden heraus, dass sich Daten an Webseiten übergeben lassen und diese nicht überprüfen, ob sie signiert sind. Somit könnte sich die Sicherheitslücke für Identitäts-Diebstahl nutzen lassen. Derzeit gibt es keine bekannten Angriffsszenarien und OpenID hat auch nicht genau bekannte gegeben, wie sich die Lücke ausnutzen lässt. Ein Update auf OpenID4Java-Bibliothek 0.9.6 hilft: openid.net,

Skype für Mac wurde ein Update spendiert. Vor kurzer Zeit wurde eine 0-Day-Lücke entdeckt, die als kritisch eingestuft ist. Angreifer hätten sich im schlimmsten Fall Zugriff auf den Rechner des Opfers ergaunern können. Ein erfolgreicher Angriff setzt aber voraus, dass sich der Bösewicht bereits in der Kontaktliste des Benutzers befindet. Die Entwickler empfehlen ein Update auf Version 5.1.0.922. Einen Flicken gibt es anscheinend schon seit Mitte April. Skype hatte anscheinend die Schwachstelle nicht für wichtig eingestuft, dass man dies hätte bekannt machen müssen: blogs.skype.com

Das Metasploit Framework wurde überarbeitet. Ab sofort gibt es Version 3.7.0. Diese Version ist nicht nur schneller, sondern es lassen sich auf viele eingehende Sessions besser und stabiler behandeln. Ebenso ist die lang erwartete Aktualisierung des SMB-Stacks eingeflossen. Somit lassen sich "pass-the-hash"- und "stolen passwords"-Angriffe gegen Windows 2008 fahren: blog.metasploit.com

Ein Update für BIND 0.9.8 behebt eine DoS-Schwachstelle. Die Sicherheitslücke lässt sich ausnutzen, um den Server zum Abstürzen zu bringen. Die Lücke betrifft ausschließlich BIND 0.9.8 wenn RPZ (response policy zone) konfiguriert ist. Administratoren sollten ein Update auf Variante 9.8.0-P1 erwägen. (jdo)