Microsoft hat am
März-Patchday 2016
ganze 0 (in Worten: Null!) 0-Day-Schwachstellen gepatcht, und ebenso
viele 0-Day-Exploits für die gepatchten Schwachstellen sind bekannt.
Und genau so erfreulich sieht es bei Adobe aus: Weder die Updates für
Acrobat und Reader
noch die für
Digital Editions
schließen zuvor bereits veröffentlichte und/oder ausgenutzte
Schwachstellen.
Mit anderen Worten: Hier gibt es nichts zu sehenlesen!
Diesmal wirklich nicht!
Am
Februar-Patchday
hat Microsoft mal wieder 0-Day-Schwachstellen behoben. Aber zum Glück nur
zwei, keine davon ist kritisch, und das wichtigste: Sie werden bisher
nicht für Angriffe ausgenutzt.
Das Jahr 2016 beginnt halbwegs erfreulich: Microsoft hat am
Januar-Patchday
zwar einige bereits zuvor veröffentlichte Schwachstellen behoben, es
gibt aber bisher keine Angriffe darauf. Wir haben es diesmal also
ausschließlich mit 0-Day-Schwachstellen zu tun, die gefährlichen
0-Day-Exploits dafür sind uns erspart geblieben.
Zumindest bisher, denn in der Aufzählung vermisse ich ein Bulletin: Es
gibt MS16-001 bis MS16-008 und MS16-010, das Bulletin MS16-009 fehlt aber.
Da scheint Microsoft mal wieder einen Patch kurz vor der
Veröffentlichung gestoppt zu haben, vermutlich weil er noch nicht
fehlerfrei ist. Hoffen wir mal, dass der ebenfalls keinen 0-Day-Exploit
betrifft.
Und nur der Vollständigkeit halber: Auch 2016 werde ich wieder eine
Übersicht
über die veröffentlichten 0-Day-Expoits und -Schwachstellen
führen. Noch ist die aber sehr übersichtlich - es sind ja nur
die drei unten aufgeführten 0-Day-Schwachstellen drin, die eine Remote
Code Execution erlauben.
MS16-001 - Privilegieneskalation im Internet Explorer
Adobe hat außer der Reihe ein
Sicherheitsupdate
für den Flash Player
veröffentlicht.
Oder genauer: Das Januar-Update vorgezogen, wie man an der Nummerierung des
Security Bulletins (APSB16-01) leicht erkennen kann. Der Grund: Es gibt
mal wieder einen 0-Day-Exploit, der im Rahmen gezielter Angriffe eingesetzt
wird. So spontan drängt sich mir die Frage auf, wer denn da angegriffen
wird, wenn man "zwischen den Jahren" ein außerplanmäßiges Update
veröffentlicht.
Für eine seit neun Monaten bekannte und immer noch nicht gepatchte
Schwachstelle in der Java-Library Apache Common Collections wurden von
Stephen Breen 0-Day-Exploits für WebLogic, WebSphere, JBoss, Jenkins und
OpenNMS
veröffentlicht.
Und die sind nur die Spitze eines Eisbergs an betroffenen Anwendungen.
Weshalb Stephen Breen auch die 0-Day-Exploits veröffentlicht hat.
Anders kann man die Gefahr durch die lange Zeit ignorierte Schwachstelle
wohl nicht deutlich machen.
Am
November-Patchday
hat Microsoft 4
0-Day-Schwachstellen
behoben. Keine davon wird bisher ausgenutzt. Und keine davon ist auch nur
im entferntesten kritisch. Noch besser sieht es bei Adobe aus: Im Flash
Player wurden zwar
17 Schwachstelle behoben,
aber keine davon wurde zuvor veröffentlicht oder wird bereits ausgenutzt.
Was beim Flash Player nach bisher
8 0-Day-Exploits in diesem Jahr
(von insgesamt 16) fast an ein Wunder grenzt.
Mit dem
Oracle Critical Patch Update - October 2015
hat Oracle mal eben 154 Schwachstelle behoben. Das hat sich ja mal wieder
gelohnt. Aber wenn man nur vierteljährlich patcht und die Benutzer in
der Zwischenzeit im Regen stehen lässt sammelt sich halt so einiges
an.
Da muss man schon froh sein, dass diesmal nur eine der Schwachstelle
bereits vor Veröffentlichung des Patches für Angriffe ausgenutzt
wurde. Dass das mal wieder eine Java-Schwachstelle ist dürfte bei
Oracle niemanden verwundern. Die Cyberkriminellen haben nun mal ein paar
Lieblingsziele, wenn es darum geht, Client-Rechner übers Web
anzugreifen. Und dazu gehört neben den Adobe Reader und Flash Player
von Adobe und dem IE von Microsoft eben auch Java. Ja, auch das
Java-Plugin ist Java, siehe unten im Text!
"Click-to-Play" - statt einziger Schutz gar kein Schutz
Trend Micro hat einen 0-Day-Exploit für den Flash Player entdeckt.
Und damit einen eigentlich recht erfreulichen Oktober-Patchday
getrübt: Weder Microsoft noch Adobe haben einen Patch für bereits
ausgenutzte Schwachstellen veröffentlicht. Microsoft hat lediglich
vier bereits veröffentlichte, aber noch nicht angegriffene
Schwachstellen behoben.
Gezielte Angriffe mit 0-Day-Exploit für Flash Player
XcodeGhost ist eine sehr ungewöhnliche Art von Schadsoftware: Sie wird
über eine manipulierte Version von Apples Entwicklungsumgebung Xcode
verbreitet und ist dadurch in etliche damit entwickelte Apps in Apples App
Store gelangt. Etwas, was eigentlich nicht passieren sollte.
XcodeGhost besteht also im Grunde aus zwei Teilen:
Der in die iOS-Apps eingeschleuste Schadcode zum Ausspähen der
Benutzer und zum Ausführen von Anweisungen der Cyberkriminellen und
der in den manipulierten Xcode-Versionen enthaltene "Schadcode" zum
Einfügen dieses "Client-Schadcodes" in die Apps.
Nach ersten Berichten in China wurde der Angriff am 17. September von Palo
Alto Networks erstmals auf englisch beschrieben.