Adobe warnt vor einem 0-Day-Exploit für den Flash Player, ein Patch wurde für den 12. Mai angekündigt. Und Microsoft hat am Mai-Patchday unter anderem drei 0-Day-Schwachstellen behoben, von denen eine ebenfalls bereits für Angriffe ausgenutzt wird.
Auch am April-Patchday 2016 hatte Microsoft mal wieder mit 0-Day-Schwachstellen und -Exploits zu kämpfen. Zum Glück sind die gefährlicheren davon aber “nur” 0-Day-Schwachstellen, für die es bisher keine Exploits gibt. Die gibt es diesmal nur für zwei Privilegieneskalations-Schwachstellen im Windows-Kernel. Mit anderen Worten: In meiner Übersicht über die kritischen 0-Day-Schwachstellen und -Exploits des Jahres 2016 ändert sich diesmal nichts.
Es gibt aber auch schlechte Nachrichten: Microsoft hat am Patchday auch die Updates für die aktuelle, bereits für Angriffe ausgenutzte 0-Day-Schwachstelle im Flash Player für die Browser, die ihn integriert haben, ausgeliefert. Die es von Adobe für die normale Version des Flash Players bereits seit letzter Woche gibt.
Es ist mal wieder ein 0-Day-Exploit für den Flash Player aufgetaucht. Adobe hat einen Patch für den 7. April angekündigt.
Die Schwachstelle mit der CVE-ID CVE-2016-1019 erlaubt die Ausführung eingeschleusten Codes (was auch sonst, darunter machen es die Cyberkriminellen doch gar nicht, wozu auch?), und wenn Adobe außer der Reihe patcht wird die Schwachstelle natürlich auch bereits ausgenutzt. Anfangs nur auf Systemen mit Windows 7 und XP, inzwischen hat Adobe diese Angabe auf “Windows 10 and earlier” korrigiert.
Es gibt mal wieder einen 0-Day-Exploit, den
ersten
in diesem Jahr. Mal wieder für den Flash Player
(fast möchte ich schreiben
“Für was auch sonst?”.
Oh, ups 
), und es gibt auch schon ein außerplanmäßiges
(wenn auch
vorgestern)
bereits angekündigtes
Update
zur Beseitigung der Schwachstelle.
Microsoft hat am März-Patchday 2016 ganze 0 (in Worten: Null!) 0-Day-Schwachstellen gepatcht, und ebenso viele 0-Day-Exploits für die gepatchten Schwachstellen sind bekannt. Und genau so erfreulich sieht es bei Adobe aus: Weder die Updates für Acrobat und Reader noch die für Digital Editions schließen zuvor bereits veröffentlichte und/oder ausgenutzte Schwachstellen.
Mit anderen Worten: Hier gibt es nichts zu sehenlesen!
Diesmal wirklich nicht!
Am Februar-Patchday hat Microsoft mal wieder 0-Day-Schwachstellen behoben. Aber zum Glück nur zwei, keine davon ist kritisch, und das wichtigste: Sie werden bisher nicht für Angriffe ausgenutzt.
“Microsofts 0-Days am Februar-Patchday sind relativ harmlos” vollständig lesenDas Jahr 2016 beginnt halbwegs erfreulich: Microsoft hat am Januar-Patchday zwar einige bereits zuvor veröffentlichte Schwachstellen behoben, es gibt aber bisher keine Angriffe darauf. Wir haben es diesmal also ausschließlich mit 0-Day-Schwachstellen zu tun, die gefährlichen 0-Day-Exploits dafür sind uns erspart geblieben.
Zumindest bisher, denn in der Aufzählung vermisse ich ein Bulletin: Es gibt MS16-001 bis MS16-008 und MS16-010, das Bulletin MS16-009 fehlt aber. Da scheint Microsoft mal wieder einen Patch kurz vor der Veröffentlichung gestoppt zu haben, vermutlich weil er noch nicht fehlerfrei ist. Hoffen wir mal, dass der ebenfalls keinen 0-Day-Exploit betrifft.
Und nur der Vollständigkeit halber: Auch 2016 werde ich wieder eine Übersicht über die veröffentlichten 0-Day-Expoits und -Schwachstellen führen. Noch ist die aber sehr übersichtlich – es sind ja nur die drei unten aufgeführten 0-Day-Schwachstellen drin, die eine Remote Code Execution erlauben.
Adobe hat außer der Reihe ein Sicherheitsupdate für den Flash Player veröffentlicht. Oder genauer: Das Januar-Update vorgezogen, wie man an der Nummerierung des Security Bulletins (APSB16-01) leicht erkennen kann. Der Grund: Es gibt mal wieder einen 0-Day-Exploit, der im Rahmen gezielter Angriffe eingesetzt wird. So spontan drängt sich mir die Frage auf, wer denn da angegriffen wird, wenn man “zwischen den Jahren” ein außerplanmäßiges Update veröffentlicht.
“Ein 0-Day-Exploit für den Flash Player zum Jahresabschluss” vollständig lesenAm Dezember-Patchday hat Microsoft mal wieder 0-Day-Schwachstellen behoben. Zwar “nur” 3, aber 2 davon werden bereits für Angriffe ausgenutzt.
Für eine seit neun Monaten bekannte und immer noch nicht gepatchte Schwachstelle in der Java-Library Apache Common Collections wurden von Stephen Breen 0-Day-Exploits für WebLogic, WebSphere, JBoss, Jenkins und OpenNMS veröffentlicht. Und die sind nur die Spitze eines Eisbergs an betroffenen Anwendungen. Weshalb Stephen Breen auch die 0-Day-Exploits veröffentlicht hat. Anders kann man die Gefahr durch die lange Zeit ignorierte Schwachstelle wohl nicht deutlich machen.
Am November-Patchday hat Microsoft 4 0-Day-Schwachstellen behoben. Keine davon wird bisher ausgenutzt. Und keine davon ist auch nur im entferntesten kritisch. Noch besser sieht es bei Adobe aus: Im Flash Player wurden zwar 17 Schwachstelle behoben, aber keine davon wurde zuvor veröffentlicht oder wird bereits ausgenutzt. Was beim Flash Player nach bisher 8 0-Day-Exploits in diesem Jahr (von insgesamt 16) fast an ein Wunder grenzt.
Mit dem Oracle Critical Patch Update – October 2015 hat Oracle mal eben 154 Schwachstelle behoben. Das hat sich ja mal wieder gelohnt. Aber wenn man nur vierteljährlich patcht und die Benutzer in der Zwischenzeit im Regen stehen lässt sammelt sich halt so einiges an.
Da muss man schon froh sein, dass diesmal nur eine der Schwachstelle bereits vor Veröffentlichung des Patches für Angriffe ausgenutzt wurde. Dass das mal wieder eine Java-Schwachstelle ist dürfte bei Oracle niemanden verwundern. Die Cyberkriminellen haben nun mal ein paar Lieblingsziele, wenn es darum geht, Client-Rechner übers Web anzugreifen. Und dazu gehört neben den Adobe Reader und Flash Player von Adobe und dem IE von Microsoft eben auch Java. Ja, auch das Java-Plugin ist Java, siehe unten im Text!
Trend Micro hat einen 0-Day-Exploit für den Flash Player entdeckt. Und damit einen eigentlich recht erfreulichen Oktober-Patchday getrübt: Weder Microsoft noch Adobe haben einen Patch für bereits ausgenutzte Schwachstellen veröffentlicht. Microsoft hat lediglich vier bereits veröffentlichte, aber noch nicht angegriffene Schwachstellen behoben.
XcodeGhost ist eine sehr ungewöhnliche Art von Schadsoftware: Sie wird über eine manipulierte Version von Apples Entwicklungsumgebung Xcode verbreitet und ist dadurch in etliche damit entwickelte Apps in Apples App Store gelangt. Etwas, was eigentlich nicht passieren sollte.
XcodeGhost besteht also im Grunde aus zwei Teilen:
Nach ersten Berichten in China wurde der Angriff am 17. September von Palo Alto Networks erstmals auf englisch beschrieben.
Am September-Patchday hat Microsoft zwei Schwachstellen behoben, die bereits für Angriffe ausgenutzt werden: Eine Code Execution in Microsoft Office und eine Privilegieneskalation in Microsoft Graphics.
Außerdem wurden vier weitere 0-Day-Schwachstellen behoben, die bisher nicht für Angriffe ausgenutzt werden. Bei den kritischen 0-Day-Schwachstellen sind wir damit in diesem Jahr bei insgesamt 15 Schwachstellen mit 0-Day-Exploit und 3 Schwachstellen ohne Exploit angekommen.
