Dipl.-Inform. Carsten Eilers

Microsoft hat ein FixIt-Tool für die 0-Day-Schwachstelle Im Internet Explorer 8 veröffentlicht, mit der die bekannten Angriffe verhindert werden. Das FixIt-Tool hat aber zwei kleine Nachteile: Es funktioniert nur, wenn das am April-Patchday veröffentlichte Update für den IE MS13-028 installiert ist, und auch dann nur bei der x86-Version des IE.

Ansonsten gibt es nichts Neues zur Schwachstelle zu vermelden. Insbesondere wurde der Exploit bisher nicht in Exploit-Kits entdeckt, während zum Beispiel ein Exploit für eine im Juni 2012 behobene IE-Schwachstelle aus dem Security Bulletin MS12-037 seit neuestem Bestandteil des Cool Exploit Kits ist. Wenn die Cyberkriminellen aber sogar noch Exploits für so alte und längst behobene Schachstellen entwickeln und in die Exploit-Kits aufnehmen, dürfte der Exploit für die 0-Day-Schwachstelle eher früher als später ebenfalls den Weg in die Kits finden.

Daher mein dringender Rat: Wechseln sie zu einem anderen Browser oder einer neueren IE-Version. Wenn das nicht möglich ist, wenden Sie das FixIt-Tool an. Wenn das auch nicht möglich ist, haben Sie ein großes Problem und sollten mal über die Anschaffung eines neuen Rechners oder die Installation eines anderen Betriebssystems nachdenken.

8. Mai: 0-Day-Schwachstelle in ColdFusion

Adobe hat ein Security Advisory für ColdFusion Version 10, 9.0.2, 9.0.1, 9.0 und kleiner für Windows, Macintosh und Unix veröffentlicht. Die Schwachstelle mit der CVE-ID CVE-2013-3336 erlaubt das unbefugte Herunterladen von Dateien, ein Exploit zum Herunterladen von Passwortdateien wurde in der Exploit-DB veröffentlicht. Dieser Exploit wurde bereits für Angriffe verwendet.

Als Workaround kann der Zugriff auf die Verzeichnisse

CFIDE/administrator
CFIDE/adminapi 
CFIDE/gettingstarted

eingeschränkt werden, wie es im "Lockdown Guide" für ColdFusion 9 (PDF) und 10 (PDF) beschrieben wird. Ein Patch wurde für den 14. Mai angekündigt.

Diese Schwachstelle werde ich übrigens nicht in der Übersicht über die 0-Day-Exploits in 2013 aufnehmen. Es handelt sich zwar um eine 0-Day-Schwachstelle, und sie ist auch kritisch und wird auch für Angriffe ausgenutzt. Aber "nur" gegen Server, nicht gegen Clients. Nicht mal indirekt, indem die Server dann für Drive-by-Infektionen präpariert werden. In die Übersicht kommen nur im Rahmen von Angriffen gegen Clients ausgenutzte 0-Day-Exploits. Ansonsten müsste auch jede halbwegs kritische 0-Day-Schwachstelle in jeder Webanwendung aufgenommen werden, und das würde den Rahmen bei weitem sprengen.

Carsten Eilers