s c i p a g Contents 1. Editorial scip monthly Security Summary

Transkript

1 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum 1. Editorial Einstieg in die Informationssicherheit Die Welt der Informationssicherheit ist nach wie vor von Mythen umrankt. Viele Gerüchte halten sich auf unerwartet hartknäckige Art und Weise. Doch weshalb ist dies so? Ich vermute hier veraltetes Halbwissen, welches selbst heute noch gelehrt wird, als eine der Hauptursachen. So wird an öffentlichen Schulen in den Kursen, die als Informatikunterricht betitelt werden, Schülern beigebracht, dass eine installierte Firewall- und Antivirensoftware den eigenen PC unantastbar machen. Aussagen dieser Art sind aber gerade die Problemverursacher, da sie auf alten, längst überholten Kenntnissen aufbauen. Heute zeugen sie von ebenjenem Halbwissen, welches so eine gänzlich eigene Form der Gefahr für Benutzer und zukünftige Administratoren darstellt. Solange diese Unwahrheiten verbreitet und als Fakten verkauft werden, solange werden neue Mythen rund um das Thema Informationssicherheit aufblühen können. Dies zu verhindern ist in unser aller Interesse. So sind Schüler davon überzeugt, dass sie sicher sind und Technologie die Lösung aller Probleme darstellt. Ausser Acht gelassen wird dabei der gesunde Menschenverstand. Dinge, die man im Alltag und im realen Leben nicht tun würde, werden in der Cyberwelt aber häufig ohne zweimal zu überlegen getan. So würde es wohl niemandem in den Sinn kommen, die eigene Telefonnummer an die Wand im Zürcher Hauptbahnhof zu sprayen. Viele tun genau dies via Facebook. Es würde wohl auch niemandem in den Sinn kommen, aus dem Fenster der eigenen Wohnung herauszuschreien, dass man seinen Vorgesetzten hasse. Viele tun aber auch genau dies via Twitter. Genau dies sind die Taten, die man mit gesundem Menschenverstand und solidem Verständnis der Konsequenzen, die solches Handeln (in Fachjargon Medienkompetenz genannt) mit sich ziehen, unterlassen würde. Solche Konsequenzen zu lehren ist aus meiner Sicht unerlässlich für einen modernen Informatikunterricht. Denn schliesslich gehört das Zehnfingersystem und die Erstellung von Serienbriefen auch nicht zur Kategorie Informatik, sondern in die Kategorie Anwendung. Informatikunterricht hingegen sollte das Verständnis und vor allem das Interesse an zugrunde liegenden Technologien fördern. Ich bin noch nicht so lange im Business wie ein Bruce Schneier oder ein Mikko Hypponen. Und dabei fällt mir auf, dass es nur sehr wenige Menschen meines Alters gibt, die sich für Informationssicherheit interessieren, so wie ich es tue. Würden sich mehr dafür interessieren, wenn die Branche nicht dermassen von Mythen und Unsinn umrankt wäre? Ich denke definitiv ja. Denn man müsste sich nicht erst durch ein undurchsichtiges Dickicht kämpfen, um eine verlässliche und realitätsbezogene Übersicht über ein sehr interessantes, abwechslungsreiches und langfristig ausgelegtes Gebiet zu erhalten. 1/22

2 Und auch wenn der Weg dahin heute noch steinig sein mag: wer wirklich interessiert ist, wird ihn gehen. Solange das Interesse und die Neugier vorhanden sind, wird man dereinst am Ziel ankommen. Und dieses Ziel wird wiederum neue Wege eröffnen. Denn die Informationssicherheit ist vor allem eines: unendlich. Sean Rütschi <seru-at-scip.ch> Security Consultant Zürich, 18. Juni 2 2. scip AG Informationen 2.1 Penetration Test Das Ziel unserer Dienstleistung Penetration Test ist die Identifikation vorhandener Sicherheitslücken sowie die Definierung der Tragweite dadurch möglicher erfolgreicher Attacken durch Angreifer. Der Kunde hat ein abgesichertes System vorliegen, das er mittels Ethical Hacking untersucht haben möchte. Um eine wissenschaftliche und wirtschaftliche Optimierung des Auftrags erreichen zu können, wird eine Whitebox-Analyse empfohlen: Der Kunde legt nach Möglichkeiten sämtliche Details zum Zielobjekt offen (IP- Adressen etc.). Somit kann unser Red Team auf eine langwierige Datensammlung verzichten und stattdessen das Expertenwissen auf die Fachgebiete fokussieren. Das Umsetzen von Penetration Tests basiert zu grossen Teilen auf der systematischen Vorgehensweise, wie sie im Buch Die Kunst des Penetration Testing unseres Herrn Marc Ruef dokumentiert wurde. Scanning: Identifizieren von möglichen Angriffsflächen. Auswertung: Eingrenzen potentieller Angriffsvektoren, die sich im Rahmen eines konkreten Angriffsszenarios angehen lassen. Exploiting: Zielgerichtetes Ausnutzen ausgemachter Sicherheitslücken (Proof-of- Concept). Ein Penetration Test lässt eine konkrete und verlässliche Aussage bezüglich der existenten Sicherheit eines Systems zu. Die Ausnutzbarkeit von Schwachstellen sowie die Tragweite erfolgreicher Attacken können exakt bestimmt werden, wodurch sich weitere Schritte wie z.b. Risiken akzeptieren oder Gegenmassnahmen einleiten, planen lassen. Dank unserem ausgewiesenen Expertenwissen kann die scip AG auf eine Vielzahl von Penetration Tests auf unterschiedliche Plattformen, Applikationen und Lösungen zurückblicken. Zählen auch Sie auf uns! Zögern Sie nicht und kontaktieren Sie unseren Herrn Simon Zumstein unter der Telefonnummer oder senden Sie im eine Mail an simon.zumstein@scip.ch. 2/22

3 3. Neue Sicherheitslücken Die erweiterte Auflistung hier besprochener Schwachstellen sowie weitere Sicherheitslücken sind unentgeltlich in unserer Datenbank unter einsehbar. Inhalt Das Dienstleistungspaket VulDB Alert System liefern Ihnen jene Informationen, die genau für Ihre Systeme relevant sind: sehr kritisch 1 1 kritisch problematisch Oracle Java SE / JRE 2D Buffer [CVE ] 5550 Oracle Java SE / JRE Deployment 5549 Oracle Java SE / JRE Deployment 5548 Oracle Java SE / JRE Hotspot Buffer [CVE ] 5547 Oracle Java SE / JRE Hotspot Buffer [CVE ] 5546 Oracle Java SE / JRE Swing Buffer [CVE ] 5538 Microsoft Internet Explorer Same ID Property Deleted Object 5537 Microsoft Internet Explorer Title Element Change Deleted Object 5536 Microsoft Internet Explorer insertrow Deleted Object 5533 Microsoft Internet Explorer Center Element Deleted Object 5531 Microsoft Internet Explorer insertadjacenttext Elements Handler 5530 Microsoft Internet Explorer OnRowsInserted Elements Handler 5529 Microsoft Windows [CVE ] 5526 Microsoft XML Core Services Buffer [CVE ] 5524 Microsoft Windows [CVE ] 5520 Microsoft Windows True Type Fonts Privilege Escalation 5518 Microsoft.NET Framework Buffer [CVE ] 5516 Microsoft Internet Explorer Buffer [CVE ] 5515 Microsoft Internet Explorer OnBeforeDeactivate 5514 Microsoft Internet Explorer Col Element 5552 Apple itunes M3U File Handler Buffer 5503 MySQL Server Password Authentication memcmp() weak Authentication 5509 Adobe Flash Player [CVE ] 5508 Adobe Flash Player [CVE ] 5507 Adobe Flash Player [CVE ] 5506 Adobe Flash Player [CVE ] 5505 Adobe Flash Player [CVE ] 5512 F5 Networks BigIP sshd Misconfiguration [CVE ] 5511 F5 Networks FirePass sshd Misconfiguration [CVE ] 5501 Mozilla Firefox nsframelist::firstchild 5499 Mozilla Firefox [CVE ] 5494 Mozilla Firefox utf16_to_isolatin1 Buffer 5493 Mozilla Firefox [CVE ] 5492 Mozilla Firefox ESR [CVE ] 5490 Mozilla Firefox methodjit/immutablesync.cpp Buffer 5489 Mozilla Firefox nshtmlreflowstate::calculatehypothet icalbox 5486 IrfanView Formats PlugIn Buffer 5468 Sony VAIO Wireless Manager WifiMan.dll 5478 Linux Kernel sock_alloc_send_pskb() 5455 Google Chrome Encrypted PDF Document Handler 5453 Google Chrome PDF Functionality 5451 Google Chrome Browser Cache Buffer [CVE ] 5450 Google Chrome [CVE ] 3/22

4 5380 Apple Safari User Input Sanitizer Buffer 5341 Apple ios WebKit [CVE ] 5373 Adobe Flash Professional Flash.exe 5372 Adobe Shockwave Player User Input Sanitizer 5371 Adobe Shockwave Player User Input Sanitizer 5370 Adobe Shockwave Player User Input Sanitizer 5369 Adobe Shockwave Player User Input Sanitizer 3.1 Oracle Java SE / JRE 2D Buffer [CVE ] VulDB: In Oracle Java SE / JRE bis 7 Update 4 wurde eine kritische Schwachstelle ausgemacht. Betroffen ist eine unbekannte Funktion der Komponente 2D. Durch die Manipulation mit einer unbekannten Eingabe kann eine Dies hat Auswirkungen auf Vertraulichkeit, Integrität und Die Schwachstelle lässt sich durch das Einspielen des Patches Oracle Java SE Critical Patch Update Advisory - June 2 lösen. Dieser kann von oracle.com bezogen werden. Das direkt nach der Veröffentlichung der Schwachstelle. Oracle hat demnach sofort reagiert. Für Mac OS X 10.6 und 10.7 bietet Apple ebenfalls eine aktuelle Version von Java 6 an. Sie erscheint damit erstmals seit längerem gleichzeitig mit der Windows-Version. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 82874) und Secunia (ID 49472) dokumentiert. 3.2 Oracle Java SE / JRE Deployment VulDB: Es wurde eine kritische Schwachstelle in Oracle Java SE / JRE bis 7 Update 4 ausgemacht. Hiervon betroffen ist eine unbekannte Funktion der Komponente Deployment. Dank der Manipulation mit einer unbekannten Eingabe ausgenutzt werden. Dies hat Auswirkungen auf Vertraulichkeit, Integrität und Die Schwachstelle lässt sich durch das Einspielen des Patches Oracle Java SE Critical Patch Update Advisory - June 2 beheben. Dieser kann von oracle.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Oracle hat demnach sofort reagiert. Für Mac OS X 10.6 und 10.7 bietet Apple ebenfalls eine aktuelle Version von Java 6 an. Sie erscheint damit erstmals seit längerem gleichzeitig mit der Windows-Version. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 82875) und Secunia (ID 49472) dokumentiert. 3.3 Oracle Java SE / JRE Deployment VulDB: Eine kritische Schwachstelle wurde in Oracle Java SE / JRE bis 7 Update 4 gefunden. Davon betroffen ist eine unbekannte Funktion der Komponente Deployment. Durch das Beeinflussen mit einer unbekannten Eingabe ausgenutzt werden. Dies hat Auswirkungen auf Vertraulichkeit, Integrität und Die Schwachstelle lässt sich durch das Einspielen des Patches Oracle Java SE Critical Patch Update Advisory - June 2 lösen. Dieser kann von oracle.com bezogen werden. Das direkt nach der Veröffentlichung der Schwachstelle. Oracle hat demnach sofort reagiert. Für Mac OS X 10.6 und 10.7 bietet Apple ebenfalls eine aktuelle Version von Java 6 an. Sie erscheint damit erstmals seit längerem gleichzeitig mit der Windows-Version. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 82876) und Secunia (ID 49472) dokumentiert. 3.4 Oracle Java SE / JRE Hotspot [CVE ] VulDB: In Oracle Java SE / JRE bis 7 Update 4 wurde eine kritische Schwachstelle gefunden. Dies betrifft eine unbekannte Funktion der Komponente Hotspot. Mittels dem Manipulieren 4/22

5 mit einer unbekannten Eingabe kann eine Dies hat Auswirkungen auf Vertraulichkeit, Integrität und Die Schwachstelle lässt sich durch das Einspielen des Patches Oracle Java SE Critical Patch Update Advisory - June 2 beheben. Dieser kann von oracle.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Oracle hat demnach sofort reagiert. Für Mac OS X 10.6 und 10.7 bietet Apple ebenfalls eine aktuelle Version von Java 6 an. Sie erscheint damit erstmals seit längerem gleichzeitig mit der Windows-Version. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 82877) und Secunia (ID 49472) dokumentiert. 3.5 Oracle Java SE / JRE Hotspot [CVE ] VulDB: Es wurde eine kritische Schwachstelle in Oracle Java SE / JRE bis 7 Update 4 gefunden. Betroffen ist eine unbekannte Funktion der Komponente Hotspot. Durch das Manipulieren mit einer unbekannten Eingabe kann eine Dies hat Auswirkungen auf Vertraulichkeit, Integrität und Die Schwachstelle lässt sich durch das Einspielen des Patches Oracle Java SE Critical Patch Update Advisory - June 2 lösen. Dieser kann von oracle.com bezogen werden. Das direkt nach der Veröffentlichung der Schwachstelle. Oracle hat demnach sofort reagiert. Für Mac OS X 10.6 und 10.7 bietet Apple ebenfalls eine aktuelle Version von Java 6 an. Sie erscheint damit erstmals seit längerem gleichzeitig mit der Windows-Version. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 82878) und Secunia (ID 49472) dokumentiert. 3.6 Oracle Java SE / JRE Swing Buffer [CVE ] VulDB: Eine kritische Schwachstelle wurde in Oracle Java SE / JRE bis 7 Update 4 entdeckt. Hiervon betroffen ist eine unbekannte Funktion der Komponente Swing. Mittels Manipulieren mit einer unbekannten Eingabe kann eine Damit lässt sich Programmcode ausführen. Dies hat Auswirkungen auf Vertraulichkeit, Integrität und Die Schwachstelle lässt sich durch das Einspielen des Patches Oracle Java SE Critical Patch Update Advisory - June 2 beheben. Dieser kann von oracle.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Oracle hat demnach sofort reagiert. Für Mac OS X 10.6 und 10.7 bietet Apple ebenfalls eine aktuelle Version von Java 6 an. Sie erscheint damit erstmals seit längerem gleichzeitig mit der Windows-Version. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 82879) und Secunia (ID 49472) dokumentiert. In deutscher Sprache berichtet unter anderem Heise zum Fall. 3.7 Microsoft Internet Explorer Same ID Property Deleted Object Buffer VulDB: Es wurde eine kritische Schwachstelle in Microsoft Internet Explorer 8, ein Webbrowser, gefunden. Hiervon betroffen ist eine unbekannte Funktion der Komponente Same ID Property Deleted Object. Dank der Manipulation mit einer unbekannten Eingabe kann eine Pufferüberlauf- Schwachstelle ausgenutzt werden. Dies hat Die Schwachstelle lässt sich durch das Einspielen des Patches MS beheben. Dieser kann von technet.microsoft.com bezogen werden. Das Erscheinen einer Veröffentlichung der Schwachstelle. Microsoft hat 82865) und Secunia (ID 49412) dokumentiert. 3.8 Microsoft Internet Explorer Title Element Change Deleted Object VulDB: 5/22

6 Eine kritische Schwachstelle wurde in Microsoft Internet Explorer bis 9, ein Webbrowser, entdeckt. Davon betroffen ist eine unbekannte Funktion der Komponente Title Element Change Deleted Object. Durch das Beeinflussen mit einer unbekannten Eingabe kann eine Pufferüberlauf- Schwachstelle ausgenutzt werden. Dies hat Die Schwachstelle lässt sich durch das Einspielen des Patches MS lösen. Dieser kann von microsoft.com bezogen werden. Das direkt nach der Veröffentlichung der Schwachstelle. Microsoft hat demnach sofort Datenbanken von OSVDB (ID 82867) und Secunia (ID 49412) dokumentiert. 3.9 Microsoft Internet Explorer insertrow Deleted Object Buffer VulDB: In Microsoft Internet Explorer bis 9, ein Webbrowser, wurde eine kritische Schwachstelle entdeckt. Dies betrifft eine unbekannte Funktion der Komponente insertrow Deleted Object. Mittels dem Manipulieren mit einer unbekannten Eingabe ausgenutzt werden. Dies hat Auswirkungen auf Vertraulichkeit, Integrität und Die Schwachstelle lässt sich durch das Einspielen des Patches MS beheben. Dieser kann von microsoft.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Microsoft hat demnach sofort Datenbanken von OSVDB (ID 82870) und Secunia (ID 49412) dokumentiert Microsoft Internet Explorer Center Element Deleted Object Buffer VulDB: In Microsoft Internet Explorer bis 9, ein Webbrowser, wurde eine kritische Schwachstelle ausgemacht. Davon betroffen ist eine unbekannte Funktion der Komponente Center Element Deleted Object. Durch die Manipulation mit einer unbekannten Eingabe kann eine Dies hat Auswirkungen auf Vertraulichkeit, Integrität und Die Schwachstelle lässt sich durch das Einspielen des Patches MS lösen. Das direkt nach der Veröffentlichung der Schwachstelle. Microsoft hat demnach sofort Datenbanken von OSVDB (ID 82860) und Secunia (ID 49412) dokumentiert Microsoft Internet Explorer insertadjacenttext Elements Handler VulDB: Eine kritische Schwachstelle wurde in Microsoft Internet Explorer bis 10, ein Webbrowser, gefunden. Betroffen ist eine unbekannte Funktion der Komponente insertadjacenttext Elements Handler. Durch das Beeinflussen mit einer unbekannten Eingabe kann eine Pufferüberlauf- Schwachstelle ausgenutzt werden. Damit kann man Programmcode ausführen. Dies hat Installieren des jeweiligen Patches empfohlen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Microsoft hat demnach sofort Datenbanken von OSVDB (ID 82869) und Secunia (ID 49412) dokumentiert. In deutscher Sprache berichtet unter anderem Heise zum Fall Microsoft Internet Explorer OnRowsInserted Elements Handler VulDB: In Microsoft Internet Explorer bis 10, ein Webbrowser, wurde eine kritische Schwachstelle gefunden. Hiervon betroffen ist eine unbekannte Funktion der Komponente OnRowsInserted Elements Handler. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine Dadurch kann man Programmcode ausführen. Dies hat Auswirkungen auf Vertraulichkeit, 6/22

7 Integrität und Einspielen des entsprechenden Patches empfohlen. Das Erscheinen einer Veröffentlichung der Schwachstelle. Microsoft hat 82871) und Secunia (ID 49412) dokumentiert. In deutscher Sprache berichtet unter anderem Heise zum Fall Microsoft Windows [CVE ] VulDB: Es wurde eine kritische Schwachstelle in Microsoft Windows XP SP3 & Server 3 SP2, ein Betriebssystem, gefunden. Davon betroffen ist eine unbekannte Funktion. Durch das Manipulieren mit einer unbekannten Eingabe ausgenutzt werden. Hiermit kann man Programmcode ausführen. Dies hat Installieren des jeweiligen Patches empfohlen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Microsoft hat demnach sofort Datenbanken von OSVDB (ID 82849) und Secunia (ID 49454) dokumentiert. In deutscher Sprache berichtet unter anderem Heise zum Fall Microsoft XML Core Services [CVE ] VulDB: Es wurde eine kritische Schwachstelle in Microsoft XML Core Services bis 6.0 entdeckt. Hiervon betroffen ist eine unbekannte Funktion. Dank der Manipulation mit einer unbekannten Eingabe ausgenutzt werden. Dadurch lässt sich Programmcode ausführen. Dies hat Ein Upgrade auf die Version vermag dieses Problem zu beheben. Dieses kann von support.microsoft.com bezogen werden. Das direkt nach der Veröffentlichung der Schwachstelle. Microsoft hat demnach sofort Datenbanken von OSVDB (ID 82873) und Secunia (ID 49456) dokumentiert. In deutscher Sprache berichtet unter anderem Heise zum Fall Microsoft Windows [CVE ] VulDB: In Microsoft Windows XP, Vista, 7, Server 3 & 8, ein Betriebssystem, wurde eine kritische Schwachstelle ausgemacht. Dies betrifft eine unbekannte Funktion. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine Dadurch kann man Programmcode ausführen. Dies hat Auswirkungen auf Vertraulichkeit, Integrität und Einspielen des entsprechenden Patches empfohlen. Das Erscheinen einer Veröffentlichung der Schwachstelle. Microsoft hat 82851) und Secunia (ID 49384) dokumentiert. In deutscher Sprache berichtet unter anderem Heise zum Fall Microsoft Windows True Type Fonts Privilege Escalation VulDB: Es wurde eine kritische Schwachstelle in Microsoft Windows XP, Vista, 7, Server 3 & 8, ein Betriebssystem, gefunden. Dies betrifft eine unbekannte Funktion der Komponente True Type Fonts. Dank der Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Dies hat Auswirkungen auf Vertraulichkeit, Integrität und Einspielen des entsprechenden Patches empfohlen. Das Erscheinen einer Veröffentlichung der Schwachstelle. Microsoft hat 7/22

8 82857) und Secunia (ID 49436) dokumentiert. In deutscher Sprache berichtet unter anderem Heise zum Fall Microsoft.NET Framework Buffer [CVE ] VulDB: In Microsoft.NET Framework bis 4 wurde eine kritische Schwachstelle entdeckt. Hiervon betroffen ist eine unbekannte Funktion. Mittels dem Manipulieren mit einer unbekannten Eingabe ausgenutzt werden. Dadurch kann man Programmcode ausführen. Dies hat Einspielen des entsprechenden Patches empfohlen. Das Erscheinen einer Veröffentlichung der Schwachstelle. Microsoft hat auch in der Verwundbarkeitsdatenbank von OSVDB (ID 82859) dokumentiert. In deutscher Sprache berichtet unter anderem Heise zum Fall Microsoft Internet Explorer Buffer [CVE ] VulDB: Eine kritische Schwachstelle wurde in Microsoft Internet Explorer bis 10, ein Webbrowser, ausgemacht. Dies betrifft eine unbekannte Funktion. Mittels Manipulieren mit einer unbekannten Eingabe kann eine Pufferüberlauf- Schwachstelle ausgenutzt werden. Damit lässt sich Programmcode ausführen. Dies hat Einspielen des entsprechenden Patches empfohlen. Das Erscheinen einer Veröffentlichung der Schwachstelle. Microsoft hat 82864) und Secunia (ID 49412) dokumentiert. In deutscher Sprache berichtet unter anderem Heise zum Fall Microsoft Internet Explorer OnBeforeDeactivate Buffer VulDB: In Microsoft Internet Explorer bis 10, ein Webbrowser, wurde eine kritische Schwachstelle ausgemacht. Betroffen ist die Funktion OnBeforeDeactivate. Durch die Manipulation mit einer unbekannten Eingabe kann eine Hiermit lässt sich Programmcode ausführen. Dies hat Auswirkungen auf Vertraulichkeit, Integrität und Installieren des jeweiligen Patches empfohlen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Microsoft hat demnach sofort Datenbanken von OSVDB (ID 82868) und Secunia (ID 49412) dokumentiert. In deutscher Sprache berichtet unter anderem Heise zum Fall Microsoft Internet Explorer Col Element VulDB: Es wurde eine kritische Schwachstelle in Microsoft Internet Explorer bis 10, ein Webbrowser, ausgemacht. Hiervon betroffen ist eine unbekannte Funktion der Komponente Col Element. Dank der Manipulation durch Eingabe ausgenutzt werden. Dadurch lässt sich Programmcode ausführen. Dies hat Einspielen des entsprechenden Patches empfohlen. Das Erscheinen einer Veröffentlichung der Schwachstelle. Microsoft hat 82866) und Secunia (ID 49412) dokumentiert. In deutscher Sprache berichtet unter anderem Heise zum Fall. 8/22

9 3.21 Apple itunes M3U File Handler Datum: VulDB: Eine kritische Schwachstelle wurde in Apple itunes bis ausgemacht. Dies betrifft eine unbekannte Funktion der Komponente M3U File Handler. Mittels Manipulieren mit einer unbekannten Eingabe kann eine Pufferüberlauf- Schwachstelle ausgenutzt werden. Dies hat Ein Upgrade auf die Version vermag dieses Problem zu beheben. Dieses kann von support.apple.com bezogen werden. Das sofort nach der Veröffentlichung der Schwachstelle. Apple hat demnach unmittelbar Datenbanken von OSVDB (ID 82897) und Secunia (ID 49489) dokumentiert MySQL Server Password Authentication memcmp() weak Authentication Risiko: sehr kritisch Datum: VulDB: In MySQL Server bis wurde eine sehr kritische Schwachstelle gefunden. Betroffen ist die Funktion memcmp() der Komponente Password Authentication. Durch die Manipulation mit einer unbekannten Eingabe kann eine schwache Authentisierung-Schwachstelle ausgenutzt werden. Dies hat Auswirkungen auf Vertraulichkeit und Integrität. Die Schwachstelle lässt sich durch das Einspielen eines Patches lösen. Dieser kann von bazaar.launchpad.net bezogen werden. Die Schwachstelle kann zusätzlich durch das Filtern von tcp/3306 (mysql) mittels Firewalling mitigiert werden. Installieren des jeweiligen Patches empfohlen. Nach dem Update prüfen die Datenbankserver den von memcmp() zurückgelieferten Wert zusätzlich durch eine Funktion test() Adobe Flash Player Buffer [CVE ] Datum: VulDB: In Adobe Flash Player wurde eine kritische Schwachstelle entdeckt. Davon betroffen ist eine unbekannte Funktion. Durch die Manipulation mit einer unbekannten Eingabe ausgenutzt werden. Dies hat Auswirkungen auf Vertraulichkeit, Integrität und Ein Aktualisieren auf die Version (Windows) / (Linux) / (Android 4.x) / (Android 3.x) vermag dieses Problem zu lösen. Dieses kann von adobe.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Adobe hat demnach unmittelbar reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 82725) und Secunia (ID 49388) dokumentiert. In deutscher Sprache berichtet unter anderem Heise zum Fall Adobe Flash Player Buffer [CVE ] Datum: VulDB: Es wurde eine kritische Schwachstelle in Adobe Flash Player entdeckt. Dies betrifft eine unbekannte Funktion. Dank der Manipulation durch NULL Pointer Dereference ausgenutzt werden. Dies hat Auswirkungen auf Vertraulichkeit, Integrität und Ein Upgrade auf die Version (Windows) / (Linux) / (Android 4.x) / (Android 3.x) vermag dieses Problem zu beheben. Dieses kann von adobe.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Adobe hat demnach unmittelbar reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 82724) und Secunia (ID 49388) dokumentiert. In deutscher Sprache berichtet unter anderem Heise zum Fall Adobe Flash Player Buffer [CVE ] Datum: VulDB: Eine kritische Schwachstelle wurde in Adobe Flash Player ausgemacht. Betroffen ist eine unbekannte Funktion. Durch das 9/22

10 Beeinflussen mit einer unbekannten Eingabe ausgenutzt werden. Dies hat Auswirkungen auf Vertraulichkeit, Integrität und Ein Aktualisieren auf die Version (Windows) / (Linux) / (Android 4.x) / (Android 3.x) vermag dieses Problem zu lösen. Dieses kann von adobe.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Adobe hat demnach unmittelbar reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 82722) und Secunia (ID 49388) dokumentiert. In deutscher Sprache berichtet unter anderem Heise zum Fall Adobe Flash Player Buffer [CVE ] Datum: VulDB: In Adobe Flash Player wurde eine kritische Schwachstelle ausgemacht. Hiervon betroffen ist eine unbekannte Funktion. Mittels dem Manipulieren mit einer unbekannten Eingabe ausgenutzt werden. Dies hat Auswirkungen auf Vertraulichkeit, Integrität und Ein Upgrade auf die Version (Windows) / (Linux) / (Android 4.x) / (Android 3.x) vermag dieses Problem zu beheben. Dieses kann von adobe.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Adobe hat demnach unmittelbar reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 82720) und Secunia (ID 49388) dokumentiert. In deutscher Sprache berichtet unter anderem Heise zum Fall Adobe Flash Player Buffer [CVE ] Datum: VulDB: Es wurde eine kritische Schwachstelle in Adobe Flash Player ausgemacht. Davon betroffen ist eine unbekannte Funktion. Durch das Manipulieren mit einer unbekannten Eingabe ausgenutzt werden. Dies hat Auswirkungen auf Vertraulichkeit, Integrität und Ein Aktualisieren auf die Version (Windows) / (Linux) / (Android 4.x) / (Android 3.x) vermag dieses Problem zu lösen. Dieses kann von adobe.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Adobe hat demnach unmittelbar reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 82719) und Secunia (ID 49388) dokumentiert. In deutscher Sprache berichtet unter anderem Heise zum Fall F5 Networks BigIP sshd Misconfiguration [CVE ] Datum: VulDB: In F5 Networks BigIP bis wurde eine kritische Schwachstelle gefunden. Dies betrifft eine unbekannte Funktion der Komponente sshd. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine Fehlkonfiguration- Schwachstelle ausgenutzt werden. Dadurch kann man Authentisierung umgehen. Dies hat Aktualisieren auf eine neue Version empfohlen. Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle. F5 Networks hat demnach vorab reagiert. Wer nicht upgraden kann, sollte den im Advisory beschrieben Workaround anwenden. Ob ein Angreifer die Schwachstelle bereits ausgenutzt hat, erfährt man, indem man die Anmeldungen des Root- Nutzers in der Log-Datei /var/log/secure kontrolliert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 82780) und Secunia (ID 49396) dokumentiert. In deutscher Sprache berichtet unter anderem Heise zum Fall F5 Networks FirePass sshd Misconfiguration [CVE ] Datum: VulDB: Es wurde eine kritische Schwachstelle in F5 Networks FirePass bis gefunden. Betroffen ist eine unbekannte Funktion der Komponente sshd. Durch das Manipulieren mit einer unbekannten Eingabe kann eine Fehlkonfiguration-Schwachstelle ausgenutzt 10/22

11 werden. Hiermit kann man Authentisierung umgehen. Dies hat Auswirkungen auf Vertraulichkeit, Integrität und Upgrade auf eine neue Version empfohlen. Das schon vor und nicht nach der Veröffentlichung der Schwachstelle. F5 Networks hat demnach vorab reagiert. Wer nicht upgraden kann, sollte den im Advisory beschrieben Workaround anwenden. Ob ein Angreifer die Schwachstelle bereits ausgenutzt hat, erfährt man, indem man die Anmeldungen des Root-Nutzers in der Log- Datei /var/log/secure kontrolliert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 82780) und Secunia (ID 49396) dokumentiert. In deutscher Sprache berichtet unter anderem Heise zum Fall Mozilla Firefox nsframelist::firstchild Buffer Datum: VulDB: Eine kritische Schwachstelle wurde in Mozilla Firefox bis 12.0, ein Webbrowser, entdeckt. Davon betroffen ist die Funktion nsframelist::firstchild. Durch das Beeinflussen mit einer unbekannten Eingabe kann eine Damit kann man Programmcode ausführen. Dies hat Auswirkungen auf Vertraulichkeit, Integrität und Ein Aktualisieren auf die Version 13.0 vermag dieses Problem zu lösen. Das Erscheinen einer Veröffentlichung der Schwachstelle. Mozilla hat 82676) und Secunia (ID 49344) dokumentiert Mozilla Firefox [CVE ] Datum: VulDB: Es wurde eine kritische Schwachstelle in Mozilla Firefox bis 12.0, ein Webbrowser, entdeckt. Betroffen ist eine unbekannte Funktion. Durch das Manipulieren mit einer unbekannten Eingabe ausgenutzt werden. Hiermit kann man Programmcode ausführen. Dies hat Ein Aktualisieren auf die Version 13.0 vermag dieses Problem zu lösen. Das Erscheinen einer Veröffentlichung der Schwachstelle. Mozilla hat 82674) und Secunia (ID 49366) dokumentiert Mozilla Firefox utf16_to_isolatin1 Datum: VulDB: In Mozilla Firefox bis 12.0, ein Webbrowser, wurde eine kritische Schwachstelle gefunden. Hiervon betroffen ist die Funktion utf16_to_isolatin1. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine Dadurch kann man Programmcode ausführen. Dies hat Auswirkungen auf Integrität und Ein Upgrade auf die Version bis 13.0 vermag dieses Problem zu beheben. Das Erscheinen einer Veröffentlichung der Schwachstelle. Mozilla hat 82669) und Secunia (ID 49366) dokumentiert Mozilla Firefox [CVE ] Datum: VulDB: Es wurde eine kritische Schwachstelle in Mozilla Firefox bis 12.0, ein Webbrowser, gefunden. Davon betroffen ist eine unbekannte Funktion. Durch das Manipulieren mit einer unbekannten Eingabe ausgenutzt werden. Hiermit kann man Programmcode ausführen. Dies hat Auswirkungen auf Integrität und Ein Aktualisieren auf die Version 13.0 vermag dieses Problem zu lösen. Das Erscheinen einer Veröffentlichung der Schwachstelle. Mozilla hat 82667) und Secunia (ID 49366) dokumentiert. 11/22

12 3.34 Mozilla Firefox ESR Buffer [CVE ] Datum: VulDB: Eine kritische Schwachstelle wurde in Mozilla Firefox ESR bis , ein Webbrowser, entdeckt. Dies betrifft eine unbekannte Funktion. Mittels Manipulieren mit einer unbekannten Eingabe ausgenutzt werden. Damit lässt sich Programmcode ausführen. Dies hat Auswirkungen auf Integrität und Ein Upgrade auf die Version vermag dieses Problem zu beheben. Das Erscheinen einer Veröffentlichung der Schwachstelle. Mozilla hat 82666) und Secunia (ID 49366) dokumentiert Mozilla Firefox methodjit/immutablesync.cpp Datum: VulDB: Es wurde eine kritische Schwachstelle in Mozilla Firefox bis 12.0, ein Webbrowser, entdeckt. Hiervon betroffen ist eine unbekannte Funktion der Komponente methodjit/immutablesync.cpp. Dank der Manipulation mit einer unbekannten Eingabe ausgenutzt werden. Dadurch lässt sich Programmcode ausführen. Dies hat Auswirkungen auf Integrität und Ein Upgrade auf die Version 13.0 vermag dieses Problem zu beheben. Das Erscheinen einer Veröffentlichung der Schwachstelle. Mozilla hat 82665) und Secunia (ID 49366) dokumentiert Mozilla Firefox nshtmlreflowstate::calculatehyp otheticalbox Datum: VulDB: Eine kritische Schwachstelle wurde in Mozilla Firefox bis 12.0, ein Webbrowser, ausgemacht. Davon betroffen ist die Funktion nshtmlreflowstate::calculatehypotheticalbox. Durch das Beeinflussen durch Eingabe kann eine Dies hat Auswirkungen auf Integrität und Ein Aktualisieren auf die Version 13.0 vermag dieses Problem zu lösen. Das Erscheinen einer Veröffentlichung der Schwachstelle. Mozilla hat 82677) und Secunia (ID 49366) dokumentiert IrfanView Formats PlugIn Buffer Datum: VulDB: Eine kritische Schwachstelle wurde in IrfanView bis 4.33 gefunden. Hiervon betroffen ist eine unbekannte Funktion der Komponente Formats PlugIn. Mittels Manipulieren durch Datei kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Damit lässt sich Programmcode ausführen. Dies hat Auswirkungen auf Integrität und Ein Upgrade auf die Version 4.34 vermag dieses Problem zu beheben. Mitunter wird der Fehler 82588) und Secunia (ID 49319) dokumentiert Sony VAIO Wireless Manager WifiMan.dll Datum: VulDB: Eine kritische Schwachstelle wurde in Sony VAIO , ein Systemsoftware, gefunden. Dies betrifft eine unbekannte Funktion in der Bibliothek WifiMan.dll der Komponente Wireless Manager. Mittels Manipulieren durch HTML Page ausgenutzt werden. Dies hat Auswirkungen auf Vertraulichkeit, Integrität und Einspielen des entsprechenden Patches empfohlen. Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle. Sony hat demnach vorab reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (ID 82401) und Secunia (ID 49340) dokumentiert. 12/22

13 3.39 Linux Kernel sock_alloc_send_pskb() Buffer Datum: VulDB: Es wurde eine kritische Schwachstelle in Linux Kernel, ein Betriebssystem, ausgemacht. Hiervon betroffen ist die Funktion sock_alloc_send_pskb(). Dank der Manipulation mit der Eingabe data_len Parameter kann eine Dadurch lässt sich Programmcode injizieren. Dies hat Auswirkungen auf Integrität und Einspielen des entsprechenden Patches empfohlen. Das Erscheinen einer Veröffentlichung der Schwachstelle. Linux hat 82459) und Secunia (ID 49325) dokumentiert Google Chrome Encrypted PDF Document Handler Datum: VulDB: In Google Chrome bis , ein Webbrowser, wurde eine kritische Schwachstelle entdeckt. Betroffen ist eine unbekannte Funktion der Komponente Encrypted PDF Document Handler. Durch die Manipulation mit einer unbekannten Eingabe kann eine Pufferüberlauf- Schwachstelle ausgenutzt werden. Hiermit lässt sich Programmcode ausführen. Dies hat Ein Aktualisieren auf die Version vermag dieses Problem zu lösen. Das sofort nach der Veröffentlichung der Schwachstelle. Google hat demnach unmittelbar Datenbanken von OSVDB (ID 82247) und Secunia (ID 49277) dokumentiert Google Chrome PDF Functionality Datum: VulDB: Eine kritische Schwachstelle wurde in Google Chrome bis , ein Webbrowser, ausgemacht. Davon betroffen ist eine unbekannte Funktion der Komponente PDF Functionality. Durch das Beeinflussen mit einer unbekannten Eingabe kann eine Pufferüberlauf- Schwachstelle ausgenutzt werden. Damit kann man Programmcode ausführen. Dies hat Ein Aktualisieren auf die Version vermag dieses Problem zu lösen. Das sofort nach der Veröffentlichung der Schwachstelle. Google hat demnach unmittelbar Datenbanken von OSVDB (ID 82245) und Secunia (ID 49277) dokumentiert Google Chrome Browser Cache [CVE ] Datum: VulDB: Es wurde eine kritische Schwachstelle in Google Chrome bis , ein Webbrowser, ausgemacht. Betroffen ist eine unbekannte Funktion der Komponente Browser Cache. Durch das Manipulieren mit einer unbekannten Eingabe ausgenutzt werden. Hiermit kann man Programmcode ausführen. Dies hat Ein Aktualisieren auf die Version vermag dieses Problem zu lösen. Das sofort nach der Veröffentlichung der Schwachstelle. Google hat demnach unmittelbar Datenbanken von OSVDB (ID 82243) und Secunia (ID 49277) dokumentiert Google Chrome [CVE ] Datum: VulDB: Eine kritische Schwachstelle wurde in Google Chrome bis , ein Webbrowser, gefunden. Hiervon betroffen ist eine unbekannte Funktion. Mittels Manipulieren mit einer unbekannten Eingabe kann eine Pufferüberlauf- 13/22

14 Schwachstelle ausgenutzt werden. Damit lässt sich Programmcode ausführen. Dies hat Ein Upgrade auf die Version vermag dieses Problem zu beheben. Das sofort nach der Veröffentlichung der Schwachstelle. Google hat demnach unmittelbar Datenbanken von OSVDB (ID 82242) und Secunia (ID 49277) dokumentiert Apple Safari User Input Sanitizer Datum: VulDB: In Apple Safari bis 5.1.6, ein Webbrowser, wurde eine kritische Schwachstelle ausgemacht. Dies betrifft eine unbekannte Funktion der Komponente User Input Sanitizer. Mittels dem Manipulieren mit einer unbekannten Eingabe ausgenutzt werden. Dadurch kann man Programmcode ausführen. Dies hat Ein Upgrade auf die Version vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Apple hat demnach unmittelbar reagiert. Mitunter wird der Fehler 81792) und Secunia (ID 47292) dokumentiert Apple ios WebKit [CVE ] Datum: VulDB: In Apple ios bis 5.1.0, ein Webbrowser, wurde eine kritische Schwachstelle gefunden. Davon betroffen ist eine unbekannte Funktion der Komponente WebKit. Durch die Manipulation mit einer unbekannten Eingabe kann eine Hiermit lässt sich Programmcode ausführen. Dies hat Auswirkungen auf Vertraulichkeit, Integrität und Ein Aktualisieren auf die Version vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Apple hat demnach unmittelbar reagiert. Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von OSVDB (ID 79893) dokumentiert Adobe Flash Professional Flash.exe Datum: VulDB: Es wurde eine kritische Schwachstelle in Adobe Flash Professional bis CS5 entdeckt. Davon betroffen ist eine unbekannte Funktion der Komponente Flash.exe. Durch das Manipulieren mit einer unbekannten Eingabe kann eine Hiermit kann man Programmcode ausführen. Dies hat Auswirkungen auf Vertraulichkeit, Integrität und Ein Aktualisieren auf die Version CS6 vermag dieses Problem zu lösen. Das Erscheinen einer Veröffentlichung der Schwachstelle. Adobe hat 81753) und Secunia (ID 47116) dokumentiert Adobe Shockwave Player User Input Sanitizer Datum: VulDB: Eine kritische Schwachstelle wurde in Adobe Shockwave Player bis ausgemacht. Dies betrifft eine unbekannte Funktion der Komponente User Input Sanitizer. Mittels Manipulieren durch Eingabe kann eine Damit lässt sich Programmcode ausführen. Dies hat Auswirkungen auf Vertraulichkeit, Integrität und Ein Upgrade auf die Version vermag dieses Problem zu beheben. Das Erscheinen einer Veröffentlichung der Schwachstelle. Adobe hat 81752) und Secunia (ID ) dokumentiert Adobe Shockwave Player User Input Sanitizer Risiko: kritisch 14/22

15 Datum: VulDB: In Adobe Shockwave Player bis wurde eine kritische Schwachstelle ausgemacht. Betroffen ist eine unbekannte Funktion der Komponente User Input Sanitizer. Durch die Manipulation durch Eingabe kann eine Hiermit lässt sich Programmcode ausführen. Dies hat Auswirkungen auf Vertraulichkeit, Integrität und Damit kann man Programmcode ausführen. Dies hat Auswirkungen auf Vertraulichkeit, Integrität und Ein Aktualisieren auf die Version vermag dieses Problem zu lösen. Das direkt nach der Veröffentlichung der Schwachstelle. Adobe hat demnach sofort Datenbanken von OSVDB (ID 81749) und Secunia (ID 49086) dokumentiert. Ein Aktualisieren auf die Version vermag dieses Problem zu lösen. Das direkt nach der Veröffentlichung der Schwachstelle. Adobe hat demnach sofort Datenbanken von OSVDB (ID 81751) und Secunia (ID 49086) dokumentiert Adobe Shockwave Player User Input Sanitizer Datum: VulDB: Es wurde eine kritische Schwachstelle in Adobe Shockwave Player bis ausgemacht. Hiervon betroffen ist eine unbekannte Funktion der Komponente User Input Sanitizer. Dank der Manipulation durch Eingabe kann eine Dadurch lässt sich Programmcode ausführen. Dies hat Auswirkungen auf Vertraulichkeit, Integrität und Ein Upgrade auf die Version vermag dieses Problem zu beheben. Das Erscheinen einer Veröffentlichung der Schwachstelle. Adobe hat 81750) und Secunia (ID 49086) dokumentiert Adobe Shockwave Player User Input Sanitizer Datum: VulDB: Eine kritische Schwachstelle wurde in Adobe Shockwave Player bis gefunden. Davon betroffen ist eine unbekannte Funktion der Komponente User Input Sanitizer. Durch das Beeinflussen durch Eingabe kann eine 15/22

16 4. Statistiken Verletzbarkeiten Die im Anschluss aufgeführten Statistiken basieren auf den Daten der deutschsprachige Verletzbarkeitsdatenbank der scip AG. Zögern Sie nicht uns zu kontaktieren. Falls Sie spezifische Statistiken aus unserer Verletzbarkeitsdatenbank wünschen so senden Sie uns eine an info-at-scip.ch. Gerne nehmen wir Ihre Vorschläge entgegen Auswertungsdatum: 19. Juni sehr kritisch kritisch problematisch Verlauf der Anzahl Schwachstellen pro Jahr problematisch kritisch sehr kritisch 1 1 Verlauf der letzten drei Monate Schwachstelle/Schweregrad Unbekannt Authentisierung umgehen Code Injection Command Injection 1 2 Cross Site Redirect 1 Cross Site Request Forgery Cross Site Scripting Denial of Service Designfehler Directory Traversal Eingabeungültigkeit erweiterte Dateirechte erweiterte Leserechte 1 1 erweiterte Rechte erweiterte Zugriffsrechte Fehlende Authentifizierung Fehlende Verschlüsselung Fehlerhafte Leserechte Fehlerhafte Schreibrechte Fehlkonfiguration 1 3 Format String Information Disclosure Konfigurationsfehler Programmcode ausführen Pufferüberlauf Race Condition 1 1 Race-Condition Redirect Remote File Inclusion Schwache Authentifizierung 1 schwache Authentisierung 3 2 Schwache Verschlüsselung 3 1 Spoofing 1 1 Verlauf der letzten drei Monate Schwachstelle/Kategorie 16/22

17 Registrierte Schwachstellen by scip AG Verlauf der Anzahl Schwachstellen pro Monat - Zeitperiode sehr kritisch kritisch problematisch Verlauf der Anzahl Schwachstellen/Schweregrad pro Monat - Zeitperiode 2 17/22

18 Unbekannt Authentisierung umgehen 1 3 Code Injection 1 Command Injection Cross Site Redirect 1 Cross Site Request Forgery Cross Site Scripting Denial of Service Designfehler Directory Traversal Eingabeungültigkeit erweiterte Dateirechte erweiterte Leserechte erweiterte Rechte erweiterte Zugriffsrechte Fehlende Authentifizierung Fehlende Verschlüsselung Fehlerhafte Leserechte Fehlerhafte Schreibrechte Fehlkonfiguration Format String Information Disclosure Konfigurationsfehler Programmcode ausführen 1 Pufferüberlauf Race Condition Race-Condition Redirect Remote File Inclusion Schwache Authentifizierung 1 schwache Authentisierung Schwache Verschlüsselung Spoofing Verlauf der Anzahl Schwachstellen/Kategorie pro Monat - Zeitperiode 2 18/22

19 Registrierte Schwachstellen by scip AG Verlauf der Anzahl Schwachstellen pro Quartal seit / sehr kritisch kritisch problematisch Verlauf der Anzahl Schwachstellen/Schweregrad pro Quartal seit /3 19/22

20 Unbekannt Authentisierung umgehen 1 4 Code Injection 1 Command Injection 7 3 Cross Site Redirect 1 Cross Site Request Forgery 10 7 Cross Site Scripting Denial of Service Designfehler Directory Traversal Eingabeungültigkeit erweiterte Dateirechte 4 erweiterte Leserechte 1 2 erweiterte Rechte erweiterte Zugriffsrechte Fehlende Authentifizierung Fehlende Verschlüsselung Fehlerhafte Leserechte Fehlerhafte Schreibrechte Fehlkonfiguration 1 4 Format String Information Disclosure Konfigurationsfehler Programmcode ausführen 1 Pufferüberlauf Race Condition 1 2 Race-Condition Redirect 1 Remote File Inclusion 1 Schwache Authentifizierung schwache Authentisierung Schwache Verschlüsselung Spoofing Verlauf der Anzahl Schwachstellen/Kategorie pro Quartal seit / /22

21 5. Labs In unseren scip Labs werden unter regelmässig Neuigkeiten und Forschungsberichte veröffentlicht. 5.1 IT-Risk Management Eine Übersicht Pascal Schaufelberger, pasc-at-scip.ch Die Zeiten, in der man sich in der Informatiksicherheit mit einem Virenscanner und einer Firewall sicher fühlen konnte, sind schon seit längerer Zeit vorbei. Die Thematik ist über die Jahre komplexer geworden und man sieht sich als Unternehmen vielerlei Gefahren ausgesetzt. IT-Risk Management ist eine unterstützende Massnahme, um Gefahren zu erkennen und ihnen proaktiv gegenüber zu treten. In den letzten Jahren haben sich verschieden Frameworks verbreitet, um die Unternehmen in diesem Bereich zu unterstützen. Diese Frameworks unterscheiden sich zwar immer ein wenig, doch haben sie auch immer gemeinsame Nenner. Dieser Artikel soll eine Übersicht über den Bereich IT-Risk Management geben und die wichtigsten Aspekte herausleuchten. Angefangen bei der Gefahr bis hin zu den Risiken und wie man die selbigen behandeln kann. Die Gefahren An erster Stellekommt die Erkennung der Gefahren denen man gegenüber steht. Jedes Unternehmen ist den ähnlichen Gefahren ausgesetzt sobald man eine IT-Infrastruktur betreibt und diese noch an das Internet angebunden hat. Die Gefahr geht immer von jemandem aus. Sei dies ein interner Mitarbeiter oder eine Hacktivisten-Gruppe wie Anonymous. Nun gilt es den Angreifer zu charakterisieren. Hier helfen zum Beispiel Fragen wie: Wie mächtig ist der Angreifer? Wie motiviert ist er um sein Ziel zu erreichen? Wie fundiert ist sein Wissen? Als nächstes kommt die Tätigkeit. Also was macht der Angreifer. Hier wird werden Tätigkeiten gesucht, die ein Angreifer ausführen kann. Stiehlt er etwas oder geht es ihm um eine sinnlose Zerstörung. Und der wichtigste Punkt ist herauszufinden, was in einem Unternehmen alles in Gefahr sein kann. Für eine Schweizer Bank sind wohl die Kundendaten von erhöhter Priorität. Bei einem Unternehmen welches aktiv Forschung betreibt, werden wohl diese Forschungsergebnisse als das wichtigste Gut betrachtet. Zum Schluss möchte ich zwei mögliche Gefahren als Beispiele aufführen, die wir in den vergangenen Jahren in den Medien mehrmals gesehen haben: 1. Ein interner Mitarbeiter stiehlt Kundendaten (z.b. Bei einer Bank werden Kundeninformationen gestohlen und im Ausland zum Kauf angeboten) 2. Eine kriminelle Organisation stiehlt geheime Informationen (z.b. Bei RSA wurde ins Netzwerk eingebrochen und sensitive Informationen über ihre RSA-Tokens entwendet) Gefahrenszenarien Das Szenario beschreibt, wie die Gefahr eintreten kann. Trojaner, die Daten und Passwörter ausspähen, gehören in diesen Bereich, wie auch das Social Engineering, wo Mitarbeiter angegangen werden, um an Informationen zu kommen. Die Palette von Angriffs-Vektoren ist sehr vielfältig. Um den Rahmen hier nicht zu sprengen, fahre ich mit den beiden Gefahrenbeispielen fort und bilde je ein mögliches Szenario: 1. Eine kriminelle Organisation stiehlt geheime Informationen, indem sie einen Trojaner im Netzwerk einschleust. 2. Ein interner Mitarbeiter stiehlt Kundendaten, indem er unerlaubterweise eine Daten- CD brennt. Das Risiko Um das Risiko zu bewerten, muss man die zuvor kreierten Szenarien herbeiziehen und sie mit den vorhandenen Massnahmen vergleichen. 1. Ein interner Mitarbeiter stiehlt Kundendaten, indem er unerlaubterweise eine Daten- CD brennt. Jeder PC ist mit einem Brenner ausgestattet und auch das schreiben auf USB Sticks ist nicht eingeschränkt. Fazit: Es besteht ein erhöhtes Risiko, dass Daten unbemerkt aus dem Unternehmen entwendet werden. 2. Eine kriminelle Organisation stiehlt geheime Informationen, indem sie einen Trojaner im Netzwerk einschleust. Alle Systeme sind mit einem Antiviren Scanner ausgestattet. Zusätzlich ist eine Lösung im Einsatz, welche die Ausführung von unerlaubtem Code unterbindet (z.b. Whitelisting). Fazit: Es besteht ein geringes Risiko, 21/22

22 dass dieser Fall eintritt. Die Mitigierungsmassnahmen Wenn man sich der Risiken bewusst ist, hat man zwei Möglichkeiten. Man kann das Risiko akzeptieren oder man kann proaktiv das Risiko minimieren. Vor allem sollte man als erstes die hohen Risiken auf einen vertretbaren Stand bringen. Hier nehme ich das erhöhte Risiko: Fazit Ein interner Mitarbeiter stiehlt Kundendaten indem er unerlaubterweise eine Daten- CD brennt. Massnahmen: Das Brennen von CDs und das beschreiben von Wechseldatenträger im Unternehmen wird unterbunden und überwacht. Fazit: Das Risiko wird massiv verringert. IT-Risk Management hilft allen Unternehmen frühzeitig die Gefahren zu erkennen und Risiken zu minimieren. Ebenfalls dient es dazu, um den Sicherheits-Zustand eines Unternehmens zu erfassen und um den Verantwortlichen Personen den Status aufzuzeigen. Es sollte aber vor allem ein integraler Bestandteil des IT- Sicherheitskonzepts jedes Unternehmens sein. 6. Impressum Herausgeber: scip AG Badenerstrasse 551 CH-8048 Zürich T info-at-scip.ch Zuständige Person: Sean Rütschi Security Consultant T seru-at-scip.ch scip AG ist eine unabhängige Aktiengesellschaft mit Sitz in Zürich. Seit der Gründung im September 2 fokussiert sich die scip AG auf Dienstleistungen im Bereich Information Security. Unsere Kernkompetenz liegt dabei in der Überprüfung der implementierten Sicherheitsmassnahmen mittels Penetration Tests und Security Audits und der Sicherstellung zur Nachvollziehbarkeit möglicher Eingriffsversuche und Attacken (Log- Management und Forensische Analysen). Vor dem Zusammenschluss unseres spezialisierten Teams waren die meisten Mitarbeiter mit der Implementierung von Sicherheitsinfrastrukturen beschäftigen. So verfügen wir über eine Reihe von Zertifizierungen (Solaris, Linux, Checkpoint, ISS, Cisco, Okena, Finjan, TrendMicro, Symantec etc.), welche den Grundstein für unsere Projekte bilden. Das Grundwissen vervollständigen unsere Mitarbeiter durch ihre ausgeprägten Programmierkenntnisse. Dieses Wissen äussert sich in selbst geschriebenen Routinen zur Ausnutzung gefundener Schwachstellen, dem Coding einer offenen Exploiting- und Scanning Software als auch der Programmierung eines eigenen Log- Management Frameworks. Den kleinsten Teil des Wissens über Penetration Test und Log- Management lernt man jedoch an Schulen nur jahrelange Erfahrung kann ein lückenloses Aufdecken von Schwachstellen und die Nachvollziehbarkeit von Angriffsversuchen garantieren. Einem konstruktiv-kritischen Feedback gegenüber sind wir nicht abgeneigt. Denn nur durch angeregten Ideenaustausch sind Verbesserungen möglich. Senden Sie Ihr Schreiben an smssfeedback@scip.ch. Das Errata (Verbesserungen, Berichtigungen, Änderungen) der scip monthly Security Summarys finden Sie online. Der Bezug des scip monthly Security Summary ist kostenlos. Anmelden! Abmelden! 22/22