scip ag

Transcription

scip ag

scip ag
Manifestierung des ersten Gedankens dieser Art,
etwa 15 Jahre vergangen, orientiere ich mich
zunehmends anders. Durch das klassische
Reverse Engineering mittels Disassembler
entwickle ich mehr und mehr eine Liebe zur
Hardware. Eigentlich schon mit der Nutzung von
Assembler zur Umsetzung besonders effizienter
Programme
(z.B.
Faktorenzerlegung
von
Primzahlen) hätte ich diesen Schritt gehen sollen,
doch erst jetzt interessiert es mich wirklich, wie
und warum etwas in jenes Register verschoben
wird.
Contents
1.
Editorial
2.
scip AG Informationen
3.
Neue Sicherheitslücken
4.
Statistiken Verletzbarkeiten
5.
Bilderrätsel
6.
Impressum
1.
Ein solches technisches Reverse Engineering ist
sehr mächtig. Es ist wohl die mächtigste Technik,
die man in der heutigen Zeit verfolgen kann. Das
Aufspüren von Schwachstellen durch das Tryand-Error Prinzip als herkömmlicher End-User
erscheint nämlich eigentlich sowohl wirtschaftlich
als auch technisch als ineffizienter Witz erster
Klasse. Wieso sich mit unhandlichen GUIElementen herummühen, wenn man entweder
den Programmcode (Source Code Analyse) oder
halt eben den Maschinencode inspizieren kann?
Editorial
scip monthly Security Summary 19.01.2008
Ich interessiere mich nicht so für Hardware
Lange bevor ich einen eigenen Computer
besass,
entwickelte
ich
meine
eigenen
Computerspiele.
Vorwiegend
das
Design
beschäftigte mich, wie die Levels auszusehen
hatten und welche Gegner an welcher Stelle
auftauchen würden. Damals als Kind war dies
mehr ein Zeichnen, denn ein Programmieren.
Erst später eignete ich mir grundlegende BasicKenntnisse an. Noch immer keinen eigenen
Rechner
besitzend
pflegte
ich
meinen
Programmcode auf einer alten Schreibmaschine
(nicht elektronisch!), übertrug die einzelnen
Zeilen erst später in den 386er meines Vaters.
Schon damals war es für mich klar, dass nur
Software etwas "edles" besitzt. Edel in einem
sehr philosophischen, ja schon fast sozialen
Sinn. Software konnte frei sein. Jeder, der
Schreiben könne, könne seine eigene Software
entwickeln. Bei Hardware sah es da schon ein
bisschen anders, eher kapitalistisch aus. Ohne
die Investition von Geld konnte man sich keine
Einzelteile kaufen und deshalb auch nichts
Gescheites mit Hardware anfangen. Also
interessierte ich mich nicht für Hardware - Sie
war lediglich Mittel zum Zweck.
Jetzt,
es
sind
zwischenzeitlich
seit
der
Was Reverse Engineering mit IDA Pro und co.
betrifft, empfinde ich mich selbst nach wie vor als
Neuling. Eher ungestühm wühle ich mich durch
MOV- and JNZ-Anweisungen. Dennoch bin ich
immerwieder erstaunt, wie schnell mir doch
manchmal die Resultate zufliegen. Da hätte ich
für so manches Problem ein zig faches an Zeit
bei einem reinen Blackbox Testing verbraten.
Besonders proprietären Algorithmen minderer
Qualität, die als die grossen Krypto-Lösungen
angeboten werden, sind sehr unterhaltsam.
(Oder halt auch Unternehmen, die mir meine
GPL-Software klauen, leicht modifizieren, dann
kommerziell vertreiben und behaupten, ich hätte
mir das alles nur ausgedacht...)
In der einschlägigen Literatur ist in der Tat eine
Segmentverschiebung zu beobachten. Kein
anderes Sub-Genre hat in den letzten zwei bis
drei Jahren einen solchen Aufschwung erlebt, wie
das Reverse Engineering mittels Hex-Editor,
Disassembler und Decompiler. Das Ganze wurde
langsam Salonfähig. Bücher wie Reversing von
Eldad Eilam und Exploiting Software von Greg
Hoglund sowie Gary McGraw erreichen eine
Qualität, die selbst einen Einsteiger begeistern
können. Früher wurden die eben dort
beschriebenen Techniken vorwiegend von
1/14
s c i p
a g
© scip AG
Crackern aus der Warez-Szene gepflegt. Und
heute ist man schon fast uncool, wenn man nicht
wenigstens die jüngste Version von IDA Pro auf
der Festplatte rumliegen hat.
Dennoch glaube ich, dass sich die Anzahl der
Leute, die sich ernsthaft mit Assembler
auseinandersetzen wollen und können, sehr
gering bleibt. Das Interesse ist nämlich in 99,9 %
der Fälle nicht gross genug, um den immensen
Aufwand für eine solche zeitintensive Studie zu
rechtfertigen. Schade, denn ich habe und werde
wohl auch noch viel Freude haben. Nämlich
Spass mit lustigen Abkürzungen wie MOV, CMP,
JZ und XOR...
2.
scip AG Informationen
2.1 Erfolgreiches neues Jahr
Das neue Jahr hat definitiv begonnen.
Die kurze Zeit der verbreiteten Arbeitspause ist
vorüber. Täglich stehen wieder Meetings, Workshops und Entscheidungen an.
Die scip AG wünscht Ihnen auf diesem Weg
nocheinmal ein erfolgreiches und gesundes Jahr.
Marc Ruef <maru-at-scip.ch>
Security Consultant
Zürich, 7. Januar 2008
2/14
s c i p
a g
© scip AG
3.
Neue Sicherheitslücken
Die erweiterte Auflistung hier besprochener Schwachstellen sowie weitere
Sicherheitslücken sind unentgeltlich in
unserer
Datenbank
unter
http://www.scip.ch/cgi-bin/smss/showadvf.pl einsehbar.
Die Dienstleistungspakete)scip( pallas
liefern Ihnen jene Informationen, die
genau für Ihre Systeme relevant sind.
25
20
15
10
Microsoft
Excel
ist
ein
Tabellenkalkulationsprogramm. Es ist heute die
meistverbreitete Software für Tabellenkalkulation.
Excel gehört zur Microsoft-Office-Suite und ist
sowohl für Microsoft Windows als auch für Mac
OS verfügbar. Excel entstand als Nachfolger von
Microsoft Multiplan. Die aktuell verfügbare
Version ist für Windows Microsoft Excel 2007
(seit 30. November 2006 für Firmenkunden bzw.
seit 30. Januar 2007 für Endverbraucher) sowie
für Mac OS Microsoft Excel 2004 (seit Juni
2004). Durch eine Schwachstelle, die bereits
vorgängig als 0-Day ausgenutzt wurde, kann
durch eine manipulierte XLS Datei beliebiger
Schadcode zur Ausführung gebracht werden, wie
Microsoft unlängst in einem Technet Advisory
bestätigte. Der Fehler passiert dabei bei der
Verarbeitung speziell manipulierter Header Daten
beim Laden der Datei.
5
0
Dez 07
Jan 08
sehr kritisch
4
1
kritisch
19
6
problematisch
22
15
Contents:
3552
3551
3548
3547
3544
3543
3542
3538
3532
3531
3522
3521
Microsoft Excel File Handling
Codeausführung
Apple QuickTime PICT Pufferüberlauf
Apple QuickTime Sorenson3
Pufferüberlauf
Sun Solaris Libxml2 UTF-8 Parsing
Denial of Service
VLC Media Player SDP Vearbeitung
Pufferüberlauf
Linksys WRT54GL Cross-Site Request
Forgery
Microsoft Windows LSASS Privilege
Escalation
IBM AIX Trusted Execution
Schwachstelle
Asterisk "BYE/Also" Denial of Service
RealPlayer unspezifizierter
Pufferüberlauf
Adobe Flash Player JPEG Pufferüberlaf
Adobe Flash Player RegExp
Pufferüberlauf
3.1 Microsoft Excel File Handling
Codeausführung
Einstufung: sehr kritisch
Remote:
Ja
Datum:
16.01.2008
scip DB:
http://www.scip.ch/cgibin/smss/showadvf.pl?id=3552
Expertenmeinung:
Da diese Schwachstelle bereits aktiv ausgenutzt
wird, gilt hier höchste Alarmstufe. Durch die hohe
Integration von Excel auf Windowssystemen, ist
eine Kompromittierung relativ einfach zu
erreichen und durchaus als kritisch anzusehen.
Der
freigegebene
Patch
sollte
daher
baldmöglichst
eingespielt
werden,
um
weitreichende Konsequenzen zu vermeiden.
3.2 Apple QuickTime PICT
Pufferüberlauf
Einstufung: kritisch
Remote:
Ja
Datum:
16.01.2008
scip DB:
QuickTime ist eine von der Firma Apple
entwickelte Multimedia-Architektur für Mac OS
und Windows. Diese besteht im Kern aus drei
Elementen: dem Framework, dem API und dem
Dateiformat. Basisanwendungen, die auf diese
Architektur aufbauen, sind z. B. der QuickTime
Player, der QuickTime Broadcaster oder der
QuickTime Streaming Server. QuickTime wird
irrtümlicherweise zumeist auf den QuickTime
Player reduziert. Dabei arbeitet es als zugrunde
liegender
technologischer
Unterbau
in
zahlreichen
Applikationen
beider
Betriebssysteme, wie z. B. Adobe Premiere,
Apple Logic, Optibase Media 100, Apple iTunes,
Final
Cut
Pro
oder
den
AvidVideoschnittprogrammen.
Im
monatlichen
Security Summary beschreibt Apple eine
Schwachstelle bei der Verarbeitung von PICT
Dateien, durch die ein Angreifer einen
Pufferüberlauf provozieren und die Ausführung
beliebigen Codes veranlassen kann.
3/14
s c i p
a g
© scip AG
Expertenmeinung:
Nachdem Apple bereits letzten Monat wohl
unangefochten als Hersteller mit den meisten
Schwachstellen
aus
den
monatlichen
Auswertungen hervorging, scheint sich dies auch
im
Januar
fortzusetzen:
Gleich
vier
Schwachstellen in Quicktime werden dieses Mal
mittels eines kumulativen Updates gelöst.
Aufgrund der hohen Verbreitung empfiehlt es
sich, das Einspielen des Updates baldmöglichst
in Angriff zu nehmen.
3.3 Apple QuickTime Sorenson3
Pufferüberlauf
Remote:
Ja
Datum:
16.01.2008
scip DB:
QuickTime ist eine von der Firma Apple
entwickelte Multimedia-Architektur für Mac OS
und Windows. Diese besteht im Kern aus drei
Elementen: dem Framework, dem API und dem
Dateiformat. Basisanwendungen, die auf diese
Architektur aufbauen, sind z. B. der QuickTime
Player, der QuickTime Broadcaster oder der
QuickTime Streaming Server. QuickTime wird
irrtümlicherweise zumeist auf den QuickTime
Player reduziert. Dabei arbeitet es als zugrunde
liegender
technologischer
Unterbau
in
zahlreichen
Applikationen
beider
Betriebssysteme, wie z. B. Adobe Premiere,
Apple Logic, Optibase Media 100, Apple iTunes,
Final
Cut
Pro
oder
den
AvidVideoschnittprogrammen.
Im
monatlichen
Security Summary beschreibt Apple eine
Schwachstelle bei der Verarbeitung von
Sorenson 3 Videodateien, durch die ein Angreifer
einen Pufferüberlauf provozieren und die
Ausführung beliebigen Codes veranlassen kann.
Expertenmeinung:
Nachdem Apple bereits letzten Monat wohl
unangefochten als Hersteller mit den meisten
Schwachstellen
aus
den
monatlichen
Auswertungen hervorging, scheint sich dies auch
im
Januar
fortzusetzen:
Gleich
vier
Schwachstellen in Quicktime werden dieses Mal
mittels eines kumulativen Updates gelöst.
Aufgrund der hohen Verbreitung empfiehlt es
sich, das Einspielen des Updates baldmöglichst
in Angriff zu nehmen.
3.4 Sun Solaris Libxml2 UTF-8 Parsing
Denial of Service
Einstufung: problematisch
Remote:
Ja
Datum:
15.01.2008
scip DB:
Solaris
(früher
SunOS)
ist
ein
UnixBetriebssystem der Firma Sun Microsystems und
stammt aus der UNIX System V-Familie.
Anfänglich wurde SunOS auf Basis von BSDUNIX als proprietäres Betriebssystem für den
Einsatz auf Servern und Workstations von Sun
entwickelt. Version 5.0 von SunOS wurde auf der
Basis von UNIX System V neu entwickelt und der
Produktname Solaris eingeführt. Mit Version 10
von Solaris wurden schließlich wesentliche Teile
des Quelltextes von Sun offengelegt und das
System als OpenSolaris zum Download
freigegeben. Die Weiterentwicklung erfolgt
seitdem als freies Betriebssystem. Sun gab
unlängst bekannt, dass in aktuellen Versionen
eine Schwachstelle besteht, bei der mittels eines
Fehlers in Libxml2 ein Denial of Service erreicht
werden kann.
Expertenmeinung:
Auch diesen Monat sorgt Sun für ordentlichen
Nachschub an Patches: Bis Mitte Monat wurden
an dieser Stelle bereit sein gutes halbes Dutzend
Updates registriert. Administratoren sollten diese
baldmöglichst sichten, zumal es sich um teilweise
kritische und somit prioritär zu behandelnde
Schwachstellen handelt.
3.5 VLC Media Player SDP
Vearbeitung Pufferüberlauf
Remote:
Ja
Datum:
10.01.2008
scip DB:
Der VLC media player (anfänglich VideoLAN
Client) ist ein portabler, freier Media Player
sowohl für diverse Audio-, Videocodecs und
Dateiformate als auch DVDs, Video-CDs und
unterstützt
unterschiedliche
StreamingProtokolle. Er kann auch als Server zum
Streaming in Uni- oder Multicast in IPv4 und IPv6
verwendet werden. Luigi Auriemma fand eine
Schwachstelle
in
modules/access/rtsp/real_sdpplin.c, die auftritt
wenn VLC SDP Daten für RTSP Sessions
verarbeitet. Durch die auftretende Schwachstelle
wird es einem Angreifer möglich, beliebigen
Programmcode zur Ausführung zu bringen.
Expertenmeinung:
Der VLC Player erfreut sich ungebrochener
Beliebtheit. Entsprechend sollte jeder Anwender
4/14
s c i p
a g
© scip AG
darauf
bedacht
sein,
auf
die
Vertrauenswürdigkeit der benutzten Streams acht
zu geben, zumindest bis ein entsprechender
Patch erscheint, der diese Lücke schliesst.
3.6 Linksys WRT54GL Cross-Site
Request Forgery
Remote:
Ja
Datum:
09.01.2008
scip DB:
Der WRT54G ist ein Router der Firma Linksys
(seit 2001 ein Tochterunternehmen von Cisco),
der aus einem integrierten Vier-Port-Switch und
einem Wireless Access Point besteht. Das Gerät
ist geeignet, eine Internetverbindung mit
mehreren Clients sowohl über Ethernet 802.3 als
auch über WLAN 802.11b und 802.11g zu teilen.
In einem jüngst veröffentlichen Advisory wird
beschrieben,
dass
das
administrative
Webinterfaces des Linux Derivates WRT54GL
gegenüber Cross-Site-Request Forgery Angriffe
anfällig ist. Dies erlaubt es einem Angreifer,
entsprechende Angriffe zu realisieren.
Expertenmeinung:
Der WRT54G erfreut sich dank seiner
Modularität und seiner einfachen Anpassbarkeit
grosser
Beliebtheit.
Die
vorliegende
Schwachstelle ist ärgerlich, dürfte aber in den
meisten Fällen durch den Betrieb einer
alternativen Firmware nur limitiert gegeben sein.
3.7 Microsoft Windows LSASS
Privilege Escalation
Remote:
Teilweise
Datum:
08.01.2008
scip DB:
Microsoft Windows ist ein Markenname für
Betriebssysteme
der
Firma
Microsoft.
Ursprünglich war Microsoft Windows eine
grafische Erweiterung des Betriebssystems MSDOS (wie zum Beispiel auch GEM oder
PC/GEOS), inzwischen hat Microsoft das DOSFundament aber völlig aufgegeben und setzt
ausschließlich
auf
Windows-NTBetriebssystemversionen. In der vorliegenden
Schwachstelle, die unlängst von Thomas Garnier
publiziert wurde, ist es möglich mittels eines
manipulierten Local Procedure Calls über LSASS
beliebigen Code unter dem Kontext von SYSTEM
auszuführen und so erweiterte Rechte zu
erlangen.
Expertenmeinung:
Neben
den
vorgängig
behandelten
Schwachstellen der TCP/IP Implementierung von
Microsoft Windows stellt die vorliegende Lücke
ein weiteres Problem dar. Wie auch in den
anderen Fällen empfiehlt es sich hier, den
freigegebenen Patch einzuspielen um die Lückke
zu schliessen.
3.8 IBM AIX Trusted Execution
Schwachstelle
Remote:
Ja
Datum:
07.01.2008
scip DB:
AIX (Advanced Interactive eXecutive) ist ein
UNIX-Betriebssystem der Firma IBM und für den
Einsatz in hochperformanten Serversystemen
bzw. in Workstations ausgerichtet. Wie IBM in
einem Advisory berichtet, existiert im Release 6.x
ein
Fehler,
wonach
der
Funktion
trustchk_block_write() ein falscher Parameter
übergeben wird, wodurch vertrauenswürdige
(trusted) Dateien modifiziert werden können.
Weitere Informationen sind nicht bekannt.
Expertenmeinung:
IBM hält sich, wie auch in der Vergangenheit so
oft, sehr zurück mit Informationen zu dieser
Schwachstelle. Bekannst ist lediglich, dass sie
offenbar durch einen simplen Programmierfehler
entstand
und
entsprechend
durch
den
veröffentlichten Patch geschlossen werden kann
und sollte.
3.9 Asterisk "BYE/Also" Denial of
Service
Remote:
Ja
Datum:
03.01.2008
scip DB:
Asterisk ist eine freie Software, die alle
Funktionalitäten
einer
herkömmlichen
Telefonanlage abdeckt. Asterisk unterstützt
Voice-over-IP (VoIP) mit unterschiedlichen
Protokollen und kann mittels relativ günstiger
Hardware mit Anschlüssen wie POTS (analoger
Telefonanschluss), ISDN-Basisanschluss (BRI)
oder -Primärmultiplexanschluss (PRI, E1 oder
T1) verbunden werden. Mark Spencer hat
Asterisk ursprünglich geschrieben, wichtige
Erweiterungen und Applikationen stammen aber
mittlerweile vor allem von anderen Entwicklern.
5/14
s c i p
a g
© scip AG
Wie Grey VoIP berichtet besteht in derzeit im
Einsatz befindlichen Versionen der populären
Software eine ausnutzbare Null Pointer
Dereferenzierung bei der Verarbeitung der
BYE/Also Transfermethode. Dies kann von
einem Angreifer zur Realisierung einer Denial of
Service Attacke genutzt werden.
Expertenmeinung:
Asterisk erfolgt sich als Software PBX einer
grossen Beliebtheit, nicht zuletzt aufgrund der
einfachen Erweiterbarkeit. Allerdings zeigte sich
in den letzten Monaten mehrmals, dass in
Sachen Sicherheit noch nicht alles Notwendige
getan wurde. Im vorliegenden Fall empfiehlt es
sich, die freigegebenen Patches einzuspielen um
die Schwachstelle zu beseitigen.
3.10 RealPlayer unspezifizierter
Pufferüberlauf
Remote:
Ja
Datum:
03.01.2008
scip DB:
Der RealPlayer ist ein Medienspieler der Firma
Real Networks. Frühere Versionen des
RealPlayers hießen auch RealOne Player oder
RealAudio Player. Einem Advisory von Evgeny
Legerov zu folgen, besteht bei aktuell im Einsatz
befindlichen
Versionen
ein
nicht
näher
spezifizierter Fehler, der mittels manpulierter
Medienfiles zu einem Pufferüberlauf führt, was
die Ausführung beliebigen Codes auf dem
Zielsystem begünstigt.
Expertenmeinung:
Der RealPlayer gehört heute, dank prominenten
Content
Providern,
die
auf
die
zugrundeliegenende
Technologie
setzen
(mitunter auch das Schweizer Fernsehen), zu
den verbreiteteren Medienplayern. Durch die
hohe
Verbreitung
ist
die
vorliegende
Schwachstelle als kritisch anzusehen. Betroffene
Systeme
sollten
möglicherweise
nicht
vertrauenswürdige Seiten mit Real-Inhalten
meiden und den in Kürze erscheinenden Patch
baldmöglichst einspielen. Alternativ bietet sich die
Verwendung eines alternativen Produktes
(RealAlternative) an.
3.11 Adobe Flash Player JPEG
Pufferüberlaf
Einstufung:
Remote:
Datum:
scip DB:
kritisch
Ja
27.12.2007
http://www.scip.ch/cgi-
bin/smss/showadvf.pl?id=3522
Adobe Flash (kurz Flash, ehemals Macromedia
Flash)
ist
eine
proprietäre
integrierte
Entwicklungsumgebung
zur
Erstellung
multimedialer Inhalte, so genannter „FlashFilme“. Die resultierenden Dateien liegen im
SWF-Format vor, einem auf Vektorgrafiken
basierenden Grafik- und Animationsformat. Das
Kürzel SWF steht dabei für Small Web Format
und/oder ShockWave Flash. In seinem neusten
Security Bulletin beschreibt Adobe diesen Monat
insgesamt zehn Schwachstellen. Bei der hier
vorliegenden Schwachstelle handelt es sich um
einen Fehler bei der Verarbeitung von JPEG
Dateien, mittels dem ein Pufferüberlauf durch
manipulierte Bilddateien, eingebettet in SWF
Dateien, provoziert werden kann.
Expertenmeinung:
Auf ganze zehn Schwachstellen kommt Adobe
hier zum Jahresende und dürfte damit dem einen
oder anderen Administrator noch Kopfzerbrechen
bereiten,
können
die
hier
aufgeführten
Schwächen doch allesamt als kritisch angesehen
werden. Vom damit verbundenen Aufwand
abgesehen
lohnt
es
sich
hier,
die
entsprechenden
Patches
baldmöglichst
einzuspielen.
3.12 Adobe Flash Player RegExp
Pufferüberlauf
Remote:
Ja
Datum:
27.12.2007
scip DB:
Adobe Flash (kurz Flash, ehemals Macromedia
Flash)
ist
eine
proprietäre
integrierte
Entwicklungsumgebung
zur
Erstellung
multimedialer Inhalte, so genannter „FlashFilme“. Die resultierenden Dateien liegen im
SWF-Format vor, einem auf Vektorgrafiken
basierenden Grafik- und Animationsformat. Das
Kürzel SWF steht dabei für Small Web Format
und/oder ShockWave Flash. In seinem neusten
Security Bulletin beschreibt Adobe diesen Monat
insgesamt zehn Schwachstellen. Bei der hier
vorliegenden Schwachstelle handelt es sich um
einen Fehler bei der Verarbeitung von Regular
Expressions, durch den die Ausführung
beliebigen Programmcodes mittels eines heapbasierten Pufferüberlaufs provoziert werden
kann.
Expertenmeinung:
Auf ganze zehn Schwachstellen kommt Adobe
hier zum Jahresende und dürfte damit dem einen
6/14
s c i p
a g
© scip AG
oder anderen Administrator noch Kopfzerbrechen
bereiten,
können
die
hier
aufgeführten
Schwächen doch allesamt als kritisch angesehen
werden. Vom damit verbundenen Aufwand
abgesehen
lohnt
es
sich
hier,
die
entsprechenden
Patches
baldmöglichst
einzuspielen.
7/14
s c i p
a g
© scip AG
4.
Statistiken Verletzbarkeiten
60
Die im Anschluss aufgeführten Statistiken basieren auf den Daten der
deutschsprachige
Verletzbarkeitsdatenbank der scip AG.
50
40
http://www.scip.ch/cgi-bin/smss/showadvf.pl
Zögern Sie nicht uns zu kontaktieren. Falls Sie
spezifische Statistiken aus unserer Verletzbarkeitsdatenbank wünschen so senden Sie uns
eine E-Mail an mailto:[email protected]. Gerne nehmen wir Ihre Vorschläge entgegen.
Auswertungsdatum:
30
20
10
19. Januar 2008
0
2007 - Nov
2007 - Dez
2008 - Jan
sehr kritisch
1
4
1
kritisch
17
19
6
problematisch
34
22
15
Verlauf der Anzahl Schwachstellen pro Jahr
900
25
800
20
700
600
15
500
400
10
300
200
5
100
0
0
2003
2004
2005
2006
2007
2008
sehr kritisch
56
15
15
6
11
1
kritisch
214
314
402
442
229
6
problematisch
170
287
423
396
419
15
Verlauf der letzten drei Monate Schwachstelle/Schweregrad
2007 - Nov
2007 - Dez
2008 - Jan
Cross Site Scripting (XSS)
5
11
1
Denial of Service (DoS)
7
3
4
8
1
17
12
Designfehler
Directory Traversal
Eingabeungültigkeit
4
Fehlende Authentifizierung
Fehlende Verschlüsselung
Fehlerhafte Leserechte
Fehlerhafte Schreibrechte
3
Format String
1
Konfigurationsfehler
1
Pufferüberlauf
23
Race-Condition
1
Schw ache Authentifizierung
Schw ache Verschlüsselung
1
2
Umgehungs-Angriff
2
2
Unbekannt
4
2
SQL-Injection
Symlink-Schw achstelle
4
Verlauf der letzten drei Monate Schwachstelle/Kategorie
8/14
s c i p
a g
© scip AG
Registrierte Schwachstellen by scip AG
40
22
2008 - Dez
2008 - Nov
2008 - Sep
2008 - Aug
2008 - Jul
2008 - Jun
2008 - Mai
2008 - Apr
2008 - Mrz
2008 - Feb
2008 - Jan
0
2008 - Okt
20
Verlauf der Anzahl Schwachstellen pro Monat - Zeitperiode 2008
25
20
15
10
5
0
2008 - Jan 2008 - Feb 2008 - Mrz 2008 - Apr 2008 - Mai 2008 - Jun 2008 - Jul 2008 - Aug 2008 - Sep 2008 - Okt 2008 - Nov 2008 - Dez
sehr kritisch
1
kritisch
6
problematisch
15
Verlauf der Anzahl Schwachstellen/Schweregrad pro Monat - Zeitperiode 2008
9/14
s c i p
a g
© scip AG
14
12
10
8
6
4
2
0
2008 - Jan 2008 - Feb 2008 - Mrz 2008 - Apr 2008 - Mai 2008 - Jun 2008 - Jul
1
4
Designfehler
1
2008 Aug
2008 - Sep 2008 - Okt 2008 - Nov 2008 - Dez
Directory Traversal
Format String
Pufferüberlauf
12
Race-Condition
SQL-Injection
Umgehungs-Angriff
Unbekannt
4
Verlauf der Anzahl Schwachstellen/Kategorie pro Monat - Zeitperiode 2008
10/14
s c i p
a g
© scip AG
Registrierte Schwachstellen by scip AG
120
111
103
100
98
94
85
83
80
79
76
70
77
70
80
77
70
62
60
77
65
62
55
71
68
68
55
51 52
49
51
54
48
40
52
47
44
45
40
27
27
20
2007 - Nov
2007 - Sep
2007 - Jul
2007 - Mai
2007 - Mrz
2007 - Jan
2006 - Nov
2006 - Sep
2006 - Jul
2006 - Mai
2006 - Mrz
2006 - Jan
2005 - Nov
2005 - Sep
2005 - Jul
2005 - Mai
2005 - Mrz
2005 - Jan
0
Verlauf der Anzahl Schwachstellen pro Monat seit Januar2005
120
100
80
60
40
20
0
2005 2005 2005 2005 2005 2005 2005
- Jan - Feb - Mrz - Apr - Mai - Jun - Jul
1
2
2
3
1
2
1
1
1
1
1
1
2
2
1
4
kritisch
25
33
38
58
47
20
46
20
26
42
37
10
30
38
27
37
33
44
41
42
52
27
27
43
49
23
9
15
24
14
18
11
15
15
17
19
6
problematisch
51
49
32
51
56
18
46
26
28
26
24
16
48
13
25
32
44
35
21
42
24
38
40
34
49
47
16
36
31
34
25
36
39
51
34
22
15
sehr kritisch
2
2005
2006
2007
2005 2005 2005 2005 2006 2006 2006 2006 2006 2006 2006
2006 2006 2006 2006 2007 2007 2007 2007 2007 2007 2007
2007 2007 2007 2007 2008
- Sep - Okt - Nov - Dez - Jan - Feb - Mrz - Apr - Mai - Jun - Jul
- Sep - Okt - Nov - Dez - Jan - Feb - Mrz - Apr - Mai - Jun - Jul
- Sep - Okt - Nov - Dez - Jan
Aug
Aug
Aug
1
1
1
1
1
Verlauf der Anzahl Schwachstellen/Schweregrad pro Monat seit Januar 2005
11/14
s c i p
a g
© scip AG
50
45
40
35
30
25
20
15
10
5
0
200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200
5- 5- 5- 5- 5- 5- 5- 5- 5- 5- 5- 5- 6- 6- 6- 6- 6- 6- 6- 6- 6- 6- 6- 6- 7- 7- 7- 7- 7- 7- 7- 7- 7- 7- 7- 7Jan Feb Mrz Apr Mai Jun Jul Aug Sep Okt Nov Dez Jan Feb Mrz Apr Mai Jun Jul Aug Sep Okt Nov Dez Jan Feb Mrz Apr Mai Jun Jul Aug Sep Okt Nov Dez
1
3
1
20
3
2
10
4
5
6
5
1
3
4
3
6
3
8
6
4
6
3
2
2
7
2
2
3
4
6
4
7
11
8
5
11
15
6
12
19
30
6
25
4
12
15
24
4
25
10
10
9
12
14
13
16
20
24
15
21
32
11
10
11
14
4
5
5
8
12
7
3
Designfehler
29
44
16
30
36
14
15
18
12
13
12
7
15
12
12
27
23
13
14
19
7
12
19
11
7
3
1
1
3
4
1
7
6
2
1
1
2
1
2
1
1
3
4
1
1
1
3
3
6
2
4
2
1
3
1
2
1
28
23
Directory Traversal
1
1
1
2
1
2
4
2
1
2
2
1
1
Format String
1
1
2
1
1
6
1
1
1
3
1
2
3
1
2
1
2
2
2
1
2
1
2
2
2
1
6
1
2
1
3
1
2
4
2
2
1
3
1
2
1
1
1
3
2
1
3
1
1
1
1
11
Pufferüberlauf
19
14
20
26
Race-Condition
2
2
3
3
1
1
5
1
1
Umgehungs-Angriff
5
Unbekannt
1
6
1
14
15
16
1
1
1
2
8
7
2
2
19
1
6
2
1
12
8
18
1
2
2
1
SQL-Injection
22
1
1
1
1
1
1
1
1
1
1
1
2
2
6
4
1
1
6
1
13
17
20
1
1
1
1
1
1
1
1
2
2
17
1
1
1
1
4
2
3
1
1
1
1
1
1
1
3
1
2
4
1
6
3
24
24
4
1
2
4
2
1
5
2
4
1
19
27
12
17
2
2
1
1
2
3
4
1
1
1
17
4
3
3
23
1
3
1
2
1
1
1
19
27
20
2
1
1
1
1
2
1
3
3
2
24
1
24
16
1
1
1
17
1
1
1
1
2
20
4
1
1
8
1
1
1
1
1
1
2
1
2
3
1
5
1
1
3
5
7
4
10
4
2
6
6
7
4
11
5
1
2
3
4
2
4
2
2
3
1
3
4
2
Verlauf der Anzahl Schwachstellen/Kategorie pro Monat seit Januar 2005
12/14
s c i p
a g
© scip AG
5.
Bilderrätsel
GESUCHTE BEGRIFFE
4 Buchstaben (engl.)
8 Buchstaben (engl.)
8 Buchstaben
LÖSUNGSWORT
Wettbewerb
Mailen Sie uns das erarbeitete Lösungswort an die Adresse
mailto:[email protected] inklusive Ihren Kontakt-Koordinaten. Das
Los entscheidet über die Vergabe des Preises. Teilnahmeberechtigt sind alle ausser den Mitarbeiterinnen und Mitarbeitern der scip AG sowie deren Angehörige. Es wird keine
Korrespondenz geführt. Der Rechtsweg ist ausgeschlossen.
Gewinnen Sie einen Monat des Securitytracker Dienstes
)pallas(.
Einsendeschluss ist der 15.02.2008. Die GewinnerInnen
werden nur auf ihren ausdrücklichen Wunsch publiziert. Die
scip AG übernimmt keinerlei, wie auch immer geartete Haftung im Zusammenhang mit irgendeinem im Rahmen des
Gewinnspiels an eine Person vergebenen Preises. Die Auflösung des Bilderrätsel finden Sie jeweils online auf
http://www.scip.ch unter Publikationen > scip monthly Security Summary > Errata.
13/14
s c i p
a g
© scip AG
6.
Impressum
Herausgeber:
scip AG
Badenerstrasse 551
CH-8048 Zürich
T +41 44 404 13 13
mailto:[email protected]
http://www.scip.ch
Zuständige Person:
Marc Ruef
Security Consultant
T +41 44 404 13 13
mailto:[email protected]
scip AG ist eine unabhängige Aktiengesellschaft
mit Sitz in Zürich. Seit der Gründung im September 2002 fokussiert sich die scip AG auf Dienstleistungen im Bereich IT-Security. Unsere Kernkompetenz liegt dabei in der Überprüfung der
implementierten Sicherheitsmassnahmen mittels
Penetration Tests und Security Audits und der
Sicherstellung zur Nachvollziehbarkeit möglicher
Eingriffsversuche
und
Attacken
(LogManagement und Forensische Analysen). Vor
dem Zusammenschluss unseres spezialisierten
Teams waren die meisten Mitarbeiter mit der
Implementierung von Sicherheitsinfrastrukturen
beschäftigen. So verfügen wir über eine Reihe
von Zertifizierungen (Solaris, Linux, Checkpoint,
ISS, Cisco, Okena, Finjan, TrendMicro, Symantec etc.), welche den Grundstein für unsere Projekte bilden. Das Grundwissen vervollständigen
unsere Mitarbeiter durch ihre ausgeprägten Programmierkenntnisse. Dieses Wissen äussert sich
in selbst geschriebenen Routinen zur Ausnutzung
gefundener Schwachstellen, dem Coding einer
offenen Exploiting- und Scanning Software als
auch der Programmierung eines eigenen LogManagement Frameworks. Den kleinsten Teil
des Wissens über Penetration Test und LogManagement lernt man jedoch an Schulen – nur
jahrelange Erfahrung kann ein lückenloses Aufdecken von Schwachstellen und die Nachvollziehbarkeit von Angriffsversuchen garantieren.
Einem konstruktiv-kritischen Feedback gegenüber sind wir nicht abgeneigt. Denn nur durch
angeregten Ideenaustausch sind Verbesserungen möglich. Senden Sie Ihr Schreiben an [email protected]. Das Errata (Verbesserungen,
Berichtigungen, Änderungen) der scip monthly
Security Summarys finden Sie online. Der Bezug
des scip monthly Security Summary ist kostenlos. Anmelden! Abmelden!
14/14

scip ag

Transcription

Documents pareils

scip ag

scip ag

scip ag

PM_AntiRa Campus Erfurt_Cosmopolar

ESPAÑAMUNDO LOTERIA PRIMITIVA S.A.

Benjamin Franklin, der große amerikanische Staatsmann

Norton Internet Security 2006 Konfigurationseinstellungen

heptingcomputer

Anleitung für das Konvertieren von Videos

Collax Security Gateway

2 Aufbruch in die Neue Welt

Schwachstellenmanagement: Eine Checkliste für Käufer