DVB-Cube BETA <<< Das deutsche PC und DVB-Forum >>>
PC-Ecke => # Security Center => Thema gestartet von: SiLæncer am 19 März, 2005, 13:47
-
Bestimmte Archive im LHA-Format können in Antiviren-Produkten von McAfee einen Buffer Overflow hervorrufen. Ein Angreifer kann darüber eigenen Code in ein System einbringen und starten. Der Fehler beruht auf der unzureichenden Überprüfung der Länge eines Headers einer LHA-Datei. Ein präpariertes Archiv kann den Anwender etwa als Anhang einer Mail erreichen oder indem er es selbst per HTTP und FTP auf den Rechner lädt. Die Schwachstelle ist nicht nur in den Consumer-Produkten enthalten, sondern auch in den Corporate-Produkten, wie der Groupshield- und Webshield-Linie.
Nach Angaben von McAfee sind aber nur Installationen betroffen, die noch die VirusScan Scan Engine Version 4320 benutzen. Die seit Dezember verfügbare Version 4400 soll nicht verwundbar sein und bei automatischem Update auch bereits die alte Version auf den Systemen ersetzt haben. Ob der Update-Dienst aktiv ist und wie man die Version seiner Scan Engine ermittelt, erläutert McAfee in einer dafür bereit gestellten Anleitung. Zudem sollen Anwender auch mit der älteren Version geschützt sein, wenn sie die aktuellsten DAT-Files (Signaturfile) ab Version 4436 einsetzen. Der Hersteller empfiehlt auf jeden Fall sowohl die Signaturen als auch die Scan Engine auf den neuesten Stand zu bringen.
Zuletzt zeigten sich auch die Antiviren-Produkte von Trend Micro, F-Secure und Symantec für Buffer Overflows durch manipulierte Archive anfällig.
Quelle und Links : http://www.heise.de/newsticker/meldung/57714
-
McAfees Intrusion Prevention System IntruShield weist laut einer Mail auf mehreren Sicherheits-Mailinglisten einige Lücken auf, über die ein Angreifer seine Berechtigungen erhöhen und Alarmmeldungen unterbinden kann. Weiterhin sei es möglich, schädliches HTML und JavaScript einzuschleusen, um beispielsweise Accountdaten auszuspähen. McAfee bestätigte heise Security das Vorhandensein der Lücken, hält die Einschätzung des Entdeckers jedoch für übertrieben.
Um Zugriff auf die Managementkonsole zu erlangen, könne laut Verfasser des Security-Advisory ein Angreifer einfach mehrere Nutzer-IDs durchprobieren, bis er Zugriff erhält, da die IDs im Klartext in der Gestalt
https://intrushield:443/intruvert/jsp/menu/disp.jsp?userId=1&logo=intruvert.gif
übertragen werden. Ist der Management-Zugang nicht durch eine Firewall gesichert, sei damit auch Zugriff von außen möglich. Da man allerdings einen gültigen Account im System braucht, und die priviligierten Accounts zusätzlich durch weitere Maßnahmen wie Passwörter gesichert sind, ist dies keine Sicherheitslücke -- die UserID des root-Accounts in einem Unix-System zu "erraten" macht dieses auch nicht unsicher.
Da beim Browsen durch die Reports des Systems umfangreiche Daten über URLs übergeben werden, lässt sich über ein IFrame fremder HTML-Code in die Anzeige einschleusen -- in ähnlicher Form kann man dem ahnungslosen Anwender Javascript unterschieben, welches mit den Rechten des Anwenders ausgeführt wird. Ein Angreifer kann so unter Umständen gültige Accountdaten von anderen Nutzern abfangen. Diese Angriffsform setzt allerdings ebenfalls einen gültigen Zugang zu dem IPS voraus, ergänzt Toralv Dirro von McAfee. Sie sei eine Phishing-Variante, der mit den üblichen Sicherheitsmaßnahmen zu begegnen ist: man sollte sich nicht über Links von Webseiten oder E-Mails heraus an einem sicherheitsrelevanten System anmelden, sondern Bookmarks nutzen oder die Adressen manuell in den Browser eintragen.
Als angemeldeter Benutzer mit nur lesendem Zugriff auf Reports kann man Vollzugriff erlangen, indem man in der aufgerufenen URL die mitgelieferte Variable "fullAccessRight=false" auf "fullAccessRight=true" ändert. Ebenso einfach lassen sich ausgelöste Alarme bestätigen und verwerfen, auch dort muss nur die Variable "fullAccess" auf true gesetzt werden.
Grundsätzlich muss also zum Ausnutzen dieser Lücken ein Angreifer ein erhöhtes Maß an krimineller Energie mitbringen, denn offiziellen Zugang zu einem Intrusion Prevention System erhalten üblicherweise nur Administratoren -- diesen sollte man schon vertrauen können.
McAfee stellt Produktaktualisierungen in Form der Maintenance Release 2.1.9.17 bereit, die betroffene Administratoren einspielen sollten.
Quelle und Links : http://www.heise.de/security/news/meldung/61477
-
"Wir haben bereits über 100 Proof-of-Concept-Viren für Mobiltelefone gefunden", berichtete Ray Gurvitz von McAfee in Wien, "vor allem für Symbian, weil dieses Betriebssystem den höchsten Marktanteil hat." Bis inklusive 2004 wären es aber erst zehn gewesen. "Der Zuwachs an Viren ist stärker, als wir es jemals bei Computer-Schädlingen hatten." Im Rahmen der von Informa ausgerichteten Konferenz Mobile Application Platforms and Operating Systems berichtete er über die von seinem Unternehmen angebotenen Lösungen zum Kampf gegen digitale Schädlinge auf Endgeräten und in Mobilfunk-Netzen. Tests in Japan würden erfolgreich laufen, erklärte Gurvitz.
Mobiltelefone sind für Virenschreiber – und Virenbekämpfer – besonders attraktiv, da es davon über zwei Milliarden Stück gibt. Vergleichsweise gering nimmt sich da die Zahl der in privaten Haushalten genutzten PCs aus. Laut Gurvitz sind es, inklusive Laptops, 250 Millionen. Zudem sei bei Smartphones, die mehr Schadensroutinen ausführen können und mehr Verbindungstechnologien eingebaut haben als normale Handys, besonders starkes Marktwachstum zu beobachten. Die hohen Roaming-Datentarife könnten bei Auslandsreisenden jedoch die schnelle Verbreitung von Antiviren-Updates erschweren: "Die Netzbetreiber müssen entscheiden, ob sie lieber das Risiko einer Virenverbreitung eingehen oder die Kosten für den Datentransport übernehmen wollen."
Allerdings verbreiten sich viele Schädlinge auch über Bluetooth. Gerade bei großen Menschenansammlungen, etwa auf Bahnhöfen, Flughafen und Veranstaltungen, sind die Chancen der Weiterverbreitung groß. So haben die Würmer der Cabir- und Commwarrior-Familien bereits rund um den Globus ihre Spuren hinterlassen.
Eine Untersuchung habe ergeben, dass 47 Prozent der User bereit wären, für Virenschutz am Handy zu bezahlen. Realistisch seien etwa 30 Dollar pro Jahr für den Schutz eines Endgeräts. Zusätzlich entstünden den Netzbetreibern Kosten für den Schutz ihrer Netze.
Quelle und Links : http://www.heise.de/newsticker/meldung/66008
-
In den VirusScan-Enterprise- und Common-Management-Agent-Produkten (CMA) von McAfee wurden Sicherheitslücken entdeckt, durch die eingeschränkte Nutzer ihre Rechte auf dem System ausweiten könnten. McAfee stellt Updates für die Produkte bereit, die das Problem beseitigen. Bei einem Update wird auch gleich eine weitere Lücke geschlossen, die im McAfee-Sicherheits-Center das Einschleusen und Ausführen von Code erlaubt.
VirusScan-Enterprise-8.0i(Patch 11) und Common-Management-Agent-3.5(Patch 5) starten den Prozess naPrdMgr.exe, der mit Systemrechten läuft. Dieser ruft die Datei \Program Files\Network Associates\VirusScan\EntVUtil.EXE auf englischsprachigen Systemen auf, ohne den Pfad in Anführungszeichen zu setzen. Dadurch wird das Leerzeichen im Pfad als Trennzeichen für beispielsweise Optionen interpretiert: Das System testet erst das Vorhandensein von \Program.exe, anschließend \Program Files\Network.exe und startet diese, sofern sie existieren. Auf deutschen Systemen wird in der Standardinstallation nur die Datei \Programme\Network.exe gesucht. Gelingt es einem Angreifer, diese Datei anzulegen, kann er sie mit Administratorrechten ausführen lassen.
Dies könnte eine weiterer Fehler im Sicherheits-Center diverser McAfee-Produkte ermöglichen. Es nutzt das ActiveX-Control MCINSCTL.DLL, um ein Object mit dem Namen MCINSTALL.McLog zu erzeugen, das eigentlich dazu gedacht ist, Installationsvorgänge durch das Sicherheits-Center in Dateien zu protokollieren. Da McAfee jedoch den Objekt-Zugriff auf bestimmte Zonen oder Seiten nicht über die IObjectSafetySiteLock()-API beschränkt, könnte eine böswillige Webseite dieses Objekt instanziieren und beispielsweise im Autostart-Ordner beliebige Dateien anlegen, die beim nächsten Neustart des Rechners ausgeführt werden.
Nutzern dieser McAfee-Produkte ist ein Update anzuraten, sofern dies nicht schon automatisch eingespielt wurde.
Siehe dazu auch:
* Privilege escalation in McAfee VirusScan Enterprise 8.0i (patch 11) and CMA 3.5 (patch 5), Security Advisory von Reed Arvin
* McAfee Security Center MCINSCTL.DLL ActiveX Control File Overwrite Vulnerability, Security Advisory von iDefense
Quelle und Links : http://www.heise.de/security/news/meldung/67688
-
Das am 10. März von McAfee ausgelieferte Signatur-Update 4715 führte bei diversen legitimen Dateien zu einem Fehlalarm. Je nach Konfiguration verschiebt der Virenscanner die vermeintlich infizierten Objekte in ein Quarantäne-Verzeichnis oder löscht diese sogar vollständig. In der vollständigen Liste der fälschlich als Virus W95/CTX erkannten Dateien befinden sich unter anderem die Windows-Systemdateien usersid.exe und imjpinst.exe, die Microsoft-Office-Dateien excel.exe und graph.exe sowie diverse Dateien aus Java-Installationen, der Google-Toolbar, dem Macromedia-Flash-Player und dem Adobe-Update-Manager. Über das Ausmaß der Schäden durch die gelöschten Dateien ist bisher nichts bekannt. Der Redaktion liegen jedoch Hinweise vor, dass in einem Fall Oracle- und ERP-Installationen nach einem Scanner-Durchlauf mit der fehlerhaften Signatur vollständig unbrauchbar wurden.
Laut Hersteller sind alle Anwender des On-Demand-Scanners von McAfee VirusScan, die das Signatur-Update 4715 eingespielt haben, potenziell von dem Problem betroffen. Bei ausschließlicher Verwendung des On-Access-Scanners, der Dateien schon vor einem Zugriff überprüft, tritt der Fehler nach Angaben von McAfee jedoch nicht zu Tage. VirusScan Online erkannte W95/CTX in harmlosen Dateien für einen kurzen Zeitraum am 10. März ebenfalls. Das am selben Tag herausgegebene Signatur-Update 4716 behebt den Fehlalarm in allen Produkten. Ein offenbar durch den McAfee-Support angekündigtes Tool zur Behebung der entstandenen Schäden wurde bislang noch nicht bereitgestellt.
Der Hersteller empfiehlt betroffenen Anwendern, gelöschte Systemdateien durch eine Systemwiederherstellung von Windows zurückzuspielen. Dies ist natürlich nur ratsam, wenn der jüngste Wiederherstellungszeitpunkt erst vor Kurzem angefertigt wurde. Sofern die Dateien lediglich in Quarantäne verschoben wurden, können Sie diese an ihren ursprünglichen Ort zurück verschieben. Klicken Sie dazu mit der rechten Maustaste auf das McAfee-Icon im System-Tray am unteren rechten Bildschirmrand und wählen Sie unter "VirusScan" den Menüpunkt "Dateien unter Quarantäne verwalten". Haken Sie dort die Dateien mit dem Status "Infiziert von Virus W95/CTX" ab und bestätigen Sie mit "Wiederherst."
Quelle und Links : http://www.heise.de/security/news/meldung/70771
-
In dem nun veröffentlichten ersten Teil einer dreiteiligen Studie kommt der Antivirushersteller McAfee zu dem Ergebnis, dass sich die Nutzung von Rootkit-Technologien in Schadsoftware und "potenziell ungewollten Programmen" in den vergangenen drei Jahren mehr als versiebenfacht habe. Die Komplexität der eingesetzten Techniken habe sich im Zeitraum 2000 bis 2005 verfünffacht und, vergleiche man das ersten Quartal 2005 mit dem ersten Quartal 2006, sogar mehr als verzehnfacht.
Die Studie hebt hervor, dass zunehmend auch kommerzielle Software von derartigen Techniken etwa für Kopierschutz Gebrauch mache; im Vergleich zum Wachstum bei Windows-Rootkits erschienen die Steigerungen bei Linux-Rootkits zudem fast vernachlässigbar. Die Studie will dabei die Hauptschuld für den deutlichen Anstieg im freien Informationsfluss in Online-Plattformen wie rootkit.com und der freien Verfügbarkeit von Open-Source-Rootkits im Quellcode und in Binärform ausgemacht haben.
Allerdings bleiben die beschriebenen Größen "Nutzung von Rootkit-Techniken" und "Komplexität" unzureichend klar definiert. Hinter der ersteren Zahl steckt laut Studientext offenbar die "Anzahl der in Software gefundenen Rootkit-Techniken". Inwieweit berücksichtigt wurde, dass eine einzelne Software auch mehrere Techniken kombinieren kann, lässt die Studie offen. Darüber hinaus wurde zur Ermittlung der Komplexität lediglich die Anzahl der Dateien betrachtet, aus denen eine Rootkit-Komponente besteht. Ein Anstieg dieser Zahl würde in erster Linie nur auf eine gestiegene Modularisierung hindeuten, was grundsätzlich bei jeder Form von Software zu beobachten ist.
Andere Firmen sehen die eigentlichen Ursachen für die rasant wachsenden Zahlen bei Schadsoftware nicht in der freien Zugänglichkeit von Informationen, sondern in der zunehmenden Professionalisierung des immer ertragreicheren Marktes für Schadsoftware. Die beiden Folgeteile der Studie von McAfee sollen sich unter anderem mit zukünftigen Entwicklungen der Rootkit-Techniken selbst sowie mit geeigneten praktischen Gegenmaßnahmen beschäftigen.
Möglicherweise stecken hinter der Studie auch die aktuellen Existenzängste vieler Antiviren-Hersteller angesichts der Tatsache, dass Microsoft mit Windows OneCare Live selbst in den den Markt für Schutzsoftware einsteigen will. Der Softwaregigant möchte sich dabei den Vorteil zunutze machen, das eigene Produkt nahtlos in das Windows-Sicherheitskonzept integrieren zu können. Erst kürzlich feuerte McAfee eine unmissverständliche Salve in Richtung Redmond, man hinke dort mit hauseigenen Lösungen den aktuellen Sicherheitsproblemen hinterher.
Der ganze Artikel (http://www.heise.de/security/news/meldung/72093)
Quelle : www.heise.de
-
Besondere Gefahren erfordern besondere Schutzmaßnahmen. So denkt man offensichtlich bei McAfee: Das Sicherheits-Unternehmen hat nämlich eine spezielle Version seines bekannten Stand-Alone-Scanners Stinger vorgestellt, die nur einen einzigen Virusstamm jagt: Den polymorphen W32/Polip.
Von McAfee Avert Stinger steht seit kurzem mit 3.0.2 eine spezielle Version zum Download bereit, mit der sich nur ein einziger Schädling aufspüren lässt: W32/Polip beziehungsweise W32/Polip!mem.
Bei W32/Polip handelt es sich um einen polymorphen Virus, der zugleich auch ein P2P-Wurm ist, mehr erfahren Sie hier .
Sie starten Stinger 3.0.2 wie gehabt durch einen Doppelklick auf die EXE-Datei, eine Installation ist nicht erforderlich.
Zum Download von Stinger 3.0.2 geht es über diesen Link . Der Download ist knapp über 1 MB groß.
http://vil.nai.com/vil/stinger/polipstinger.asp (http://vil.nai.com/vil/stinger/polipstinger.asp)
Quelle : www.pcwelt.de
-
Das Erreichen der 200.000er Marke ist in den meisten Fällen ein Grund zum Feiern. Das Hinzufügen der zweihunderttausendsten Virensignatur in die Datenbank hat bei McAfee aber wohl nur wenig Emotionen erregt. Mit dem Update DAT-4800 enthält die Signaturdatei sogar bereits Muster, um 200.104 Schädlinge zu erkennen. Aufgrund der explosionsartigen Malware-Entwicklung rechnen die Experten von McAfees Avert-Labs im Jahre 2008 sogar mit rund 400.000 Signaturen. Schon jetzt gibt es mehr Virensignaturen als Dateien auf einem typischen PC.
So langsam scheinen dabei etwas schwachbrüstige PCs Probleme mit den Virenprüfung zu bekommen. Zweihunderttausend Muster wollen immerhin mit jeder Datei abgeglichen werden. Jimmy Kuo, Virenforscher der Avert Labs, vermutet, dass Unternehmen auf älteren Systemen unter Umständen einfach das Viren-Update abschalten könnten. Selbst wenn sich neue Techniken wie Verhaltens-basierte Antivirentechniken durchsetzen, seien aber weiterhin Signaturen notwendig. Insbesondere auf einem bereits infizierten System benötige man die alte Technik, um ein System wieder zu bereinigen.
Um sich den kommenden Gefahren zu stellen, sei in den Scannern eine gute "Family-Detection" notwendig. Viele der kursierenden Schädlinge seien, so die Avert-Labs in ihrem Blog, nur wenig veränderte Varianten eines Hauptstammes -- auch die Programmierer von Viren und Würmer setzen eben auf Wiederverwendbarkeit. Kopfzerbrechen bereiten den McAfee-Spezialisten auch Handy-Viren. Die seien zwar bislang noch kein großes Problem. In dem Moment wo Telefone aber verstärkt für Geldüberweisungen benutzt würden, wäre auch dort mit einem explosionsartigen Anstieg von Schädlingen zu rechnen.
Siehe dazu auch:
* 200,000!, Avert-Labs-Blogeintrag von Jimmy Kuo
Quelle und Links : http://www.heise.de/newsticker/meldung/75127
-
In einem Security Bulletin hat Mcafee auf eine Sicherheitslücke in seinen Endkundenprodukten hingewiesen und die Verfügbarkeit eines Updates bekannt gegeben.
Eine Sicherheitslücke im McAfee Security Center kann das Einschleusen und Ausführen von schädlichem Code ermöglichen. Daher hat der Antivirus-Hersteller die aktualisierte Version 7.0 des Security Centers bereit gestellt, in der das Problem behoben sein soll.
Das Security Center ist Bestandteil von Endkundenprodukten wie Internet Security Suite, Virusscan oder Personal Firewall Plus. Es nutzt den Internet Explorer und ActiveX-Komponenten, um den Benutzer über den Sicherheitszustand des Rechners zu informieren. Eines dieser ActiveX-Elemente enthält anscheinend eine ausnutzbare Schwachstelle.
Um darüber schädlichen Code einschleusen und ausführen zu können, müsste ein Angreifer zum Beispiel eine Web-Seite präparieren und eine Mail mit einem Link zu dieser Seite versenden. Der Empfänger der Mail müsste diesen Link dann anklicken, um die Seite aufzurufen. Da also die Mithilfe des Anwenders erforderlich ist, stuft McAfee das Risiko nur als "mittel" ein.
Das McAfee Security Bulletin nennt als anfällige Software die Versionen 4.3 bis 6.0.22 des Security Centers. Ein Update auf die Version 7.0 soll das Problem beheben und bei den meisten Anwendern automatisch installiert werden. Unternehmensprodukte wie Virusscan Enterprise sind demnach nicht betroffen.
Quelle : www.pcwelt.de
-
Die US-amerikanischen Security-Spezialisten von McAfee warnen vor einem neuen Trend, den sie "SMiShing" (Phishing via SMS) nennen. Demnach erhalten immer mehr Handynutzer SMS-Nachrichten in der Art: "Wir bestätigen, dass Sie sich für unseren Dienst angemeldet haben. Sie bezahlen 2 US-Dollar pro Tag, bis Sie sich unter www.beispiel.com abmelden." Laut McAfee stecken hinter derlei Nachrichten bisher Betreiber von Bot-Netzen. Besuche der Nutzer die angegebene URL, werde er aufgefordert, einen Download zu starten und bekäme sodann einen Trojaner-Bot untergejubelt.
McAfee sieht insbesondere Unternehmen durch diese neue Form des Phishing gefährdet: "Viele große Unternehmen haben tausende Mitarbeiter, die eine Vielzahl von Geräten nutzen, um ins Intranet zu gelangen." Bei Mobiltelefonen herrsche längst nicht die gleiche Vorsicht wie beim Zugang via Laptop: "Mobile Endgeräte bedeuten eine ernsthafte Herausforderung für die Datensicherheit, sie haben das Potenzial, sowohl Carrier- als auch Unternehmensnetzwerke zu infizieren."
Quelle : www.heise.de
-
Durch einfaches Umbiegen von Umgebungsvariablen in McAfees VirusScan for Linux ist es möglich, dass ein nicht privilegierter Anwender eigene Programme mit den Rechten des Scanners starten kann – in der Regel Systemrechte. Laut Fehlerbericht liegt das Problem an der Auswertung der Variablen DT_RPATH, die den Pfad zu Programmkomponenen vorgibt. Durch Manipulation kann es auf das aktuelle Arbeitsverzeichnis eines Anwenders zeigen, sodass der Loader dort nach Komponenten sucht. Der Fehler findet sich in Version 4510e des Scanners. Ein Patch gibt es derzeit nicht.
Siehe dazu auch:
* McAfee VirusScan For Linux Insecure DT_RPATH Remote Code Execution Vulnerability, Fehlerbericht auf Securityfocus
Quelle und Links : http://www.heise.de/security/news/meldung/82624
-
Nur wenige deutsche Anwender dürften von der vom Sicherheitsdienstleister iDefense gemeldeten Lücke in McAfees Virenscanner für Windows betroffen sein, da sie sich nur ausnutzen lässt, wenn auf dem System ost-asiatische Sprachdateien installiert sind. Sofern dies allerdings der Fall ist, genügt es, dass der On-Access-Scanner eine Datei mit einem präparierten Dateinamen einliest, um bösartigen Code in den Rechner zu schleusen und mit Systemrechten auszuführen. Laut iDefense genügt es dafür bereits, mit der Maus über solch eine Datei zu fahren und sich die Eigenschaften anzeigen zu lassen. Betroffen ist McAfee VirsuScan 8.0i Enterprise bis einschließlich Patch 11. Ab Patch 12, der nach Angaben von McAfee bereits seit Mitte 2006 bereitsteht, ist der Fehler beseitigt. Warum die Lücke erst jetzt bekannt wird, erklären weder iDefense noch McAfee in ihren Fehlerberichten. McAfee empfiehlt nun, Patch 15 zu installieren.
Siehe dazu auch:
* VirusScan Enterprise 8.0i Patch 12 or later fixes vulnerability of disabling On-Access scanning and possible arbitrary code execution, Fehlerbericht von McAfee
* McAfee VirusScan On-Access Scanner Long Unicode File Name Buffer Overflow, Fehlerbericht von iDefense
Quelle und Links : http://www.heise.de/security/news/meldung/88422
-
Der Sicherheitsdienstleister iDefense hat eine Schwachstelle in einem ActiveX-Modul der Antivirenprodukte von McAfee für Endanwender gemeldet, das zum Suchen nach Updates dient. Angreifer können die Lücke mit präparierten Webseiten zum Ausführen beliebigen Programmcodes ausnutzen. Updates von McAfee dichten das Sicherheitsleck ab.
Der Fehler findet sich in der zum Sicherheits-Center gehörenden Datei MCSUBMGR.DLL, dem McAfee Subscription Manager Module. Der Hersteller markiert es während der Installation als "Safe for scripting", wodurch es Webseiten im Internet Explorer einbinden können. Beim Aufruf der Methode IsOldAppInstalled() können Angreifer einen Pufferüberlauf provozieren.
Die Schwachstelle betreffen das Subscription-Manager-Module vor den aktuellen Versionen 6.0.0.25 und 7.2.147. Wer die automatischen Updates nicht aktiviert hat, sollte von Hand ein Update anstoßen, um die fehlerbereinigte Komponente einzuspielen.
Siehe dazu auch:
* McAfee Security Center IsOldAppInstalled ActiveX Buffer Overflow Vulnerability, Sicherheitsmeldung von iDefense
-> http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=528
Quelle : www.heise.de
-
Vor einem Jahr hat AOL den auf Kasperskys Antivirenlösung basierenden Virenscanner Active Virus Shield bereitgestellt. Das Unternehmen hat nun die Verteilung der Software eingestellt. Die Webseite zu Active Virus Shield zeigt jetzt nur noch einen entsprechenden Hinweis an: "We're Sorry! AOL® Active Virus Shield is no longer available."
AOL stellt allerdings nicht seine Sicherheitsinitiative ein, sondern hat lediglich den Antivirenhersteller gewechselt. Das Unternehmen bietet jetzt als kostenlose Antivirenlösung eine angepasste, englischsprachige Version von McAfees VirusScan Plus auf seiner Sicherheitsseite an. Interessierte Benutzer können das Programm mit einem gültigen Anmeldenamen bei AOL herunterladen, für Anwender ohne AOL-Konto ist eine Registrierung kostenlos möglich.
Im vergangenen c't-Test fiel beim McAfee-Virenscanner die lange Reaktionszeit mit neuen Signaturen negativ auf – Kaspersky und damit auch Active Virus Shield waren hier am schnellsten (siehe auch c't-Special Security, S. 26). Die Erkennungsleistung ist im Mittelfeld anzusiedeln. Die AOL-Version unterstützt die Betriebssysteme Windows 2000, XP und Vista.
Wer eine kostenlose Antivirenlösung sucht, dürfte mit der Reaktionsgeschwindigkeit und Erkennungsleistung der für Privatanwender kostenlosen Antivir-Version in Kombination mit einer ebenfalls freien Anti-Sypware-Lösung wie Spybot Search & Destroy oder Lavasofts Ad-Aware besser bedient sein.
Quelle und Links : http://www.heise.de/newsticker/meldung/93726
-
Ein Fehler im Ende Mai veröffentlichten Patch 1 für McAfee VirusScan Enterprise v8.7i verursachte mehreren Anwenderberichten zufolge erhebliche Probleme. So entdeckte der Scanner auf den aktualisierten PCs fälschlicherweise einen Wurm (W32/Generic.worm.aa) in mehreren System-Dateien von Windows XP und Vista und löschte respektive verschob die Dateien. In der Folge blieben die PCs bei einem Neustart hängen oder booteten endlos.
Daraufhin entfernte McAfee zunächst den Patch aus seinem Service-Portal und den Download-Seiten, um weitere Schäden zu verhindern. Anwendern, die den Patch 1 bereits in ihrer Umgebung bereits installiert aber noch keine Problem festgestellt haben, empfiehlt der Hersteller dennoch, den Patch nicht zu deinstallieren. Die seit dem 7. Juni verteilten DAT-Dateien sollen den Fehlalarm und damit die Probleme verhindern.
Kunden, die aber bereits Probleme haben, sollen sich an den McAfee-Support wenden. Laut McAfee soll der Fehler nur bei wenigen Unternehmenskunden aufgetreten sein. Im McAfee-Forum äußern sich jedoch zahlreiche betroffene Administratoren zu dem Thema.
In der jüngeren Vergangenheit haben die Fehlalarme von Virenscanner stark zugenommen. Zuletzt legten im Februar Bitdefender und G DATA viele Windows-Systeme lahm, indem sie fälschlicherweise die Winlogon.exe als Trojaner identifizierten und löschten. Bitdefender und G Data sind aber nicht die einzigen, die mit derartigen False Positives zu kämpfen haben.
Quelle : www.heise.de
-
Das Security-Unternehmen McAfee hat offensichtlich mit seinem aktuellen Signatur-Update Systemadministratoren in aller Welt schweißtreibende Stunden beschert. Scanner, die sich das Update "DAT 5664" am gestrigen 3. Juli herunterluden und installierten, liefen reihenweise amok. Sie identifizierten systemrelevante Treiberdateien auf Computern fälschlicherweise als Schädling "PWS!hv.aq" und steckten sie in Quarantäne. Nach ersten Berichten in Helpdesk-Foren waren unter anderem Windows-Bluescreens und stockende Unternehmensserver reihenweise die Folge.
Administratoren beobachteten, dass der Fehlalarm nur mit älteren Versionen der Scan-Engine von McAfee auftrat. Teilweise klingen die Berichte dramatisch. So beschrieb ein Firmentechniker, wie die von ihm betreute Infrastruktur, bestehend aus 150 Servern und 8000 PCs, unter dem Problem litt. Ein anderer schrieb ins McAfee-Helpdesk-Forum: "Wir haben mit vier Spezialisten 16 Stunden ohne Pause daran gearbeitet. McAfee: THANKS-A-LOT!"
Pikant an der Panne ist, dass McAfee sich erst vor wenigen Wochen einen ähnlichen Patzer geleistet hatte. Ein Fehler im Ende Mai 2009 veröffentlichten Patch 1 für McAfee VirusScan Enterprise v8.7i hatte erhebliche Probleme verursacht. So entdeckte der Scanner auf den aktualisierten PCs fälschlicherweise einen Wurm in mehreren System-Dateien von Windows XP und Vista und löschte respektive verschob die Dateien. In der Folge blieben die PCs bei einem Neustart hängen oder booteten endlos.
Quelle : www.heise.de (http://www.heise.de)
-
Ein fehlerhaftes Signatur-Update (DAT 5958) des Antivirenherstellers McAfee hat am gestrigen Mittwoch dazu geführt, dass unter Windows XP SP3 die Systemdatei SVCHOST.EXE als Schädling W32/Wecorl.a erkannt wurde. Der PC versucht anschließend, den PC neu zu starten (30 Sekunden Countdown). Anschließend gelangt der PC in eine Boot-Endlosschleife und versucht immer wieder einen Neustart.
Den McAfee-Anwender-Foren zufolge (http://community.mcafee.com/thread/24056?tstart=0) sind zahlreiche Unternehmen betroffen. Als Lösung empfiehlt der Hersteller, die aktualisierte Signatur (DAT 5959) mit einem anderen Rechner herunterzuladen, auf einen USB-Stick zu kopieren, den betroffenen Rechner mit Safe Mode (F8-Taste beim Booten drücken) mit Netzwerk zu starten und den USB-Stick anzuschließen. Anschließend genügt ein Doppelkiickauf die Datei 5959xdat.exe (http://www.mcafee.com/apps/downloads/security_updates/dat.asp?region=us&segment=enterprise), um die neue Signatur zu installieren. In den meisten Fällen muss man anschließend aber noch die Datei SVCHOSTS.EXE restaurieren. McAfee gibt dazu eineAnleitung (https://kc.mcafee.com/corporate/index?page=content&id=KB68780) .
Alternativ soll die Datei extra.dat verhindern können, dass die fehlerhafte Signatur den Rechner lahmlegt. Diese kopiert man ebenfalls auf einen USB-Stick, kopiert sie auf den PC (im Safe Mode) in den Ordner c:\Programme\Gemeinsame Dateien\McAfee\Engine und startet den Rechner neu. Auch hier muss man die SVCHOST.EXE manuell restaurieren – oder aus der Quarantäne zurückholen.
Die Tipps bedeuten insbesondere für Unternehmensadmins einige Arbeit, weil sich das Problem nicht über das zentrale Management lösen lässt. In größeren Netzen dürfte dies vermutlich Nachschichten bedeuten. McAfee arbeitet nach eigenen Angaben an einer automatischen Lösung.
McAfee hat zwar eine Funktion, um Fehlalarme bei wichtigen Windows-Dateien abzufangen, das gilt jedoch nur für Dateien auf der Festplatte. In diesem Fall hat laut McAfee aber der Memory Scan den Fehlalarm provoziert, der sich nicht abfangen ließ.
Interessanter Randaspekt: Bei einer Katastrophenübung einer Gemeinde in Iowa fielen aufgrund des McAfee-Fehlers die Computer und die Kommunikation der Notrufzentrale aus. Daraufhin mussten die Teams auf ihr altes Funksystem zurückgreifen, was der Übung ein wenig mehr Realität verlieh.
Quelle : www.heise.de
-
Die Tipps bedeuten insbesondere für Unternehmensadmins einige Arbeit, weil sich das Problem nicht über das zentrale Management lösen lässt. In größeren Netzen dürfte dies vermutlich Nachschichten bedeuten. McAfee arbeitet nach eigenen Angaben an einer automatischen Lösung.
McAfee hat mittlerweile eine Datei (http://download.nai.com/products/mcafee-avert/tools/SDAT5958_EM.exe) bereit gestellt, die den PC automatisch (vor Ort) repariert.
Quelle : www.heise.de
-
Sicherheitssoftware-Hersteller McAfee ist offenbar bemüht, die schlechte Presse wegen seines letzten fehlgeschlagenen Updates in Grenzen zu halten. Das Unternehmen kündigte an, Betroffene für entstandene Reparaturkosten entschädigen zu wollen.
Das fragliche Update für McAfee-Sicherheitssoftware sorgte in der vergangenen Woche für erhebliche Probleme. Rechner, die Windows XP SP3 verwendeten, wurden nach der Installation durch ständige Reboots komplett unbrauchbar (gulli:News berichtete). Verärgerte Benutzer und Administratoren sorgten daraufhin für eine riesige Welle negativer Bemerkungen über McAfee im Netz.
Zeit für Schadensbegrenzung, scheint man sich bei McAfee gedacht zu haben und ist offenbar um Kundenzufriedenheit bemüht. Im vernünftigen Rahmen will man den Opfern der misslungenen Update-Aktion sämtliche Reparatur-Kosten erstatten. In den nächsten Tagen wird das Unternehmen eine Anleitung herausgeben, wie Betroffene die Entschädigung beantragen können. Zudem veröffentlichte McAfee Tipps zur Reparatur betroffener Systeme - und bot allen Opfern eine kostenlose Verlängerung ihres McAfee-Abos um zwei Jahre an. Wer der Software dieses Unternehmens also noch vertraut, soll auch auf diesem Wege für die Unannehmlichkeiten entschädigt werden.
Die Kosten für McAfee sind nicht bekannt, dürften aber angesichts der großen Anzahl betroffener Rechner - darunter auch zahlreicher Firmen-Systeme - ein erhebliches Ausmaß haben. Dem Unternehmen ist zu wünschen, dass es aus Fehlern lernt und in Zukunft seine Updates sorgfältiger testet.
Quelle: ZDNet.de
-
Ein Fehler in der Signaturdatenbank des McAfee-Virenscanners sorgte jüngst dafür, dass Anwender bei der Installation des bekannten Sicherheitstools WinPatrol eine Virenwarnung erhielten. Angeblich soll der Installer den Trojaner "Artemis!4FAE1D776481" enthalten haben – eine Fehleinschätzung, die WinPatrol-Entwickler Bill Pytlovany kurz darauf McAfee gemeldet hat. Zunächst antwortete der Antivirenhersteller in Form einer automatischen Mail, dass sich in der Setup-Datei zwar kein bekannter Schädling verstecke, dass es sich aber möglicherweise um eine neue Bedrohung handele.
Der Fall wurde an das Virenlabor im indischen Bangalore weitergegeben, wo die Datei genauer untersucht wurde. Pytlovany übte sich unterdessen in Schadensbegrenzung und ersetzte die Installer-Komponente seiner Software durch ein anderes Produkt, das von den Fehlalarm nicht betroffen war. Am vergangenen Sonntag hat McAfee schließlich reagiert und das Programm auf die Whitelist seines Cloud-Services gesetzt, wodurch auch bei der inzwischen ersetzten Version der Fehlalarm ausblieb.
Zu der Fehleinschätzung kam es offenbar durch die Veröffentlichung von WinPatrol 19 am 1. Oktober dieses Jahres, was vielen Nutzern die Installation beziehungsweise den Umstieg auf die neue Version erschwert hat. Pytlovany befürchtet, dass der Vorfall den Ruf seiner Software langfristig schaden könnte. Immer wieder schlagen übereifrige Virenscanner bei der Installation harmloser Software oder beim Besuch beliebter Webseiten an. Erst kürzlich hat der von Norton entwickelte DE-Cleaner etwa die CAD-Software Target 3001 fälschlicherweise für bösartig gehalten. AntiVir wurde jüngst sogar auf Twitter.com fündig.
Quelle : www.heise.de
-
Die Web-Site des Anbieters von Sicherheitslösungen McAfee wies bis zum vergangenen Wochenende mehrere Schwachstellen auf. Der Entdecker der Lücken, der (burmesische) Sicherheitsdienstleister YEHG, hat einen Bericht dazu veröffentlicht.
Zu den Problemen gehörten eine Cross-Site-Scripting auf download.mcafee.com sowie ein Fehler, durch den sich der Sourcecode diverser ASP.NET-Seiten abrufen ließ. Ob darin vertrauliche Informationen enthalten waren, ist nicht bekannt. Mitunter finden sich aber in solchen Dateien für Angreifer wertvolle Hinweise für die weitere Vorgehensweise bei der Kompromittierung eines Servers.
Ein JavaScript auf download.mcafee.com verrät indes weiterhin Hostnamen in der Infrastruktur von McAfee, wobei Serveradressen immer noch den alten Namen Network Associates (NAI) enthalten. NAI hatte sich 2004 in McAfee (zurück-)umbenannt. Laut YEGH wurde McAfee bereits im Februar auf die Probleme hingewiesen, hatte aber nicht reagiert. Kurz nach Veröffentlichung des Bericht am Wochenende begann McAfee dann, die Probleme zu lösen. Gegenüber US-Medien gab McAfee an, dass zu keiner Zeit Daten von Kunden oder Ähnliches hätte ausgelesen werden können.
McAfee hatte bereits in der Vergangenheit mit Lücken in den eigenen Seiten zu kämpfen. Besonders peinlich war 2009 eine Schwachstelle in McAfees Sicherheitsportal Secure, das eine Cross-Site-Request-Forgery-Schwachstelle (CSRF) aufwies. McAfee Secure ist ein Dienst, mit dem Kunden ihre eigene Site oder Shop auf Sicherheitslücken und auf die für Kreditkartentransaktionen wichtige Konformität zum PCI-DSS-Standard überprüfen können.
Quelle : www.heise.de
-
Die Eingliederung des Security-Unternehmens McAfee in den Chipkonzern Intel hat neue Produkte hervorgebracht, die Malware schon auf Chip-Ebene abfangen und so gar nicht erst in Kontakt mit dem Betriebssystem kommen lassen soll: Den Deep Defender und den ePolicy Orchestrator (ePO) Deep Command.
Die Basis dessen bildet die DeepSAFE-Technologie, die McAfee-Entwickler gemeinsam mit Intel-Ingenieuren erarbeiteten. Der Deep Defender soll nahezu sämtliche Schadprogramme bereits auf Kernel-Ebene erkennen. Dadurch sollen Computersysteme mit hardwaregestützten Sicherheitsfunktionen wirkungsvoller gegen wie Rootkits und Advanced Persistent Threats (APTs) - wie zum Beispiel Stuxnet - geschützt werden können.
Der Deep Defender ist zwischen Prozessor und Betriebssystem geschaltet. Hier überwacht er Treiber und andere Softwareelemente im Arbeitsspeicher während sie aktiv sind. Umgehungsmechanismen von getarnter Malware sollen so auf niederer Ebene enttarnt und Administratoren Einblick in Speicherprozesse gegeben werden. Auf diese Weise soll es auch möglich sein, bislang unbekannte Rootkits aufzuspüren.
Malware, die sich unter Zuhilfenahme bekannter oder neuartiger Tarnverfahren in den Speicher einzunisten versucht, soll vom Deep Defender gemeldet, blockiert, unter Quarantäne gestellt und entfernt werden können. Besteht der Verdacht auf eine neuartige Bedrohung, schickt McAfee Deep Defender einen Fingerprint des Codes an das Global-Threat-Intelligence-Netzwerk.
Der Deep Defender wird dabei über dieselbe Konsole wie die bisherigen Endpoint-Security-Produkte von McAfee verwaltet. Neue Dashboards und Berichtsformate sollen Anwendern noch mehr Informationen über versteckte Bedrohungen bieten.
Die Active Management Technology (AMT) von Intel ermöglicht dabei auch den Remote-Zugriff auf ausgeschaltete Rechner. So können Administratoren aus der Ferne den Rechner starten, das System reparieren, Patches einspielen und Sicherheitseinstellungen vornehmen. Über Intel AMT werden an den ePolicy Orchestrator auch schnelle Meldungen übermittelt, wenn das Betriebssystem nicht mehr startet oder beschädigt ist.
Zudem lassen sich mit dem ePO Deep Command diverse Security-Aufgaben bewältigen wie die Aktualisierung von DAT-Dateien, die Modifikation von Richtlinien und die Durchführung spontaner Scans. Auch kurzfristig können Administratoren die notwendigen Schritte einleiten, um ein kompromittiertes Gerät wieder in Stand zu setzen und dem Anwender ein Weiterarbeiten zu ermöglichen.
Quelle : http://winfuture.de
-
So können Administratoren aus der Ferne den Rechner starten...
Kommt mir gar nicht in die Tüte.
Auch deshalb gibt es hier eine ganz ordinäre Schalterleiste.
Aus ist aus.
Übrigens auch aus versicherungsrechtlichen Gründen.
Einem Bekannten ist vor ein paar Jahren die Bude abgebrannt, und das ging von seiner Computeranlage aus.
Wäre das in seiner Abwesenheit passiert, hätte die Hausratversicherung wahrscheinlich nicht gezahlt, wegen grober Fahrlässigkeit.
So wird bei mir ganz sicher auch niemand das Recht erhalten, irgendein elektrisches Gerät aus der Ferne einzuschalten.
Jürgen
-
Die Zero Day Inititiative (ZDI) hat Informationen über ein Sicherheitsproblem in den Security-as-a-Service-Produkten (http://www.mcafee.com/de/products/security-as-a-service/) von McAfee veröffentlicht. Der Schwachstellen-Broker hatte McAfee nach eigenen Angaben bereits im April 2011 über die Lücke informiert. Nachdem der Hersteller immer noch keinen Patch bereitgestellt habe, hat sich die ZDI nun zur Veröffentlichung (http://www.zerodayinitiative.com/advisories/ZDI-12-012/) entschieden.
Es handelt sich dabei um einen Fehler in der Programmbibliothek myCIOScn.dll. Dort filtert die Methode MyCioScan.Scan.ShowReport() Benutzereingaben nicht ausreichend, sondern führt eingebettete Befehle im Kontext des Browsers aus. Der Fehler lässt sich ausnutzen, wenn ein Anwender eine speziell präparierte Datei oder Webseite öffnet. ZDI stuft das Problem als sehr schwerwiegend ein und gibt ihm einen CVSS-Score von 9 – der maximal Schweregrad beträgt 10.
Welche Produkte konkret betroffen sind, lässt sich dem ZDI-Advisory nicht entnehmen. Zu McAfees SaaS-Produktpalette gehören unter anderem "SaaS Email Encryption" zur E-Mail-Verschlüsselung oder "Vulnerability Assessment SaaS" zum Prüfen von Software auf Schwachstellen.
Als Abhilfe empfiehlt die ZDI das Killbit in der Registry zu setzen, um zu verhindern, dass der Internet Explorer das betroffene AcitiveX-Control instantiiert. Dazu muss der DWORD-Eintrag "Compatibility Flags" in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\209EBDEE-065C-11D4-A6B8-00C04F0D38B7 auf "0x00000400" gesetzt werden.
Bemerkenswert ist, dass sich ausgerechnet ein Hersteller und Dienstleister im Bereich Sicherheit eine solche Blöße gibt. Auf diesbezügliche Nachfragen von heise Security hat McAfee bislang nicht geantwortet.
Quelle : www.heise.de
-
Die Software "SaaS Endpoint Protection" des Anti-Viren-Spezialisten McAfee weist offenbar eine ernsthafte Sicherheitslücke auf, die es Angreifern ermöglicht, Rechner, auf denen die Software installiert ist, zu Spam-Proxies umzuwandeln. Das Unternehmen hofft, den Fehler zügig beheben zu können.
Der Fehler liegt offenbar in der "Rumor Server"-Datei "myAgtSvc.exe", die zum "McAfee Peer Distribution Service" gehört. Dieser Dienst hat die Funktion, Updates per Peer-to-Peer-Technologie an Rechner ohne direkte Internet-Verbindung zu verteilen. Dieser Dienst fungiert allerdings als offener Proxy auf Port 6515, was Internet-Kriminellen ermöglicht, ihren Spam über die betreffenden Rechner umzuleiten. Theoretisch wäre es wahrscheinlich auch möglich, diese Rechner zur Verschleierung anderer krimineller Aktivitäten zu nutzen, was die Besitzer in Schwierigkeiten bringen könnte. Daten auf den betroffenen Rechnern sind durch die Sicherheitslücke aber nicht gefährdet.
Das Problem war Anfang Januar erstmals aufgefallen, als sich Beschwerden von McAfee-Nutzern häuften, ihre E-Mails würden blockiert und ihre IP-Adressen seien von E-Mail-Providern auf Antispam-Blacklists gesetzt worden. Es ist aktuellen Untersuchungen zufolge allein die Software "SaaS Endpoint Protection" betroffen; andere McAfee-Produkte scheinen das Problem nicht aufzuweisen. Dies teilte David Marcus, IT-Sicherheitsforscher bei McAfee, mit.
Das Blog "Kaamar" hat eine detaillierte Beschreibung (http://kaamar.com/blog/rumor-turns-rogue-mcafee-software-hacked) des Problems und Instruktionen, um herauszufinden, ob der eigene Rechner betroffen ist, und diesen gegebenenfalls mit einem Workaround bis zur Behebung des Problems durch McAfee abzusichern. Das Unternehmen kündigte derweil an, man arbeite bereits an einem Patch, der verteilt werden solle, sobald einige Tests abgeschlossen seien. McAfee hofft, den Patch noch am heutigen Donnerstag - in jedem Fall aber noch diese Woche - ausliefern zu können.
Quelle : www.gulli.com
-
Zwei fehlerhafte Signaturupdates für McAfees Virenschutzprogramme sorgen dafür, dass die Nutzer schlimmstenfalls nicht mehr auf das Internet zugreifen können. Die Updates legen unter Umständen den Virenwächter lahm oder sorgen dafür, dass die Übersichtskonsole des Schutzprogramms nicht mehr funktioniert. Laut McAfee wurden die defekten Signaturupdates DAT 6807 und 6808 seit dem vergangenen Wochenende verteilt.
Der ganze Artikel (http://www.heise.de/security/meldung/McAfee-stolpert-ueber-Signaturupdates-1674542.html)
Quelle : www.heise.de