08.01.2013 17:50
Alert! Kritische Schwachstellen in Asterisk
Digium hat einige kritische Schwachstellen in der quelloffenen Telefonanlagen-Software Asterisk geschlossen, durch die ein Angreifer Code in den Server einschleusen kann. Bei den Lücken handelt es sich um Pufferüberläufe auf dem Stack, die über die Protokolle HTTP, SIP und XMPP ausgenutzt werden können. Nur bei XMPP ist hierzu eine aktive Sitzung nötig.
Die Lücken beruhen darauf, dass der Asterisk Management Interface (AMI) einen Bereich auf dem Stack reserviert, dessen Größe der Angreifer festlegen kann. Passt der zu reservierende Bereich nicht auf den Stack, kommt es zum Überlauf. Eine detaillierte Beschreibung hat Brandon Edwards, einer der Entdecker der Lücken, in seinem Blog veröffentlicht.
Verwundbar sind die Opensource-Versionen 1.8.x, 10.x und 11.x sowie das für den kommerziellen Einsatz gedachte Certified Asterisk 1.8.11 und die VoIP-Telefone von Digitum mit der Firmware 10.x. Die abgesicherten Ausgaben heißen 1.8.19.1, 10.11.1, 11.1.2, Certified Asterisk 1.8.11-cert10, sowie 10.11.1 für die Digitum-Telefone.
(rei)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
