24.09.2010 15:05
Sharepoint von ASP.NET-Lücke betroffen
Microsoft hat im SharePoint Team Blog darauf hingewiesen, dass auch SharePoint-Server von der Padding-Oracle-Schwachstelle in ASP.NET betroffen sind. Bislang hatte der Hersteller keine konkreten Angaben dazu gemacht, welche auf ASP.NET aufsetzenden Anwendungen verwundbar sind.
Betroffen sind laut Microsoft Sharepoint 2010, SharePoint Foundation 2010, Microsoft Office SharePoint Server 2007, Windows SharePoint Services 3.0 und Windows SharePoint Services 2.0. Nicht betroffen ist SharePoint Portal Server 2003. Microsoft arbeitet an der Lösung des zugrundeliegenden Problems, das im .NET-Framework 1.0 SP3 bis 4.0 zu finden ist. Bis dahin empfehlen die Redmonder als Workaround, die Anzeige spezifischer Fehlermeldungen des Server zu unterbinden. Ein Anleitung dazu findet sich im offiziellen Fehlerbericht von Microsoft. Nach Meinung von Thai Duong, einem der Entdecker der Lücke, schützt der Workaround aber nur unzureichend.
Die Schwachstelle beruht auf der fehlerhaften Implementierung kryptografischer Funktionen und lässt sich aus der Ferne ausnutzen, um bestimme Statuswerte von Serversteuerelementen (ViewStates) und Cookies auszulesen sowie unbefugt Dateien von Servern herunterzuladen. Das "Padding Oracle Exploitation Tool" (Poet) ist in der Lage, derartige Lücken zu missbrauchen. Es wertet dazu die Fehlermeldungen des Servers auf bestimmte Pakete aus. Ein von Microsoft zur Verfügung gestelltes Tool kann dabei helfen, betroffene Software aufzuspüren.
(dab)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
