Websicherheit.org

Darauf aufmerksam wurde ich, als ich diesem Artikel von PCWelt.de gelesen hatte:

Details noch geheim
Erste Sicherheitslücke in MS Office 2010 entdeckt

Genaueres war aus dem Artikel nicht zu entnehmen und der Verweis zu Vupen zeigt lediglich auf die Portalseite des Sicherheitdienstleisters.

Ich habe mich bei Vupen etwas umgeschaut und bin auf dieser Seite über folgende Einträge gestolpert:

• VUPEN-SR-2010-239 – Microsoft Office 2010 Heap Corruption Code Execution
• VUPEN-SR-2010-235 – Microsoft Office XxXxX Memory Corruption Vulnerability

Es scheint also was dran zu sein.

Update:
Microsoft zeigt sich erzürnt über das Verhalten des Sicherheitsdienstleisters Vupen.
Die Details über den gefundenen Sicherheitlücken in den Office Produkten macht Vupen nicht Microsoft transparent, wohl aber seinen eigenen Kunden (Regierungsbehörden und andere Hersteller, für die eine “private responsible disclosure policy” ).
Allerdings sagt Vupen-CEO Chaouki Bekrar, dass die Öffentlichkeit über diese Lücken dann seitens Vupen informiert wird, wenn Patches bereit stehen.
Und warum ist Microsoft nun sauer? Offenbar, weil die sich den Quellcode selber vornehmen müssen, um die Schwachstellen zu identifizieren.
Chaouki Bekrar kontert hier mit folgender Argumentation:

“Warum sollten Sicherheitsdienstleister ihre Informationen kostenlos zur Verfügung stellten, um kostenpflichtige Programme sicherer zu machen?”

Quelle: www.heise.de

—Ironie an—
Oder anders gesagt… wenn Ihr wisst, dass beim Dicken Daimler des ungeliebten Nachbarn der TÜV abgelaufen ist, dann dürft Ihr das nicht für euch behalten oder intern in der Familie diskutieren. Der Nachbar erwartet von Euch, das Ihr dies unentgeltlich bei Ihm anzeigt und auch noch Tipps gebt, wo der TÜV evtl. was finden könnte.
—Ironie aus—

• Linux-Firewall mit Strongswan und Kernel 2.6.32.15
• Malware Top 20 Juni – Wurm-Angriffe auf File-Sharer
• Malware-Trend: JavaScript in PDF-Dateien

Also der Sommer ist angebrochen. Das dürfte mittlerweile jeder mitbekommen haben.
In einigen Bundesländern sind die Sommerferien angebrochen, und das Wetter hat bundesweit auch schon Maßstäbe gesetzt. Die Freibädern sind geöffnet und die “Übergangsjacke” das Dunkle des Schranks nicht verlässt.
Und woran merken wir, das wir uns im Sommerloch befinden?
Nun ja, man tut sich darin schwer, interessante Artikel seinen Lesern zu offerieren.
Na gut, im Sommer passiert halt nicht viel. Was liegt da näher altes wieder aufzuwärmen.
So wie PC-Welt.de in diesem Artikel hier:
Die sieben Todsünden beim Surfen
Datum von heute und das Thema liest sich brandaktuell.
Doch Moment.., dem einen oder anderen aufmerksamen Leser mag auffallen… das hatten wir doch schon mal.
Vollkommen richtig – Und zwar hier. September 2009.
Jetzt ist es also amtlich. Wir befinden uns im Sommerloch.
Und so nebenbei werden aufgewärmte Artikel nicht dahin geprüft, ob diese noch zeitgemäß sind.
Ich meine, ich erwarte ja nicht, das die Redakteure von PC-Welt mein Blog kennen… Gott bewahre… aber beim Drüber lesen vor dem publizieren muss denen doch einfallen, das es da noch den einen oder anderen zusätzlichen Sicherheitsaspekt gibt.
Es sei denn… der Redakteur ist in Urlaub und der Praktikant muss es richten.
So wird es sein… so macht es Sinn

Secunia berichtet in diesem Artikel, dass die Betriebssysteme…

• Windows 2000
• Server
• Professional
• Datacenter Server
• Advanced Server
• Windows XP
• Home Edition
• Professional

… von einer Buffer Overflow Schwachstelle betroffen sind, welche in der Windows-Laufzeitkomponente mfc42.dll zu finden ist.
Angreifer sind in der Lage, über diese Schwachstelle Schadcode in das System einzuschleusen und zur Ausführung zu bringen – Aber auch nur dann, wenn das Programm PowerZip 7.2 Build 4010 auf diesen Betriebssystemen installiert ist.
Laut diesem Twitter-Eintrag ist Microsoft bereits dabei, die Schwachstelle zu untersuchen.