Ein „netter“ kleiner Wurm verbreitet sich zur Zeit via Skype: Worm_SKIPI.A (W32.Pykspa.D). Der Wurm versendet sich via Skype-Kurznachrichten an die Personen auf der Freundesliste. Oder richtiger: Er versendet einen Link zu einem vermeintlichen Bild, den der Empfänger dann anklicken muss. Heruntergeladen wird dann ein Screensaver, der für den Benutzer sichtbar lediglich ein belangloses Bild anzeigt.

In der Zwischenzeit räumt der Wurm ein wenig auf dem Computer des Emfängers auf: Diverse Sicherheits-Lösungen und Antivirentools werden rigoros aus dem Speicher gekickt, zudem wird die hosts-Datei modifiziert, wodurch der Nutzer nicht mehr auf Internetseiten zugreifen kann, die sich mit Viren und Virenschutz befassen. Ein weiterer Nebeneffekt: Der Status in Skype wird auf „Nicht stören“ oder „Unsichtbar“ gesetzt. Zumindest ein netter Nebeneffekt: Es herrscht von nun an Ruhe.

Schadroutinen scheint er nicht zu beinhalten, dennoch nicht unbedacht auf irgendwelche Links in Skype klicken. Weitere Details zum Wurm gibt es noch hier und hier.

In der Vergangenheit habe ich schon einige Male diesen Begriff verwendet: Cross Site Scripting (XSS). Meist habe ich dann auf einen Artikel in der Wikipedia verlinkt, um mir die Erklärungen ersparen zu können.

Frank Bueltge war jedoch nicht ganz so bequem wie ich und hat einen hervorragenden Artikel zum Thema Cross Site Scripiting verfasst, den ich Euch hiermit ans Herz legen möchte. Er beschreibt, was das überhaupt ist, welche Gefahren davon ausgehen und wie man bei der Erstellung eigener Plugins, Themes oder anderer PHP-Scripte vermeiden kann, XSS-anfälligen Code zu schreiben. Aber auch für Nicht-Entwickler ist sein Artikel interessant, vielleicht nimmt Frank so dem einen oder anderen Blogger die Lust auf Meckerei, wenn mal wieder ein WordPress-Update fällig ist 😉

Na Klasse, da werden gleich 7 neue Lücken auf einen Schlag in WordPress 2.2.1 entdeckt. Offizielle Abhilfe gibt es noch nicht, allerdings einen „friendly worm„, der diese Lücken ausnutzen und dabei schließen soll. Mit Hilfe einer Art von Setup-Routine wird der WordPress-Admin durch den Reparaturvorgang geleitet. Bei den gefundenen Sicherheitsproblemen handelt es sich übrigens wieder mal um XSS-Lücken sowie SQL Injection Vulnerabilities, die überwiegend als sehr kritisch zu sehen sind.

OK, ich bin definitiv zu paranoid, um den Fix auf diese Weise durchzuführen, aus diesem Grund vertraue ich doch eher der manuellen Methode, die Frank Bueltge in seinem Blog beschreibt. 5 Minuten Aufwand, die man auf jeden Fall opfern sollte.

Sven Kubiaks Blog wurde vorgestern Opfer eines Defacements. In seinem Beitrag beschreibt er recht detailliert die Ursachen und die Auswirkungen dieser Attacke und kommt zu einem wichtigen Schluss: Es ist enorm wichtig, regelmäßig Updates der installierten WordPress-Version sowie auch aller genutzten Plugins einzuspielen.

Die Lücke, über die es den Angreifern gelungen ist, das Defacement auszuführen, saß im Plugin MyGallery. Diese Lücke war durchaus nicht unbekannt, Sven hatte lediglich versäumt, die Updates einzuspielen.

Natürlich ist es zeitweise etwas nervig, permanent zu überprüfen, welche Updates verfügbar sind, welche Sicherheitslöcher in der eingesetzten Software bekannt wurden und hier dann regelmäßig Hand anzulegen, um das Blog, den Shop oder die WebSite so sicher wie möglich zu halten. Die Klagen über die häufigen WordPress-Updates sind ja kaum zu überhören. Aber jeder Webmaster/Blogger sollte sich des Risikos bewusst sein, im Ernstfall alle Arbeit zu verlieren, die man in die Gestaltung und die Inhalte gesteckt hat. Sind dann nicht einmal Backups vorhanden, kann so etwas unter Umständen die Existenz bedrohen, wenn beispielsweise der WebShop betroffen ist, auf Basis dessen vielleicht das eigene Unternehmen Geld verdient.

Sven hat Glück gehabt, es wurde augenscheinlich lediglich ein Defacement durchgeführt, die Datenbanken scheinen nicht betroffen zu sein. Es hätte aber auch ganz anders laufen können.

Eine regelmäßig aktualisierte Liste bekannter Sicherheitslücken in WordPress und Plugins findet ihr im übrigen bei BlogSecurity. Sollte m.E. in keinem Feedreader fehlen.