Na das ist doch mal wieder etwas nettes aus meinem Spam-Folder:

Sehr geehrter Internetnutzer,

im Rahmen unserer ständigen automatisierten Überprüfung von sogenannten Tauschbörsen im Internet, wurde folgende IP-Adresse auf unserem System ermittelt.

IP: xx.xx.xx.xx

Der Inhalt Ihres Rechners wurde als Beweismittel mittels den neuen Bundestrojaner sichergestellt.
Es wird umgehend Anzeige gegen Sie erstatten, da sich illegale Software, Filme und/oder Musikdateien auf Ihren System befinden. Durch die Nutzung sogenannter Tauschbörsen, stellen Sie diese auch anderen Nutzern zu Verfügung und verstoßen somit gegen §§ 249ff StGB.

Das vollständige Protokoll Ihrer Online-Durchsuchung finden Sie im Anhang dieser Email.

Die Strafanzeige und die Möglichkeit zur Stellungnahme wird Ihnen in den nächsten Tagen schriftlich zugestellt.

Herbert K., Kriminaldirektor, LKA Rheinland-Pfalz
Am Sportfeld 9c, 55124 Mainz
Tel.: 06131 – xxx
Fax: 06131 – xxx
Mobil: 0171 – xxx
Mail: xxx51@aol.com

Und im Anhang, natürlich, eine Zip-Datei, die mit an 100% grenzender Wahrscheinlichkeit den eigentlichen Trojaner enthält.

Sorry, das ist SO billig, wer diesen Anhang öffnet und sich auf diese Weise den Rechner infiziert, selbst schuld. Auf die Details muss ich bei dieser Mail sicherlich nicht eingehen, es dürfte für jeden erkennbar sein, woher hier der Wind weht. Insofern: netter Versuch, hab gerade gut gelacht. Und das wars auch schon.

Nachtrag: Die Adresse in der Mail gibt es im übrigen tatsächlich, es scheint sich hier um die Anschrift des als Urheber der Mail bezeichneten Herrn K. zu handeln. Veröffentlicht wurde sie im Impressum des Internetauftrittes der Zeitschrift „Die Kriminalpolizei“ des Verlags Deutsche Polizeiliteratur. Der Herr dürfte heute eine ganze Menge eMails und Anrufe erhalten haben… Was ich nun wieder weniger lustig finde.

Eine neue Sicherheitswarnung für WordPress-Nutzer: Die WordPress Plugins myFlash, wordTube und wp-Table öffnen Sicherheitslücken, über die PHP-Scripte auf dem Server eingeschleust und dort zur Ausführung gebracht werden können. Bei heise gibt es weitere Erklärungen zu den Ursachen. Nutzer dieser Plugins bis zu den Versionen wordTube 1.4.3, wp-Table 1.4.3 und myFlash 1.10 sollten also schleunigst updaten, „sauber“ sind wordTube 1.4.4, wp-Table 1.4.4 und myFlash 1.11.

Neben diesen Sicherheitslücken, die durch unsaubere Programmierung entstehen kann es unter Umständen auch Plugins geben, die gezielt zur Schaffung von Sicherheitslücken entwickelt wurden. Das ist ein prinzipielles Problem, wer ist schon in der Lage, den Code jedes Plugins erst einmal auf Backdoors hin abzuklopfen, bevor er es installiert? Und wer von denjenigen die es könnten tut es tatsächlich? Mich wundert ohnehin bereits seit geraumer Zeit, dass diesbezüglich noch nichts bis zu mir vorgedrungen ist. Vielleicht hab ich es auch nur nicht vernommen, aber solch ein Backdoor-Plugin hätte sicher für einigen Sturm in der Blogosphäre gesorgt. Ich will hiermit auch niemanden erst auf solch eine Idee bringen, sondern eher sensibilisieren.

Mir kommt es so vor, als würde derzeit Adobes Produktpalette etwas genauer unter die Lupe genommen werden, nachdem unlängst der Exploit für den BMP-Loader in Photoshop entdeckt wurde. Eine weitere kritische Sicherheitslücke wurde nun in dem für den Import von PNG-Dateien verantwortlichen Plugin PNG.8BI entdeckt, wie ZDNet schreibt. Auch hierbei handelt es sich wieder um einen Buffer Overflow, der durch manipulierte PNG-Dateien verursacht wird und zum Einschleusen von Schadcode ausgenutzt werden kann.

Betroffen von diesem Problem sind die Windows Versionen der Produkte Adobe Photoshop CS2, Adobe Photoshop CS3 sowie Adobe Photoshop Elements 5.x. Der einzige Schutz derzeit: Keine PNG’s von nicht vertrauenswürdigen Quellen öffnen. Wie das in der Praxis funktionieren soll, wenn bspw. Kunden ihre Daten als PNG anliefern, ist im Augenblick unklar. Gerade die „typischen“ Anwender liefern Bilder in der Regel als BMP oder inzwischen gelegentlich als PNG, seltener als PSD oder TIFF. Wahrscheinlich muss man es dann tatsächlich so halten, wie es diverse Druckereien immer noch vor machen: „Wir können nur dieses oder jenes Format…“

Ich hoffe nicht, in Kürze von weiteren Problemen in den anderen Modulen zu lesen, ein paar Import-Plugins für diverse Dateiformate gibt es ja noch.

Nachtrag: Wie ich bei heise lese hat Marsu, der Entdecker dieser Sicherheitslücken, weitere vergleichbare Probleme auch in anderen Produkten festgestellt. So existiert dieses Problem beim Umgang mit PNG-Dateien offenbar auch in Corel Paint Shop Pro 11.20. GIMP weist eine vergleichbare Lücke im RAS-Loader auf und in IrfanView kann mit manipulierten IFF-Dateien ein Buffer-Overflow erzeugt werden.

Heise informiert darüber, dass in den Windows Versionen von Adobe Photoshop CS2 und CS3 ein Fehler in der Verarbeitung von BMP-Dateien existiert. Entsprechend manipulierte BMP, DIP oder RLE-Dateien können einen Buffer-Overflow auslösen und so Code einschleusen.

Es existiert bereits ein Exploit für diese Lücke, Patches zum schließen der Lücke stehen jedoch noch nicht zur Verfügung.