Originalartikel von Rik Ferguson (Solutions Architect bei Trend Micro)

In letzter Zeit wurde ich mehrfach um meine Meinung zur Frage gebeten, welches der sicherste Browser sei. Vermutlich ist dies eine Reaktion auf Microsofts Update der Umfrage „Browser Choice“, über die auch der Nachrichtendienst The Register berichtet hatte. Meiner Meinung nach führt diese Fragestellung, bei der Anwender unter 12 Browsern wählen sollen, in die Irre. Denn ein Browser wird einem Nutzer nie Sicherheit geben, unabhängig davon, von welchem Hersteller er stammt. Anwender müssen eigene Schritte unternehmen, um ihre Sicherheit gewährleisten zu können.

Quelle: J. Anderson

Dieses Update zwingt Millionen Nutzer dazu, eine Wahl zu treffen, die sie überfordert. Es stehen nämlich neben Internet Explorer (sic!), Mozilla Firefox, Safari, Opera und Google Chrome noch weitere sieben Browser über das Microsoft Pop-up zur Auswahl.

Zu Recht richten heutzutage viele Anwender ihre Aufmerksamkeit in erster Linie auf die Sicherheit, wenn sie online browsen. Doch ist die Frage nach dem sichersten Browser falsch. Jedes Produkt hat seine Schwachstellen, Fehler und Patches. Aber die Angriffe richten sich mehr und mehr nicht nur auf die Browser sondern auch auf die Anwendungs-Plugins wie QuickTime, Flash oder Acrobat – und die lassen sich in unterschiedlichen Varianten der Browser einsetzen. Außerdem gibt es viele Attacken auf Einzelne, unabhängig vom eingesetzten Browser (etwa Phishing oder andere Social Engineering-Angriffe).

Deshalb ist die wichtigere Frage: „Wie kann ich meinen Browser am besten sichern?“ Trend Micro bietet kostenlose Werkzeuge wie Browser Guard und das Web Protection Add On für den Internet Explorer. Browser Guard entdeckt und blockiert weit verbreitete Exploit-Techniken (wie Heap Spray und Buffer Overflow oder sucht nach Shell-code). Damit bietet das Tool einen proaktiven Schutz vor unbekannten Gefahren. Das Web Protection Add-On blockiert bekannte bösartige Sites. Zudem gibt es eine ganze Reihe weiterer Tools und Plugins für viele andere Browser, etwa AdBlock Plus oder NoScript für Firefox.

Die verschiedenen Sicherheitswerkzeuge oder Techniken erfordern auch unterschiedliche technische Kenntnisse über die Browser oder auch über die Gefahren im allgemeinen, um eine effiziente Sicherheit im Internet für sich zu erreichen. Als hilfreich erweisen sich auch unabhängige Tests. Die beste Empfehlung in den meisten Fällen ist, bei dem Browser zu bleiben, den der Nutzer am besten kennt, und diesen entsprechend zu sichern.

Originalartikel von Carolyn Guevarra und Ria Rivera (Technical Communications bei Trend Micro)

Microsoft hat für den März zwei Fixes veröffentlicht, die Schwachstellen in bestimmten Versionen von Office Excel und Windows Movie Maker schließen sollen. Es ist das erste Mal seit fast zwei Jahren, dass ein Patch Day keine „kritischen“ Patches umfasst. Beide Schwachstellen erlauben die Codeausführung aus der Ferne, wenn ein Nutzer einen speziell aufgesetzte Datei des Movie Maker, Microsoft Producer oder Excel öffnet. Nähere Informationen dazu gibt es in den Security Advisories auf der Trend Micro Security Advisory Seite.

Diese guten Nachrichten wurden jedoch durch die Entdeckung eines neuen Zero-Day-Exploits im Internet Explorer relativiert. Es ist bereits der zweite innerhalb der letzten zwei Monate. Der Exploit nutzt eine nicht valide Pointer-Referenz aus, um Zufallscode auszuführen. Betroffen sind nur IE6 und 7. Der Exploit-Code ist öffentlich verfügbar und entsprechende Angriffe wurden bereits registriert.

Microsoft hat mittlerweile das Security Advisory (981374) dazu veröffentlicht. Nutzer der betroffenen Browser sollten den Workarounds im Advisory folgen, bis ein Patch für die Schwachstelle zur Verfügung steht. Systeme mit den neuesten Windows-Versionen (Windows 7 und Server 2008) sind automatisch immun gegen diese Gefahr, denn sie enthalten den IE8. Übrigens hilft auch ein Upgrade auf diese Version. Trend Micro hat im Zusammenhang mit der Schwachstelle eine bösartige JavaScript-Datei als JS_SHELLCODE.CD identifiziert. Sie nutzt CVE-2010-0806 aus und ermöglicht das nicht autorisierte Herunterladen von Dateien auf die betroffenen Maschinen.

Die Anzahl der gefährlichen Zero-Day-Schwachstellen und potenziellen Exploits ist zur Zeit ungewöhnlich hoch. Und Microsoft ist nicht der einzige Hersteller, der in dieser Woche mit Schwachstellen zu kämpfen hatte. Der norwegische Browser Opera hat ebenfalls eine Schwachstelle in der Art und Weise, wie er mit dem Content-Length HTTP Header umgeht. Im günstigsten Fall stürzt der Browser als Folge ab.

Auch Server-Applikationen sind unter Beschuss geraten: Der beliebte Spam-Blocker SpamAssassin ist nicht fehlerfrei. Der Fehler bewirkt, dass Code, der in einer speziell aufgesetzten Mail enthalten ist, von der Anwendung mit administrativen Rechten versehen auf einem E-Mail-Server ausgeführt wird. Allerdings ist noch nicht klar, ob richtig konfigurierte Server verwundbar sind, weil die E-Mail einen ungültigen Empfänger hat.

Trend Micro empfiehlt den Anwendern ihre Sicherheitsprogramme auf aktuellem Stand zu halten und verfügbare Patches sofort aufzuspielen. Geschäftsanwender schützen Trend Micros Deep Security und OfficeScan mithilfe des Intrusion Defense Firewall Plugins vor diesen Schwachstellen, häufig sogar bevor die Hersteller Patches zur Verfügung stellen.

Originalartikel von Sheryll Tiauzon (Advanced Threats Researcher bei Trend Micro)

Nicht nur die Fans rund um den Globus scheinen sich für die Oscars zu interessieren. Nur wenige Tage nach der Verleihung der begehrten Trophäe haben die Sicherheitsforscher von Trend Micro FAKEAV-Varianten entdeckt, welche die Search-Seiten infizieren.

Nutzer, die mit den Stichwörtern „oscar winners 2010 live „ nach Informationen zur Verleihung suchen, fallen einem Blackhat Search Engine Optimization (SEO) Angriff zum Opfer. Nahezu 80 Prozent der Ergebnisse auf der ersten Seite führen zum Download eines FAKEAV-Binaries, das Trend Micro als TROJ_FAKEAV.ZZH identifiziert hat.

„Das Geschäft mit gefälschten Antivirenlösungen hat sich zu einer echten Webplage entwickelt“, erklärt Martin Rösler, Director Threat Research bei Trend Micro. „Denn es geht hier nicht einfach um Abzocke, wobei Anwender für ein völlig nutzloses Stück Software bezahlen sollen. Vielmehr nutzen die Kriminellen die Schadsoftware in vielen Fällen gezielt zum Identitätsdiebstahl oder zur Kontrolle der befallenen Rechner. Der Schaden für die Nutzer ist somit meistens nicht einmalig, sondern potenziert sich. Die Anwender sollten daher ganz genau die als Sucherergebnisse angezeigten Webadressen unter die Lupe nehmen und nur diejenigen anklicken, bei denen sie absolut sicher sind, dass dahinter eine ganz seriöse Seite steht. Auch hier gilt wie so oft: Weniger ist mehr.“

Besagte Variante nimmt Verbindung zu einer Remote-Website auf, um Informationen hin zu versenden und zu erhalten. Sie kann auch weitere Malware herunter laden, einschließlich von Mal_Xed-22 und TROJ_VUNDO.SMAT.

Die immer wieder auftretenden SEO-Angriffe mit dem Ziel FAKEAV zeigen deutlich, dass die Cyberkriminellen auch weiterhin die Web-Suche ausnützen wollen. Nutzer sind gut beraten, sehr vorsichtig zu sein, vor allem so lange das Interesse an den Oscars noch anhält.

Trend Micros Smart Protection Network schützt die Anwender vor diesen und ähnlichen Gefahren, indem die Content-Sicherheitsinfrastruktur den Zugriff auf alle gefährlichen bösartigen Sites mittels Web Reputation Service blockiert. Auch entdeckt das intelligente Netzwerk mittels File Reputaion Service die Malware und verhindert deren Herunterladen. Nutzer, die kein Trend Micro Produkt im Einsatz haben, können sich mithilfe von kostenlosen Tools wie dem Web Protection Add-On schützen, denn dieses verhindert den Zugriff auf potenziell bösartige Websites.