Panda Software warnt von von einem neuen "potenziell gefährlichen" Trojaner mit dem Namen Sdbot.N (Bck/Sdbot.N). Der gefährliche Code erlaube Hackern den Zugriff auf infizierte Computer per IRC. Dabei muss nicht einmal ein entsprechender Client auf dem betroffenen Rechner installiert sein.

There are few bad news on RPC DCOM vulnerability:

1. Universal exploit for MS03-039 exists in-the-wild, PINK FLOYD is again actual. 2. It was reported by exploit author (and confirmed),
Windows XP SP1 with all security fixes installed still vulnerable to variant of the same bug. Windows 2000/2003 was not tested. For a while only DoS exploit exists, but code execution is probably possible.
Technical details are sent to Microsoft, waiting for confirmation.

Dear ISPs. Please instruct you customers to use personal fireWALL in Windows XP.

Symantec Corp. today released its latest Internet Security Threat Report, one of the most comprehensive analyses of trends in cyber security activity. This report includes analysis of data from Symantec Managed Security Services customers as well as more than 20,000 DeepSight Threat Management System registered sensors worldwide monitoring attack activity in more than 180 countries. The report covers network-based attacks, a review of vulnerabilities discovered and exploited, and highlights of malicious code trends.

Three specific vulnerabilities have been discovered in the OpenSSL libraries. Two of these could allow a Denial of Service attack, the third may result in an attacker being able to execute malicious code under certain conditions. All versions of OpenSSL up to and including 0.9.6j and 0.9.7b and all versions of SSLeay are affected. (SSLeay is no longer maintained.) Get more informations over here

In einem Security Advisory beschreibt das britische Infrastructure Security Coordination Centre (NISCC) drei Fehler in der Open-Source-Verschlüsselungsbibliothek OpenSSL. Bei der SSL/TLS-Verbindungsaufnahme werden zur Authentifizierung Zertifikate ausgetauscht. Diese Zertifikate sind nach der Abstract Syntax Notation (ASN.1) aufgebaut und enthalten unter anderem die Namen des Austellers (Issuer) und der Eigentümers (Common Name, CN). Manipuliert ein Angreifer bestimmte ASN.1-Elemente, kann er damit den Dienst zum Absturz bringen oder beliebigen Code auf den Stack schreiben und ausführen. Ein Exploit ist derzeit noch nicht bekannt. Betroffen sind alle OpenSSL-Versionen bis einschließlich 0.9.6j und 0.9.7b. Außer bei Web-Servern kommt SSL auch zur Sicherung von IMAP, SMTP und anderen Protokollen zum Einsatz, die von Haus aus keine starke Authentifizierung beziehungsweise Verschlüsselung bieten. Alle Infos bei Heise Security

Auf den Mailinglisten Full Disclosure und Bugtraq wurden mehrere Vorfälle gemeldet, die über Angriffe von Webseiten gegen Anwender berichten. Durch eine ungepatchte Sicherheitslücke im Internet Exporer kann ein Angreifer mit manipulierten HTML-Dokumenten beliebige ausführbare Dateien (.exe, .vbs) auf den PC des Anwenders laden und ausführen. Dazu reicht es bereits aus, die manipulierte Webseite im Internet Explorer anzusehen. Mehr dazu auf Heise Security

W32.Swen.A@mm is a mass-mailing worm that uses its own SMTP engine to spread itself. It attempts to spread through file-sharing networks, such as KaZaA and IRC, and attempts to kill antivirus and personal firewall programs running on a computer. The worm can arrive as an email attachment. The subject, body, and From: address of the email may vary. Some examples claim to be patches for Microsoft Internet Explorer, or delivery failure notices from qmail. Read More

Once an accident, twice a fool! As we reported, there is a critical securtiy issue with the RPCSS Service in Microsoft Windows based systems.

Heise reports today that allready exploids were found in the web, which are able to attack Windows 2K Systems with Service Pack 3 or 4 installed.
The attacker is able to create an administrator account using username "e" with password "asd#321" to get controll about victims computer.

It´s more than probably that variations of this exploid will be developed to attack Windows XP and other Microssoft operation systems which are affected by this security hole.

Get more informations about this security issue and download the patch over here

Wie Heise heute berichtet, kursieren in einschlägigen Internetforen bereits Exploids, um eine neue Sicherheitslücke im RPCSS Dienst (wir berichteten), auszunutzen.

Der Exploid legt ein neues Benutzerkonto mit dem Namen "e" und dem Passwort "asd#321" an, mit dem sich ein Angreifer später auf dem System anmelden kann. Der Exploit funktioniert derzeit aber nur auf englischen Windows-2000-Systemen mit Service-Pack 3 oder 4. Mit Variationen des Exploits für andere Windows-Plattformen ist in den nächsten Tagen zu rechnen. Die Grundlage für einen neuen Wurm, ähnlich Lovsan, wäre damit geschaffen. Bei Heise (obriger Link) gibt es die Downloadlinks für den Patch aller Systeme.

phpBB is one of the most used forum software in the web and a critical security issue has been found.
We've been notified about a vulnerability in phpBB 2.0.6 (which also affects 2.0.5). The fix is noted below but please note the text that follows it. [...]A change was made to the way bbcode url matching is achieved around phpBB 2.0.4. This was done following complaints that our existing methods, as used in earlier releases of phpBB were too restrictive.

And again a new big bug has been discovered in Microsoft Windows, similar to the bug, which caused the Blaster disaster, update recommended ! Buffer Overrun In RPCSS Service Could Allow Code Execution (824146)

Originally posted: September 10, 2003

Impact of vulnerability: Three new vulnerabilities, the most serious of which could enable an attacker to run arbitrary code on a user?s system.

The fix provided by this patch supersedes the one included in Microsoft Security Bulletin MS03-026 and includes the fix for the security vulnerability discussed in MS03-026, as well as 3 newly discovered vulnerabilities. Read More

Sicherheitsexperten warnen vor einem neuen eMail-Wurm, der sich seit kurzem im Internet verbreitet: Der Schädling mit dem Namen "Neroma" verspricht ein JPG-Bild von den Anschlägen auf das World-Trade-Center am 11. September 2001. Bei erfolgreicher Infektion wird die Festplatte des angegriffenen PCs vollständig gelöscht.

Luigi Auriemma, Sicherheitsspezialist bei PivX Solutions, hat einen Buffer Overflow im weit verbreiteten Media-Player Winamp gefunden. Winamp benutzt zum Abspielen von MIDI-Dateien das Plug-in IN_MIDI.DLL, welches bis einschließlich Version 3.01 einen Buffer Overflow enthält. Diese Version ist in Winamp 2.91 enthalten, die, obwohl Version 3 längst verfügbar ist, immer noch explizit auf Winamp.com zum Download angeboten wird. Winamp Version 3 ist teilweise betroffen, das Ausführen von Code soll nicht möglich sein, immerhin kann der Player aber zum Absturz gebracht werden. Der Hersteller ist informiert, ein Patch steht aber noch nicht zur Verfügung. Auriemma empfiehlt, solange einen anderen Player für MIDI-Dateien zu verwenden. Mehr Informationen bei Heise Security