Date sent:        04. Aug. 1998 
Subject:          Hoax-Info-Newsletter Nr. 2/98
Send reply to:    E-Mail-Adresse

Hoax-Info-Newsletter Nr. 2

Der Hoax-Info-Newsletter informiert Sie über aktuelle Entwicklungen im Bereich sog. E-Mail-Viren und verwandte Themengebiete wie Kettenbriefe, "echte" E-Mail-Viren und ähnliches.

Zur Zeit wird eine deutschsprachige Hoax-FAQ erarbeitet, die dann Bestandteil dieses Newsletters wird. Unter FAQ versteht man eine Sammlung häufig gestellter Fragen (Frequently Asked Questions) sowie der Antworten auf diese Fragen.

Bitte besuchen Sie einstweilen die WWW-Seite http://hoax-info.tubit.tu-berlin.de/hoax/

Hier finden Sie aktuelle Informationen und Antwort auf die wichtigsten Fragen zu Hoaxes.

Inhalt:

Die zweite Ausgabe des Hoax-Info-Newsletter beschäftigt sich aus aktuellem Anlaß mit Berichten über Sicherheitslücken in populären E-Mail-Programmen, die kürzlich aufgetaucht sind. Sie werden wohl auch in den Printmedien demnächst auftauchen.

Die Situation:

Es wird berichtet, daß es möglich sei, durch gezielte Manipulation von Attachments (Anhängen) beliebigen Programmcode auszuführen, ohne daß das Attachment geöffnet werden muß. Allein das Herunterladen der E-Mail soll ausreichen, um den Programmcode auszuführen.

Fakt ist...

Tatsächlich können gewisse Umstände dazu führen, daß bei bestimmten E-Mail-Programmen sog. Pufferüberläufe (Buffer Overflow, BO) auftreten, wodurch Programmcode der E-Mail-Software im RAM überschrieben wird. Dies führt meist zu einem Programmabsturz oder einer Schutzverletzung, die unter Umständen Reste des Inhalts der E-Mail im RAM hinterläßt. Bestehen diese Reste aus ausführbarem Code, kann dieser ausgeführt werden.

Erzielt wird dieser Effekt z.B. durch ein Attachment mit einem sehr langen Dateinamen (>200 Zeichen). Bringt der Angreifer in diesem Dateinamen und / oder im Attachment Binärcode unter, kann dieser ausgeführt werden, wenn das E-Mail-Programm abstürzt. Dazu muß nicht erst das Attachment aufgerufen werden, es genügt u.U. bereits das Öffnen der Mail und anschließendes Anklicken des Datei-Menüs.

Ursache dieser Sicherheitsmängel sind Programmierfehler. Es wurde kein ausreichender Puffer für die Namen von Attachments vorgesehen bzw. ein Pufferüberlauf nicht abgefangen.

Betroffen sind folgende Programme: Explizit nicht betroffen hiervon:

Was tut Microsoft?

Microsoft hat für die englische Version von OutlookExpress 4.01 bereits ein Update fertiggestellt (sie wurden bereits vor einiger Zeit informiert), Updates für die deutschen Versionen werden folgen.

Was tut Netscape?

Netscape hat ein Update für Anfang/Mitte August angekündigt, das wahrscheinlich in dem ohnehin für diesen Zeitpunkt vorgesehenen Communicator 4.06 enthalten sein wird.

Was können Sie tun, wenn Sie eines der genannten Programme verwenden?

Bewahren Sie Ruhe, keine Panik, alles wird gut.
Es sind bislang noch keine Angriffe dieser Art berichtet worden, lediglich die Möglichkeit dazu besteht (und wird sicher mal von jemandem genutzt werden). Bis es soweit ist, sollten Sie die Updates installiert haben.

Installieren Sie unbedingt die Updates, sobald verfügbar. Im Falle von MS OutlookExpress 4.0 (d.h. auch MSIE 4.0) ist zunächst ein Update auf Version 4.01 (also Update auf IE 4.01) notwendig, um dann den sog. Patch für dieses Problem anzuwenden.

Bis dahin vermeiden Sie es besser, Mails mit Attachments zu öffnen, deren Absender Sie nicht genau kennen. Wenn Sie eine solche Mail erhalten, löschen Sie diese Mail und schließen Sie die Anwendung mit dem [X] rechts oben. Starten Sie die Anwendung dann erneut. Wenn Ihre Anwendung beim Laden der Mail bereits abstürzt, starten Sie den Rechner neu (Herunterfahren, dann ausschalten, wieder einschalten). Verwenden Sie übergangsweise oder generell ein anderes E-Mail-Programm.

Microsoft und Netscape empfehlen, Attachments als Datei zu speichern, bevor sie geöffnet werden. Dies ist allgemein eine sehr gute Empfehlung, kann aber in diesem Falle zu kurz greifen.

Quellenverzeichnis und Updates:

http://ntbugtraq.ntadvice.com/editorials/newworm.asp
http://www.microsoft.com/security/bulletins/ms98-008.htm
http://www.microsoft.com/ie/security/oelong.htm (Update)
http://home.netscape.com/products/security/resources/bugs/longfile.html
http://home.netscape.com/products/security/resources/notes.html

Deutschsprachige Artikel (Presse):

http://www.zdnet.de/news/artikel/1998/07/29006-wf.htm ZDnet
http://www.ct.heise.de/newsticker/data/hos-30.07.98-000/ c't

Was gibt es sonst noch?

Es sei in Zusammenhang mit dem o.g. Problem noch mal eindringlich darauf hingewiesen, daß es nicht ratsam ist, Attachments unbekannter Herkunft und Inhalts ohne sorgfältige Prüfung zu öffnen. Speichern Sie sie zunächst in eine Datei auf der Festplatte und prüfen Sie diese mit mind. einem aktuellen Virenchecker, der auch Makro-Viren erkennt. Öffnen Sie im Zweifel ein Office-Dokument lieber mit den von Microsoft erhältlichen Viewern und kopieren Sie den Inhalt über die Zwischenablage in eine neue Datei.

Es sei auch nochmal auf die Viren Win.RedTeam und ShareFun.A hingewiesen, die zwar kein nennenswerte Verbreitung haben, jedoch zeigen, was auch möglich ist. Auch das 'Feature' von Outlook 98, VBA-Makros auszuführen, stellt eine erhebliche Sicherheitslücke dar.

Lesen Sie hierzu den entsprechenden Abschnitt meiner Hoax-Seite:

http://hoax-info.tubit.tu-berlin.de/hoax/#7

Bis zur nächsten Ausgabe

Frank Ziemann, Herausgeber


Dieser Newsletter wird archiviert und kann auch später noch abgerufen werden.

Die Themen der nächsten Ausgaben:

(C) Copyright TU Berlin, Frank Ziemann, 1998, alle Rechte vorbehalten
Jede Art der Vervielfältigung, Speicherung und Weitergabe (außer zum persönlichen Gebrauch), auch auszugsweise, bedarf der schriftlichen Einwilligung des Autors.


Wenn Sie den Hoax-Info-Newsletter abbestellen möchten, schreiben Sie eine E-Mail an

  majordomo@zrz.tu-berlin.de

Das Betreff- (Subject-) Feld können Sie leer lassen oder irgendwas hineinschreiben, es wird nicht ausgewertet. In den eigentlichen Text der Mail (Body) schreiben Sie genau zwei Zeilen:

  unsubscribe hoax-info [e-mail-adresse]
  end

Die Angabe der E-Mail-Adresse ist nur nötig, wenn sie von der Absender-Adresse abweicht und sollte dann ohne die []-Klammern erfolgen.


Informieren Sie sich über sog. E-Mail-Viren:
http://hoax-info.tubit.tu-berlin.de/hoax/
Information ist das einzige Gegenmittel!


[Zurück zur Hoax-Seite] | [erschienene Newsletter-Ausgaben] [Seitenanfang]