Kugelfisch Blog

…ist wohl eine passende Bezeichnung für das gegenwärtige Verhalten von RapidShare.com. Nachdem die Tatsache, dass man fremde Unternehmen Dateien direkt löschen liess, schon Wirkung zeigte, wurde nun auch RapidShare-eigener Content - genauer gesagt: der RapidGames-Mirror von `Frets on Fire` - gelöscht.

`Diese Datei darf nicht verteilt werden.` - warum sie dann auf RapidGames verlinkt ist, ist genauso fraglich wie die Auffassung, dass ein GPL-lizenziertes Spiel nicht verteilt werden dürfe…

…spricht man, wenn ein etwas fülliger Chefermittler der ProMedia GmbH freie, Creative-Commons-lizenzierte Musik von RapidShare löscht. Ein knappes Duzend Tage ist’s her, als ich mir ein solches Szenario rein theoretisch konstruiert habe, als aufgrund einer Computer-Bild-Reportage weithin bekannt wurde, dass ProMedia-Mitarbeiter Dateien bei RS.com direkt löschen können. Nun ist der GAU tatsächlich eingetreten, das Album «Das Kreft» des Netlabels Zellophon, das CC-lizenziert ist und von den Urhebern selbst bei RS.com eingestellt wurde, «[...] wurde im auftrag der proMedia GmbH (luengen@antipiracy.de) gelöscht. Um die genaue Begründung zu erfahren bitten wir sie diese zu Kontaktieren.», wie RapidShare sagt. Eine Nachfrage bei der ProMedia GmbH brachte nebst einer `Entschuldigung` die Ursache zutage - der «[...] Link wurde auf dem Gulli-Board mit vielen anderen urheberrechtlich geschützten Dateien (NOFX-Alben) gefunden und ist aus versehen mitgelöscht worden.» - wir hoffen doch alle, dass sich solcherlei Vorfälle nicht wiederholen, ansonsten könnten gewisse Personen auf unangenehme Gedanken kommen, etwa, dass sich die Mainstream-Labels von den Netlabels ins Abseits gerängt fühlen…

Viele, die sich 1337 fühlen, nutzen ICQ - und versuchen, eine möglichst kurze - meist sechsstellige - Nummer zu ergattern. ICQ, das proprietäre Chatsystem, wo sich die Betreiber die Freiheit nehmen, die übermittelten Informationen anderweitig zu nutzen.

Als wären dies nicht Gründe genug, ICQ links liegen zu lassen, kommen noch die kürzlich entdeckten und bisher ungepatchten Sicherheitslücken im offiziellen ICQ6-Client erschwerend hinzu. Zum einen besteht die Möglichkeit, über den Titel der sogenannten `tZers` aufgrund mangelnder Prüfung beliebigen HTML-Code einzuschleusen. Da ICQ6 zum Rendern der Chats unvorsichtigerweise auf eine bereits installierte Komponente des Internet Explorers zurückgreift, ist es auch möglich, dadurch eine der nicht gerade knapp bemessenen Sicherheitslücken im IE auszunutzen, um die Kontrolle über das System des angegriffenen zu übernehmen oder seinen ICQ-Client abstürzen zu lassen. Die zweite Sicherheitslücke hat vermutlich noch schlimmere Folgen - ICQ6 scheint sämtliche empfangenen Nachrichten als erstes Argument in einem printf()-ähnlichen Funktionsaufruf zu verwenden, wodurch eine Format-String-Vulnerability entsteht. Diese kann ausgenutzt werden, um ICQ6 abstürzen zu lassen, zum Beispiel indem durch mehrere `%s`- oder `%n`-Tokens ein Zugriff auf einen nicht gemappten Speicherbereich provoziert oder durch Grössenpräfixe der Tokens (`%042000000s`) riesige Ausgaben erzeugt werden. Auch der schreibende Zugriff auf gewisse Speicherbereiche im Adressraum des Programms ist möglich, was die Ausführung von beliebigem Code erlaubt. Auch Secunia und Heise haben das Problem mittlerweile entdeckt.

Ist ICQ nun wirklich so 1337 ?

Update, 7.3.08: Nachrichten der Form /%[\.0-9]+[a-zA-Z]+/ werden nun vom ICQ-Server verworfen. Dass dies die Sicherheitslücke nicht fixt, dürfte jedem klar sein, und jeder, der sich auch nur ein wenig mit Format-Strings auseinandersetzt, wird Wege finden, seine Nachrichten am Filter vorbei ans Ziel zu bringen…

Update 2.0, 9.3.08: Der Filter wurde angepasst, nun wird scheinbar alles, was auf /%\S+/ zutrifft, verworfen. Die Sicherheitslücke an sich ist immer noch nicht gefixt, und auch diese Filterregel lässt sich mit dem nötigen Wissen problemlos umgehen…

Update 3.0, 17.4.08: Die Format-String-Schwachstelle wurde mit ICQ6 Build 6059 wie es scheint behoben.

…ihr solltet vorsichtig sein, wem ihr eine Shell auf eurem Server gebt. Und in nächster Zeit noch besser auf die Sicherheit eurer PHP-Skripte achten. Denn ein Local-root-Exploit gegen Kernelversionen bis 2.6.24.1 wurde kürzlich veröffentlicht. Somit kann jeder, der beispielsweise über eine Remote File Inclusion Code - wenn auch als eingeschränkter User - auf eurem Server zur Ausführung bringen kann, volle root-Rechte erlangen.

Mindestens einer der Server des Videoportals YouTube hat momentan Probleme - surft man www.youtube.com an, bekommt man bloss `HTTP/1.1 Service Unavailable` (in schönem HTML verpackt) als Antwort zurück.

Auch der HTTP-Statuscode der Antwort ist 503 - was ebenfalls `service unavailable` bedeutet.

ozean-osx:~ iFish$ telnet www.youtube.com 80
Trying 208.65.153.238…
Connected to www.youtube.com.
Escape character is ‘^]’.
GET / HTTP/1.0

HTTP/1.1 503 Service Unavailable
Server: NS_6.1
Content-Length:62
Connection: close

<strong>Http/1.1 Service Unavailable</strong>
Connection closed by foreign host.

Über den Ursprung der Probleme ist momentan noch nichts bekannt - auch nicht, wann der Service wieder verfügbar sein wird.

Update: YouTube ist bereits wieder verfügbar. Wesentlich länger als eine Stunde war der Ausfall nicht, kaum genügend Zeit, um davon zu erfahren, Screenshots zu machen und einen Blog-Post zu schreiben…

Anscheinend haben manche Apple Reseller Probleme bei der Datumseinstellung ihrer Rechner. Anders ist es wohl kaum zu erklären, dass einige etwas übereiferig waren und desshalb die ersten Leopard-Pakete schon heute an Kunden ausgeliefert wurden - obwohl Apple die neue Version von Mac OS X erst für den 26. Oktober angekündigt hat - laut apple.com sind es noch etwa 20 Stunden bis zum Launch. Wie der Fehler passieren konnte, ist noch unklar. Auch einige Apple-Händler sollen das Betriebssystem schon seit heute Mittag verkaufen, was Apple wohl sauer aufgestossen ist.

Wie immer mussten die Testwilligen natürlich nicht auf das Release warten - Beta-Builds sind schon lange im Pirate Bay und anderswo erhältlich…

Wie Gulli berichtet, kann der Vista-Kopierschutz sogar nach einem einfachen Treiberupdate nach einer erneuten Aktivierung schreien und mit dem gefürchteten `Reduced Functionalty Mode` drohen. Bekannt ist sowohl von Vista wie auch (in begrenzterem Ausmass) von XP, dass Hardwareveränderungen nur begrezt toleriert werden (und ich kann aus Erfahrung sagen, dass ein Starten einer WinXP-BootCamp-Partition innerhalb von VMWare Fusion deren Deaktivierung zur Folge hat!) - dass jedoch auch Treiberupdates `problematisch` sind, ist neu. Das Problem steckt in der Art, wie Vista die Hardwarekomponenten identifiziert: durch Abfragen des Gerätenamens vom Treiber. Wird nun ein alternativer Treiber eingesetzt, wie dies gerade für Grafikkarten nicht unüblich ist, kann dieser unter Umständen einen anderen Namen für dasselbe Device zurückliefern - und schon denkt Vista, das Device wäre getauscht worden.

Schon Windows XP hatte einen ähnlich nervigen - wenn auch weniger drastischen - Kopierschutz. Dieser macht, wie oben erwähnt, besonders dann Mühe, wenn man eine XP-Installation in mehreren Umgebungen verwenden will - prominentes Beispiel ist das Starten einer BootCamp-Partition in VMWare Fusion (oder Parallels Desktop) unter Mac OS X. Für diese Problem fand ich nur eine Lösung, und die hiess `gecrackte Corporate-Version`.

Kopierschutz schadet nur, da die Kunden verärgert werden - sowohl bei Software, bei Musik als auch bei Filmen. Wann sieht das endlich einer ein?

Da Microsoft schon seit Monaten mit der Veröffentlichung eines Patches zur Behebung der kritischen URI-Lücke in der Windows XP-Version von IE7 zuwartet, hat nun KJK::Hyperion einen inoffiziellen Patch gebastelt, der sich an den ShellExecute()-Syscall klemmt und versucht, schädliche URIs auszufiltern, bevor sie an ShellExecute() übergeben werden. Freilich ist immer noch unklar, warum Microsoft das Verhalten des XP-Syscalls bei der Installation von IE7 überhaupt verändert hat.

Seitens Microsoft wurde die Existenz dieser Lücke vielerorts dementiert oder die Verantwortung auf die Programmierer der Anwendungssoftware abgeschoben. Erst nachdem bekannt wurde, dass auch Outlook davon betroffen ist und als Angriffsvektor missbraucht werden kann, wird reagiert. Vermutlich lässt der offizielle Patch aber mindestens bis zum November-Patchday auf sich warten.

Der inoffizielle Patch ist laut KJK::Hyperion aber noch nicht ausgiebig getestet, so dass von einer Installation momentan noch abgeraten werden muss. Die Chancen stehen aber gut, dass der OpenSource-Patch bald verbessert wird.

Die angebliche Firefox-Lücke, die es im Zusammenspiel mit Windows XP und IE 7 erlaubt, duch speziell präparierte URIs beliebige Programme auf dem angegriffenen System zu starten, betrifft nun neben Firefox, mIRC, Adobe Reader und Skype auch Outlook 2000 und Outlook Express. Dies ist insofern verwunderlich, als dass Microsoft dementiert hat, dass eigene Produkte betroffen seien und sich desshalb auch weigerte, die eigentliche Windows-Schwachstelle zu beheben. So waren die Entwickler von Firefox und den anderen betroffenen Programmen gezwungen, in ihre Applikationen Work-Arounds einzubauen. Nun kam der grosse Schock für Microsoft, ist doch auch der eigene Mailclient von der Sicherheitslücke betroffen.

Interessant ist, dass die Lücke nur bei installierem IE 7 auftritt, was wohl bedeutet, dass der IE 7 die Art der URI-Behandlung grundlegend verändert. Eventuell hat Microsoft ja doch Recht und der der IE ist integraler Bestandteil von Windows, und bei dessen Entfernung tritt tatsächlich ein abnormales Verhalten (eine geschlossene URI-Lücke) auf.

Ob Microsoft nun endlich einlenkt und das Verhalten von Windows korrigiert, ist noch nicht bekannt. Ebenso weiss momantan noch keiner, warum genau der IE 7 diese Probleme verursacht. Vielleicht eine kleine Ermunterung für die `Kunden`, endlich auf das so viel sichere Vista (Gerüchteweise die Abkürzung für `Viruses, Intruders, Security holes, Trojans, Adware`) umzusteigen…

Wer selbst testen will, kann folgende URI dazu benutzen, ohne Zeilenumbrüche:
news:%00%00../../../../../windows/system32/cmd”.exe ../../../../../../windows/system32/calc.exe ” - ” blah.bat

Mr. Excel, respektive dessen Vater Microsoft, dementieren, dass Excel falsch rechne. Es handle sich lediglich um einen Schreibfehler, Excel habe aber mit 65535 weitergerechnet. Das stimmt teilweise auch. Und zwar in jenen Rechnungen, bei denen das Zwischenresultat nicht gerundet wurde. Ob dies für diejenigen, die sich auf Excels Berechnungen verlassen haben, tröstlich ist, ist äusserst fragwürdig.

An einer Prüfung eine Frage falsch beantworten und dann auch noch zu Reklamieren, dass man sich bloss `verschrieben` habe - nein, Mr. Excel, damit kommen Sie bei mir nicht durch. Sie sind von der Schule verwiesen.

Der nächste, bitte. Oh, Mr. Calc, schön dass Sie da sind. Was? Mr. Numbers ist auch hier? Kommen Sie herein. Ich gratuliere Ihnen beiden, Sie haben die Prüfung mit Bravour bestanden…