Creative Commons Lizenzvertrag

Freitag, 24. Februar 2012

Weblin als Virenschleuder?

Ein User bekam folgende Meldung beim Benutzen von Weblin:
Eindeutig ein Virus oder doch nicht?
Nun ich weiß es nicht. Komischerweise kennt nur Symantec diese Bedrohung und kein anderer Hersteller. Irgend etwas stört mich daran und auch das es keine weiteren Informationen dazu gibt. Laut deren Angaben enthält diese Bilddatei ausführbaren (schädlichen) Code in einem eingebetteten versteckten iframe. Die Bedrohung wird mit hoch angegeben. Ob es nun wirklich eine Bedrohung ist kann letztendlich nur der User beantworten der dieses Image bei Weblin hochgeladen hat. Es ist natürlich möglich Avatare hochzuladen welche ausführbaren Code enthalten und der dann auf eurem Rechner ausgeführt werden könnte. Meines Erachtens ist die Bedrohung allerdings eher gering da der Weblinclient eine eigene Bibliothek zur Darstellung der Avatare benutzt und diese nicht durch den Browser dargestellt werden. Aber das ist nur meine Erkenntnis und muss nicht stimmen, zumal ich den Aufbau der verwendeten Grafikbibliothek nicht kenne. Vorsicht ist auf alle Fälle angebracht. Das es sich um einen Avatar eines Benutzers handelt erkennt man an der Struktur der gefundenen "Angreifer"-URL. Standard-Avatare haben einen anderen Aufbau. Um welchen User es sich handelt kann man hier leider nicht erkennen.  Dies sieht man dann nur am nicht dargestellten Avatar bzw. muss man im Cacheverzeichnis alle User nach der angegebenen Datei durchsuchen. Der Weblin-Cache befindet sich im Roamingverzeichnis eures Rechners. Der Pfad dazu hängt von verwendeten Windows, dessen Einstellungen und eurem Usernamen unter Windows ab. Bei Windows7 lautet er z.B: "C:\Users\USERNAME\AppData\Roaming\zweitgeist". Dort könnt ihr dann in den XML-Dateien nach der angegeben Datei suchen und dann wisst ihr auch welchem User sie gehört. Die Gefahr könnte von Weblinseite aus noch mehr verringert werden wenn auf dem Server die hochgeladenen Images auf  Bedrohungen gescannt werden würden. Eine absolute Sicherheit kann es da aber auch nicht geben weil es dann immer noch möglich ist seinen Avatar von einem weblinfremden Server zu laden. Ich persönlich sehe den Vorfall zur Zeit allerdings nicht so kritisch, denn wenn die Bedrohung wirklich so hoch ist und jeder Browser betroffen ist so wie Symantec dieses behauptet dann hätten garantiert andere Anbieter von Antivirensoftware darauf bereits reagiert ebenso wie die Browserhersteller. Sollten sich dort weitere Erkenntnisse ergeben werde ich hier berichten. Ebenso bitte ich euch wenn ihr mehr wisst entsprechend zu kommentieren.

Kommentare ohne Google+ erstellen:

Marmel powered by Instant Communities