Die Sicherheits-Mailingliste Bugtraq vermeldet eine Sicherheitslücke im Zusammenhang mit dem MSN Messenger und dem Internet Explorer. Darüber erlangen Angreifer Kontrolle über den gesamten MSN Messenger und können so auch die Kontaktdaten ausspionieren. Das Sicherheitsloch steckt dabei im Internet Explorer und ist seit knapp zwei Monaten bekannt. Bislang war Microsoft nicht in der Lage, einen entsprechenden Bugfix bereitzustellen.

11.02.20020 Kommentare

Microsoft bietet ab sofort einen Patch gegen eine jüngst entdeckte Sicherheitslücke in MS Office v. X an, dem aktuellen Office-Paket für MacOS. Das Sicherheitsloch kann es Angreifern ermöglichen, Daten auf dem betreffenden System zu zerstören.

08.02.20020 Kommentare

Der MSN Messenger und der Windows Messenger unter XP haben nach Ansicht des Sicherheitsexperten Richard Burton eine gravierende Sicherheitslücke, mit der es möglich ist, über eine Website persönliche Informationen über die User abzurufen.

06.02.20020 Kommentare

Der RealPlayer enthält in zahlreichen Versionen eine Sicherheitslücke, die es Angreifern ermöglicht, beliebigen Programmcode auf einem fremden Rechner auszuführen. Real stellt Patches für den RealPlayer zum Download bereit, wodurch dieses Sicherheitsloch gestopft sein soll.

04.02.20020 Kommentare

Laut einem Bericht des Wall Street Journal stellt Microsoft vorerst die Entwicklung an einer künftigen Windows-Version ein und will sich den gesamten Februar über vornehmlich darum kümmern, zahlreiche Sicherheitslöcher in existierenden Windows-Versionen zu stopfen.

18.01.20020 Kommentare

Ein neuer E-Mail-Wurm mit großer Verbreitungsgefahr treibt laut Symantec sein Unwesen: Der W32.Klez.E@mm verbreitet sich hauptsächlich über noch nicht aktualisierte Versionen von Microsoft Outlook und Outlook Express, da diese den Schädling bei Vorschau und Ansicht der E-Mail automatisch ausführen.

18.01.20020 Kommentare

Wie der Sicherheitsexperte Richard M. Smith in der Mailingliste Bugtraq mitteilte, stellt der Windows Media Player (WMP) ein Sicherheitsrisiko dar, durch das Angreifer über eine Webseite mit einfachen JavaScript-Befehlen die Kennung eines installierten Windows Media Player abfragen können und so eine Art "Super-Cookie" erhalten. Mit diesem speziellen Cookie erhalten Site-Betreiber die Möglichkeit, das User-Verhalten unbemerkt zu beobachten.

16.01.20020 Kommentare

Wie die AOL-Tochter ICQ jetzt mitteilte, betrifft das im AOL Instant Messenger aufgetretene mittlerweile behobene Sicherheitsloch auch ICQ in alten Versionen. Anders als beim Problem mit dem AOL Instant Messenger müssen Anwender ihre Software selbst aktualisieren.

15.01.20020 Kommentare

Wie AOL auf Nachfrage mitteilte, wurde die in dieser Woche bekannt gewordene Sicherheitslücke im AOL Instant Messenger nun behoben, indem ein Patch auf den AOL-Server aufgespielt wurde. Das bedeutet, dass Nutzer des AOL Instant Messenger keinen Patch oder etwa eine neue Version des Programms herunterladen müssen; das Sicherheitsloch stellt ab sofort kein Risiko mehr dar.

04.01.20020 Kommentare

Im AOL Instant Messenger (AIM) wurde eine Sicherheitslücke entdeckt. Dabei handelt es sich um die Versionen 4.7.2480 und die Beta mit der Versionsnummer 4.8.2616. Betroffen sind nur die Windows-Varianten des Instant Messengers. Der in Netscape eingebaute AIM soll von der Sicherheitslücke nicht betroffen sein.

03.01.20020 Kommentare

Kaum zwei Tage ist das neue Jahr alt und schon sorgt eine Sicherheitslücke im Internet Explorer für Aufsehen. Dieses Sicherheitsloch kann bei der Ausführung von JavaScript-Code dazu führen, dass auf dem lokalen Rechner beliebige Dateien gelesen oder auch Programme gestartet werden können.

02.01.20020 Kommentare

Das US-Sicherheitsunternehmen eEye Digital Security hat ein Sicherheitsloch in Windows XP entdeckt. Schuld daran ist die standardmäßig installierte "Universal Plug and Play"-Unterstützung, die aber auch unter Windows 98 funktioniert und somit auch dort eine Sicherheitslücke reißt.

21.12.20010 Kommentare

RSA Security und Hifn haben sich der als unsicher geltenden WEP-(Wired-Equivalent-Privacy-)Verschlüsselung der immer mehr Verbreitung findenden Datenfunk-Hardware nach IEEE-802.11b-Standard (WLAN, WiFi) angenommen und gravierende Sicherheitslücken geschlossen. WEP hat bei den einzelnen Paketen - vereinfacht gesagt - zu ähnliche Schlüssel, was lauschenden Hackern die Möglichkeit gibt, den Shared Key zu ermitteln und die Pakete zu entschlüsseln.

20.12.20010 Kommentare

Microsoft hat am 13. Dezember 2001 ein wichtiges Sicherheitsupdate für den Internet Explorer 5.5 (mit installiertem Service Pack 2) und Internet Explorer 6 veröffentlicht, das unter anderem eine im Microsoft Security Bulletin MS01-058 beschriebene gravierende Sicherheitslücke stopfen soll. Diese "File Execution Vulnerability" erlaubt es Angreifern, den Internet Explorer 6 zum automatischen, ungefragten Starten von Programmcode zu verleiten.

14.12.20010 Kommentare

An diesem Montag entglitt mit Badtrans.B ein Wurm in die Weiten des Internets, der sich so stark verbreitete, wie man es bisher nicht kannte. Das berichten übereinstimmend alle namhaften Hersteller von Antiviren-Software, was sich mit den Erfahrungen von Golem.de deckt. Damit stellt der Wurm selbst die seinerzeit lawinenhafte Verbreitung vom SirCam-Wurm in den Schatten. Hauptgrund für die Badtrans-Epidemie sind im Wesentlichen nicht gestopfte Sicherheitslücken in Microsoft-Produkten.

30.11.20010 Kommentare

Nachdem vor knapp 14 Tagen eine erste Beta-Version von Opera 6.0 erschienen ist, bringt Opera jetzt bereits die endgültige Version des Browsers auf den Markt. Die Norweger wollen damit anscheinend stärker in den erlahmten Browser-Krieg eingreifen: Mit der Möglichkeit, die MDI-Bedienung zu deaktivieren, so dass Opera wie die Konkurrenz für jedes Web-Fenster eine neue Programminstanz öffnet, soll Umsteigern die Umgewöhnung erleichtert werden.

29.11.20010 Kommentare

Das Bukarester Unternehmen BitDefender bietet ab sofort ein kostenloses Tool namens "AntiBadtrans.B" zum Download an, um den Wurm W32.Badtrans.B@mm von befallenen Systemen zu entfernen. Das Tool verlangt keinerlei Installation, sondern kann direkt nach dem Download gestartet werden.

28.11.20010 Kommentare

Aufregung in der IT-Security-Gemeinde: Scott Culp, Manager des Microsoft Security Response Team, forderte in einem langen offenen Brief, die "Information Anarchy" künftig zu beenden und stattdessen nur noch nach Absprache unter verschiedenen Unternehmen Sicherheitslücken zu veröffentlichen. Der renommierte Krypto- und Sicherheitsexperte Bruce Schneier antwortete auf Fragen von Golem.de.

27.11.20010 Kommentare

Zahlreiche Hersteller von Antiviren-Software warnen vor einer neuen Variante des im April aufgetauchten Wurms "Badtrans", der sich zurzeit sehr stark verbreitet. Der Wurm hört auf den Namen W32.Badtrans.B@mm, beantwortet alle ungelesenen Nachrichten im E-Mail-Postfach und durchforstet den Internet-Cache nach E-Mail-Adressen, was zu einer Mail-Lawine führt. Außerdem schleust er einen Trojaner ins Windows-System ein, der nach Kennwörtern und vertraulichen Daten fahndet.

26.11.20010 Kommentare

Wie der Sicherheitsexperte Georgi Guninski herausfand, enthält der norwegische Browser Opera 5 ein Sicherheitsloch in JavaScript, das es Angreifern erlaubt, den Browser-Verlauf und abgelegte Cookies einzusehen. Opera bietet keinen Patch an, sondern will die Sicherheitslücke erst in der kommenden Version 6.0 des Browsers beheben.

20.11.20010 Kommentare

Wie Microsoft in einem aktuellen Security Bulletin mitteilt, sind erneut Sicherheitslöcher im Windows Media Player aufgetaucht. Die Probleme betreffen die Versionen 6.4, 7.0 und 7.1 des Windows Media Player und auch die Version, die in Windows XP implementiert ist. Microsoft bietet bislang nur englischsprachige Patches an.

20.11.20010 Kommentare

Am 9. November informierte Microsoft über ein Sicherheitsloch in der Cookie-Verwaltung der beiden Browser Internet Explorer 5.5 sowie 6.0 und reicht jetzt einen Patch dagegen nach. Diese Sicherheitslücke erlaubt es Angreifern, Daten in beliebigen Cookies zu lesen und zu verändern.

15.11.20010 Kommentare

Wie Microsoft in einem aktuellen Security Bulletin mitteilt, besitzen mindestens die Versionen 5.5 und 6.0 des Internet Explorer eine Sicherheitslücke, die es Angreifern ermöglicht, Daten in Cookies zu lesen und zu verändern. Einen Patch dagegen bietet Microsoft bislang nicht an, will dies aber so schnell wie möglich nachholen.

09.11.20010 Kommentare

Ende vergangener Woche deaktivierte Microsoft bis auf weiteres den Passport-Dienst Wallet, weil ein Open-Source-Programmierer eine empfindliche Sicherheitslücke darin aufgedeckt hatte. Damit erlitt das Ziel von Microsoft, eine zentrale Datenbank von Surfern anzulegen, einen empfindlichen Rückschlag und bestätigt damit Bedenken der Datenschützer.

05.11.20010 Kommentare

Seit dem Wochenende verbreitet sich laut Symantec ein neuer Mail-Wurm namens W32.Klez.A@mm mit rasanter Geschwindigkeit, der eine Sicherheitslücke in Outlook und Outlook Express ausnutzt, wodurch der Wurm schon bei der Mail-Vorschau ausgeführt wird.

29.10.20010 Kommentare

Wie das "Computer Incident Advisory Capability office" (CIAC) des amerikanischen Energieministeriums in einem Security Bulletin mitteilte, können bei der Übertragung von Bug-Reports in Microsoft-Produkten auch vertrauliche Daten nach Redmond gelangen.

19.10.20010 Kommentare

D-Trust zeigt auf der IT-Messe Systems in München, wie die unberechtigte Nutzung von Firmennetzen durch Geräte-Authentisierung verhindert wird. So kann u. a. sichergestellt werden, dass Außendienstmitarbeiter nur mit firmenintern registrierten Softwarepaketen und Rechnern Zugang zu sensiblen Daten haben. Fremde Computer, auch von berechtigten Nutzern, werden automatisch abgewiesen.

19.10.20010 Kommentare

Auf Grund eines Hinweises von Peter Ferrie von Symantec sieht sich Microsoft genötigt, in einem Schreiben vor Gefahren neuer Makroviren zu warnen, die sämtliche bisherigen Sicherheitsmaßnahmen in Excel und Powerpoint umgehen, die normalerweise dazu führen sollen, dass Makros selbstständig ausgeführt werden und der Anwender über die Anwesenheit von Makros in einem Dokument gewarnt wird.

08.10.20010 Kommentare

Die Liste der bösartigen Programme, die Microsoft-spezifische Software angreift, ist um eine Kuriosität länger geworden. Der Blue Code getaufte Wurm, von dem mehrere Infektionen vor allem aus China gemeldet wurden, greift den Microsoft Internet Information Server (IIS) und den Schädling Code Red an.

10.09.20010 Kommentare

Mitte Juli 2001 berichtete Microsoft über eine Sicherheitslücke in Outlook 98, 2000 und 2002, die Angreifern über eine Webseite den Zugriff auf Outlook-Daten ermöglicht. Erst über vier Wochen später bietet der Hersteller jetzt einen Patch an, der jedoch nur für die 2000er-Versionen und nicht für Outlook 98 erhältlich ist.

17.08.20010 Kommentare

Eine neu entdeckte, "Privilege Escalation Vulnerability" getaufte Sicherheitslücke im Microsoft Internet Information Server (IIS) erlaubt es Angreifern, mit Gast-Privilegien Programme mit Administrator-Rechten auszuführen. Diese Programme müssen nur in DLL-Form ins IIS Virtual Directory gespielt werden und lassen sich dann starten.

16.08.20010 Kommentare

Scott Fluhrer, Itsik Mantin und Adi Shamir haben bereits Ende Juli eine gravierende Schwäche in der WEP-(Wired-Equivalent-Privacy-)Verschlüsselung des Wireless-LAN-(WLAN-)Standards IEEE 802.11 aufgedeckt, die nun ein Student der Rice University zusammen mit zwei AT&T-Labs-Angestellten praktisch nachweisen konnte. Die Sicherheitslücke resultiert aus einer inkorrekten Umsetzung des RC4-Algorithmus und erfordert lediglich das Mitschneiden und Auswerten von mehreren hunderttausend Datenpaketen, um einen 128-Bit-Schlüssel herauszufinden und die WEP-Verschlüsselung auszuhebeln - der Aufwand für längere Schlüssel soll dabei nur linear wachsen.

10.08.20010 Kommentare

Für den Anfang der Woche mutierten Server-Wurm CodeRed.C bietet Microsoft jetzt einen speziellen Patch an, der die Dateien des Eindringlings entfernen soll, jedoch nicht allen angerichteten Schaden behebt. Absolut unverständlich ist, warum Microsoft nicht auch den Patch zum Stopfen der Sicherheitslücke im Internet Information Server beilegt. Ohne das Sicherheitsloch in dem Microsoft-Produkt könnte sich der Wurm gar nicht verbreiten.

08.08.20010 Kommentare

Mit CodeRed.C alias CodeRed.v3 oder auch CodeRed 2 ist jetzt eine erste Mutation des CodeRed-Wurms aufgetreten. Dieser nutzt zwar die gleiche Sicherheitslücke wie das Original, unterscheidet sich aber in der Schadensroutine vom ursprünglichen Wurm CodeRed.

06.08.20010 Kommentare

Vor rund einer Woche tauchte der CodeRed-Wurm auf und verbreitet sich seitdem rapide über zahlreiche Internet-Server. Jetzt warnt auch Microsoft einhellig mit einigen US-Regierungsstellen, darunter das FBI, vor dem Wurm. Schließlich nutzt der Schädling zur Verbreitung eine Sicherheitslücke im Microsoft Internet Information Server.

31.07.20010 Kommentare

Und wieder vermeldet Microsoft in einem aktuellen Security Bulletin eine Sicherheitslücke, die mindestens die Versionen 6.4 und 7.x. des Windows Media Player betrifft. Das Sicherheitsloch gestattet es Angreifern, beliebigen Code auf dem betreffenden Rechner ohne Wissen des Anwenders auszuführen.

27.07.20010 Kommentare

Vor wenigen Tagen tauchte der SirCam-Wurm im Internet auf und treibt seitdem weiter tatkräftig sein Unwesen. Gleiches gilt für den kurz zuvor entdeckten Code-Red-Wurm, der vor allem Netzwerke befällt und sich seitdem munter quer über den gesamten Globus verbreitet.

26.07.20010 Kommentare

Wie Network Associates, ein Hersteller von Antiviren-Software, meldet, verbreitet sich seit gestern ein Internet-Wurm mit dem Namen "Code Red" explosionsartig im Internet. Er macht sich eine Sicherheitslücke im Microsoft Indexing Service zu Nutze, wofür bereits seit über einem Monat ein passender Patch erhältlich ist.

20.07.20010 Kommentare

Wie Microsoft in dem aktuellen Security Bulletin MS01-038 eingesteht, enthalten die Versionen 98, 2000 und 2002 der PIM-Anwendung Outlook eine empfindliche Sicherheitslücke, die Angreifern die Veränderung von Outlook-Daten über eine Webseite ermöglicht. Ein Patch ist derzeit nicht verfügbar.

13.07.20010 Kommentare

Dank eines Authentifizierungs-Fehlers im Windows-2000-SMTP-Dienst ist es möglich, unerlaubt E-Mails über Windows 2000 Server und Windows 2000 Professional zu versenden. Ein Patch von Microsoft soll nun Abhilfe schaffen und die "Windows 2000 SMTP Mail Relaying"-Sicherheitslücke schließen.

09.07.20010 Kommentare

Symantec warnt vor einem neuen Internet-Wurm, der sich eine längst bekannte Sicherheitslücke im Internet Information Server (IIS) zu Nutze macht und eine DoS-Attacke (Denial of Service) auf Microsofts Website startet. Außerdem sendet der "DoS.Storm.Worm" massenhaft E-Mails an die Adresse von Bill Gates.

08.06.20010 Kommentare

Wie Microsoft jüngst in einem Security Bulletin mitteilte, enthält der Windows Media Player einige empfindliche Sicherheitslücken, die bereits erhältliche Patches beheben sollen. Die Probleme betreffen die Versionen 6.4 und 7.0 des Windows Media Players; die kürzlich veröffentliche Version 7.1 ist davon nicht betroffen.

25.05.20010 Kommentare

Laut Microsofts Security Bulletin MS01-028 leben Nutzer von Word 97/2000 für Windows und 98/2001 für den Mac gefährlich, wenn sie fremde Rich-Text-Format-(RTF-)Dateien aufrufen und ohne Warnung automatisch darin versteckte Makros aktivieren. Mit Hilfe eines Patches, den Microsoft bereits zum Download anbietet, lässt sich die Sicherheitslücke jedoch schließen.

22.05.20010 Kommentare

Die Apache Software Foundation und das Apache Server Projekt haben jetzt die Version 1.3.20 des Apache HTTP Servers veröffentlicht. In der neuen Version sind vor allem Sicherheitslücken gestopft, die unter den Windows- und OS/2-Ports auftraten und den Server über eine bestimmte URL zum Absturz bringen konnten.

22.05.20010 Kommentare

In einem aktuellen Security-Bulletin informiert Microsoft über zwei neu entdeckte Sicherheitslücken im Internet Explorer der Versionen 5.01 und 5.5. Mittlerweile steht auch ein deutschsprachiger Patch zum Download bereit.

17.05.20010 Kommentare

Seit dem 1. Mai bietet Microsoft einen neuen Patch zum Download, der eine unter Windows-2000-Server-Betriebssystemen in Verbindung mit dem Internet Information Server (IIS) 5.0 auftretende Sicherheitslücke schließen soll. Diese ermöglicht es, einen Buffer-Overrun in der ISAPI-Extension auszulösen, die für die Einbindung des Internet Printing Protocol (IPP) verantwortlich ist, und somit fremden Programm-Code auszuführen.

02.05.20010 Kommentare

Ab sofort bietet der Programmierer Aron Spohr eine Windows-Freeware namens Linefire zum Download an, womit man zwischen Euro-ISDN-Anschlüssen Text-Nachrichten via PC austauschen kann, ohne dass dafür Gebühren anfallen.

05.04.20010 Kommentare

Microsoft stellt jetzt einen Bugfix für ein Sicherheitsloch bei der Anzeige von HTML-E-Mails innerhalb des Internet Explorer zum Download bereit: Demnach konnten Angreifer sich diese Sicherheitslücke zu Nutze machen, um Datei-Anhänge an HTML-E-Mails auszuführen, indem inkorrekte MIME-Header verwendet wurden.

30.03.20010 Kommentare

Die im Bereich Netzwerk-Sicherheit tätige Firma @stake veröffentlichte jetzt einen Bericht, der beschreibt, dass sich die Passwörter des PDA-Betriebssystems PalmOS ohne große Schwierigkeiten knacken lassen. Damit sind vermeintlich geschützte Daten keineswegs vor Fremden sicher.

05.03.20010 Kommentare

Hersteller von Antivirensoftware warnen vor einem neuen Wurm namens "Mandragore", der sich über den Peer-to-Peer-Dienst Gnutella ausbreitet. Bereits im Mai 2000 hatte Seth MacGann in der Sicherheitsmailingliste auf diese Sicherheitslücke hingewiesen, ausgenutzt wurde sie bisher aber nicht.

28.02.20010 Kommentare