Datensicherheit

Sicherheitsloch im Internet Explorer war Microsoft seit August 2009 bekannt. Bisher schien es, dass auch Microsoft von dem Sicherheitsloch im Internet Explorer überrascht wurde, das für Angriffe auf Unternehmensnetzwerke missbraucht wurde. Doch es zeigt sich, dass Microsoft bereits Ende August 2009 auf die Sicherheitslücke hingewiesen wurde.

Baum spricht von Selbstverteidigung. Der ehemalige Bundesinnenminister Gerhart Baum (FDP) hat zur Bildung einer neuen Protestbewegung aufgerufen, die sich für den elektronischen Datenschutz einsetzt. "Wir müssen zur Selbstverteidigung übergehen", fordert der Anwalt.

Microsoft hat bislang keine Angriffe bemerkt. Microsoft berichtet von einem Sicherheitsloch im Windows-Kernel, das zur Rechteausweitung missbraucht werden kann. Zur Ausnutzung des Sicherheitslecks muss ein Angreifer am System angemeldet sein. Einen Patch zur Beseitigung des Fehlers gibt es bislang nicht.

Sieben Sicherheitslücken können für Codeausführung missbraucht werden. Microsoft hat wie angekündigt außerhalb des monatlichen Patchday-Zyklus einen Sicherheitspatch für den Internet Explorer veröffentlicht. Damit werden gleich acht Sicherheitslecks in Microsofts Browser beseitigt. Eine der Sicherheitslücken wurde für Angriffe auf verschiedene Unternehmensnetzwerke verwendet. Auch Exploit-Code wurde bereits im Internet gesichtet, so dass der Patch schleunigst eingespielt werden sollte.

Chinesisches Internetunternehmen Alibaba bezeichnet Yahoo als rücksichtslos. Yahoos Unterstützung für Google kommt beim chinesischen Partner Alibaba nicht gut an. Allerdings hat es Yahoo in China ohnehin schwer: Sein Auftreten in dem asiatischen Land war nicht immer sehr geschickt.

Zwei gefährliche Sicherheitslücken gefunden. In Adobes Shockwave Player befinden sich zwei Sicherheitslücken, die nun mit einem Update beseitigt werden. Über die Fehler lässt sich beliebiger Programmcode ausführen, um ein fremdes System unter die eigene Kontrolle zu bringen. Zur Fehlerbeseitigung muss der installierte Shockwave Player komplett deinstalliert werden.

Neue Version bringt rund 150 Verbesserungen. Mit Nmap 5.20 ist eine neue stabile Version des freien Security-Scanners erschienen. Sie bietet laut Entwickler Fyodor rund 150 signifikante Verbesserungen. Es gibt mehr als 30 neue Scripts für die neue Scripting-Engine, mehr Geschwindigkeit und weniger Speicherverbrauch.

Sechs statt drei PIN-Eingaben im Ausnahmefall möglich. Bei der PIN-Eingabe von EC-Karten ist es möglich, den Zahlencode sechsmal statt dreimal einzugeben. Das hat ein Dachverband der deutschen Kreditwirtschaft eingeräumt. Dies sei aber nur im Ausnahmefall möglich, beteuert der Zentrale Kreditausschuss.

Genauer Termin folgt bis spätestens 21. Januar 2010. Außerhalb der Reihe will Microsoft in Kürze einen Sicherheitspatch für den Internet Explorer veröffentlichen. Damit soll ein Sicherheitsloch in Microsofts Browser beseitigt werden, das für Attacken auf mehrere Unternehmensnetzwerke missbraucht worden ist - unter anderem auf Google. Im Laufe des Tages will Microsoft verraten, wann der Patch erscheint.

Weitere Microsoft-Programme von Schwachstelle in mshtml.dll betroffen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seine Warnung im Zusammenhang mit der aktuellen Sicherheitslücke im Internet Explorer erweitert. Auch bei der Verwendung von Outlook, Outlook Express, Windows Mail, Windows Live Mail, dem Hilfesystem und der Sidebar sei Vorsicht geboten.

Beamte sammelten Verkehrsdaten mit falschen Terrorwarnungen. Der Generalinspekteur des US-Justizministeriums wird in seinem neuen Bericht, der im Laufe des Monats erscheinen wird, erneut die US-Bundespolizei kritisieren. Laut dem Bericht haben sich FBI-Beamte mehrere Jahre lang mit falschen Dringlichkeitsverordnungen Telefonverbindungsdaten verschafft und damit Richtlinien der Behörde sowie Bundesrecht verletzt.

Microsoft will IP-Adressen nach sechs Monaten komplett löschen. Nach Google hat nun auch Microsoft auf Forderungen von EU-Datenschützern reagiert und angekündigt, die zu Suchanfragen gehörenden IP-Adressen künftig schon nach sechs Monaten zu löschen. Bislang hebt Microsoft diese 18 Monate auf.

Zweites europäisches Land warnt vor Microsoft-Browser. Neben dem deutschen BSI hat auch das französische CERTA eine Warnung vor dem Internet Explorer von Microsoft ausgegeben. Bis es einen Patch für die offene Sicherheitslücke gibt, solle auf einen alternativen Browser ausgewichen werden, so die Behörde.

Plusminus will Beleg für sechs PIN-Versuche am Geldautomaten haben. Bei EC-Karten hat der Nutzer sechs statt drei Möglichkeiten, die PIN zu erraten. Das will das TV-Magazin Plusminus herausgefunden haben. "Wir haben das mehrfach ausprobiert", betont einer der Autoren des Beitrags.

Jährliche Revisionsprüfungen sollen dauerhaft für Sicherheit sorgen. Die sozialen Netzwerke SchülerVZ, StudiVZ und MeinVZ haben ihre Softwareplattformen durch den TÜV Süd auf deren Datensicherheit überprüfen lassen. Das Ergebnis: Die Plattformen erfüllen sowohl die gesetzlichen Anforderungen als auch die des TÜV Süd.

Neue Firmware für DIR-615, DIR-635, DIR-655 und DIR-855. In einigen D-Link-Routern steckt eine gefährliche Sicherheitslücke. Angreifer können mit einem bereits publizierten Werkzeug die Geräte einfach übernehmen. Vom Hersteller gibt es jetzt Firmwareupdates für einige Router. Weitere Updates sollen folgen.

Unternehmen will unzensierte Suchmaschine durchsetzen. Google hat Gespräche mit der chinesischen Regierung begonnen, um in China künftig Suchergebnisse ohne staatliche Eingriffe anbieten zu können. Der US-Konzern hatte nach Angriffen erklärt, die staatliche Zensur nicht länger auszuführen, auch wenn dies den Rückzug aus China bedeute. Es soll zudem Helfer im Unternehmen für die Angreifer gegeben haben.

Innenminister trifft Netzaktivisten. Der Arbeitskreis Vorratsdatenspeicherung und der Chaos Computer Club gehen mit weitgehenden Forderungen in ein Treffen mit dem Bundesinnenminister. Sie wollen ein Freiheitspaket, das Vorratsdatenspeicherung, Surfprotokollierung und den biometrischen Personalausweis zurücknimmt.

Fast jede .mov-Datei kann die Lücke ausnutzen. Eine Sicherheitslücke in Apples Multimediasoftware Quicktime kann über präparierte .mov-Dateien ausgenutzt werden. Fortinet schätzt die Gefährlichkeit des Problems als hoch ein und rät, das neue Quicktime zu installieren. Betroffen ist allerdings nur eine ältere Version der Software.

Hacks funktionieren mit IE-Versionen 6 und 7 unter Windows XP SP3. Inzwischen sind Varianten der Exploits, über die Hacker Angriffe auf Google starteten, im Internet aufgetaucht. Die getesteten Exploits ermöglichen Angreifern, über den Internet Explorer die Kontrolle über kompromittierte Rechner zu erlangen.

Durch Google-Angriffe bekanntgewordenes Leck wird verstärkt für Angriffe genutzt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt Benutzern des Internet Explorers, in den kommenden Tagen auf einen alternativen Browser umzusteigen. Die durch die Attacken auf Google bekanntgewordene Sicherheitslücke in dem Microsoft-Browser werde in den nächsten Tagen verstärkt für Angriffe genutzt.

Urheberrechtsschutz als größtes Problem in China. Microsoft wird auch weiterhin in China Geschäfte machen. Das Softwareunternehmen werde Googles möglichen Rückzug nicht mitmachen, stellt Unternehmenschef Steve Ballmer klar. Cyberattacken, die Anlass für Googles Strategiewechsel waren, bezeichnete er als globales, nicht als chinesisches Problem.

Zugangskarten von Mitarbeitern lassen sich leicht emulieren. Einem Bericht des ARD-Magazins Kontraste zufolge gibt es an mehreren deutschen Flughäfen ein Sicherheitsproblem durch den Einsatz von veralteten RFID-Systemen. Die dort verwendeten Karten sollen sich einfach nachbilden lassen, was den Zugang zu Sicherheitsbereichen und auch zu Flugzeugen ermöglicht.

Gefährliches Sicherheitsloch in Microsofts Browser wird aktiv ausgenutzt. Im Internet Explorer befindet sich ein offenes Sicherheitsloch, das seit Mitte Dezember 2009 aktiv ausgenutzt wird. Unter anderem liefen darüber die Angriffe auf Google, mit denen der Suchmaschinenbetreiber seinen Abzug aus China begründet. Auch andere namhafte IT-Unternehmen waren jüngst entsprechenden Angriffen ausgesetzt.

Forschungspreis für passive Kamera, die Sicherheit und Privatsphäre wahren soll. Wissenschaftler aus Jena haben eine Kamera entwickelt, die möglicherweise eine Alternative zu Nacktscannern darstellt. Sie misst elektromagnetische Strahlen, die der menschliche Körper aussendet. Auf dem Bild sollen am Körper getragene Gegenstände zu erkennen sein, nicht aber anatomische Details.

Fehler tritt bei der Einrichtung neuer E-Mail-Konten auf. Die E-Mail-Software Mail von Mac OS X weist ein Sicherheitsproblem auf. Unter Umständen kann es passieren, dass Unbefugte vertrauliche E-Mail-Inhalte mitlesen können. Grund dafür ist ein Fehler im Einrichtungsassistenten der Software.

Neue TLS-Extension speichert Information zu bestehenden Verbindungen. Damit die Neuverhandlung von TLS- und SSL-Verbindungen künftig sicher vonstatten geht, werden Daten, die zur Neuverhandlung einer Verbindung benötigt werden, Zertifikate etwa, in einer neuen TLS-Erweiterung gespeichert. Die Sicherheitsschwachstelle war Ende letzten Jahres bekanntgeworden.

Verschlüsselung via https kann in den Einstellungen abgeschaltet werden. Google will die Sicherheitseinstellungen für Google Mail verändern. Beim Aufruf von Google Mail im Browser wird https schrittweise standardmäßig aktiviert. Bei Bedarf kann die Verschlüsselung deaktiviert werden.

Live-DVD für Sicherheitsüberprüfungen im LAN und WLAN. Backtrack 4 pwnsauce bringt zahlreiche Tools zur Sicherheitsüberprüfung von Netzwerken, Server- oder Webapplikationen mit. Zusätzlich erhielt die Linux-Distribution eine eigene Webseite rund um Forensik, Auditierung und Einbruchsprüfungen.

Neues Updatesystem wird diesen Monat erstmals ausprobiert. Wie angekündigt hat Adobe nun einen Sicherheitspatch für den Adobe Reader sowie für Acrobat veröffentlicht. Damit werden insgesamt acht Sicherheitslecks beseitigt, die zum Teil bereits seit fast einem Monat aktiv ausgenutzt werden. Nutzer des Adobe Reader sollten den Patch möglichst zügig einspielen.

Sicherheitsleck in Opentype Font Engine nur für Windows 2000 gefährlich. In der Windows-Komponente Opentype Font Engine steckt ein Fehler, der Angreifer dazu in die Lage versetzt, auf einem fremden System Schadcode auszuführen. Mit einem Patch wird der Fehler nun korrigiert.

Erfolgreiche Angriffe auf Googles Infrastruktur aus China. Google will seine Suchergebnisse in China nicht mehr länger der dortigen Zensur unterwerfen und nimmt einen Rückzug aus China in Kauf. Ausgangspunkt für diesen Strategiewechsel waren erfolgreiche Angriffe aus China auf Googles Infrastruktur.

Facebook weist Darstellungen einer Mitarbeiterin zurück. In einem Interview mit dem US-Blog The Rumpus hat eine anonyme Mitarbeiterin des sozialen Netzes Facebook über Datenschutz und andere Interna geplaudert. Das Unternehmen weist die Darstellung als ungenau und falsch zurück.

Nur noch eine Version der Textverarbeitung in den USA verfügbar. In seinem Onlineshop in den USA hat Microsoft den Verkauf von Word praktisch eingestellt. "Dieses Produkt ist derzeit nicht verfügbar", hieß es dort. Grund ist der Rechtsstreit mit i4i.

Chinas größte Suchmaschine offensichtlich von regierungstreuen Iranern gehackt. Erst Twitter, jetzt Baidu: Die iranische Cyberarmee hat offensichtlich wieder zugeschlagen. Die Hackertruppe hat den DNS-Eintrag der größten chinesischen Suchmaschine geändert, weshalb Baidu in weiten Teilen Chinas nicht erreichbar war. Auf der Startseite hinterließen die Eindringlinge ein Bekennerbanner.

Patch muss vom Nutzer manuell eingespielt werden. Adobe hat wie angekündigt einen Patch für Illustrator CS3 und CS4 veröffentlicht. Damit werden zwei Sicherheitslücken beseitigt, die beide für die Ausführung von Schadcode missbraucht werden können.

Schlüssel durch Faktorisierung offengelegt. Einer Gruppe internationaler Wissenschaftler ist es gelungen, eine RSA-Veschlüsselung mit 768 Bit zu knacken. Dazu setzten sie mehrere hundert Rechner ein, die zum Teil jahrelang rechneten. RSA-Schlüssel mit 1.024 Bit gelten zwar noch als sicher, die Wissenschaftler raten aber, schon heute auf RSA mit 2.048 Bit zu setzen.

Im Januar 2010 wird Microsoft einen Windows-Patch veröffentlichen. Sicherheitstechnisch geht Microsoft das Jahr 2010 ruhig an. Der Softwarekonzern wird am 12. Januar 2010 nur einen Patch für Windows veröffentlichen.

Produkte zur Gewichtsreduzierung werden erstaunlich häufig gekauft. Bei einer Befragung von College-Studenten in den USA fanden Forscher heraus, dass besonders Studenten mit Gewichtsproblemen bereit sind, per Spam beworbene Produkte zur Gewichtsreduzierung zu bestellen.

Debian-Abkömmling mit aktuellem Linux-Kernel 2.6.32-9. Die Linux-Distribution Kanotix meldet sich nach einem Jahr mit einer Preview-Version zurück. Diese Version bringt auf einer Live-CD den aktuellen Linux-Kernel 2.6.32-9 mit zahlreichen Patches mit.

Ausgeklügelte Angriffe gegen CVE-2009-4324. Im neuen Jahr sind der Adobe Reader und Adobe Acrobat weiterhin anfällig für Angriffe. Ein besonders raffinierter Angriff nutzt die als CVE-2009-4324 bekannte Lücke aus. Weder auf Anti-Viren-Software noch auf Adobe sollten sich Anwender derzeit verlassen.

Spamfilter vieler E-Mail-Provider sortieren Mails aus, die kein Spam sind. Derzeit sorgt ein Fehler im Spamfiltersystem von SpamAssassin bei einigen E-Mail-Anbietern für eine erhöhte Anzahl von sogenannten False Positives. E-Mails, die im Jahr 2010 geschrieben wurden, werden unter Umständen fälschlich als Spam deklariert.

26C3 Die GSM-Lücken waren auch der New York Times einen Bericht wert. Der 26. Chaos Communication Congress (26C3) war ein Erfolg. Mehr als 9.000 Menschen schauten sich die Vorträge an, die im Berliner Congress Center (BCC) gehalten wurden. Der Chaos Computer Club (CCC) meldete einige Rekorde.