Datensicherheit

Weitere Office- und Windows-Lecks werden ausgemerzt. Für den Patch-Day am 9. Januar 2007 wird Microsoft aller Voraussicht nach endlich die offenen Sicherheitslücken in Word schließen. Alle drei in Word gefundenen Sicherheitslecks wurden bereits im Dezember 2006 entdeckt, bisher aber nicht korrigiert. Außerdem stehen Fehlerkorrekturen für Windows, Visual Studio und weitere Office-Komponenten an.

Verdreifachung der Besucherzahlen verzeichnet. Um die Öffnungszeiten von Bibliotheken zu verlängern, ohne ausufernde Personalkosten verkraften zu müssen, gehen einige dazu über, die Bücher mit RFID-Modulen auszustatten und die Ausleihe und Rückgabe elektronisch vorzunehmen. Die Uni Karlsruhe setzt ein solches System seit April 2006 ein - und promt verdreifachten sich die Benutzerzahlen.

Beispiel-Code im Internet zu finden. Der VLC Media Player weist in der Mac- und Windows-Version eine Sicherheitslücke auf, worüber Angreifer beliebigen Programmcode ausführen können. Bereits das Öffnen eines entsprechend präparierten Links kann genügen, um Opfer einer solchen Attacke zu werden. Mittlerweile steht auch ein Patch für den VLC Media Player bereit.

Linux und MacOS sollen bald auf der Microsoft-Spielekonsole laufen. Im Rahmen von Lightning Talks genannten Projektkurzvorstellungen auf dem 23. "Chaos Communication Congress" (23C3) widmete sich ein maskierter, wortloser Hacker der Xbox 360. Das Versprechen: Linux und MacOS werden bald auf der aktuellen Microsoft-Spielekonsole laufen.

Noch kein Patch zur Abhilfe verfügbar. In Apples QuickTime wurde ein Sicherheitsleck entdeckt, für das bereits Beispiel-Code verfügbar ist. Bei der Verarbeitung des URL-Typs "rtsp" tritt ein Pufferüberlauf auf, worüber ein Angreifer beliebigen Programmcode ausführen kann. Bislang steht kein Patch zur Beseitigung des Fehlers bereit.

Identifizierung von Rechnern über elektrische Eigenschaften. Zum Abschluss des 23. "Chaos Communication Congress" (23C3) in Berlin hat ein britischer Wissenschaftler umfangreiche Studien zu möglichen Lücken in Anonymisierungsdiensten vorgelegt. Als Beispiel diente dabei "The Onion Router" (Tor), in dessen Netz Steven Murdoch einzelne PC unter anderem an ihrer indivuellen Taktabweichung identifizieren konnte.

Kriminalpolizei ermittelte gegen 63-jährigen Anschlussinhaber. Zu Unrecht ist ein 63-jähriger Mann aus Nürnberg ins Visier der Kriminalpolizei geraten. Ein Betreiber von Erotikseiten hatte ihn angezeigt, da er die angefallenen Kosten für den Besuch der schlüpfrigen Seiten nicht bezahlte.

4.200 Besucher von denen sich 1.000 Besucher freiwillig via RFID orten ließen. Auch dieses Jahr hat der Chaos Computer Club auf dem 23. Chaos Communication Congress wieder den Rahmen für zahlreiche Vorträge und Workshops geschaffen und die Veranstalter ziehen ein positives Fazit. Der Blick in die Zukunft prophezeit ein spannendes Jahr und zunehmende Nutzung von Überwachungstechnik bei zugleich sinkender Hemmschwelle. Dementsprechend kamen Forderungen auf, eine umfangreiche Politikerüberwachung als vertrauensbildende Maßnahme einzuführen.

Erstes Software-Tool entfernt AACS-Entschlüsselung. Um auf Blu-ray Discs und HD-DVDs ausgelieferte hochauflösenden Spielfilme zu schützen, drängten die Filmwirtschaft auf starke Kopierschutzmechanismen - und wählte AACS. Nun hat ein Tüftler herausgefunden, wie sich zumindest bei HD-DVD-Filmen mit einem einfachen Software-Tool der Kopierschutz entfernen lässt.

Bundesregierung droht eine Klage aus Brüssel. Die Europäische Kommission verlangt von den deutschen Bundesländern, innerhalb von zwei Monaten die "völlige Unabhängigkeit" ihrer Datenschutzbehörden herzustellen. Andernfalls drohe Deutschland laut dem Jurist und Bürgerrechtler Patrick Breyer eine Klage der EU-Kommission vor dem Europäischen Gerichtshof.

SPD spricht von "digitalem Hausfriedensbruch". Mit den Stimmen von CDU und FDP hat der Landtag von Nordrhein-Westfalen am 20. Dezember 2006 eine Änderung des Verfassungsschutzgesetzes des Landes beschlossen. Demnach dürfen die Behörden auch mit rechtlicher Deckung private Computer unerkannt überwachen.

Gefahr von Identitätsdiebstählen. Die Pläne der Bundesregierung, künftig auch den elektronisch erfassten Fingerabdruck im Reisepass zu integrieren, stößt bei der Opposition auf herbe Kritik. Die innenpolitische Sprecherin Silke Stokar und Wolfgang Wieland, Sprecher für innere Sicherheit (Bündnis 90/Die Grünen) bezeichnen die Aufnahme von Fingerabdrücken als ein Sicherheitsrisiko für den Passinhaber.

Helm zeichnet Geräusche und Bilder der Umgebung auf. Das Massachusetts Institute of Technology (MIT) hat einen Media-Helm entwickelt, der einem Radfahrer Informationen aus seiner Umgebung übermitteln und damit die Fahrsicherheit erhöhen soll. Dazu nimmt der Helm Geräusche, Bilder und Bewegungen aus der Umgebung auf und analysiert sie, um notfalls vor Gefahren zu warnen.

SeaMonkey 1.0.7 schließt mehrere Sicherheitslücken. Nachdem zunächst Sicherheits-Updates für Firefox und Thunderbird erschienen sind, steht nun auch eine neue Version von SeaMonkey bereit. Neue Funktionen bringt SeaMonkey 1.0.7 hingegen nicht, weil es hier nur um die Beseitigung von Sicherheitslücken geht.

Dennoch werden mutmaßlich erbeutete Gelder nicht eingezogen. Im so genannten "Osnabrücker Dialer-Prozess" hat das niedersächsische Landgericht nun ein weiteres Urteil gesprochen. Die beiden Hauptbeschuldigten wurden dabei zu Haftstrafen verurteilt, bei ihnen gefundenes Geld wird jedoch nicht eingezogen.

Außerdem Strafzahlungen von 750.000 US-Dollar vereinbart. Im Verfahren um eine Sammelklage von kalifornischen Käufern der mit umstrittenen Kopiersperren versehenen CDs von Sony BMG steht laut US-Berichten eine Einigung bevor. Demnach soll Sony jedem Kunden, der eine der fraglichen CDs besitzt, 175,- US-Dollar Schadensersatz zahlen.

Sicherheitslücke erlaubt das Ausspähen von Bilddaten. Eine Sicherheitslücke in MacOS X 10.4 erlaubt mit einer präparierten Webseite das Ausspähen von lokalen Informationen über Quicktime für Java und den Quartz Composer. Mit dem aktuellen Sicherheits-Update schließt Apple diese Lücke, die nur MacOS X 10.4.x und die Serverversion des Betriebssystems betrifft.

Handlungsempfehlungen und eine Beispiel-Implementierung des BSI verfügbar. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat jetzt eine Sicherheitsanalyse von Microsofts Kommunikationsplattform "Windows Communication Foundation" (WCF) alias Indigo durchgeführt. Zudem wurde eine praxisorientierte Beispielanwendung zur sicheren Nutzung der WCF-Sicherheitsfunktionen erarbeitet und zusätzlich erforderliche Sicherheitsmaßnahmen abgeleitet.

Neue Versionen von Firefox und Thunderbird erschienen. Der Mozilla-Browser Firefox ist in den Versionen 2.0.0.1 und 1.5.0.9 erschienen, mit denen die Entwickler einige Sicherheitslücken des Browsers schließen. Gleiches gilt auch für den E-Mail-Client Thunderbird 1.5, der von einigen der Lücken ebenfalls betroffen ist.

Mit SVGA- und XGA-Auflösungen sowie unterschiedlichen Helligkeiten. Acer hat eine ganze Serie von DLP-Projektoren vorgestellt, die allesamt für den mobilen Einsatz vorgesehen sind. Die Geräte Acer XD1150 und XD1170D erreichen eine Auflösung von 800 x 600 Punkten bei einem Kontrastverhältnis von 2.200:1 bei einer Helligkeit von 1.800 ANSI-Lumen (XD1150) bzw. 2.300 ANSI-Lumen beim XD1170.

Erste Entwickler-Builds von MacOS X 10.5 alias Leopard mit neuem Dateisystem. Schon länger liebäugelt Apple mit der Integration von Suns freiem Dateisystem ZFS in das eigene Betriebssystem MacOS X. Mit der kommenden Version 10.5 alias Leopard könnte es denn so weit sein. Erste Entwicklerversionen von Leopard bringen eine erste, aber wohl noch nicht vollständige Unterstützung mit.

Datel arbeitet an Freeloader. Anders als Sony Computer Entertainment bei der PlayStation 3 hat sich Nintendo bei der Wii-Konsole dafür entschieden, die Spiele mit Regionalcodes zu versehen und damit das Ausführen von Importen zu verhindern. Nun machen Gerüchte die Runde, denen zufolge Datel derzeit an einer Freeloader-Boot-Disc arbeitet, um Importe doch zum Laufen zu bringen - Golem.de hat nachgefragt.

Dateisysteme lassen sich mounten und Daten lesen. Das "ZFS on Linux"-Projekt stellt mit der Version 0.3.0 eine Möglichkeit bereit, ZFS-Dateisysteme unter Linux zu lesen. Erstmals erlaubt es die Portierung von Suns Dateisystem Linux-Nutzern nun, ZFS-Partitionen zu mounten.

Focus-Money sieht Recht der Presse zur Informationsbeschaffung gestärkt. Journalisten dürfen E-Mails für ihre Recherche-Anfragen versenden, so ein Urteil des Münchener Landgerichts I. Die Wirtschaftsredaktion Focus-Money hatte an über 9.000 Steuerberatungskanzleien eine Befragungs-E-Mail gesandt und fing sich dafür von einer Kanzlei eine Unterlassungsklage ein.

Zero-Day-Exploit für Windows Vista soll angeblich 50.000,- US-Dollar kosten. Trend Micro hat laut eWeek eine Versteigerungsplattform für Sicherheitslücken entdeckt. Angeblich 50.000,- US-Dollar werden dort für einen so genannten Zero-Day-Exploit für Windows Vista gefordert, also Code, mit dem sich eine noch nicht gepatchte Sicherheitslücke ausnutzen lässt, für die bisher kein Patch existiert.

Update-Pakete von Winboard.org, Winhelpline.de und WinFuture.de. Bereits am Dezember-Patch-Day haben Winboard.org und WinFuture.de erste inoffizielle Patch-Pakete für Windows angeboten. Nun stehen die Patch-Sammlungen für alle Windows-Ausführungen bereit und Winhelpline hat als dritter deutscher Anbieter solcher Patch-Pakete nachgezogen. Die Patch-Sammlungen enthalten die in diesem Monat veröffentlichten Sicherheits-Patches für Windows, den Internet Explorer, Outlook Express und den Windows Media Player.

Damit der Garagentoröffner im Ausland nicht aus dem Tritt kommt. Die EU-Kommission will eine europaweite Harmonisierung der Frequenzbänder vorantreiben, die von drahtlosen Geräten des täglichen Gebrauchs genutzt werden. Dazu gehören so banale Dinge wie Garagentoröffner, Alarmanlagen, Baby-Überwachung, schnurlose Kopfhörer, aber auch RFID-Etiketten.

Kooperation mit der Humboldt-Universität. Der Internetdienstleister Strato verwendet so genanntes Fingerprinting, um zuverlässig auch Spam-Botschaften zu erkennen, die statt mit Text mit Bildern versehen sind. Das von der Berliner Humboldt-Universität entwickelte Verfahren erkennt gleichartige Bilder in E-Mail-Nachrichten und merkt so anhand der für Spam-Botschaften großen Menge, dass es sich hierbei um nicht erwünschte E-Mail-Werbung handelt und sortiert diese entsprechend aus.

Drittes offenes Word-Sicherheitsloch in diesem Monat. Microsoft hat gerade seinen Patch-Day absolviert, da taucht eine dritte Sicherheitslücke in Word auf. Hierfür wurde bereits Schadcode entdeckt, der sich das Sicherheitsloch zunutze macht. Somit wurden in diesem Monat bislang drei Sicherheitslücken in Word bekannt, die Microsoft bisher nicht geschlossen hat.

Malaysia führt funkende Kennzeichen ein. In Malaysia werden jeden Tag rund 30 Fahrzeuge gestohlen, die meisten davon aus dem gehobenen Preissegment. Mit RFID-Tags in den Kennzeichen neu zugelassener Fahrzeuge will das Land die Fahrzeuge nun automatisch erfassen. Wie die New Strait Times aus Malaysia berichtet, sollen dazu die winzigen Mikrosender in versiegelte Kennzeichen eingebettet werden. Sie enthalten Informationen über den Halter und das Fahrzeug.

Sicherheitsexperte verlässt das PHP Security Response Team. Stefan Esser kehrt dem PHP Security Response Team den Rücken. Der Sicherheitsexperte hat genug. Seine Versuche, PHP von innen sicherer zu machen, seien vergeblich gewesen. Künftig werde er Sicherheitslücken in PHP auch dann veröffentlichen, wenn es noch keinen Patch gebe.

Sicherheitslücken in Windows und Outlook Express. Am Patch-Day für den Monat Dezember 2006 korrigiert Microsoft Sicherheitslücken in Windows, im Internet Explorer, in Outlook Express, im Windows Media Player und in Visual Studio. In vielen der Fälle können diese Sicherheitslecks zur Ausführung beliebigen Programmcodes missbraucht werden, so dass sich Fremde eine umfassende Kontrolle über andere Systeme verschaffen können.

Rund 800.000 Personen werden vorsorglich gewarnt. Ein Eindringling in einen Server der Universität Kalifornien in Los Angeles (UCLA) hatte Zugriff auf die Daten von rund 800.000 Personen, warnt die Universität. Die gehackte Datenbank enthält persönliche Informationen zu ehemaligen und aktuellen Studenten der Universität sowie Mitarbeitern, Bewerbern und deren Eltern.

Durchsuchung von Festplatten per Internet für illegal erklärt. Einem Bericht der taz zufolge hat der Bundesgerichtshof die bisher bereits mehrfach eingesetzte Praxis für illegal erklärt, die Festplatte eines Verdächtigen über seine Internetverbindung zu durchsuchen. Die Bundesregierung plant jedoch, die bisherige Gesetzeslage zu ändern, um die Online-Durchsuchungen legal zu machen.

Sun veröffentlicht Solaris 10 11/06. Sun hat ein weiteres Update für sein Betriebssystem Solaris 10 veröffentlicht. In der neuen Version Solaris 10 11/06 sind nun auch die Trusted Extensions enthalten, die Sicherheitsfunktionen aus Trusted Solaris in das normale Solaris übertragen. Sun verspricht jedoch eine höhere Flexibilität. Weitere neue Funktionen bekam das Dateisystem ZFS.

Gesetz-Formulierungen noch zu schwammig? Der Branchenverband Bitkom hat Sorge, dass das geplante Anti-Spam-Gesetz über das Ziel hinausschießt und auch "normale" Werbung betreffen könnte. Die Formulierungen seien so schwammig, dass die Kundenansprache kriminalisiert werden könne.

Kein Patch für diesen Monat geplant? Mitte vergangener Woche wurde Schadcode für eine neue Sicherheitslücke in Word ausgemacht, der sich aktiv im Internet verbreitet. Auch für ein weiteres Word-Sicherheitsloch wurde nun Schadcode gefunden, über den sich ein Angreifer eine umfassende Kontrolle über ein fremdes System verschaffen kann. Bisher ist für beide Sicherheitslecks kein Patch in Sicht.

In Einzelfällen sollen Computer über das Internet durchsucht worden sein. Das BKA soll nach dem Willen des Bundesinnenministeriums künftig verdächtige Computer über das Internet ausspähen dürfen. Die Ermittler sollen online auf Rechner zugreifen und die Festplatte durchsuchen dürfen, beispielsweise bei Verdacht auf Landesverrat. Die Polizei mache dies schon heute, berichtet die Süddeutsche Zeitung.

Update für Linux-WLAN-Treiber bereits verfügbar. Der Linux-Treiber "Madwifi" für WLAN-Karten mit Atheros-Chip enthält eine Sicherheitslücke, die es Angreifern ermöglicht, über eine drahtlose Verbindung Schadcode einzuschleusen und auf dem betroffenen System im Kernel-Space auszuführen. Verantwortlich dafür sind Buffer Overflows in Funktionen des Treibers. Ein Update steht bereits zur Verfügung.

Sicherheitsleck in Word bleibt weiter offen. Am allmonatlichen Patch-Day korrigiert Microsoft im Dezember 2006 mehrere Sicherheitslücken in Windows und kümmert sich um Visual Studio. Das jüngst bekannt gewordene Sicherheitsleck in Word lässt Redmond hingegen außen vor und veröffentlicht vorerst keinen Patch. Und das, obwohl Schadcode diese Sicherheitslücke bereits aktiv ausnutzt.

3 Bilder/Sekunde und 20 Stück RAW+JPEG-Aufnahmen hintereinander. Fujifilm hat weitere Informationen zu seiner digitalen Spiegelreflexkamera FinePix S5 Pro mitgeteilt. Bislang war wenig über das Modell bekannt, dessen Entwicklung zur Photokina 2006 angekündigt wurde. Die Kamera löst die FinePix S3 Pro ab und ist mit einem 12-Megapixel-CCD-Sensor von Fuji ausgerüstet. Durch die Einteilung in 6,17 Millionen S-Pixel (für normale Bildinformationen) und die gleiche Anzahl so-genannter R-Pixel (für besonders helle Bildbereiche) soll ein hoher Dynamikumfang erreicht werden.

Teure Werbeaktion soll Händlern Googles Bezahlsystem schmackhaft machen. Google hat angekündigt, dass sein Bezahlsystem "Checkout" für Händler nun bis Ende 2007 kostenlos nutzbar ist. Inhaber eines Google- bzw. Gmail-Kontos können sich in das System einloggen und nach einer Registrierung unter Angabe der eigenen Kreditkartendaten darüber in Online-Shops bezahlen. Darüber hinaus wurden einige neue Funktionen in Google Checkout integriert.

Angreifer können beliebigen Code ausführen. In Microsofts Windows Media Player wurde eine Sicherheitslücke entdeckt, über die Angreifer beliebigen Code ausführen können. Dazu muss ein Opfer nur dazu gebracht werden, eine manipulierte ASX-Playlisten-Datei zu öffnen. Bisher gibt es keinen Patch zur Abhilfe.