Datensicherheit

Vom Server unabhängige Verschlüsselung. PGP-Erfinder Philip Zimmermann hat seine Zfone getaufte Anwendung zur Verschlüsselung von Internet-Telefonaten nun auch in einer Version für Windows veröffentlicht. Anders als bei PGP setzt Zfone nicht auf öffentliche Schlüssel und Zertifizierungsstellen, sondern wickelt die Schlüsselüberprüfung direkt zwischen den Clients ab.

Microsoft plant Patch für Mitte Juni 2006. In der Textverarbeitung Word wurde eine Sicherheitslücke entdeckt, die bereits aktiv von Angreifern ausgenutzt wird. Das Öffnen eines infizierten Word-Dokuments richtet eine Hintertür auf dem betreffenden Rechner ein, worüber Angreifer Kontrolle über ein fremdes System erlangen. Das Sicherheitsloch steckt in Word XP sowie 2003 und wird wohl erst am Juni-Patch-Day geschlossen.

WeOnlyDo! wodSSHServer, freeSSHd und freeFTPd betroffen. Gleich in drei SSH-Servern für Windows steckt eine kritische Sicherheitslücke, über die entfernte Angreifer einen Buffer Overflow erzeugen können. Betroffen sind mehrere Versionen der Programme WeOnlyDo! wodSSHServer, freeSSHd und freeFTPd. Updates für freeFTPd und wodSSHServer sind bereits verfügbar.

ZDNet UK: Bis zu zwei Jahre Haft, wenn Verdächtige Schlüssel nicht preisgeben. Die britische Regierung will die Möglichkeiten der Polizei verbessern, wenn es darum geht, Einblick in verschlüsselte Daten zu erhalten. Organisationen und Einzelpersonen sollen durch eine Gesetzesänderung gezwungen werden können, ihre Daten zu entschlüsseln bzw. die Schlüssel an die Strafverfolgungsbehörden herauszugeben. Andernfalls drohen bis zu zwei Jahre Haft, berichtet ZDNet UK.

Kaufpreis unbekannt. Microsoft hat das US-amerikanische Unternehmen Whale Communications übernommen, das sich mit sicherer Zugangssoftware beschäftigt, darunter SSL-gesicherte "Virtual Private Networks" (VPN) und Webanwendungs-Firewalls.

Internetbasiertes Messaging-Tool für Unternehmen. Die TynTec GmbH aus München hat die internetbasierte Messaging-Software eBizSMS für den Versand und den Empfang von Kurzmitteilungen vom Desktop aus vorgestellt. Um einen zuverlässigen Versand zu gewährleisten, haben die Münchener einen eigenen Zugang zur Mobilfunk-Infrastruktur aufgebaut. EBizSMS eignet sich für Unternehmen, die Mitarbeiter auf Reisen oder im Außendienst unabhängig von ihrem Aufenthaltsort ohne Verzögerung über kurzfristige Veränderungen informieren wollen.

Microsoft behebt entsprechenden Fehler im ACPI-Treiber. Beim Einsatz von USB-2.0-Peripherie an Notebooks mit Intels Core-Duo-Prozessoren konnte auf Grund eines ACPI-Treiberfehlers der Akku unter Windows XP schneller als erwartet geleert werden. Nun hat Microsoft den Fehler endlich beseitigt, ein passender Patch steht zum Download bereit.

Deutsche Bürgerrechtsorganisationen fordern Umdenken auch in Europa. Der US-Geheimdienst NSA hat die laut Medienberichten größte Datenbank der Welt im Betrieb - erstellt aus den ohne Verdachtsmoment abgehörten Telefonverbindungsdaten von 200 Millionen Amerikanern, die automatisch auf Auffälligkeiten geprüft werden und "soziale Netzwerke" der Gesprächsteilnehmer offenbaren. Europäischen Bürgern droht Ähnliches, selbst die Musikindustrie soll Plänen zufolge auf die ermittelten Daten zugreifen können, warnen deutsche Bürgerrechtsorganisationen.

Ordnungswidrigkeiten sollen von Bundesnetzagentur verfolgt werden. Ein Gesetzentwurf der Grünen will nationalen Versendern von Spam empfindliche Strafen auferlegen. Der Entwurf eines "Zweiten Gesetzes zur Änderung des Teledienstegesetzes" (Anti-Spam-Gesetz) sieht Bußgelder bis zu 50.000. Euro vor, wenn kommerziell ausgerichtete E-Mails weder den richtigen Absender noch den kommerzielle Charakter offenbaren oder diesen verschleiern.

Aktuelle Sicherheitspatches für MacOS X 10.3 und 10.4. Apple reagiert mit dem Security Update 2006-003 auf Sicherheitslücken, die dem Unternehmen zum Teil schon seit Anfang 2006 bekannt waren. Die Updates stehen seit heute sowohl für MacOS X Panther sowie Tiger zur Verfügung und beheben Fehler in 16 Anwendungen sowie Komponenten von MacOS X.

"Botmaster" zu 57 Monaten Gefängnis verurteilt. Jeanson James Ancheta, 21 Jahre alt, aus Kalifornien hat zugegeben, tausende von Rechnern unter seine Kontrolle gebracht und dieses "Botnet" an Spyware-Firmen und Spam-Versender vermietet zu haben. Dafür wurde er nun zu 57 Monaten Haft verurteilt.

Patch korrigiert Sicherheitsloch in Dreamweaver Server. Adobe hat einen Sicherheits-Patch für Dreamweaver 8 veröffentlicht, um eine Sicherheitslücke im Dreamweaver-Server zu schließen. Darüber können Angreifer beliebige SQL-Kommandos ausführen und so unter Umständen erheblichen Schaden anrichten. Für das gleichfalls betroffene Dreamweaver 2004 gibt es keinen Patch, sondern nur Anweisungen zur Umgehung des Sicherheitsrisikos.

Noch kein Patch für ICQ zu haben. Im Instant Messenger ICQ wurde eine Sicherheitslücke entdeckt, worüber Angreifer beliebigen Script-Code ausführen und damit eine umfassende Kontrolle über ein fremdes System erlangen könnten. Bislang gibt es keinen Patch, um diesen Fehler zu korrigieren.

Gefährliche Sicherheitslücke im Exchange Server wird mit Patch korrigiert. Wie angekündigt, hat Microsoft am diesmonatigen Patch-Day insgesamt drei Security Bulletins veröffentlicht. Überraschenderweise behandelt eines dieser Bulletins zwei seit langem geschlossene Sicherheitslücken in Adobes Flash-Player, während nur die beiden anderen Security Bulletins aktuellen Sicherheitslecks in den Microsoft-Produkten Windows und Exchange Server gelten.

Vorabinformation zu Microsofts Patch-Day am 10. Mai 2006. Microsofts allmonatlicher Patch-Day steht wieder einmal bevor, an dem diesmal Sicherheitslecks in Windows und Exchange geschlossen werden. Während für die Windows-Plattform zwei Security Bulletins geplant sind, wird es am 10. Mai 2006 eines für Exchange geben. Die betreffenden Sicherheitslecks stuft Microsoft als kritisch ein.

Verbreitung per Filesharing und IE-Sicherheitslücke. Der Hersteller von Antivirus-Software MicroWorld warnt vor einem neuen Schädling, der gezielt das beliebte Online-Rollenspiel World of WarCraft angreift. Das Programm soll Passwörter ausspionieren, mit deren Hilfe die Angreifer virtuelle Gegenstände aus dem Spiel offenbar in echtes Geld verwandeln wollen.

Automatische Code-Analyse deckte Fehler auf. Bei einer automatischen Fehleranalyse des X Window Systems wurde die größte Sicherheitslücke in X.org seit sechs Jahren entdeckt. Lokale Benutzer können unter Ausnutzung dieses Fehlers Programmcode mit Root-Rechten ausführen. Die Überprüfung des Quellcodes mit der Analyse-Software Coverity fand im Auftrag des US-Heimatschutzministeriums statt, die Entwickler haben die Lücke bereits geschlossen.

JavaScript-Lücke im Browser beseitigt. Nachdem vor rund einer Woche ein JavaScript-Sicherheitsloch in Firefox bekannt wurde, wird dieses mit der aktuellen Firefox-Version nun geschlossen. Weitere Neuerungen bringt die aktuelle Fassung des Browsers nicht. Bis Ende Mai 2006 wird Firefox 1.5.0.4 mit weiteren Fehlerbereinigungen erwartet.

Neue NAS-Lösung und Virtual-Storage-Manager-Systeme. Das freie Dateisystem ZFS hat Sun nun in Version 1.0 angekündigt. Ab Juni 2006 soll ZFS 1.0 mit dem nächsten Solaris-Update ausgeliefert werden. Dabei handelt es sich um ein 128-Bit-Dateisystem, das laut Sun 16 Milliarden Mal mehr Speicher verwalten kann als andere Dateisysteme. Zudem soll ZFS beschädigte Daten erkennen und selbstständig reparieren. Sun hat außerdem einen neuen NAS-Server mit Opteron-Prozessor sowie zwei neue Backup-Lösungen für Mainframes vorgestellt.

Microsoft IIS war jahrelang unangefochtener Marktführer. Apache ist nun auch in Sachen SSL-Webserver Marktführer. Laut Netcraft hat Apache hier Microsofts IIS mit einem Marktanteil von 44 Prozent überholt, Microsoft kommt demnach auf 43,8 Prozent.

Kompletter iFolder-Server als Open Source. Novell hat weitere Komponenten der File-Sharing-Lösung iFolder als Open Source veröffentlicht. Nun steht ein kompletter iFolder-Server zur Verfügung, der auch ein Modul zum Zugriff über das Internet mitbringt. Das Projekt nutzt die freie .Net-Implementierung Mono.

"Die GPL kommentiert und erklärt" und das "Linux Praxishandbuch". Der O'Reilly-Verlag bietet ab sofort vier neue OpenBooks zum kostenlosen Download an. Dazu zählen die Titel "Die GPL kommentiert und erklärt" und "Linux Firewalls". Ein weiteres Buch beschäftigt sich mit der Spam- und Virenbekämpfung mit Open Source, während es sich beim vierten Buch um das "Linux Praxishandbuch" handelt.

Auch mehr Überwachungsanordnungen für Internet und E-Mail. Rund 35.000 Anordnungen zur Überwachung der Telekommunikation haben Gerichte 2005 erlassen, knapp 7.500-mal wurden diese verlängert. Das geht aus einer von der Bundesnetzagentur veröffentlichen Statistik hervor.

Betriebssystem integriert Webanwendungen. MP3.com-Gründer Michael Robertson widmet sich weiter ausgiebig dem Thema Ajax: Sein nächstes Projekt ist eine angepasste Edition der Linux-Distribution Linspire. Diese soll Webanwendungen und -speicher integrieren und in den nächsten Wochen kostenlos zum Download bereitstehen.

Für Xbox 360 in Arbeit, Entwicklung soll schnell vorankommen. Die Xbox-Szene hat eine gehackte Laufwerks-Firmware für die alte Microsoft-Spielekonsole Xbox hervorgebracht, die das Ausführen von unerlaubt vervielfältigten Spielen erlaubt. Auch an der Laufwerks-Firmware der Xbox 360 sind Tüftler immer noch dran, nachdem der Hacker "The Specialist" die Machbarkeit demonstrierte, aber seinen Hack aus rechtlichen Gründen nicht veröffentlichte.

Angreifer können beliebigen Programmcode ausführen. Über eine neu entdeckte Sicherheitslücke im Internet Explorer können Angreifer schadhaften Programmcode ausführen und sich so eine umfassende Kontrolle über ein fremdes System verschaffen. Bislang bietet Microsoft keinen Patch gegen das Sicherheitsloch an.

Erneute Patch-Einspielung nur bei Problemen erforderlich. Die bereits angekündigte Neuauflage des fehlerhaften Sicherheits-Patches für die Windows-Plattform ist nun fertig und steht als Download bereit. Damit werden die bekannt gewordenen Probleme mit älterer HP-Software oder Nvidia-Grafikkartentreibern beseitigt.

Angreifer können Programmcode einschleusen. In der aktuellen Firefox-Version 1.5.0.2 wurde ein Sicherheitsleck entdeckt, das unter Umständen die Ausführung von Programmcode erlaubt. Bislang steht noch kein Patch bereit, um den Fehler zu korrigieren.

Falsches Masterpasswort löscht unwiderruflich alle Daten. Da heute beinahe jede Webanwendung ein Passwort erfordert, haben verschiedene Hersteller Passwortschutz-Systeme, meist auf einem USB-Stick, entwickelt. Die EurAsia Deutschland GmbH hat diese einfache Version nun um ein paar Knöpfe auf dem Stick erweitert. Damit können Passwörter oder PINs auch dann abgefragt werden, wenn man gerade nicht am Rechner sitzt.

Letzte Version von Thunderbird 1.0.x schließt Sicherheitslücken. Wie auch für Firefox 1.0.x hat die Mozilla-Stiftung dem E-Mail-Client Thunderbird 1.0.x ein letztes Sicherheits-Update verpasst. Mit Thunderbird 1.0.8 werden insgesamt 17 Sicherheitslücken geschlossen, wovon allerdings nur zwei als gefährlich eingestuft werden. Die Mehrzahl der Sicherheitslecks klassifiziert Mozilla als mittelschwer.

Apple seit Anfang 2006 informiert, aber keine Patches verfügbar. Das Anfang April 2006 veröffentlichte MacOS X 10.4.6 enthält eine Reihe von Sicherheitslücken, die zum Teil als gefährlich eingestuft werden. Unter anderem genügt die Anzeige von HTML-Seiten oder das Öffnen von BMP-, JPG- respektive ZIP-Dateien, damit Angreifer beliebigen Programmcode ausführen können.

Als Komplettpaket oder inkrementelles Update verfügbar. Wie schon der Firefox erfährt nun auch der Thunderbird mit der neuen Version 1.5.0.2 ein Sicherheitsupdate. Die neue Version des E-Mail-Clients ist für Windows, MacOS X und Linux zu haben. Auch die Mozilla-Suite wurde aktualisiert.

Fehlerberichte nach Patch-Einspielung häufen sich. Wie verschiedene Anwender von Outlook Express berichten, ist der aktuelle Sicherheits-Patch für Microsofts E-Mail-Client fehlerhaft. Nach der Patch-Einspielung lassen sich mehrere Funktionen in Outlook Express nicht mehr nutzen. Damit würde ein zweites Sicherheits-Update von Microsoft vom April 2006 nicht korrekt arbeiten.

Überarbeiteter Sicherheits-Patch für Windows für 25. April 2006 geplant. Microsoft gab bekannt, am kommenden Dienstag eine neue Version des fehlerhaften Sicherheits-Patches für die Windows-Plattform zu veröffentlichen. Bis zum 25. April 2006 müssen sich Anwender noch mit Übergangslösungen behelfen, falls der betreffende Patch Probleme mit HP-Software oder Nvidia-Grafikkartentreibern macht.

Trendverschiebung bei unerwünschten Werbemails. Laut einer Untersuchung des Security-Unternehmens Sophos kommen die meisten Spammer aus den USA, dicht gefolgt von China. Während die USA bei diesem zweifelhaften Markt Anteile verlieren, sind Asien und Europa stark auf dem Vormarsch.

Rohschlüssel mit 4 MBit/s über 1 km übertragen. Das zum US-Wirtschaftsministerium gehörende "National Institute of Standards and Technology" (NIST) hat einen neuen Rekord in Sachen Quanten-Kryptographie aufgestellt. Die Forscher um Physiker Xiao Tang konnten Quanten-Schlüssel mit einer Geschwindigkeit von 4 MBit/s über eine Glasfaserstrecke von 1 km übermitteln.

RFID soll Griff zur Geldbörse überflüssig machen. Nach einem seit Anfang 2005 laufenden Pilotprojekts hat der Rhein-Main-Verkehrsverbund in Hanau den Kauf von Bustickets per RFID-Chip offiziell begonnen. Der Regelbetrieb erlaubt Kunden nun, über ein mit RFID-Technik bestücktes Handy Fahrscheine für den öffentlichen Personennahverkehr zu erwerben. Als neuer Partner hat sich Vodafone dem Projekt angeschlossen.

Update schließt zwei Sicherheitslücken in Java-Engine. Für die Java-Engine von MacOS X 10.4.5 hat Apple ein Sicherheits-Update veröffentlicht, mit dem zwei Sicherheitslecks in der Java 2 Platform Standard Edition (J2SE) 5.0 geschlossen werden. Beide Sicherheitslöcher erlauben die Ausweitung von Rechten, was unter anderem den vollen Zugriff auf das Dateisystem erlaubt.

Microsoft bringt auch Service Pack für SQL Server 2005 Express Edition. Microsoft hat für den SQL Server 2005 ein Service Pack veröffentlicht, mit dem einige neue Funktionen in die Software Einzug halten. So erhält der aktuelle SQL Server durch das Service Pack 1 eine Datenbankspiegel-Funktion für den Production-Ready-Einsatz und die SQL Server Express Edition erhält mit SQL Server Management Studio Express eine grafische Bedienoberfläche.

Virus pflanzt sich nur unter bestimmten Kernel-Versionen fort. Der kürzlich aufgetauchte Windows- und Linux-Virus verbreitet sich nicht unter jeder Kernel-Version selbst, fand Newsforge.com heraus. Linux-Erfinder Linus Torvalds bekam die Gelegenheit diese Tests nachzuvollziehen und schrieb einen Patch für Linux.

Fehler bringt Windows Explorer aus dem Tritt. Einer der in diesem Monat veröffentlichten Sicherheits-Patches verursacht einen Fehler, der mit älteren Nvidia-Grafikkartentreibern oder älterer HP-Software auftreten kann. Der Fehler verhindert den Zugriff auf Verzeichnisse wie "Eigene Dateien" und kann sich auch negativ auf den Internet Explorer auswirken.

Domains von Microsoft werden trotz anderer Hosts-Einträge korrekt aufgelöst. Wer unter Windows versucht, mit Hilfe der Hosts-Datei die Auflösung von Domain-Namen nach den eigenen Wünschen umzubiegen, stößt bei ausgewählten URLs auf Widerstand. Alle gehören Microsoft selbst.

Mehr Funktionen unter Linux. Die kostenlose Verschlüsselungssoftware Truecrypt ist in der Version 4.2 erschienen, mit der sich nun auch Datenträger unter Linux verschlüsseln lassen. Zudem erstellt Truecrypt dynamische Container, deren Größe wächst, je mehr Daten sie enthalten. Außer einzelnen Dateien und ganzen Festplatten kann Truecrypt auch externe Speichermedien wie USB-Sticks verschlüsseln.