Datensicherheit

13 Sicherheitslücken in MacOS X - Apple stellt Patch bereit. Mit einem Sicherheits-Patch für MacOS X 10.3.9 sowie 10.4.3 behebt Apple gleich 13 Sicherheitslöcher im Betriebssystem. Darunter befinden sich auch vier Sicherheitslücken im Webbrowser Safari, worüber Angreifer unter anderem beliebigen Programmcode ausführen und sich so eine umfassende Kontrolle über ein fremdes System verschaffen könnten.

Digitalfernsehen.de: Smartcard schon im Umlauf. Vor rund zwei Jahren hatte der Pay-TV-Anbieter Premiere sein Verschlüsselungssystem umgestellt, um Schwarzseher auszuschließen. Das neue System, entwickelt vom Schweizer Softwarehaus Kudelski, ist nun aber angeblich wieder geknackt worden, entsprechende Hard- und Software sei bereits im Umlauf.

Neuer Patch sichert unter anderem das Session-Handling. Das Hardened-PHP-Projekt will mit seinem Patch für PHP die freie Scriptsprache sicherer machen. Nun erschien der Hardened-PHP-Patch in einer neuen Version, die an einigen Ecken die Sicherheit erhöhen kann.

Firewall-Produkt wird nicht mehr angeboten. Symantec hat die Produktlinie, die man sich durch die Übernahme des Firewall-Spezialisten Sygate einverleibt hat, überraschend eingestellt. Zum 30. November 2005 wird außerdem der Support über das Forum eingestellt, heißt es auf einer Webseite von Symantec.

Deutsche Onliner beim Online-Einkauf Spitze, aber recht unbesorgt. Nach einer Untersuchung des Marktforschungsinstituts Forrester sind im internationalen Vergleich die deutschen Internetanwender in puncto Einsatz von Sicherheitssoftware nicht besonders gut weggekommen: Nur 6 Prozent setzten fünf verschiedene Arten von Sicherheitsprodukten ein, während dies 19 Prozent der Online-Nutzer im Durchschnitt der untersuchten Länder tun.

22C3 findet vom 27. bis 30. Dezember 2005 in Berlin statt. Vom 27. bis 30. Dezember 2005 findet der 22. Chaos Communication Congress des Chaos Computer Clubs (CCC) im Berliner Congress Centrum statt. Nun steht auch das Programm des jährlich stattfindenden Hacker-Kongresses zum Großteil, wobei dieses Jahr neben deutschen Vorträgen auch immer mehr in englischer Sprache stattfinden.

Microsoft, Mozilla, Opera und KDE an einem Tisch. KDE-Entwickler George Staikos hat in einem Treffen mit Browser-Entwicklern von Microsoft, Mozilla und Opera Methoden erörtert, um die Sicherheit von Webbrowsern zu steigern. Konqueror wird in KDE 4 beispielsweise kein SSL Version 2 mehr unterstützen und die Adressleiste wird farbig anzeigen, ob man eine sichere oder unsichere Seite besucht, kündigte Staikos an.

Wurm gibt sich als E-Mail vom Bundeskriminalamt aus. Im Internet treibt ein neuer Sober-Wurm sein Unwesen, der per E-Mail-Text und Absender vorgibt, eine Nachricht vom Bundeskriminalamt (BKA) zu sein. Darin werden die Empfänger informiert, sie würden vom BKA verdächtigt, Raubkopien einzusetzen. Seit den Morgenstunden des 22. November 2005 verbreitet sich der neue Wurm und will Opfer auf Grund der BKA-Herkunft zum Öffnen des verseuchten Anhangs bewegen.

"Für wen arbeiten die Sicherheitsunternehmen eigentlich wirklich?". Sicherheitsexperte Bruce Schneier geht mit Herstellern von Sicherheitssoftware in Bezug auf den von Sony BMG eingesetzten XCP-Kopierschutz hart ins Gericht. Mit geschätzten 500.000 infizierten Systemen handle es sich um eine der schlimmsten Epidemien, doch die Hersteller von Anti-Viren-Software bemerkten davon offenbar nichts.

Windows-Updates über Firefox möglich. Einige Updates aus dem "Microsoft Download Center" lassen sich nur herunterladen, nachdem über ein ActiveX-Control die Echtheit des verwendeten Windows-CD-Keys überprüft wurde. Wer diese Prüfung nicht zulässt, darf nur als sicherheitskritisch eingestufte Updates herunterladen. Durch die Verwendung eines ActiveX-Controls war man aber bisher auf den Internet Explorer angewiesen, doch jetzt bietet Microsoft auch ein entsprechendes Plug-in für Firefox an.

Sicherheitslücke ermöglicht Denial-of-Service-Attacken. Ein Sicherheitsproblem im Windows-RPC-Dienst (Remote Procedure Call) ermöglicht Angreifern unter Umständen einen Denial-of-Service-Angriff. Microsoft zufolge sind Windows XP bis Service Pack 1 sowie Windows 2000 bis Service Pack 4 betroffen. Updates für diese Versionen bietet der Softwarehersteller allerdings noch nicht an.

Lösungen sollen Sicherheit von Webanwendungen verbessern. Citrix Systems hat das US-Unternehmen Teros übernommen, das Sicherheitslösungen für Webanwendungen entwickelt. Citrix will damit seine Netscaler-Produkte mit neuen Sicherheitsfunktionen ausstatten. Die Übernahme von Netscaler hatte Citrix im August 2005 abgeschlossen.

Version 3.8.1 schließt Sicherheitslücken. Mit der Version 3.8.1 ihres Content-Management-Systems schließen die Entwickler von Typo3 einige Sicherheitslücken und führen zugleich Vorkehrungen gegen das Umgehen von bestehenden Sicherheitsmechanismen ein. Zudem wurde die grafische Darstellung optimiert.

Red Hat bietet schon Patches. Drei Sicherheitslücken im Grafik-Toolkit GTK+ können zu einem Pufferüberlauf führen. Dazu genügt es, den Anwender zum Öffnen eines manipulierten XPM-Bildes in einem Programm, das GTK+ benutzt, zu bringen. Auch fremder Programmcode lässt sich so ausführen.

Patrick Stach setzte Methoden von Xiaoyun Wang um. Im August 2004 veröffentlichten chinesische Forscher um Xiaoyun Wang Methoden, die Kollisionen in den Hash-Algorithmen MD4, MD5, HAVAL-128 und RIPEMD aufzeigten. Nun legte Patrick Stach einen MD5-Collision-Generator vor, der auf Basis dieser Methoden arbeitet.

Sicherheitskonferenz künftig unter dem Dach von CMP Media. CMP Media übernimmt den auf Sicherheitskonferenzen und Training spezialisierten Anbieter Black Hat, der auch hinter der gleichnamigen Konferenz steht.

Verschlüsselung im DES- oder Triple-DES-Modus. LaCie hat eine Serie von externen Festplatten vorgestellt, die auf zwei verschiedene Arten vor unberechtigten Zugriffen geschützt sind. Zum einen verfügen die Geräte über eine biometrische Zugriffskontrolle in Form eines Fingerabdruck-Sensors und zum anderen werden die Daten auf der Festplatte hardwareverschlüsselt.

Visortech Fingerprint Reader USB für Windows-Anmeldung und Passwort-Verwaltung. Einen USB-Fingerabdruck-Sensor als Ersatz für die Passworteingabe hat der Versender Pearl nun mit dem "Visortech Fingerprint Reader USB" im Programm. Mit dem Identifizierungssystem soll man sich unter anderem bei Windows anmelden können und Passwörter für andere Anwendungen wie für geschützte Websites verwalten können.

Cisco und Juniper Networks sollen Problem bereits behoben haben. Ein finnisches Forscherteam der Universität Oulu veröffentlichte jetzt eine Schwachstelle beim Schlüsselaustausch (Internet Key Exchange) von IPSec. Betroffen sein sollen verschiedene VPN- und Firewall-Produkte, unter anderem von Cisco und Juniper Networks.

Weiterer Ärger: XCP-Deinstaller macht Rechner unsicher. Kaum schien der Ärger rund um das von Sony BMG auf Musik-CDs eingesetzte DRM-System XCP etwas abgeebbt, sorgt ein weiteres Sicherheitsrisiko für eine Welle der Entrüstung. Der XCP-Deinstaller agiert per ActiveX-Control und öffnet damit den Rechner für Angreifer, die so Programmcode einschleusen können. Zu allem Überfluss scheint XCP widerrechtlich Lame-Code zu verwenden. Sony BMG beginnt derweil damit, Audio-CDs mit der XCP-Software aus dem Handel zu nehmen.

Abermals starke Verbreitung von Sober-Würmern mit deutschen Nachrichtentexten. Unter anderem im deutschsprachigen Bereich des Internets machen seit den frühen Morgenstunden des 15. November 2005 gleich drei neuer Sober-Ableger die Runde, die allesamt über Spam-Listen versendet wurden. Die Würmer verschicken sich mit deutschsprachigem Nachrichtentext, in dem die Empfänger durch Tricks zum Öffnen des verseuchten Anhangs gebracht werden sollen. Im Vorfeld hatte das LKA Bayern bereits davor gewarnt, dass am heutigen 15. November 2005 eine neue Sober-Welle zu erwarten sei.

Update-Pack-CD mit Patch-Paketen für Windows 98, Me, 2000 und XP. Die bereits in der vergangenen Woche aktualisierten Update-Pakete für die Windows-Plattform gibt es nun auch gesammelt als CD-Image von der Webseite Winboard.org. Die Update-Pack-CD hilft etwa Support-Mitarbeitern bei der Pflege von Rechnersystemen.

Microsoft-Werkzeuge werden aktualisiert. Nachdem Microsoft seit ein paar Tagen darüber grübelt, ob der Software-Gigant das von Sony BMG verwendete DRM-System XCP als Schadsoftware einstuft, steht die Entscheidung nun fest: Die von Microsoft kostenlos angebotenen Windows-Werkzeuge zur Erkennung und Eliminierung von Schadsoftware werden demnächst das DRM-System als Schädling einstufen. Sony BMG hat auf Grund des öffentlichen Drucks die Produktion von mit XCP versehenen Musik-CDs vorerst gestoppt.

... wenn auch nur zeitweilig. Sony BMG hat sich auf Grund einer auf Audio-CDs zum Einsatz kommenden, von Antiviren-Software-Entwicklern auf Grund ihrer fragwürdigen Funktionsweise als Schadsoftware klassifizierten DRM-Software XCP mittlerweile sogar eine Warnung vom Chef des US-Department of Homeland Security eingefangen. Der ganze Trubel hat das Musiklabel nun mittlerweile dazu veranlasst, die Produktion von mit XCP versehenen Musik-CDs zu stoppen.

RUB-Arbeitsgruppe demonstriert Schwachstelle des iTAN-Verfahrens. Um die eigenen Kunden vor "Phishing" zu schützen, setzt unter anderem die Postbank mittlerweile auf das iTAN-Verfahren, bei dem vom Nutzer eine ganz bestimmte TAN abgefragt wird. Wissenschaftler der Ruhr-Universität Bochum zeigten jetzt, dass sich auch dieser Ansatz leicht überlisten lässt.

Angreifer können beliebigen Programmcode ausführen. In etlichen Versionen des RealPlayers stecken gefährliche Sicherheitslücken, die das Ausführen beliebigen Programmcodes auf einem fremden System ermöglichen. Dazu genügt es, Anwender zum Öffnen einer manipulierten Skin- oder RealMedia-Datei zu bewegen. RealNetworks hat bereits Updates zur Behebung der Probleme veröffentlicht.

Patch-Pakete mit aktuellem Windows-Patch. Die Betreiber von Winboard.org haben alle Update-Pakete für Windows 2000 sowie Windows XP erneuert, die nun den Sicherheits-Patch für Windows umfassen. Die von Winboard.org angebotene Update-Pack-CD soll in den nächsten Tagen in neuer Version bereitstehen. Auch Winhelpline.de bietet Update-Pakete für Windows 2000 sowie XP an, während WinFuture.de ein Update-Paket für Windows XP bereit stellt.

Sicherheitslöcher bei der Anzeige von WMF- und EMF-Dateien. An Microsofts Patch-Day für den November 2005 erscheint wie angekündigt nur ein Security Bulletin für die Windows-Plattform. Allerdings werden damit gleich drei verschiedene Sicherheitslücken im Betriebssystem geschlossen. Über zwei der drei Sicherheitslöcher kann ein Angreifer beliebigen Programmcode ausführen, während das andere Sicherheitsleck eine Denial-of-Service-Attacke erlaubt.

Unternehmen sollen wissen, was die Öffentlichkeit über sie denkt. IBM hat zusammen mit Nstein Technologies und Factiva eine Software entwickelt, mit der Unternehmen Webinhalte wie Blogs, Foren, News-Feeds, Newsgroups und Artikel überwachen können. Sie sollen so herausfinden können, wie das eigene Unternehmen oder die eigenen Produkte aktuell diskutiert werden.

Plupii/Lupper nutzt Sicherheitslücken in Webapplikationen. Anti-Viren-Hersteller warnen vor einem Wurm namens Plupii bzw. Lupper, der Sicherheitslücken in PHP- bzw. Webapplikationen ausnutzt und darüber Linux-Server befällt.

New Yorker Vorort will ungesicherte Funknetzwerke verbieten. Politiker aus einem Vorort von New York wollen den Datenschutz fördern, indem sie den Betrieb ungesicherter drahtloser Netzwerke unter Strafe stellen. Der ungewöhnliche Gesetzesentwurf aus Westchester County betrifft nicht nur Betreiber von Hotspots jeglicher Art, sondern auch Betriebe mit drahtlosem Netzwerk.

Neue Version vom Flash-Player 7 stopft Sicherheitslücke. Im nicht mehr ganz taufrischen Flash-Player 7 haben die Experten von eEye ein Sicherheitsleck entdeckt, worüber Angreifer beliebigen Programmcode ausführen können. Zur Abhilfe bietet Macromedia nun eine neue Version vom Flash-Player 7 zum Download an. Der Flash-Player 8 kennt das Problem nicht.

Neue Erkenntnis: QuickTime 7.0.3 behebt vier Sicherheitslücken. Vor mehr als drei Wochen hat Apple die Version 7.0.3 von QuickTime veröffentlicht, ohne Informationen zu nennen, welche Änderungen das Update bringt. Erst jetzt ist bekannt, dass mit QuickTime 7.0.3 gleich vier Sicherheitslücken geschlossen werden, wovon drei Lecks zur unberechtigten Ausführung von Programmcode missbraucht werden können.

Oft kritisierte Sicherheitsarchitektur vom Internet Explorer zeigt Folgen. In den vergangenen Monaten hat Microsoft zur Beseitigung von Sicherheitslücken im Internet Explorer einige Funktionen so beschränkt, dass manche Webseite in dem Redmondschen Browser nicht mehr korrekt angezeigt wird. Dies belegt abermals, dass viele der durch den Internet Explorer hervorgerufenen Sicherheitsprobleme in der Browser-Architektur begründet sind, die sich eben nicht ohne weiteres beheben lassen, ohne dem Nutzer zunächst Nachteile aufbürden zu müssen.

Neue Unterstützung für x86-64-Systeme. Die Verschlüsselungs-Software TrueCrypt liegt in Version 4.0 erstmals auch für Linux vor. TrueCrypt verschlüsselt Dateien, Festplatten-Partitionen oder USB-Sticks. Neben der Linux-Portierung werden in der neuen Version auch zusätzliche Hardware-Plattformen wie x86-64, PowerPC und SPARC unterstützt.

Vorabinformationen zum nächsten Patch-Day von Microsoft. Im Monat November 2005 will Microsoft ein Security Bulletin veröffentlichen, das mindestens ein Sicherheitsleck in Windows behebt, das als kritisch eingestuft wird. Weitere Informationen dazu werden erst am 8. November 2005 folgen, wenn das Security Bulletin veröffentlicht wird.

Schutzlösung für mobile Geräte. Trend Micro hat seine "Mobile Security 2.0" veröffentlicht. Die Sicherheitslösung ist für die Geräte mit Symbians Series 60 gedacht, von denen es mittlerweile mehr als 25 Millionen Geräte gibt.

Update vom DRM-Entwickler First 4 Internet macht Software zudem sichtbar. Sony BMG ist durch den Einsatz eines sich vom Nutzer unbemerkt tief ins Windows-System grabenden Musik-CD-Kopierschutzsystem in die Kritik geraten. Nachdem Winternals-Chef Mark Russinovich und etwas später auch F-Secure auf die fragwürdige Software hinwiesen, reagierten das Musik-Label und auch der Entwickler des "XCP1 Burn Protect" getauften DRM-Systems halbherzig.

Microsoft wandelt auf Googles Spuren. Nach "Xbox live" will Microsoft mit "Windows Live" und "Office Live" nun auch seine beiden wichtigsten Produkte ins Internet bringen. Die neuen Dienste wurden von Microsoft-Chairman Bill Gates und Lotus-Notes-Erfinder Ray Ozzie vorgestellt, der heute Chef-Techniker von Microsoft ist. Beta-Versionen von einigen der neuen Dienste stehen ab sofort zur Verfügung, wobei Microsoft Googles Geschäftsmodell nachahmt.

Anschluss externer Laufwerke per USB und eSATA. QNAP bringt mit der "Turbo Station TS-101" eine Netzwerk-Festplatte auf den Markt, die mit interessanten Zusatzfunktionen aufwartet. Das lüfterlose Gerät ist zugleich als FTP- und Webserver nutzbar und unterstützt auch Bittorrent.

Aktuelle Version von MacOS X enthält alle bisherigen Sicherheits-Patches. Mit der Version 10.4.3 für MacOS X wird auch der Web-Browser Safari aktualisiert, der nun ohne Hilfsmittel den Acid2-Test besteht. Außerdem wurden mehrere kleine Programmfehler in verschiedenen Applikationen behoben, so dass Rechner mit MacOS X 10.4.3 insgesamt stabiler zu Werke gehen sollten. Die jeweiligen Updates stehen für die Desktop- und Server-Ausführungen von MacOS X 10.4.x bereit.

Fehler gefährdet zahlreiche PHP-Applikationen. PHP-Entwickler Stefan Esser hat bei den Arbeiten an seinem "Hardening-Patch" für PHP einige Sicherheitslücken in der freien Scriptsprache entdeckt. Darunter auch ein Problem beim Upload von Dateien, das Esser als kritisch einstuft.

Verschlüsselungs-Software für Geldautomaten geplant. IBM hat die Verfügbarkeit der Verschlüsselungs-Software 'Encryption Facility for z/OS' Version 1.1 angekündigt. Damit sollen Datensicherungsmaßnahmen auf Bänder sicherer gemacht werden.