Datensicherheit

Aktuelle Firmware unterstützt auch neue Highspeed-DVD-Rohlinge. Wie Pioneer bekannt gab, enthält die Firmware von DVD-Brennern und einem DVD-Recorder Fehler, weswegen sich die erst kürzlich vom DVD-Forum verabschiedeten Highspeed-DVD-Rohlinge nicht mit den Geräten vertragen. Aktualisierte Firmware-Versionen sollen die Probleme aber ausbügeln.

Slapper-Wurm sucht nach veralteten OpenSSL-Versionen. Wie zahlreiche Anbieter von Antiviren-Software berichten, verbreitet sich ein Wurm über Apache-Web-Server mit aktiviertem SSL. Der jüngst entdeckte Apache-Wurm Slapper nutzt eine Sicherheitslücke in OpenSSL, um ein Shell-Skript auf Linux-Systemen mit installiertem Apache zu starten und sich stetig weiter zu verbreiten. Außerdem ist eine Distributed-Denial-of-Service-Attacke denkbar.

MacOS-Software wartet weiter auf Fehlerbereinigung. Das Security Bulletin zur SSL-Sicherheitslücke von Anfang September wurde überarbeitet und bietet nun auch einen Patch für das deutschsprachige Windows 2000 an. Für die ebenfalls betroffene MacOS-Software stehen weiterhin keine Patches bereit.

Angreifer können Dateien auslesen und beliebigen Programmcode ausführen. Der Internet Explorer ab der Version 5.5 besitzt ein Sicherheitsleck bei der Anzeige von frame- und iframe-Elementen, so dass Angreifer diese dazu missbrauchen können, beliebigen Programmcode auszuführen, Webseiten zu verändern oder Dateien auszulesen. Einen Patch bietet Microsoft bislang nicht an.

Gesamt-Download liegt zwischen 11 und 75 MByte. Das aktuelle Service Pack (SP) 1 für den Internet Explorer 6.0 enthält zahlreiche Bugfixes und soll alle bislang bekannten Sicherheitslöcher in dem Browser stopfen. Weitere Details zum ersten Service Pack für den Internet Explorer 6.0 wurden nicht genannt.

Erstes Service Pack für Windows XP soll zahlreiche Sicherheitslöcher stopfen. Das für den heutigen 9. September angekündigte Service Pack (SP) 1 für Windows XP steht ab sofort zum Download bereit. Das Service Pack 1 ist neben der englischsprachigen Fassung sogar schon in deutscher Sprache verfügbar.

S3-Services: Kontinuierliche Überprüfung von Unternehmensnetzwerken. Der IT-Sicherheitsanbieter Integralis testet in Zukunft auch Funknetzwerke auf Sicherheitslücken. Mit dem neuen WLAN-Service erweitert Integralis seine S3-Services, ein Sicherheitspaket zur kontinuierlichen Überprüfung von Unternehmensnetzwerken, u.a. mit Hilfe des Einsatzes von simulierten Hackerangriffen.

Auch MacOS von dem Problem betroffen - noch keine Patches verfügbar. Wie Microsoft in einem aktuellen Security Bulletin eingesteht, steckt der Fehler beim Prüfen von SSL-Zertifikaten nicht nur im Windows-System, sondern auch zahlreiche MacOS-Software aus Redmond besitzt diese Fehler. Immerhin bietet Microsoft nun Patches für die meisten Windows-Versionen an, um das Sicherheitsleck zu schließen.

Israelische Softwarefirma baut dynamischen Domain Name Service. Das israelische Softwareunternehmen LEAD IP Systems hat eine VPN-Implementation angekündigt, die IPSec-Sicherheit nicht nur mit statischen, sondern auch mit dynamischen IP-Adressen realisieren soll.

Hersteller strebt Erkennungsgenauigkeit von über 99,5 Prozent an. Fujitsus Entwicklungslabor hat die Entwicklung einer angeblich hochpräzisen biometrischen Erkennungstechnik angekündigt, welche Personen an den Mustern ihrer Venen auf der Handinnenfläche identifizieren soll. Laut Hersteller soll die Technik so genau sein, dass in einem Test mit 700 Personen alle korrekt erkannt worden sein sollen.

Service Pack 1 soll Raubkopien erkennen und eine Installation verhindern. Wie Microsoft verkündete, will der Software-Gigant das Service Pack (SP) 1 für Windows XP am kommenden Montag, den 9. September 2002, zum Download anbieten. Die Sammlung mit Bugfixes und Patches soll eine erhöhte Sicherheit bescheren, eine bessere Kompatibilität bringen und das System insgesamt stabiler machen.

Fehlerhaftes ActiveX-Control erlaubt Löschung von Windows-Zertifikaten. In einem aktuellen Security Bulletin berichtet Microsoft über eine Sicherheitslücke in einem ActiveX-Control, das es Angreifern ermöglicht, verschiedene Windows-Zertifikate zu löschen oder das Anlegen neuer Zertifikate zu verhindern. Microsoft bietet einen Patch für alle neueren Windows-Systeme zum Download an.

Verbreitung über das Outlook-Adressbuch und die Kontakte im MSN-Messenger. Nach langer Zeit treibt eine weitere Variante des MyLife-Wurms ihr Unwesen: Der Wurm W32.Mylife.M@mm löscht und überschreibt nach der Aktivierung zahlreiche Daten auf den angeschlossenen Laufwerken und vermehrt sich via E-Mail, indem er sich an alle Adressen versendet, die er im Outlook-Adressbuch und den Kontakten im MSN Messenger findet.

Leck betrifft Windows NT 4.0, Windows 2000 und Windows XP. In den Desktop- und Server-Versionen von Windows NT 4.0, 2000 sowie XP steckt ein Sicherheitsloch, worüber Angreifer eine Denial-of-Service-(DoS-)Attacke ausführen und das System in die Knie zwingen können. Mit bereitgestellten Patches soll sich das Leck beheben lassen.

Aktueller Patch bereinigt alte und sechs neue Sicherheitslücken. Microsoft stellt einen neuen Sammel-Patch für die Windows-Version des Internet Explorer ab Version 5.01 zum Download zur Verfügung, der alle bislang einzeln erhältlichen Sicherheits-Updates enthält, aber auch sechs neu entdeckte Sicherheitslöcher stopfen soll. Dazu zählt auch ein Sicherheitsleck im Gopher-Protokoll, welches Microsoft bereits seit über drei Monaten bekannt ist.

Sicherheitskultur für eine globale Informationsgesellschaft. Die Regierungen der OECD (Organisation für wirtschaftliche Zusammenarbeit und Entwicklung) haben im Fokus der Ereignisse des 11. September 2001 in den USA neue Leitlinien entworfen, um mit Bedrohungen wie Cyber-Terrorismus, Computerviren sowie Computerhacking fertig zu werden.

Fehlerhafte Programmkomponente Bestandteil verschiedener Software-Produkte. Wie Microsoft in einem aktuellen Security Bulletin berichtet, enthalten die Programmkomponenten Office Web Components 2000 und 2002 drei kritische Sicherheitslöcher. Diese Komponenten sind Bestandteil zahlreicher Microsoft-Produkte, darunter auch Office XP, wofür erst gestern das Service Pack 2 erschienen ist, das den aktuellen Patch bereits enthalten soll.

Update aktualisiert OpenSSL und Security. Apple bietet innerhalb kurzer Zeit ein weiteres Sicherheits-Update für MacOS X an, das neue Versionen von OpenSSL und Security enthält, die nun einen Angriff von außen abwehren sollen. Der Patch eignet sich für zahlreiche Sprachen von MacOS X 10.1.5.

Umstellung auf längere Schlüssel als erster Ausweg. Sowohl durch Verwendung längerer Schlüssel als auch durch Entwicklung neuer Verschlüsselungsverfahren soll die Vertraulichkeit des Datenaustauschs über das Internet auch weiterhin gewährleistet bleiben. Mit diesem Hinweis hat der Trierer Informatik-Professor Christoph Meinel auf einen Bericht in der Frankfurter Allgemeinen Sonntagszeitung reagiert. Danach soll angeblich ein "Chaos" ausbrechen, falls es dem US-Mathematiker Daniel J. Bernstein gelingt, mit seiner geplanten neuen Rechenmaschine das Verschlüsselungssystem RSA zu knacken.

Metacrawler.de-Anonymisier-Service bereits abgemahnt. Eine Patentanmeldung (Nummer DE10053802A1) bedroht den Betrieb von Anonymisier-Proxys. Gegenstand des Patentes ist laut Anmelder u.a. "ein Verfahren zum Schutz der Privatsphäre sowie verschiedene Verfahren zur Erhöhung des Komforts der Suche im Internet." Es wurden bereits Abmahnungen mit Lizenzgebührforderung an Anbieter von Diensten für anonymes Surfen verschickt, z.B. an Metacrawler.de.

Deutsches SP2 soll Sicherheit und Stabilität des Office-Pakets erhöhen. In den USA stellte Microsoft gestern das Service Pack 2 für Office XP offiziell zum Download bereit, nachdem ein Download-Link seit einigen Tagen durchs Netz geisterte und kürzlich wieder deaktiviert wurde. Neben der englischsprachigen Version steht nun auch offiziell eine deutsche Fassung zum Download bereit.

Angreifer können beliebige Dateien über die Windows-Hilfe löschen. In Windows XP ersetzte Microsoft die bisherige Hilfefunktion des Betriebssystems durch ein so genanntes Hilfe- und Supportcenter. Wie die Mailingliste Bugtraq mitteilt, besitzt dies eine Sicherheitslücke, die es Angreifern erlaubt, beliebige Dateien auf einem fremden System zu löschen, sofern Name und Position der Datei bekannt sind.

Neues PGP 8.0 für Ende des Jahres angekündigt. Im Oktober 2001 verkündete Network Associates (NAI), dass man sich von dem Produkt PGP trennen will. Nach einer bislang erfolglosen Suche nach einem passenden Käufer, gehen die Rechte nun an die ausgegliederte PGP Corporation zurück. 1991 hob die PGP Corporation als PGP Inc. das Verschlüsselungsprogramm Pretty Good Privacy (PGP) 1991 aus der Taufe und wurde 1997 von NAI gekauft. Mit im Boot der PGP Corporation sitzt auch wieder Phil Zimmermann, der Erfinder von PGP. Zugleich wurde die neue Version 8.0 von PGP für November 2002 angekündigt.

Microsoft arbeitet an Bugfixes; keine Terminangabe genannt. Wie das US-Computermagazin Computerworld berichtet, befindet sich das vergangene Woche entdeckte SSL-Sicherheitsloch gar nicht im Internet Explorer, sondern steckt im Windows Quellcode. Darin könnte der Grund liegen, dass sich Microsoft kurze Zeit nach Bekanntwerden des Sicherheitslochs bemühte, das Risiko klein zu reden.

Update beseitigt SSL-Sicherheitslücke. Das KDE Projekt bietet jetzt ein drittes Update der dritten Generation seines freien Unix-Desktops zum Download an. KDE 3.0.3 bietet dabei vor allem eine verbesserte Stabilität gegenüber KDE 3.0.2, das im Juli veröffentlicht wurde.

Gesetze zum "Digital Rights Management" als Gefahr für Wissenschaft und Technik? Die Internet Society (ISOC) hat sich in einer öffentlichen Mitteilung vehement gegen technikreglementierende Gesetze ausgesprochen, die lediglich die wirtschaftlichen Interessen bestimmter Inhaber von geistigem Eigentum auf Kosten größerer Teile der Gesellschaft schützen. Die weltweiten Diskussionen um so genannte "Digital Rights Management"-(DRM-)Systeme illustrieren das Ergebnis von gesetzlichen Technikreglementierungen: Eine Welt, in der jede digitale Medien-Technik entweder verboten oder gesetzlich vorgeschrieben ist. Der Effekt dieser Gesetze sei es, speziellen und insbesondere innovationsfeindlichen Interessensgruppen Veto-Macht über neue Technologien zu gewähren.

Sicherheitsloch im Network Connection Manager (NCM). Microsoft berichtet in einem aktuellen Security Bulletin über ein kritisches Sicherheitsloch in Windows 2000. Demzufolge steckt ein Fehler im Network Connection Manager (NCM) von Windows 2000, worüber ein Angreifer Zugang zum System erlangen und Code mit vollen Systemrechten ausführen kann. Ein bereitgestellter Patch soll das Problem beheben.

Patch behebt neu entdecktes Sicherheitsloch. Microsoft stellt einen Sammel-Patch für den SQL-Server der Versionen 7.0 sowie 2000 bereit, der alle bislang entdeckten Bugs beseitigen und eine neue Sicherheitslücke schließen soll. Durch die neue Lücke lassen sich so genannte "extended stored procedures" von jedem Nutzer mit Administratorrechten ausführen. Microsoft stuft das Risiko als moderat ein.

Microsoft argumentiert mit vorgezogenen Argumenten, statt einen Patch anzubieten. Vor wenigen Tagen wurde bekannt, dass sowohl der Internet Explorer als auch der Open-Source-Browser Konqueror eine Sicherheitslücke beim Aufruf von SSL-Webseiten aufweisen. Beide Browser prüfen SSL-Zertifikate nur unzureichend. Während für Konqueror sofort ein Patch zum Schließen der Sicherheitslücke erschien, will Microsoft das Problem ein paar Tage später klein reden.

Alte Version erlaubt Ausführung beliebiger Programme. Macromedia musste seinen Flash Player 6 für Windows aktualisieren, um zwei Sicherheitslöcher zu stopfen, wovon eines als kritisch zu betrachten ist. Denn damit kann ein Angreifer beliebige Programme auf dem betroffenen System ausführen.

Browser prüfen SSL-Zertifikate nur unzureichend. Sowohl der Internet Explorer als auch der Linux-Browser Konqueror weisen eine Sicherheitslücke beim Aufruf von SSL-Seiten auf, wie Beiträge auf der Bugtraq-Mailingliste berichten. Angreifer können einem Surfer so die sichere Verbindung zu einer bestimmten Webseite vorgaukeln, die aber so nicht existiert.

Studie zum Weltmarkt für chipbasierte Fingerabdrucksysteme. Nach einer Studie kommen im Segment Fingerabdruckerkennung derzeit verstärkt chipbasierte Systeme auf den Markt und treten in Wettbewerb mit den bisher eingesetzten optischen Sensoren. Vor allem tragbare Geräte wie Mobiltelefone und Laptops sollen mit den Fingerabdruckchips ausgerüstet werden. Entsprechend positiv bewertet die Unternehmensberatung Frost & Sullivan das Marktgeschehen. Wurden im Jahr 2001 weltweit gerade einmal 5,1 Millionen US-Dollar Umsatz erzielt, so können die Anbieter im Jahr 2006 mit mehr als 424 Millionen US-Dollar rechnen.

Guck mal wer da spricht: Videotelefonie im Netz. Videotelefonie übers Internet ist nicht nur preiswert, sondern hat mit aktueller PC-Software auch einen brauchbaren Qualitätsstandard erreicht. Außerdem macht es einfach Spaß, seinen Gesprächspartner zu sehen, berichtet das Computermagazin c't in der aktuellen Ausgabe 17/02.

Aufpreispflichtige Features gegen Dialerbetrug. Die Deutsche Telekom stellt ihren Kunden mit analogem Netz oder mit T-ISDN-Mehrgeräteanschluss ab sofort ein Sicherheitspaket zum Monatspreis von 1,99 Euro zur Verfügung. Die individuelle Einstellung der Sperrmoglichkeiten kann der Kunde selbst von seinem Telefon PIN-geschützt vornehmen. So sind zum Beispiel ohne Wissen des Anschlussinhabers keine Telefonate mehr möglich oder bestimmte Verbindungen ausgeschlossen. Mit dem Sicherheitspaket soll man sich durch diverse Filterfunktionen auch gegen Dialer-Programme schützen können.

Europaweiter Wettbewerbsnachteil abgewendet? Der Deutsche Multimedia Verband (dmmv) e.V. begrüßt den Beschluss des Europäischen Rates zu Gunsten eines Opt-Out-Prinzips beim Setzen von Cookies. Der in der Branche befürchtete Wettbewerbsnachteil sei somit ausgeblieben, kommentierte der dmmv das Ergebnis.

Beliebige Applikationen können mit höheren Nutzerrechten ausgeführt werden. Der freiberufliche Sicherheitsberater Chris Paget erläutert in einem umfangreichen Schriftstück, dass das Messaging-System in den Windows-APIs Angreifern erlaubt, die eigenen Rechte zu erweitern und so Zugriff auf Systembereiche zu erlangen, die für normale Anwender tabu sind. Microsoft stuft dies jedoch nicht als Sicherheitslücke ein, weil man dazu direkten Zugriff zu einem entsprechenden PC besitzen muss.

Sicherheitsbedürfnis stärker als Bedenken von Datenschützern. Die Sicherung von Gebäuden und öffentlichen Plätzen soll zukünftig eine immer größere Rolle spielen, und so wird auch der Markt für CCTV-Systeme (closed circuit television systems) wachsen. Einer Studie von Frost und Sullivan zufolge soll der Weltmarkt jährliche Wachstumsraten von 12,7 Prozent ausweisen.

Patch aktualisiert Apache, OpenSSH und OpenSSL. Nachdem Apple bereits Anfang Juli ein Sicherheits-Update für MacOS X 10.1.5 angeboten hat, folgt nun ein weiterer Patch, der zum Großteil die gleichen Applikationen adressiert.

Wurm W32.Chir.B@mm nutzt altes Sicherheitsleck bei der Anzeige von E-Mails. In einem aktuellen Security Alert warnt Microsoft erstmals vor einem E-Mail-Wurm, der erneut eine lange bekannte Sicherheitslücke im Internet Explorer ausnutzt. Microsoft bietet schon lange einen Patch an, aber immer wieder tauchen neue E-Mail-Würmer auf, die diese Lücke ausnutzen und darauf setzen, dass viele Anwender solche Patches nicht einspielen.

Das Service Pack (SP) 3 umfasst auch alle vorherigen Service Packs. Seit zwei Tagen geistern Download-Adressen vom Service Pack (SP) 3 für Windows 2000 durch das Internet. Nun hat Microsoft das Patch-Paket offiziell zum Download bereitgestellt. Der Patch soll zahlreiche Sicherheitslücken und Fehler beheben, bietet aber auch einige "Neuerungen", wie etwa ein automatisiertes Update. Das SP3 kann auf jedes beliebige System mit Windows 2000 aufgespielt werden.

Abmahnung wegen E-Mail-Spam-Möglichkeit durch Absenderfälschung. Über die Domain von Joschka Fischer "joschka.de" wird für den Spitzenkandidaten der Grünen geworben. Man hat hier unter anderem die Möglichkeit, eine elektronische Postkarte in Form einer E-Mail an Freunde und Bekannte zu versenden. Die Aktion wurde nun durch den Rechtsanwalt Günter Frhr. v. Gravenreuth mit einer einstweiligen Verfügung "bedacht".

Unverschlüsselter Zugang ab 14. August nur noch optional möglich. Web.de will die Sicherheit seines FreeMail-Dienstes künftig erhöhen, indem man den sicheren Zugang mit SSL (Secure Socket Layer) zum Standard macht. Heute steht der verschlüsselte Zugang nur optional zur Verfügung.

Neue Version 0.9.6e soll Probleme beheben. In einem Security Bulletin warnen die Entwickler der freien SSL-Implementierung OpenSSL gleich vor vier Sicherheitslücken in OpenSSL, die sich aus der Ferne ausnutzen lassen. Betroffen sind alle OpenSSL-Versionen bis 0.9.6d bzw. 0.9.7-beta2.