IT-Sicherheit

ActiveX-Control erlaubt Angreifern, Systeme zu übernehmen. Microsoft warnt vor einer kritischen Sicherheitslücke im eigenen Video-ActiveX-Control. Angreifer können damit die Kontrolle von Windows-Systemen übernehmen, ohne dass Nutzer des Internet Explorer dazu aktiv etwas beitragen müssen. Die Sicherheitslücke wird bereits aktiv ausgenutzt.

Betaversionen von Norton Internet Security 2010 und Norton AntiVirus 2010. Nicht nur Signaturdateien und heuristische Verfahren sollen vor Viren und anderen Schädlingen schützen, sondern auch die Reputation, die Programme bei ihren Nutzern genießt. Dieses Modell setzt Symantec bei den neuen Versionen von Norton Internet Security (NIS) und AntiVirus ein. Deren Betaversionen sind ab sofort erhältlich.

Bundesdatenschutzgesetz wird morgen beschlossen. Die zweite Novellierung des Bundesdatenschutzgesetzes wird am 3. Juli 2009 im Bundestag verabschiedet. Der entschärfte Entwurf ist eine Reaktion auf eine Serie von Datenschutzskandalen, doch Daten- und Verbraucherschützer sowie Werbewirtschaft und Zeitschriftenverleger lehnen die Vorlage ab. Aus unterschiedlichen Gründen.

Besser als Brute-Force, aber keine reale Gefahr für AES. Forscher der Universität Luxemburg haben eine neue Angriffsmethode auf AES vorgestellt. Damit lässt sich das bisher als sicher geltende AES schneller knacken als mit einem Brute-Force-Angriff.

Hersteller verstoßen nicht gegen Kommunikationsgesetz. Ein Bundesberufungsgericht in den USA hat entschieden, dass die Hersteller von Antivirensoftware nicht gegen den Communications Decency Act (CDA) verstoßen, wenn ihre Programme Adware und andere Schadsoftware von Websites blockieren. Das geht aus einem vergangene Woche veröffentlichten Urteil hervor.

Strategie für Sicherung des Cyberspace vorgestellt. Um der Bedrohung durch Geheimdienste, Kriminelle und Terroristen im Internet zu begegnen, hat die britische Regierung eine Cybersicherheitsstrategie vorgestellt. Sie sieht unter anderem den Aufbau einer Truppe aus Hackern vor, die ihre Kenntnisse in den Dienst der Regierung stellen sollen.

Linux-Live-CD gegen Bespitzelungssoftware. Das Team hinter der Linux-Live-CD Ubuntu Privacy Remix hat auf dem LinuxTag in Berlin die neue stabile Version 9.04 "Jailed Jackalope" vorgestellt. Das System basiert auf Ubuntu und ist auf den Schutz vertraulicher Daten ausgelegt.

US-Verteidigungsminister beruft NSA-Chef Keith Alexander zum Cybercom-Chef. Die US-Regierung hat eine neue Kommandostelle eingerichtet, deren Aufgabe es ist, die US-Militärnetze gegen Angriffe über das Internet zu schützen. US-Verteidigungsminister Robert Gates hat Keith Alexander, Chef des Geheimdienstes NSA, zum Chef des neuen Cybercom berufen.

iPhoneOS 3.0 beseitigt 46 Sicherheitslücken. Mit dem iPhoneOS 3.0 bringt Apple nicht nur neue Funktionen, sondern beseitigt auch 46 Sicherheitslöcher. Während iPhone-Besitzer kostenlos auf die neue Version wechseln können, müssen iPod-Touch-Besitzer bezahlen, um die Sicherheitslücken im Gerät zu schließen.

Steuerungssysteme werden überprüft. Das US-Energieaufsicht North American Electric Reliability Corporation geht gegen Cyberspione vor. Nachdem im Frühjahr Spionagesoftware in den Systemen einiger Energieversorger entdeckt worden war, sollen die Systeme nun systematisch auf Lücken und Infiltrationen überprüft werden.

1.000 malwareinfizierte PCs für 5 bis 500 US-Dollar. Wie gehackte PCs gehandelt werden, berichtet Finjan in seinem Cybercrime Intelligence Report. Mit Malware infizierte Rechner werden wie Waren gehandelt und damit zu einem digitalen Anlagegegenstand von Cyberkriminellen.

Prüfungen bei Google laufen noch, den Anfang soll Google Mail machen. Als Reaktion auf einen sechsseitigen Brief von zahlreichen Wissenschaftlern und Sicherheitsexperten will Google prüfen, ob alle Google-Dienste bald standardmäßig per SSL verschlüsselt werden. SSL-Verschlüsselung steht zwar für alle Dienste bereit, muss bisher aber vom Anwender manuell aktiviert werden.

Menschen sollen ihre Häuser vorab gegen Veröffentlichung sperren können. Google hat sich nach eigenen Angaben mit den deutschen Datenschutzbehörden im Streit um Street View geeinigt, so dass einem Start des Dienstes in Deutschland nichts mehr im Wege steht.

Bleibt es beim Kompromiss in der großen Koalition? Die SPD droht mit dem Ende der Verhandlungen über eine Novelle des Datenschutzgesetzes. Sie will das Gesetz eher scheitern lassen als dem Kompromiss der Union zustimmen.

Aviv Raff will im Juli 2009 täglich eine Sicherheitslücke veröffentlichen. Der Juli 2009 soll zum Monat der Twitter-Bugs werden. Die Aktion hat der Sicherheitsexperte Aviv Raff angekündigt, um auf Sicherheitslücken in Web-2.0-APIs hinzuweisen.

Update von Java für MacOS X nach rund sechs Monaten. Mit einem Update für Java schließt Apple ein kritische Sicherheitsloch in der der Java Virtual Machine von MacOS X. Angreifer können damit ein fremdes System unter ihre Kontrolle bringen.

Anonymisierungsdienst soll Nutzer vor Identifizierung schützen. Die geschlossene Betatestphase von IPREDator läuft, wenn auch mit einiger Verspätung. Eigentlich sollte das zur Anonymisierung gedachte virtuelle private Netz (VPN) der Pirate-Bay-Gründer bereits im April 2009 starten.

Neun Sicherheitslücken werden durch das Update geschlossen. Firefox 3.0.11 steht ab sofort als Download bereit und beseitigt neun Sicherheitslöcher. Damit soll die Zuverlässigkeit von Firefox erhöht werden. Ferner wurden einige schwere Programmfehler beseitigt, die auch zu Datenverlust führen können.

Kein Patch für Sicherheitsloch in DirectShow veröffentlicht. Mit zehn Patches beseitigt Microsoft insgesamt 31 Sicherheitslücken in Windows, im Internet Explorer und dem Office-Paket des Herstellers. Ein Großteil der Fehler wird als gefährlich eingestuft. Für das bekannte Sicherheitsloch in DirectShow gibt es wie angekündigt noch keinen Patch.

Black-Hat-Gründer und Defcon-Veranstalter Jeff Moss berät die Homeland Security. Das US-Heimatschutzministerium hat 16 Menschen als Beirat eingeschworen. Im Homeland Security Advisory Council (HSAC) ist auch der Hacker Jeff "Dark Tangent" Moss vertreten.

Terms-of-Service-Tracker der EFF gestartet. Die US-Bürgerrechtsorganisation EFF zeigt künftig auf TOSBack.org Veränderungen der Nutzungsbedingungen großer Onlinedienste wie eBay, Facebook und Google an. Die Nutzer vertrauen diesen Diensten private Daten an und sollen mit TOSBack einen Überblick über teils problematische Änderungen der Datenschutzbestimmungen erhalten.

Sechs Windows-Patches, drei Office-Patches und ein Patch für Internet Explorer. Am bevorstehenden Patchday am 9. Juni 2009 veröffentlicht Microsoft insgesamt zehn Sicherheitspatches für Windows, den Internet Explorer und Microsofts Office-Software. Sechs der zehn Patches schließen Sicherheitslöcher, über die sich beliebiger Programmcode ausführen lässt. Das Sicherheitsloch in DirectShow bleibt weiter offen.

"Land wird mit illegaler Kameraüberwachung überzogen". Google hält nach Aussage von Datenschützern seine in Deutschland gemachten datenschutzrechtlichen Zusagen zu Google Street View nicht ein. Das Land werde mit illegaler Kameraüberwachung überzogen, bemängelt Schleswig-Holsteins Landesdatenschützer Thilo Weichert.

Zehn Sicherheitslücken in Windows-Version. Apple hat Quicktime 7.6.2 veröffentlicht, um eine Reihe gefährlicher Sicherheitslücken zu beseitigen. Angreifer können darüber beliebigen Programmcode ausführen und so im schlimmsten Fall vollen Zugriff auf ein fremdes System erlangen.

Gefährliches Sicherheitsleck in iTunes beseitigt. Apple hat die Version 8.2 von iTunes veröffentlicht und bereitet sich damit auf das Erscheinen der neuen iPhone-Firmware vor. Das iPhone OS 3.0 wird noch im Juni 2009 erwartet, auch wenn von Apple bisher kein genaues Verfügbarkeitsdatum genannt wurde.

Konzern schert aus Konsortium mit Telekom und United Internet aus. Die Deutsche Post hat sich mit der Telekom und United Internet zerstritten und legt nun eine eigene Version für De-Mail vor, die rechtsverbindliche E-Mails, einen Identifizierungsdienst und eine gesicherte Onlinedokumentenablage ermöglichen soll.

Videocodec wurde überarbeitet. Die neue Xvid-Version 1.2.2 beseitigt Sicherheitslücken. Entsprechend wichtig stuft das Entwicklerteam das Update von älteren Versionen des freien MPEG-4-Codecs ein.

Angreifer können System mit präparierten QuickTime-Dateien übernehmen. Microsoft warnt vor einer kritischen Sicherheitslücke in DirectShow, die es Angreifern erlaubt, mit einer speziell präparierten QuickTime-Datei die Kontrolle über das System zu übernehmen. Laut Microsoft sind bereits erste Angriffe zu beobachten.

Kritiker sprechen von Netzzensur. Kaum ist das französische Gesetz gegen Filesharer, La Loi Hadopi, verabschiedet, will die Regierung eine Art Bundestrojaner einführen. Das neue Gesetz trägt die Abkürzung Loppsi und soll auch gegen Kinderpornografie wirken.

Die Geräusche von Nadeldruckern verraten, was das Gerät gerade druckt. Saarbrücker Informatiker haben herausgefunden, dass sich Nadeldrucker zur Spionage einsetzen lassen. Sie ließen die Geräte ein Wörterbuch drucken und bauten eine Datenbank aus Druckerklängen auf. So gelang es ihnen, aus den Druckgeräuschen herauszulesen, was das Gerät gerade zu Papier bringt.

"Koalition hat sich dem Druck der Wirtschaft gebeugt". Der Bundesdatenschutzbeauftragte gibt dem umstrittenen Datenschutzgesetz noch eine Chance. "Aus meiner Sicht ist das noch offen", sagte Peter Schaar. Der Verbraucherzentrale Bundesverband erklärt dagegen: Die Koalition habe sich dem Druck der Wirtschaft gebeugt, die Verbraucher stünden im Regen.

Handy konnte bisher nur einmal für einen Angriff missbraucht werden. Vor einem Monat machte ein Bericht eines Sicherheitsunternehmens die Runde, wonach Kriminelle bis zu 25.000 Euro für ein bestimmtes Nokia-Handy zahlen. Der Grund: Sie wollen das Mobiltelefon manipulieren, um an Bankkontodaten zu gelangen. Bisher gab es keine direkte Bestätigung dafür. Nun liegt sie vor.

Unbefugte erhielten Zugriff auf Redaktionssystem einer Lufthansa-Seite. Auf einer Microsite der Lufthansa gab es ein Sicherheitsloch, über das Unbefugte an persönliche Daten gelangen konnten. Mittlerweile ist der Fehler korrigiert. Der Fall zeigt, wie wenig Wert Unternehmen auf die Absicherung von Daten legen, die von Kunden bereitgestellt wurden.

Keine Informationen zu Art und Anzahl der Fehlerkorrekturen. Sowohl für das G1 von T-Mobile als auch für das Magic von Vodafone wird seit Ende vergangener Woche ein Sicherheitspatch verteilt. Weder T-Mobile noch Vodafone waren in der Lage, nähere Details zu den damit korrigierten Programmfehlern zu nennen. Auch die Anzahl der Sicherheitslücken ist nicht bekannt.

Beta 2 der Live-CD vorgestellt. Die Macher der Linux-Live-CD "Ubuntu Privacy Remix" sind angetreten, um Menschen weltweit vor staatlicher Überwachung durch Malware zu schützen. Auf dem Chaos-Computer-Club-Kongress SIGINT in Köln stellte das Projektteam die abgeschottete Arbeitsumgebung vor.

Einmal pro Quartal erscheinen Patches für PDF-Produkte. Nach dem Vorbild von Microsoft will auch Adobe künftig einen festen Patchday anbieten. Im Unterschied zu Microsofts Ansatz wird es den Patchday bei Adobe allerdings nur einmal im Quartal geben.

Beispielcode demonstriert die Angriffsmöglichkeit per Java Applet. Seit mittlerweile fünf Monaten weist MacOS X ein gefährliches Sicherheitsloch in der Java Virtual Machine auf. Angreifer können damit ein fremdes System unter ihre Kontrolle bringen. Ein Sicherheitsspezialist hat Beispielcode veröffentlicht, der die Arbeitsweise der Sicherheitslücke zeigt.

Geheimdienste sollen in zunehmende Hackversuche verwickelt sein. Der deutsche Inlandsgeheimdienst beklagt mehr Cyberangriffe auf Behörden und Unternehmen in Deutschland. Verantwortlich seien konkurrierende Spione aus Russland und China.

Johannes Caspar will schriftliche Garantien in Sachen Google Street View. Der Hamburger Datenschutzbeauftragte hat Google in Sachen Street View ein Ultimatum gesetzt. Google soll die Einhaltung des Datenschutzes dabei schriftlich garantieren.

Entwickler haben Unternehmen gegründet. Das Unternehmen Ksplice hat den Unternehmerwettbewerb des Massachusetts Institute of Technology (MIT) gewonnen. Der Preis ist mit 100.000 US-Dollar dotiert. Ksplice ging aus einem MIT-Projekt hervor. Mit der Software der Firma lassen sich Sicherheitsupdates für den Linux-Kernel ohne Neustart einspielen.

Patch für Safari 3.x und 4.x ist da. Apple hat für Safari 3.x und die Betaversion von Safari 4.x jeweils ein Update veröffentlicht, um drei gefährliche Sicherheitslecks im Browser zu beseitigen. Alle Sicherheitslücken können dazu missbraucht werden, schadhaften Programmcode auszuführen und Kontrolle über ein fremdes System zu erlangen. Die Fehler betreffen die Windows- und Mac-Version von Safari.

Einheitliches europaweites Hinweiszeichen vorgesehen. RFID-Chips in Produkten für Endverbraucher sollten automatisch beim Verlassen von Geschäften deaktiviert werden, wenn die Käufer es nicht anders verlangen. Das empfiehlt die EU-Kommission.

Mehr als 50 Sicherheitslöcher in Apples Betriebssystem werden geschlossen. Weit mehr als 50 Sicherheitslücken beseitigt Apple in MacOS X mit einem aktuellen Patch. Viele Komponenten des Betriebssystems weisen Fehler auf, die zur Ausführung von Schadcode missbraucht werden können. Auch in Apples Webbrowser mussten Fehler beseitigt werden.