IT-Sicherheit

GPU-Computing für mehr Sicherheit. Mit Nvidias Tesla S1070 will Kaspersky Labs künftig schneller Schadsoftware aufspüren. Kaspersky hofft, damit Endkunden auch schneller mit Softwareupdates für seine Sicherheitssoftware versorgen zu können.

Neue Pro-Version spielt h.264-Videos ab. Mit der neuen Version 5.57 des Mediaplayers Winamp werden mehrere Sicherheitslücken geschlossen. Die neue Version bringt auch eine bessere Integration für Windows 7 und kann h.264-Dateien abspielen.

Mehrere Fehler erlauben Angreifern, eigenen Code auszuführen. Mozilla schließt mit der Version 3.5.6 von Firefox drei kritische Sicherheitslücken. Zudem soll die Stabilität des Browsers mit dem Update verbessert und weitere sicherheitsrelevante Fehler beseitigt werden.

Offenes Sicherheitsloch wird aktiv ausgenutzt. Im Adobe Reader und in Acrobat ist ein Sicherheitsloch entdeckt worden, das bereits aktiv ausgenutzt wird. Welchen Schweregrad der Fehler hat, teilte Adobe nicht mit. Auch zu den Ursachen des Sicherheitslecks liegen keine Angaben vor. Der Hersteller arbeitet derzeit an einer Fehlerkorrektur.

Smart Grid hilft Strom sparen und integriert erneuerbare Energiequellen. Ab 1. Januar 2010 hat jeder Haushalt in Deutschland einen Anspruch auf monatliches Ablesen der Stromzähler - ein erster Schritt zum intelligenten Stromnetz, dem Smart Grid. Es soll Sparen ermöglichen, weil beispielsweise Haushaltsgeräte dann betrieben werden können, wenn Strom günstig ist. Doch das Smart Grid birgt auch Gefahren.

Fehler beim Rechtemanagement von Office-Dateien mit Patch korrigiert. Ein Fehler im Rights Management Service (RMS) von Office 2003 führt dazu, dass sich Office-Dokumente nicht mehr öffnen oder speichern lassen, wenn RMS verwendet wird. Der Fehler tritt seit dem 11. Dezember 2009 auf, seit dem 12. Dezember 2009 bietet Microsoft einen Patch an.

Neue Datenschutzeinstellungen bei Facebook: Zuckerbergs Privatfotos abrufbar. Um für die neuen offenen Voreinstellungen bei Facebook zu werben, hat Mark Zuckerberg sein eigenes Profil öffentlich zugänglich gemacht. Unter den freigegebenen Daten waren versehentlich auch Privatfotos. Sie sind inzwischen nicht mehr abrufbar.

Harsche Kritik an Facebooks neuen Datenschutzeinstellungen. Facebook hat seine Datenschutzeinstellungen überarbeitet und vereinfacht. Nutzer haben jetzt die Möglichkeit einzustellen, wer welche ihrer Daten sehen kann. Voreingestellt ist jedoch ein sehr niedriges Datenschutzniveau, zudem sind einige Einstellungen verschwunden. US-Datenschützer kritisieren die Anpassungen.

Patch erst im kommenden Jahr geplant. Im Illustrator CS3 und CS4 hat Adobe ein gefährliches Sicherheitsloch entdeckt, das im schlimmsten Fall zur Ausführung beliebigen Programmcodes missbraucht werden kann. Einen Patch zur Abhilfe will Adobe jedoch erst nächstes Jahr bereitstellen.

Nutzer erhalten Hilfe bei der Entfernung von Schadsoftware. Die Zahl der mit Malware infizierten Rechner (Bots) in Deutschland soll reduziert werden, haben sich das BSI und der Providerverband Eco auf die Fahnen geschrieben. Nutzer, deren Rechner als Bots identifiziert werden, sollen gezielt angegangen werden.

De Maizière will Vertrauen mit der Netzcommunity aufbauen. Der neue Bundesinnenminister versucht das Vertrauen der kritischen Internetnutzer zurückzugewinnen, das seine Vorgänger verloren haben. Der Staat wolle beschützen, nicht zensieren und kontrollieren, beteuert de Maizière.

Beratende Organisationen sollen für mehr Datenschutz und Sicherheit sorgen. Facebook hat die Gründung eines Beirats angekündigt, in dem fünf Internet-Sicherheitsorganisationen aus Nordamerika und Europa vertreten sind. Gemeinsam sollen nun die Sicherheitsbestimmungen für die Nutzer des sozialen Netzwerks überprüft und verbessert werden.

CCC: Totalversagen der Programmierer. Die Schülercommunity Häfft ist offline, nachdem der Chaos Computer Club (CCC) die Betreiber auf eine eklatante Sicherheitslücke hingewiesen hat: Private Daten von tausenden Kindern und Jugendlichen waren für jeden frei zugänglich.

Firewallschutz für MySQL und PostgreSQL mit grafischer Konsole. Die speziell für Datenbanken konzipierte GreenSQL Firewall ist in der Version 1.2.0 erschienen. In der neuen Ausgabe schützt GreenSQL neben MySQL auch PostgreSQL.

Sechs Bulletins zum Dezember-Patchday angekündigt. Microsoft hat zum Dezember-Patchday sechs Security-Bulletins angekündigt. Drei davon beziehen sich auf kritische Sicherheitslücken, darunter auch eine kritische Sicherheitslücke im Internet Explorer, die Ende November 2009 bekannt wurde.

Schwachstellenscanner mit neuer Benutzerschnittstelle. Der Netzwerk- und Schwachstellenscanner Nessus ist in der Version 4.2 mit neuer Benutzeroberfläche und verbessertem Berichtssystem erschienen.

EFF verlangt Aufklärung über die Aktivitäten von US-Behörden in sozialen Netzen. Die Electronic Frontier Foundation will von mehreren US-Behörden wissen, welche Daten sie im Zuge von Ermittlungen in Angeboten wie Facebook, Youtube oder Twitter sammeln und was sie damit anstellen. Da die Behörden schweigen, haben die Bürgerrechtler auf Aufklärung geklagt.

Einstellungen zur Privatsphäre werden neu strukturiert. Facebook baut sein Datenschutzmodell um. Die bisher genutzten regionalen Netzwerke werden abgeschafft. Nutzer bekommen eine bessere Kontrolle darüber, wer welche Inhalte sehen kann. Zugleich verkündet Facebook, mehr als 350 Millionen Nutzer zu haben.

Fehler im Run-Time Link Editor erlaubt Zugriff als Administrator. Ein Bug im Run-Time Link Editor in den Versionen 7.1, 7.2 und 8 der Distribution FreeBSD gewährt nicht privilegierten Benutzern administrative Zugriffsrechte auf das System.

Europäisches Parlament nimmt Stellung zu Stockholm-Programm. Die Abgeordneten des Europaparlaments haben Stellung zum Innen- und Justizprogramm der Europäischen Union genommen. Darin wenden sie sich unter anderem gegen einen weitreichenden Informationsaustausch und die Nutzung EU-weiter Datenbanken durch Strafverfolger.

EU-Abstimmung über Swift-Abkommen steht bevor. Dürfen die USA weiter auf Europas Bankdaten zugreifen? Innenminister de Maizière will sich beim Swift-Abkommen enthalten. Damit ignoriert er rechtsstaatliche Grundsätze.

Offene Sicherheitslücke wird derzeit nicht aktiv ausgenutzt. Nun warnt auch Microsoft offiziell vor einer am Wochenende bekanntgewordenen Sicherheitslücke im Internet Explorer, für die derzeit kein Patch bereitsteht. Laut Microsoft ist der IE in den Versionen 6 und 7 unter Windows 2000, XP und Vista sowie Windows Server 2003 und 2008 betroffen.

Beta bringt schnelleres Traceroute-System und rund 100 Neuerungen. Fyodor hat eine erste Betaversion des Netzwerkscanners Nmap 5.10 veröffentlicht. Die erste neue Version seit Veröffentlichung von Nmap 5.00 vor rund fünf Monaten wartet mit einer langen Liste an Neuerungen auf.

Exploit nutzt CSS-Daten und benötigt Javascript. Auf der Mailingliste Bugtraq ist am Wochenende ein neuer Exploit für Microsofts Internet Explorer 6 und 7 aufgetaucht. Er könnte genutzt werden, um Besuchern einer Website Schadcode unterzuschieben.

Fraunhofer-Forscher entwickeln Verfahren, um RFIDs in Metallteile zu integrieren. RFID-Chips ertragen Temperaturen nur bis etwa 100 Grad. Deshalb konnten sie bisher nicht in Bauteile aus Metall integriert werden. Fraunhofer-Forscher haben ein Rapid-Manufacturing-Verfahren entwickelt, mit dem Metallteile mit RFID-Chips ausgestattet werden können.

Virenscanner von Avira und Windows 7 beißen sich. Sobald Aviras Virenscanner "Antivir" aktiviert ist, fordert Windows 7 nach jedem Neustart eine Überprüfung der Datenträger - obwohl nichts kaputt ist. Das kuriose Verhalten ist reproduzierbar, Avira will das Problem lösen. Bis dahin gibt es einen Workaround.

Entwickler beseitigen rund 100 Bugs. Mit PHP 5.3.1 beseitigen die Entwickler der freien Skriptsprache zahlreiche Fehler. Auch einige Sicherheitslücken werden beseitigt, so dass allen Nutzern zum Update geraten wird.

Studie zum Datenschutz und Schutz der Privatsphäre in intelligenten Stromnetzen. Smartmeter, intelligente Zähler, sollen künftig den Stromverbrauch in sehr kurzen Zeitintervallen erfassen. Das soll helfen, Strom zu sparen. Doch über die hochaufgelöste Messung erhielten die Energieversorger auch einen tiefen Einblick in die Privatsphäre der Verbraucher, warnen Datenschützer aus Kanada und den USA.

Kunden bekamen bei Vertragsende Werbeanrufe von der Konkurrenz. In Großbritannien haben T-Mobile-Angestellte Vertragsdaten von Kunden gestohlen und an Zwischenhändler verkauft. Diese riefen die Kunden kurz vor Vertragsende an und versuchten, ihnen Verträge mit der Konkurrenz zu verkaufen. Christopher Graham, Großbritanniens oberster Datenschützer, fordert härtere Strafen für solches Vergehen.

Man-in-the-Middle-Attacke unter realen Umständen erfolgreich. Eine kürzlich entdeckte Sicherheitslücke im SSL/TLS-Protokoll ist unter realen Umständen erfolgreich ausgenutzt worden. Die Man-in-the-Middle-Attacke erfolgte über das HTTPS-Protokoll.

Hamburger Wahlstift bleibt gehackt. Der Chaos Computer Club darf weiterhin behaupten, der Wahlstift, der bei der Hamburger Bürgerschaftswahl 2008 eingesetzt werden sollte, sei gehackt worden, und die Sicherheitslücken veröffentlichen. Das Oberlandesgericht in Hamm hat eine Klage der Hersteller gegen die Hacker- und Datenschützerorganisation abgewiesen.

Verisign will schrittweise Einführung von DNSSEC. Verisign will bis zum ersten Quartal 2011 die Einführung von DNSSEC für die Top-Level-Domains .com und .net abschließen. Das System soll "Man in the Middle"- und Cache-Poisoning-Angriffe verhindern.

Auch Merkel setzt auf Krypto-Endgerät zur Kommunikation. Die Bundesregierung schafft eine neue Generation von Smartphones an, die durch starke Verschlüsselung vertrauliche Kommunikation gewährleisten soll. Beauftragt wurde die Telekom-Großkundensparte T-Systems.

Exploitcode existiert, Angriffe laut Microsoft aber noch nicht. In einem Security-Advisory beschreibt Microsoft eine bereits bekannte Sicherheitslücke im SMB-Protokoll, für die es bisher noch keinen Patch gibt. Ein Rechner lässt sich durch das Sicherheitsproblem immerhin nicht übernehmen.

Anzeige wegen falscher Verdächtigung und uneidlicher Falschaussage. Der Strafverteidiger des mutmaßlichen SchülerVZ-Erpressers "Exit" hat Strafanzeige gegen vier Mitarbeiter der VZnet-Netzwerke Ldt. erstattet. Der 20-Jährige hatte sich während seiner Haft das Leben genommen.

Abrechnung für Inhalte von Onlinemedien. Die Deutsche Post will ein Abrechnungssystem für Internetinhalte entwickeln. Das System soll Teil des De-Mail-Projekts werden. Die Post verhandelt nach Medienberichten bereits mit Verlagen.

Adobe plant keine Änderung des Verhaltens des Flash-Players. Das Flash-Plug-in in Browsern kann für Angriffe missbraucht werden. Dazu muss eine über eine Flash-Seite hochgeladene Datei nur vorher manipuliert werden, so dass diese präparierte Datei von anderen Anwendern geöffnet wird. Dann kann diese Datei auf andere Daten zugreifen. Adobe sieht das nicht als Fehler und plant keinen Patch.

Lücken können nur von Registrierten ausgenutzt werden. Mit dem Update auf Wordpress 2.8.6 beseitigen die Entwickler der freien Blogsoftware zwei Sicherheitslücken, die allerdings nicht ohne Anmeldung ausgenutzt werden können.

Beanstandete Klauseln sollen nicht mehr verwendet werden. Die Datenschutz- und Vertragsregeln sozialer Netzwerke werden bald verbraucherfreundlicher, heißt es von der Verbraucherzentrale Bundesverband (vzbv). Xing, Myspace, Facebook, Lokalisten, Wer-kennt-Wen und die VZ-Netzwerke verpflichteten sich in Unterlassungserklärungen, bestimmte Geschäftsbedingungen und Datenschutzbestimmungen nicht mehr zu verwenden.

Fehler verursacht Absturz des Betriebssystems. In Windows 7 und Windows Server 2008 R2 wurde ein Sicherheitsleck gefunden, das zum Absturz führen kann. Das Ausführen von Schadcode ist darüber nicht möglich, aktiv wird der Fehler laut Microsoft derzeit nicht ausgenutzt.

Methode entwickelt, um Botnetze zu deaktiveren. Informatiker in den USA haben eine Methode entwickelt, um in Botnetze einzudringen. Sie belauschen die Kommunikation zwischen den Zentralrechnern und den Bots. Darüber ist es ihnen möglich, auch in die Kommunikation einzugreifen und diese so zu modifizieren, dass ein Bot deaktiviert werden kann.

Angriff erlaubt Ausführung von Code mit Systemrechten. Adobes Photoshop Elements 7 und 8 sind für einen Angriff anfällig, der es dem Nutzer erlaubt, Code mit höheren Systemrechten auszuführen. Dafür braucht der Angreifer allerdings direkten Zugriff auf den Computer oder muss das Opfer zur Mitarbeit bewegen.

Cookies brauchen künftig Zustimmung der Nutzer. Die Europäische Union hat die Datenschutzrichtlinie aus dem Jahr 2002 überarbeitet. Die Novellierung, die die EU-Mitgliedsstaaten in den kommenden 18 Monaten umsetzen müssen, soll den Nutzern unter anderem besseren Schutz vor den Auswirkungen von Datenpannen bei ihren Providern bieten.