IT-Sicherheit

Zwei Sicherheitslecks werden als gefährlich klassifiziert. Am ersten Patchday des Jahres 2009 hat Microsoft nur einen Patch veröffentlicht, der aber gleich drei Sicherheitslücken schließt. Zwei der Sicherheitslecks werden als gefährlich eingestuft, weil sich darüber beliebiger Programmcode ausführen lässt.

Opposition: Überwachung der Bürger als wahrer Hintergrund. Die Bundesregierung hat in der Antwort auf eine Kleine Anfrage der Linkspartei zugegeben, dass "biometrische Verfahren allenfalls sekundär zur Früherkennung von terrorverdächtigen Personen" dienen können. Nach Einführung des biometrischen E-Reisepasses wird weiter an 3D-Gesichtserkennung im Alltag gearbeitet.

Ab heute müssen sich USA-Reisende online für die Reise registrieren. Seit dem heutigen Montag müssen sich USA-Reisende aus Ländern ohne Visapflicht online registrieren, bevor sie das Flugzeug oder Schiff besteigen, das sie über den Atlantik bringen soll.

Weitere Funktionen aus Amarok 1.4 enthalten. Der freie Mediaplayer Amarok ist in der Version 2.0.1.1 erschienen. Die neue Version enthält weitere Funktionen, die aus Amarok 1.4 übernommen wurden und schließt zusätzlich eine Sicherheitslücke. Die Entwickler raten daher zum Update.

Patch für Beta von Windows 7 korrigiert insgesamt zwei Fehler. Am heutigen 9. Januar 2009 will Microsoft der Allgemeinheit die Beta von Windows 7 als Download bereitstellen. Kurz zuvor hat Microsoft noch einen Patch veröffentlicht, um unter anderem einen zuletzt entdeckten schwerwiegenden Fehler im Windows-Vista-Nachfolger zu korrigieren.

Sicherheitspatch erscheint am 13. Januar 2009. Der erste Microsoft-Patchday in diesem Jahr fällt ruhig aus, denn es wird nur ein Update für die Windows-Plattform geben. Damit soll mindestens ein als gefährlich eingestuftes Sicherheitsleck beseitigt werden, weil Angreifer darüber beliebigen Programmcode ausführen können.

Durchsuchungen wegen des Verdachts auf Preisabsprache. Die EU-Kommission ermittelt gegen mehrere Chiphersteller wegen des Verdachts auf Verstöße gegen die Wettbewerbsrichtlinien der Gemeinschaft. Europäische und nationale Ermittler durchsuchten deshalb die Geschäftsräume von mehreren Unternehmen, darunter auch die von Infineon.

Golem.de gibt Tipps zur Abmilderung der staatlich angeordneten Überwachung. Seit Beginn des Jahres 2009 ist die nächste Stufe der Vorratsdatenspeicherung in Kraft. Auch Internetprovider, Anbieter von VoIP-Telefonie und E-Mail-Diensten müssen nun protokollieren, wer mit wem gesprochen oder gemailt hat. Doch es gibt Möglichkeiten, die Vorratsdatenspeicherung zu umgehen.

CCC empfiehlt Nutzern von Nokia, ein Softwareupdate einzufordern. Auf einem der letzten Vorträge des 25. Chaos Communication Congress (25C3) wurde ein Exploit demonstriert, der auf äußerst einfache Art und Weise einen Großteil der aktuellen Nokia-Handys lahmlegen kann. Es ist zwar nur der Short Message Service (SMS) betroffen, aber für viele Nutzer sind die Kurznachrichten ein essenzieller Bestandteil des mobilen Lebens.

Praktischer Angriff demonstriert die Unsicherheit von MD5. MD5 ist grundsätzlich seit 2004 verwundbar, seit 2007 existiert ein theoretischer Angriff. Auf dem 25C3 zeigen unter anderem Alexander Sotirov und Jacob Appelbaum, wie sich MD5 auch praktisch angreifen lässt. Zur Demonstration fälschten sie ein SSL-Zertifikat.

Hacker entschlüsseln Funktion und planen verteilte Übernahme. Ein Storm-Bot wurde auf der Hackerkonferenz 25C3 live gehackt - und kann übernommen werden. Damit droht dem von Spammern errichteten Storm-Botnet, einem Netzwerk aus infizierten PCs, eine weitere Gefahr.

Verschlüsselung wird meist nicht genutzt, ist aber auch kein guter Schutz. Telefonate über DECT sind leicht abzuhören. Wie, das erklärte eine Gruppe von Hackern auf dem 25C3. In den meisten Fällen wird auf eine Verschlüsselung ohnehin verzichtet, aber selbst der in DECT verwendeten Verschlüsselung rücken die Hacker zu Leibe.

Neue Bürgerrechtsbewegung entsteht. In Bezug auf den Skandal beim Datenschutz war das Jahr 2008 "ziemlich einmalig", meint Peter Schaar, Datenschutzbeauftragter des Bundes. Fast habe man den Eindruck, alle seien Opfer von Datenmissbrauch geworden.

Auf der 25C3-Tagung in Berlin fand ein Live-Hack der Wii von Nintendo statt. Mit großem Aufwand versuchen Nintendo und die anderen Konsolenhersteller, ihre Systeme vor unerlaubten Zugriffen zu schützen - meist vergebens. Auf der 25C3 in Berlin haben zwei Hacker vorgeführt, wie Linux-Software auf der Wii gestartet werden kann.

Wie das Grundrecht auf digitale Intimsphäre abseits der Onlinedurchsuchung wirkt. Das neue Grundrecht auf digitale Intimsphäre muss auch Konsequenzen für die Beschlagnahmung von Festplatten haben, fordern Constanze Kurz und Ulf Buermeyer auf dem 25C3. Festplatten würden viel zu häufig beschlagnahmt und der Grundsatz der Verhältnismäßigkeit dabei verletzt.

John Gilmore, Dan Kaminsky und das iPhone Dev Team auf dem 25C3. In Berlin startet am Samstag um 10 Uhr der 25. Hackerkongress des CCC, diesmal unter dem Motto "nothing to hide". Die zahlreichen Vorträge werde dabei auch live ins Netz übertragen.

Finnischer Weltkonzern bereitet sich auf die Krise vor. Der Handyhersteller Nokia verkauft seinen Geschäftsbereich für Security Appliance an Check Point Software Technologies, ein israelisch-amerikanisches Unternehmen. Mit dem Ausstieg aus dem Bereich bereitet sich Nokia offenbar auf Krisenzeiten vor und bündelt seine Kräfte für den Endkundenmarkt.

Heimatschutzministerium dehnt Biometrieprogramm auch auf Greencard-Inhaber aus. Das US-Heimatschutzministerium hat neue Regeln für die Einreise festgelegt: Künftig werden auch Greencard-Inhaber bei jeder Einreise in die USA biometrisch erfasst. Die neue Regelung tritt zwei Tage vor der Amtseinführung des neuen Präsidenten in Kraft.

Adobe rät dringend zum Update des Flash Player. Der Flash Player unter Linux hat eine kritische Sicherheitslücke, die es Angreifern ermöglicht, die Kontrolle über betroffene Systeme zu übernehmen. Ein Update sowohl für den Flash Player 9 als auch 10 steht bereit.

Microsoft behebt gefährliches Sicherheitsloch unabhängig vom regulären Patchday. Wie angekündigt hat Microsoft unabhängig vom monatlichen Patchday einen Sicherheitspatch für den Internet Explorer veröffentlicht. Seit dem Wochenende wurde das Sicherheitsloch aktiv ausgenutzt.

Daten aus Suche und Anzeigen werden nach drei Monaten anonymisiert. Yahoo will im Umgang mit Nutzerdaten mit gutem Beispiel vorangehen und Daten aus Nutzerprotokollen künftig im Regelfall innerhalb von 90 Tagen anonymisieren.

Täglich werden mehr bösartige als legale Programme entwickelt. Symantec zeichnet ein düsteres Bild, wenn es um die IT-Sicherheit im Jahr 2009 geht. Der Antivirenspezialist erwartet noch mehr Schadcodevarianten, mehr Spam, Phishingangriffe auf soziale Netzwerke und betrügerische Angriffe, die die globale Wirtschaftskrise als Nährboden nutzen. Schutz sollen virtuelle Maschinen bieten.

Letztes Update für Firefox 2, aktueller Firefox 2 ohne Phishingfilter. Mit Sicherheitspatches für Firefox 2 und 3, SeaMonkey sowie Camino werden eine Reihe von Sicherheitslücken in den Browsern beseitigt. Einige der Sicherheitslecks lassen sich zum Ausführen von Schadcode missbrauchen. Das letzte Firefox-2-Update besitzt keinen Phishing-Filter mehr.

Microsoft will kritisches Sicherheitloch am 17. Dezember 2008 stopfen. Eigentlich steht das nächste Sicherheitsupdate bei Microsoft erst im Januar 2009 auf dem Plan, doch eine kritische Sicherheitslücke im Internet Explorer, die bereits aktiv ausgenutzt wird, zwingt Microsoft zum Handeln außer der Reihe.

Opera 9.63 beseitigt insgesamt sieben Sicherheitslücken. Mit dem Erscheinen von Opera 9.63 werden sieben verschiedene Sicherheitslecks in dem Browser korrigiert. Vier der Sicherheitslöcher gelten als gefährlich, weil Angreifer darüber beliebigen Programmcode ausführen können.

MacOS X 10.5.6 enthält die Sicherheitsupdates bereits. Apple beseitigt mit mehreren Updatepaketen verschiedene, teils schwerwiegende Sicherheitsprobleme in MacOS 10.4 alias Tiger und 10.5 alias Leopard. Betroffen sind etwa Adobes Flashplayer und wichtige Systemkomponenten im Betriebssystem, die mit ihren Schwachstellen andere Anwendungen unsicher machen.

Wurden die bei der LBB abhanden gekommenen Daten doch missbraucht? Die der Berliner Landesbank LBB abhanden gekommenen Kreditkartendaten könnten doch missbraucht worden sein, berichtet die Frankfurter Rundschau. LBB und der Finanzdienstleister Atos Worldline hätten schon vor dem Datenskandal gewarnt, dass ihre Kreditkarten missbraucht worden seien.

Angriffe auf Microsofts Browser durch harmlose Webseiten. Microsofts Internet Explorer ist erneut Ziel eines Angriffs. Derzeit sind vor allem Nutzer in China betroffen, aber ein Überschwappen nach Europa ist möglich. Einen Patch gibt es nicht und so ist das Nutzen eines anderen Browsers derzeit die beste Möglichkeit, die Lücke im Browser zu vermeiden.

Zeitung: PINs waren in Briefumschlägen, nicht auf den Mikrofilmen. Die Kreditkartendaten der Berliner Landesbank (LBB) wurden beim Transport zu einem Dienstleistungsunternehmen gestohlen, teilte die Bank in einer ersten Reaktion auf das Datenleck mit. Den Kunden werden sämtliche Schäden durch den Datenmissbrauch ersetzt.

ADAC, Amazon Visa, Xbox Classic Card und viele andere Kreditkarten betroffen. Zehntausende Kreditkartendaten der Berliner Landesbank sind ausgespäht worden, berichtet die Frankfurter Rundschau. Auch Kunden anderer Banken sind betroffen, darunter ADAC-Kreditkartenbesitzer und Nutzer von Amazon Visa. Neben den Stammdaten der Besitzer sind auch einzelne Transaktionen mit Beträgen entfleucht.

Wissenschaftler erstellen einen virtuellen Menschen für Sicherheitstests. Mehrere Gruppen von Wissenschaftlern auf der ganzen Welt entwickeln virtuelle Crashtest-Dummys. Die Computermodelle sollen Autoentwicklern bessere Informationen über die Vorgänge im menschlichen Körper bei einem Unfall liefern.

Microsoft zieht nur mit, wenn alle mitmachen. Die EU fordert von Google, Nutzerdaten nur sechs Monate aufzubewahren. Das US-Unternehmen lehnt das ab, es will bei den derzeitigen neun Monaten Speicherdauer bleiben.

Bundesdruckerei und Samsung kooperieren bei ePass-Entwicklung. Die Bundesdruckerei und Samsung Mobile Display wollen gemeinsam Displays für Ausweise auf der Basis spezieller organischer Leuchtdioden entwickeln. Dazu haben die beiden Unternehmen zunächst eine zwölfmonatige Kooperation vereinbart.

Größte auf einmal online gestellte Street-View-Bildersammlung. Google hat einen neuen Schub Bilder für das Angebot Street View bereitgestellt. Mit dieser laut Google größten auf einmal online gestellten Sammlung verdoppele sich die von den USA erfasste Fläche.

Window Snyder will sich auf ein neues Projekt konzentrieren. Window Snyder verlässt Mozilla. Erst im September 2006 war sie zu Mozilla gewechselt, wo sie noch für die Sicherheit des Browsers Firefox verantwortlich ist.

Keine Kennzeichnungspflicht zur Datenherkunft und Übergangsfrist von drei Jahren. Die Regierung hat heute das neue Bundesdatenschutzgesetz verabschiedet. Der Datenschutz wird durch das Gesetz deutlich verschärft, meint das Innenministerium. Datenschützer und Opposition kritisieren, dass eine Kennzeichnungspflicht zur Datenherkunft fehlt und den Firmen eine Übergangsfrist von drei Jahren gewährt wird.

Trotz Patchday noch keine Fehlerkorrektur erschienen. Zeitgleich mit dem diesmonatigen Patchday warnt Microsoft vor einer offenen Sicherheitslücke im WordPad Text Converter. Das Sicherheitsloch wird bereits ausgenutzt, aber einen Patch gibt es noch nicht. Es ist fraglich, ob das Sicherheitsloch noch dieses Jahr beseitigt wird.

25 kritische Sicherheitslöcher erlauben Ausführung von Schadcode. Zum Jahresende beseitigt Microsoft noch einmal insgesamt 28 Sicherheitslücken in seinen Produkten. Davon werden 25 Sicherheitslöcher als gefährlich eingestuft, weil darüber beliebiger Schadcode ausgeführt werden kann. Neben Windows sind davon der Internet Explorer, Word, Outlook, Excel sowie der Windows Media Player betroffen.

Enorme Wachstumsraten nicht erreicht. Der RFID-Markt wird sich zwar weiter positiv entwickeln, doch RFID konnte nicht so enorme Wachstumsraten erreichen, wie es Forschungsinstitute noch vor wenigen Jahren vorausgesagt hatten. Das geht aus einer Studie der Deutsche Bank Research hervor.

Trend Micro legt Zahlen zu Schadensursachen für 2008 vor. Die meisten Computerschädlinge laden sich Nutzer selbst herunter, berichten die Forscher des Sicherheitsspezialisten Trend Micro. Sicherheitslücken in Software spielten hingegen 2008 nur eine untergeordnete Rolle.

Workaround für Fehler bei magic_quotes_gpc. Nachdem am Montag PHP 5.2.7 wegen eines kritischen Fehlers zurückgezogen wurde, haben die Entwickler der freien Scriptsprache nun die Version 5.2.8 mit einer entsprechenden Korrektur veröffentlicht.

Reaktionen auf den neuen Datenskandal. Nachdem am Wochenende eine CD mit vertraulichen Daten von 21 Millionen Bürgern aufgetaucht war, fordern Politiker und Strafverfolger Konsequenzen. Die Opposition warf der Bundesregierung Tatenlosigkeit vor. Die Gewerkschaft der Polizei hingegen forderte Banken und Kreditkartenunternehmen auf, den Schutz der Kunden nicht den Gewinninteressen zu opfern.

Dritte Alpha von PHP 5.3 veröffentlicht. Die in der letzten Woche veröffentlichte Version 5.2.7 der Scriptsprache PHP ist am Wochenende wegen eines schwerwiegenden Fehlers zurückgezogen worden. Kurz zuvor erschien zudem eine dritte Alphaversion von PHP 5.3.