IT-Sicherheit

Akamai veröffentlicht ersten Bericht zum Zustand des Internets. Akamai hat einen Bericht zum Zustand des Internets veröffentlicht. Dieser beschäftigt sich mit der Sicherheit im Internet, aber auch mit Problemen bei der Netzperfomance und mit der Netzinfrastruktur. Ab jetzt soll die Studie jedes Vierteljahr erscheinen.

Persönliche Daten von über 40.000 Studenten im Internet abrufbar. Durch den Fehler eines Verwaltungsmitarbeiters ist eine Datenbank mit persönlichen Daten von knapp 44.000 Studenten der Magdeburger Universität über das Internet zugänglich gemacht worden. Die Panne wurde erst nach mehreren Tagen von Studenten entdeckt.

Symantec und Adobe untersuchen neuen Angriff auf den Flash-Player. Symantec warnt vor einer kritischen Sicherheitslücke im Flash-Player, die aktiv ausgenutzt wird. Noch ist die Ursache für das Problem nicht klar, daher gibt es auch noch kein Update von Adobe.

Deutsche Energieversorger achten besser auf IT-Sicherheit. Eine US-Aufsichtsbehörde hat gravierende Sicherheitsmängel bei einem staatlichen Energieversorger aufgedeckt. Dieser hatte unter anderem seine Leittechnik an das mit dem Internet verbundene Firmennetz angeschlossen. Beide Systemen waren zudem nur unzureichend gesichert. Deutsche Energieunternehmen sagen, dass sie ihre Systeme besser sichern.

Registrare sollen ihre Whois-Datenbanken aktualisieren. Die Internetverwaltung ICANN kämpft gegen Domains, für die in Spam-Mails geworben wird. Die zehn Registrare, bei denen die meisten solcher Domains verwaltet werden, wurden aufgefordert, diese auf korrekte Whois-Daten hin zu überpüfen.

Privat entwickelte Software findet nun leichter auf die Wii. Mit dem Homebrew Channel lassen sich private Softwareprojekte ("Homebrew") ohne Hardwareumbau bequem über die Bedienoberfläche von Nintendos Spielekonsole Wii zum Laufen bringen. Zeitlich beschränkte Vorabversionen und Videos des Tools gab es bereits vor Wochen, die verantwortlichen Hacker haben den von Nintendo nicht autorisierten Homebrew Channel aber erst nach Fertigstellung und ausgiebigen Tests veröffentlicht.

Einspruch von Antivirensoftware-Herstellern zu erwarten. Microsoft wurde in der vergangenen Woche vom US-Patentamt ein Patent für einen "proaktiven Virenschutz" zugesprochen. Der Microsoft-Entwickler Adrian Marinescu nimmt für sich in Anspruch, den Schutz vor unbekannten Viren erfunden zu haben.

Sicherheitslücke im Foxit Reader 2.3 geschlossen. Der PDF-Viewer Foxit Reader in Version 2.3 für Windows wurde nun in einer neuen Build-Variante veröffentlicht, die eine Sicherheitslücke schließen soll, bei der durch manipulierte PDFs Schadcode ausgeführt werden konnte. Dazu genügte ein Öffnen einer bösartigen PDF-Datei.

Privatsphäre der Nutzer bedroht. Die Google-Gründer Sergei Brin und Larry Page haben bei einer Konferenz in Großbritannien gewarnt, von sozialen Netzwerken gingen Gefahren für den Datenschutz aus.

Patch muss vor der Installation des Service Packs 3 eingespielt werden. Die Installation des Service Packs 3 für Windows XP macht HP-Rechner mit AMD-Prozessoren unbrauchbar, weil die Systeme dann nicht mehr starten. HP bietet einen Patch an, um den Fehler zu beseitigen. Wie aber auch das inoffizielle Tool von Jesper Johansson muss der Patch vor der Installation des Service Packs 3 aufgespielt werden.

Downloadfilter für Verteilung über Updatefunktion geplant. Microsoft hat angekündigt, einen Filter zu setzen, damit das Service Pack 3 (SP3) auf bestimmten Windows-XP-Systemen nicht mehr über die Updatefunktion des Betriebssystems angeboten wird. Damit wurde der Fehler bestätigt, dass es auf manchen AMD-Systemen zu endlosen Neustartschleifen oder Abstürzen kommt, nachdem das Service Pack 3 aufgespielt wurde. Eine Fehlerkorrektur ist in Arbeit.

HP und Microsoft arbeiten noch an einem Patch. Auf HP-Rechnern mit AMD-Prozessoren führt die Installation des Service Packs 3 (SP3) für Windows XP dazu, dass das System nicht mehr ordentlich startet. Mit einem Tool lässt sich das System vor der Installation des SP3 so verändern, dass Windows XP nach der Einspielung des Patchpaketes einwandfrei läuft. HP arbeitet mit Microsoft derzeit an einer Fehlerkorrektur für das Problem.

Angreifer können beliebigen Schadcode automatisch verteilen. Kritik erntet das Safari-Team von Apple dafür, dass es zumindest ein gemeldetes Sicherheitsleck im Browser nicht schließen will. Apple stuft dieses nicht als sicherheitsrelevant ein, so dass entsprechende Angriffe weiterhin möglich sind. Ein weiteres Sicherheitsleck soll bald beseitigt werden, einen Termin gibt es aber noch nicht.

Ausführung von Schadcode auf Systemen mit Windows XP möglich. Im Internet Explorer wurde ein Sicherheitsleck entdeckt, das im schlimmsten Fall zum Ausführen von Schadcode missbraucht werden kann. Der Fehler steckt in der Funktion zum Ausdrucken einer Linkliste auf einer Webseite. Standardmäßig ist diese Funktion nicht aktiviert, so dass der Nutzer sein System verändern muss, bevor ein Angreifer diesen Fehler ausnutzen kann.

Erste Versuche gestartet. David Airlie hat seinen X-Server dazu gebracht, dass dieser ohne Root-Rechte startet. Zwar ist dies bisher nur ein Versuch, er geht aber davon aus, dass ein X-Server schon bald gänzlich ohne Root-Rechte laufen könnte. Dies ist vor allem bei der Betrachtung von Sicherheitsaspekten relevant.

Hersteller empfiehlt sofortige Deinstallation. F-Secure warnt vor der Client-Edition seiner Sicherheitssoftware Linux Security 7.00, denn durch einen enthaltenen Fehler löscht sie eventuell Daten. Derzeit hilft nur, die Software möglichst schnell zu entfernen.

Social Network erhält Entschädigung für Spam und Phishing. Ein Gericht in Los Angeles hat dem Social Network MySpace die Rekordsumme von über 235 Millionen US-Dollar an Schadensersatz für Spam und Phishing zugesprochen. Die beiden Verurteilten sind bereits als notorische Spammer bekannt.

Zahlreiche Fehlerkorrekturen an Office 2008 für Mac. Microsoft hat das Service Pack 1 für "Office 2008 für Mac" veröffentlicht, das zahlreiche Programmfehler in der Office-Software beseitigen soll. Damit soll das Office-Paket stabiler sein und bei der Geschwindigkeit zulegen. Ferner enthält das Service Pack bislang einzeln erschienene Updates und Sicherheitspatches.

Update schließt Sicherheitslücke. Das Sicherheits-Team der Linux-Distribution Debian hat einen Fehler im OpenSSL-Zufallsgenerator gefunden, durch den Schlüssel herausgefunden werden könnten. Die Sicherheitslücke betrifft nur das OpenSSL-Paket in Debian GNU/Linux. Das betroffene Paket wurde bereits aktualisiert.

Fehler in Google Mail macht massenhaften E-Mail-Versand möglich. Aufgrund eines Fehlers in Google Mail kann der Web-Mailer für den massenhaften Versand von E-Mails missbraucht werden, berichtet INSERT. Eigentlich soll dies ein spezieller Mechanismus in Google Mail verhindern. Doch der lässt sich durch einen Trick aushebeln.

Angriff auf Programmseiten der ARD. Angreifer haben offenbar versucht, mittels JavaScript eigene Inhalte in Webseiten der ARD einzuschleusen. Das hat zwar nicht geklappt, doch die entsprechenden Links auf eine chinesische Website finden sich unter anderem auf den Programmseiten der ARD.

PCs mit AMD-Prozessoren starten nicht mehr. Ein paar Tage nach der Veröffentlichung des Service Pack 3 für Windows XP wurden Probleme mit dem Update-Paket bekannt. Besitzer von PCs mit AMD-Prozessoren klagen darüber, dass ihre Systeme nicht mehr vernünftig hochfahren. Zwei Gründe können dafür verantwortlich sein, berichtet ein früherer Microsoft-Mitarbeiter.

Auch Kundendaten aus Onlineshops stehen zum Verkauf. Kreditkartennummer und Onlinebanking-Daten sind wertvolle Güter, die laut McAfee im Internet in Einzelfällen für 1.000 Euro und mehr verkauft werden. Einschlägige Seiten im Internet bieten alle nötigen Informationen vom Namen, der Karten- oder Kontonummer über Angaben zur Guthabenhöhe bis hin zu PINs. Dabei variiert der Preis für die Daten je nach Land und Höhe des Guthabens auf den Konten.

Automatische Verteilung erfolgt schrittweise. Mitte Dezember 2007 wurde das Service Pack 1 für Office 2007 veröffentlicht, ein halbes Jahr später will Microsoft die Patch-Sammlung auch automatisiert verteilen. Damit will der Softwaregigant Kunden die Möglichkeit geben, sich ausgiebig auf die Installation des Service Pack 1 vorbereiten zu können.

Insgesamt erscheinen am 13. Mai 2008 vier Sicherheits-Patches. Microsoft hat vier Security Bulletins für den Patch-Day im Mai 2008 in Aussicht gestellt. Am 13. Mai 2008 erscheinen zwei Patches für die Office-Software aus Redmond sowie ein Windows-Patch, um Sicherheitslecks zu beseitigen, die als gefährlich eingestuft werden. Zudem ist ein Update für Microsofts Sicherheitssoftware geplant.

Patch korrigiert Fehler im Umgang mit NTFS-Komprimierung. Microsoft meldet einen Fehler in der Komponente Windows Home Server Connector, die auf mit dem Windows Home Server verbundenen Computern läuft. Backup-Daten von komprimierten NTFS-Laufwerken werden dadurch nicht einwandfrei zurückgespielt. Ein Patch dafür steht bereit. Der Fehler im Windows Home Server vom Dezember 2007 bleibt allerdings weiter unkorrigiert.

Updates schließen insgesamt acht Sicherheitslücken. Im Februar 2008 hatte Adobe Updates für Adobe Reader sowie für Acrobat 7 und 8 veröffentlicht. Damit wurden auch insgesamt acht Sicherheitslecks geschlossen, wie Adobe erst jetzt verraten hat. Sieben der Sicherheitslöcher können zum Ausführen von Schadcode missbraucht werden und ein Sicherheitsleck wurde wohl bereits aktiv ausgenutzt.

Automatische Verteilung startet im Frühsommer 2008. Das Service Pack 3 (SP3) für Windows XP steht nun mit einer Woche Verspätung als Download zur Verfügung. Eigentlich sollte es am 29. April 2008 erscheinen, in letzter Sekunde wurde aber die Veröffentlichung des Service Pack 3 auf unbestimmte Zeit verschoben. Grund war ein Fehler im Zusammenspiel mit einer anderen Microsoft-Software.

Forum wurde nach einem Angriff 2007 von Betreibern abgeschaltet. Die Augsburger Polizei vermeldet "einen großen Ermittlungserfolg im Bereich der 'Internetkriminalität'". Spezialisten hätten die Seite hacksector.cc "entdeckt" und "unschädlich" gemacht, heißt es in einer Presseerklärung. Derzeit wird bundesweit gegen elf Beschuldigte in diesem Verfahren ermittelt.

SearchScan-Technik setzt auf McAfees SiteAdvisor. Yahoo hat die eigene Suchmaschine um eine neue Sicherheitsfunktionen ergänzt, um Nutzer vor dem Besuch schadhafter Webseiten zu schützen. Auch die Abwehr von Spam-Seiten ist damit möglich. Die SearchScan genannte Technik setzt auf McAfee-Verfahren und ist bereits in die deutsche Yahoo-Suche als Beta-Version integriert.

SP3-Installation deaktiviert Deinstallation eines neueren Internet Explorer. In Kürze wird die allgemeine Verfügbarkeit des Service Pack 3 für Windows XP erwartet, nachdem es eine überraschende Verzögerung gab. Im Vorfeld hat Microsoft verraten, dass sich der Internet Explorer 7 oder die Beta des Internet Explorer 8 nicht mehr deinstallieren lässt, wenn das Service Pack 3 aufgespielt wurde.

Ein System für offensive Vergeltungsschläge soll aufgebaut werden. Die indische Regierung beklagt, das Land sei seit anderthalb Jahren Hackerangriffen aus China ausgesetzt. Das berichtet die Tageszeitung Times of India unter Berufung auf ranghohe Regierungskreise. Nahezu täglich sollen hochentwickelte, komplexe und koordinierte Attacken auf private und staatliche Netzwerke erfolgen.

U-Bahn verkehrt führerlos und menschengelenkt auf derselben Strecke. Am 4. Mai 2008 ist in Nürnberg die erste vollautomatische U-Bahn in Deutschland in Betrieb genommen worden - die Steuerung übernehmen Computer. Der Regelbetrieb startet erst im Juni 2008. Im Jahr 2009 soll eine zweite automatisierte Linie hinzukommen.

Spaß mit einem biometrischen Dämon statt Stress mit vergessenen Passwörtern? Zwei britische Forscher haben ein Konzept entwickelt, um Passwörter und PINs zu verwalten: Ein elektronisches Haustier identifiziert seinen Besitzer anhand biometrischer Merkmale und authentifiziert ihn bei Anwendungen und Geräten. Das Tier funktioniert jedoch nur, wenn der Besitzer in der Nähe ist. Wird es von ihm getrennt, verweigert es den Dienst.

PHP 5.2.6 schließt einige Sicherheitslücken. Die Skriptsprache PHP wurde in der Version 5.2.6 veröffentlicht. Darin haben die Entwickler insgesamt 120 Fehler korrigiert, darunter auch sicherheitskritische. Sie empfehlen wie üblich allen Anwendern, auf die neue Version umzusteigen.

Von den 7 vermeldeten Sicherheitslecks bleiben noch 2 Lücken übrig. Der E-Mail-Client Thunderbird wurde in der Version 2.0.0.14 veröffentlicht und schließt insgesamt zwei Sicherheitslöcher. Eigentlich wurde bislang angenommen, dass die E-Mail-Software deutlich mehr offene Sicherheitslücken aufweist. Neue Funktionen bringt Thunderbird 2.0.0.14 nicht.

Microsoft verschiebt das Service Pack 3 für Windows XP wegen eines Fehlers. Microsoft hat nach eigenen Aussagen in letzter Sekunde einen Kompatibilitätsfehler bezüglich des Service Packs 3 für Windows XP gefunden, so dass dieses nicht wie geplant am 29. April 2008 erscheinen konnte. Wann Windows-XP-Kunden das Service Pack 3 erhalten werden, ist derzeit vollkommen unklar. Der gleiche Kompatibilitätsfehler betrifft auch das Service Pack 1 für Windows Vista.

Auch Botnetz-Entwickler wollen sich vor Urheberrechtsverletzungen schützen. Auch im Softwareuntergrund finden sich Lizenzbestimmungen, die regeln, was mit der gerade gekauften Schadsoftware gemacht werden darf und was nicht. Damit sich der Anwender der Schadsoftware auch ja an die Regeln hält, droht der Hersteller der Botnetz-Software "Zeus" mit entsprechenden Sanktionen, die er durch eine interessante Kooperation durchsetzen will. Mit Hilfe von Herstellern von Anti-Viren-Software soll Schwarzkopierern das Leben schwer gemacht werden.

"Datenschutz-Einstellungen von vornherein nutzen". Der Datenschutzbeauftragte des Suchmaschinenkonzerns Google, Peter Fleischer, fordert Internetnutzer auf, mehr auf ihre Privatsphäre zu achten. Anwender "sollten von vornherein die Datenschutz-Einstellungen nutzen, denn dafür wurden sie gemacht", sagt Fleischer in der Wochenzeitung Zeit.

Apple bietet derzeit keinen Patch an. In Apples QuickTime steckt ein Sicherheitsleck, über das Angreifer beliebigen Schadcode einschleusen und ausführen können. Dazu muss ein Opfer nur zum Öffnen einer entsprechend manipulierten Datei auf einem Windows-System verleitet werden. Bislang hat Apple keinen Patch veröffentlicht, um den Fehler zu korrigieren.

Spammer lockten mit dem Gewinn kostenloser Stromlieferungen. Die Bundesnetzagentur greift wieder einmal in einem besonders drastischen Fall von Telefon-Spam durch. Sie hat in der letzten Woche die Abschaltung einiger 0137er-Rufnummern wegen Rufnummern-Spam angeordnet und die Rechnungslegung und Inkassierung für Verbindungen zu diesen Rufnummern untersagt.

Nur Version aus KDE 4.x betroffen. Die Entwickler des freien Unix- und Linux-Desktops KDE haben in ihrer HTML-Rendering-Engine eine Sicherheitslücke entdeckt, durch die unter Umständen auch beliebiger Programmcode ausgeführt werden kann. Betroffen ist KDE ab Version 4.0.

Betreiber der Bewertungsplattform wollen sich gerichtlich zur Wehr setzen. Der Berliner Beauftragte für Datenschutz hat ein Bußgeld gegen die Betreiber der studentischen Bewertungsplattform MeinProf verhängt. Doch das MeinProf-Team will sich gegen den Datenschützer zur Wehr setzen.