IT-Sicherheit

Forscher erzeugten Schadcode automatisiert basierend auf Sicherheits-Patches. Anhand von Sicherheits-Patches für Software haben Forscher einen Automatismus entwickelt, um Schadcode zu generieren, der das zu schließende Sicherheitsleck ausnutzt. Solche Mechanismen könnten schon bald eine Gefahr für Anwender bedeuten, weil dadurch wenige Minuten nach Bereitstellung eines Patches bereits passender Schadcode im Internet auftauchen könnte.

Linux-Software wurde am MIT entwickelt. Sicherheits-Updates für den Kernel einzuspielen, geht normalerweise mit einem Neustart des Systems einher - zumindest in Serverumgebungen kann dies zum Problem werden, da während des Startvorgangs die auf dem System laufenden Dienste nicht zu erreichen sind. Eine neue Software aus den Labors des Massachusetts Institute of Technology (MIT) soll nun Abhilfe schaffen. Sie spielt Patches ein, ohne dass der Kernel anschließend neu gestartet werden muss.

Angreifer können Schadcode ausführen. In der PDF-Anzeige-Software FoxIt Reader stecken zwei Sicherheitslücken, die zum Ausführen von Programmcode missbraucht werden können. Ein Opfer muss nur dazu verleitet werden, eine entsprechend präparierte PDF-Datei mit der Windows-Software zu öffnen.

Microsoft verteilt Patch-Paket schrittweise. Microsoft hat damit begonnen, das Service Pack 1 für Windows Vista unter anderem in deutscher Sprachversion automatisch zu verteilen. Das gilt, wenn die automatische Update-Funktion des Betriebssystems aktiviert ist und auf dem betreffenden Rechner die notwendigen Vorab-Patches installiert sind.

Verschiedene Fehlerkorrekturen. Sun hat das sechste Update für die Java Standard Edition 6 veröffentlicht. Korrigiert werden einige Fehler, Informationen zu geschlossenen Sicherheitslücken gibt es nicht.

Auch Lehrer haben ein Recht auf "informationelle Selbstbestimmung". Die obersten Aufsichtsbehörden für den Datenschutz in der Wirtschaft haben Leitlinien für die Betreiber von sozialen Netzwerken und Bewertungsportalen im Internet formuliert. Demnach müssen sich Nutzer von StudiVZ & Co. keine personalisierte Werbung gefallen lassen und haben das Recht, ein Pseudonym zu nutzen.

Hohe Gefahr für Nutzer von Photoshop Album Starter. In den Adobe-Applikationen Photoshop CS3, After Effects CS3 sowie Photoshop Album Starter wurde eine Sicherheitslücke entdeckt, über die Angreifer beliebigen Programmcode ausführen können, um ein fremdes System unter ihre Kontrolle zu bringen. Dazu muss ein Opfer nur zum Öffnen einer präparierten BMP-Datei verleitet werden, bei Photoshop Album Starter ist nicht einmal dies erforderlich.

Phorm-Cookies als Adware? Phorm, der Internetwerbedienst der neuen Generation, kommt nicht aus den Schlagzeilen. Antivirenhersteller haben angekündigt, eine Einstufung der Phorm-Cookies als Adware in Betracht zu ziehen.

Software Development Kit erhältlich. Vornehmlich für Handelsunternehmen hat das kanadische Unternehmen Wireless Dynamics einen RFID-Leser vorgestellt, der in Form einer SD-Karte daherkommt und so beispielsweise in Smartphones eingesetzt werden kann.

Billige Kopien jederzeit möglich. Die Verschlüsselung der weit verbreiteten MiFare-RFID-Chips des Herstellers NXP lässt sich in Sekundenschnelle brechen, ohne direkten Zugang zum Chip zu haben. Es genügt, die verschlüsselten Daten aus ein paar Metern Entfernung abzuhören.

Microsoft bestätigt Fehler, bietet aber keine Hilfe. In der vergangenen Woche hatte Microsoft anlässlich des allmonatlichen Patch-Days auch ein Update für Windows Vista veröffentlicht, mit dem eigentlich die Zuverlässigkeit des Systems verbessert werden sollte. Stattdessen macht das Update Probleme und sorgt dafür, dass sich verschiedene USB-Geräte nicht vernünftig nutzen lassen.

Zwei Sicherheitslücken betreffen nur die Windows-Ausführung. Insgesamt vier Sicherheitslecks wurden in Apples Safari-Browser entdeckt, die nun mit der Version 3.1.1 beseitigt werden. Zwei Sicherheitslöcher betreffen nur die Windows-Ausführung des Browsers, während die übrigen zwei Sicherheitslücken auch in der Mac-Ausführung von Safari stecken.

Fehler in JavaScript-Engine. In der JavaScript-Engine von Firefox wurde eine Sicherheitslücke entdeckt, die den Browser zum Absturz bringt und auch zum Ausführen von Schadcode missbraucht werden könnte. Mit der aktuellen Version 2.0.0.14 von Firefox wird dieses Sicherheitsloch geschlossen, weitere Neuerungen sind nicht vorhanden.

Critical Patch Update April 2008 freigegeben. Oracles Patch-Paket für den April 2008 beseitigt 41 Sicherheitslücken in der Produktpalette des Softwareentwicklers. 17 der Fehlerkorrekturen sind für Oracles Datenbankprodukte in den unterschiedlichsten Versionen.

Microsoft bestreitet Veröffentlichung Ende April 2008. Microsoft hat einen Bericht nicht kommentieren wollen, wonach das Service Pack 3 für Windows XP bereits Ende April 2008 veröffentlicht wird. Aus der Konzernzentrale von Redmond heißt es weiterhin nur, dass das kommende Service Pack für Windows XP wie gehabt für die erste Jahreshälfte 2008 geplant ist.

Sicherheitsleck in Google Spreadsheet wurde geschlossen. Über ein mittlerweile geschlossenes Sicherheitsleck in Google Spreadsheet war es Angreifern möglich, Cookie-Daten auszulesen. Darüber konnte dieser alle vom Opfer verwendeten Google-Dienste nutzen. Er hätte die Nachrichten aus Google Mail lesen, darüber E-Mails verschicken und alle Dateien aus Google Docs einsehen können.

Neue Produktbezeichnungen für Avira-Produkte. Die Antivirenlösungen von Avira erhalten eine beschleunigte sowie verbesserte Scan-Engine und bekommen neue Bezeichnungen. Außerdem sollen neue Funktionen die Effizienz des Virenscanners erhöhen. Auch die kostenlose Variante ist mit der neuen Scan-Engine verfügbar.

Umstellung auf NDS Videoguard und neue Version von Nagravision. Nachdem das Verschlüsselungssystem Nagravision von Kudelski geknackt wurde, setzt der Pay-TV-Sender Premiere künftig auf das Konkurrenzprodukt NDS Videoguard, das eine Tochtergesellschaft von Rupert Murdochs News Corporation entwickelt hat. Noch im zweiten Quartal 2008 installiert Premiere eine neue Software auf den Receivern und verschickt neue Smartcards.

Studie: Technische Schwierigkeiten und inkonsequente Umsetzung. Deutsche Unternehmen setzen Funkchips noch nicht effizient genug ein. Zu diesem Ergebnis kommt eine Studie, die das Fraunhofer-Institut für Produktionstechnologie IPT zusammen mit der P3 Ingenieurgesellschaft durchgeführt hat.

Datenschützer wollen Testphase des Werbedienstes überwachen. Die oberste britische Datenschutzbehörde, das Information Commissioner Office (ICO), hat sich zu den Plänen des Anbieters Phorm geäußert. Nach Ansicht der Datenschützer müssen die Nutzer explizit zustimmen ("opt-in"), dass Phorm ihre Webaktivitäten analysiert, um personalisierte Werbung auszuliefern. Das verlangten die europäischen Datenschutzrichtlinien.

Zentrale Verwaltung von Microsofts Sicherheitslösungen. Auf der RSA-Konferenz 2008 in San Francisco hat Microsoft eine Vorabversion der Sicherheitskonsole Stirling vorgestellt. Damit lassen sich die für den Unternehmenseinsatz gedachten Forefront-Sicherheitslösungen von zentraler Stelle administrieren. Eine Beta-Version steht als Download zum Ausprobieren bereit.

Regierung will Frühwarnsystem für Computerattacken entwickeln. US-Heimatschutzminister Michael Chertoff hat auf der RSA Conference in San Francisco vor den Gefahren aus dem Internet gewarnt. Er verglich die Bedrohung aus dem Cyberspace mit den Terroranschlägen vom 11. September 2001. Die von RSA Security ausgerichtete Konferenz ist die größte über IT-Sicherheit.

Korrektur-Patch ändert den Umgang mit Flash-Inhalten. Vor knapp einem Monat hatte Adobe für den Flash-Player einen Sicherheits-Patch für den April 2008 in Aussicht gestellt, der nun veröffentlicht wurde. Der Patch beseitigt insgesamt sieben Sicherheitslücken im Flash-Player, die zum Teil zum Ausführen von Schadcode missbraucht werden können. Außerdem wurde der Umgang mit Flash-Inhalten verändert.

Internet Explorer nun wieder ohne Eolas-Hürde. In den Windows-Versionen hat Microsoft sechs Sicherheitslecks beseitigt, die in der Mehrzahl zum Ausführen von Schadcode missbraucht werden können. Das Gleiche gilt auch für ein Sicherheitsloch im Internet Explorer, der nun keine Eolas-Hürde mehr aufweist. Dabei ist auch Windows Vista mit Service Pack 1 für einige der nun bekanntgewordenen Sicherheitslücken anfällig.

IBM präsentiert Forschungsinitiative. Unter dem Codenamen "Phantom" hat IBM eine neue Forschungsinitiative vorgestellt, die sich um die Sicherheit virtueller Umgebungen kümmert. Dafür wird die Technik in eine gesicherte Partition gepackt, von der aus der Hypervisor geschützt wird.

Bundesdatenschützer legt Tätigkeitsbericht zum Informationsfreiheitsgesetz vor. Peter Schaar, Bundesbeauftragter für Datenschutz und Informationsfreiheit, hat den ersten Tätigkeitsbericht zum Informationsfreiheitsgesetz vorgelegt. Das Gesetz ist am 1. Januar 2006 in Kraft getreten.

Löschung von personenbezogenen Daten nach sechs Monaten. Bei einem Treffen haben sich europäische Datenschützer für mehr Datenschutz bei Suchmaschinen ausgesprochen. Danach sollen die Betreiber personenbezogene Daten nach sechs Monaten löschen.

KB937287 soll jetzt nicht mehr zu einer Neustart-Endlosschleife führen. Für einige Vista-Anwender, die auf das Service Pack 1 für Microsofts aktuelles Betriebssystem warteten, wurden bereits die Vorbereitungen eine wahre Odyssee. Der Patch KB937287 führte auf einigen Systemen im Februar 2008 zu einer Endlosschleife, so dass sich Vista nicht mehr hochfahren ließ. Nun will Microsoft den Vorab-Patch in einer korrigierten Version nochmals verteilen.

Wettbewerb gestattet keine Sicherheitsbewertung. Auf einem Hacker-Wettbewerb auf der CanSecWest wurde ein MacOS-System nach nur zwei Minuten gehackt und auf ein Windows-System sind Hacker nach drei Tagen kurz vor Ablauf des Wettbewerbs ebenfalls eingedrungen. Nur das Linux-System blieb unangetastet - wie sich nun zeigt, ist das sogar wörtlich zu nehmen. Denn es gab einfach keinen Versuch, das Sony-Notebook mit Ubuntu zu hacken.

Version schließt Sicherheitslücke. Erst vor wenigen Tagen war die freie SSH-Implementierung OpenSSH 4.9 erschienen, nun legen die Entwickler die Version 5.0 nach. Zu spät hatten sie von einer Sicherheitslücke erfahren, die sie nun korrigiert haben. Die Version 4.9 enthielt auch neue Funktionen.

Sechs Sicherheits-Patches für Windows geplant. Für den Patch-Day im April 2008 hat Microsoft acht Security Bulletins angekündigt. Am 8. April 2008 erscheinen allein für die Windows-Plattform sechs Patches, die Lücken schließen sollen, über die Angreifer beliebigen Schadcode ausführen können. Weitere zwei Patches betreffen das Office-Paket von Microsoft.

Neue Version mit kleinen Verbesserungen für MacOS X. Mit der Version 9.27 seines Webbrowsers beseitigt Opera einige Sicherheitslücken. Über zwei nun geschlossene Sicherheitslücken können Angreifer beliebigen Code ausführen.

Pufferüberläufe durch Untertitel. Die quelloffene Audio- und Videowiedergabe-Software "VLC Media Player" ist in der neuen Version 0.8.6f erschienen. Neben behobenen Sicherheitsproblemen verträgt sich die neue Version jetzt auch wieder besser mit älteren Windows-Betriebssystemen und mit Multi-Monitor-Konfigurationen unter MacOS X.

Mehrere Fehler ermöglichen Abstürze und Ausführungen von fremdem Code. Mit der neuen QuickTime-Version 7.4.5 schließt Apple insgesamt elf Sicherheitslücken sowohl für die Windows- als auch für die MacOS-Version. In der Liste der Probleme der Medienwiedergabe-Software finden sich unter anderem Abstürze und die Möglichkeit, Code auf anfälligen QuickTime-Versionen auszuführen. Eine Aktualisierung von QuickTime sollte möglichst schnell geschehen.

Golem.de im Gespräch mit Harvard-Professor Viktor Mayer-Schönberger. Sind Daten einmal im Internet gelandet, ist es schwierig, sie wieder zu entfernen. Erinnerung, kritisiert Viktor Mayer-Schönberger, ist im digitalen Zeitalter die Regel und das Vergessen die Ausnahme. Er fordert deshalb die Einrichtung von Verfallsdaten an Informationen. Warum digitales Vergessen so wichtig ist und wo Gefahren im Internet lauern, erklärt Mayer-Schönberger im Gespräch mit Golem.de.

KeeLoq-System nicht mehr sicher - weltweite Verbreitung. Forscher der Ruhr-Universität Bochum haben die in zahllosen Autos eingesetzten Funkschlüssel geknackt. Ihnen reichte das zweimal abgefangene Signal der KeeLoq-Schlüssel aus, um die Verschlüsselung zu knacken.

RFC-konforme Abweisung von unerwünschten E-Mails. T-Online hat seinen "Plattformschutz optimiert" und nimmt nun "offensichtlich unerwünschte E-Mails (SPAM, UCE, UBE, Phishing)" nicht mehr an, noch bevor sie den Spam-Filter erreichen. Einige T-Online-Nutzer sehen das durchaus übliche Vorgehen kritisch.

Auch Windows-System wurde geknackt. Nachdem bereits ein MacBook Air über eine Safari-Sicherheitslücke nach nur 2 Minuten im Rahmen eines Hacker-Wettbewerbs auf der CanSecWest gehackt wurde, ereilte ein Windows-System nun ein ähnliches Schicksal. Nur das am Wettbewerb ebenfalls beteiligte Ubuntu-System blieb unversehrt.

Fingerabdrücke im Pass: Hacker warnen vor sicherheitspolitischem Irrweg. Der Chaos Computer Club (CCC) widmet der Diskussion um die Erfassung biometrischer Daten für Pässe und Ausweise einen besonderen Beitrag: Der Hacker-Club veröffentlichte den Fingerabdruck von Bundesinnenminister Wolfgang Schäuble.

Bis zu 20 Jahre Haft bei Verstoß. Im US-Bundesstaat Washington ist vom Gouverneur ein Gesetz gegen das illegale Auslesen von RFID-Daten aus Ausweispapieren unterzeichnet worden. Wer dagegen in krimineller Absicht verstößt, muss mit einer hohen Gefängnisstrafe rechnen.

Hack-Wettbewerb zuungunsten von Apple entschieden. In einem Hacker-Wettbewerb auf der CanSecWest sind ein Windows-, Linux- und MacOS-System gegeneinander angetreten. Als Verlierer geht das Apple-System aus dem Rennen. Nach nur 2 Minuten war ein MacBook Air gehackt und Unbefugte hatten Zugriff auf den Rechner. Verantwortlich dafür ist eine offene Sicherheitslücke in Apples Safari-Browser.

Zentrale Fingerabdruck-Datenbank birgt Risiken. Der oberste EU-Datenschützer, Peter Hustinx, hat scharfe Kritik an den Plänen der EU-Kommission zur Einführung von biometrischen Pässen geübt. Die geplante zentrale Fingerabdruck-Datenbank berge laut Hustinx erhebliche Risiken für den Datenschutz.

Version 7.2 soll im zweiten Quartal 2008 erscheinen. Astaro hat sein angekündigtes Update auf die Version 7.2 des Security Gateways als öffentliche Beta-Version freigegeben. Damit will der Karlsruher Linux-Anbieter erreichen, dass seine Sicherheitslösung vor der finalen Veröffentlichung ausgiebig getestet wurde. Die neue Version soll unter anderem durch Instant-Messenger und Peer-to-Peer-Anwendungen verursachten Datenverkehr besser erkennen können.