IT-Sicherheit

Insgesamt beseitigt Firefox 2.0.0.8 acht Sicherheitslöcher. Das Mozilla-Team hat Firefox in der Version 2.0.0.8 veröffentlicht, um insgesamt acht Sicherheitslücken in dem Browser zu beseitigen. Zwei Sicherheitslecks werden als gefährlich eingestuft, weil sich darüber einerseits beliebiger Code ausführen lässt und sich andererseits die Nutzerrechte erweitern lassen.

Neu aufgelegter Patch erhältlich. Der Hacker mit dem Pseudonym KJK::Hyperion hatte einen inoffiziellen Patch veröffentlicht, um ein Sicherheitsleck bei der Verarbeitung von URLs und URIs in Windows zu schließen. Wie der Hacker selbst eingesteht, weist der Patch einen schweren Fehler auf. Ein aktualisierter Patch steht bereits zur Verfügung.

Deutsche Bahn und Hotelketten für Sammlung persönlicher Daten gerügt. Anlässlich der BigBrotherAwards 2007 gab es eine Überraschung: Der Bundesinnenminister Wolfgang Schäuble wurde nicht mit einem Preis bedacht, obwohl er als "Traumkandidat" eingestuft wurde, denn er stelle ein Symbol für die Missachtung von Bürgerrechten dar. Der alljährlich zu vergebende BigBrotherAward soll auf Missstände in den Bereichen Überwachung, Datenschutz sowie Bürgerrechte hinweisen und wird an Firmen, Organisationen und Politiker verteilt.

AppArmor-Hauptentwickler will weiter an der Software arbeiten. Novell hat seine für die Linux-Sicherheitssoftware AppArmor zuständigen Programmierer entlassen, berichtet CNet. Drei der Entwickler haben daraufhin eine eigene Firma gegründet. Sie wollen weiter an dem Projekt arbeiten.

Software erkennt Schadsoftware anhand ihres Verhaltens. Das australische Software-Haus PC Tools bringt mit ThreatFire eine Virenschutzlösung, die ein anderes Konzept verfolgt als es von herkömmlichen Lösungen bekannt ist. Durch eine spezielle Technik soll die Software Viren, Würmer oder andere Schädlinge frühzeitig erkennen und PCs damit besser vor Angriffen schützen.

Kommendes Service Pack bringt neue Funktionen. Bislang war nicht bekannt, ob das in Arbeit befindliche Service Pack 3 für Windows XP auch neue Funktionen bringen wird. Es wurde vermutet, dass es lediglich eine Patch-Sammlung sein wird. Nun enthüllt ein Bericht, welche Neuerungen das kommende Service Pack für Windows-XP-Anwender beschert.

Installation von Drittanbieter-Programmen auf iPhone wieder möglich. Nach einiger Wartezeit lässt sich das iPhone mit der Firmware 1.1.1 nun auch wieder vom SIM-Lock befreien. Durch das Firmware-Update waren gehackte iPhones nicht mehr einsatzfähig, so dass die Einspielung der neuen Firmware für viele iPhone-Besitzer nicht praktikabel war.

Angreifer können schadhaften Code ausführen. Kurz nach dem diesmonatigen Patch-Day weist Microsoft auf ein offenes Sicherheitsloch in Windows hin. Angreifer können über eine manipulierte URL beliebigen Schadcode ausführen und sich so eine umfassende Kontrolle über ein fremdes System verschaffen. Noch gibt es keinen Patch von Microsoft.

SPD signalisiert Zustimmung zur Aufnahme von Fingerabdrücken in Personalausweise. Zur Aufnahme von digitalisierten Fingerabdruckbildern in den Personalausweis sagte der SPD-Innenpolitiker Dieter Wiefelspütz dem Tagesspiegel, dass diese Maßnahme verantwortbar sei. Er machte allerdings zur Bedingung, dass es keine Zentraldatei mit den Fingerabdrücken der unbescholtenen Bevölkerung geben darf.

SafeBoot ergänzt Produktsortiment von McAfee. McAfee will das Unternehmen SafeBoot für eine Summe von 350 Millionen US-Dollar in bar übernehmen. Eine entsprechende Vereinbarung gaben die Unternehmen nun bekannt. SafeBoot ist im Bereich Datensicherheit, Zugangskontrolle und Verschlüsselungslösungen auch im mobilen Einsatz aktiv. McAfee will sein Produktsortiment mit der Übernahme erweitern.

Mit Hightech gegen Schmuggel. Seit 1. Oktober werden alle in Großbritannien hergestellten Zigaretten mit einem RFID-Chip pro Packung ausgestattet. Mit der Maßnahme wollen Tabakindustrie und Zollbehörde gegen Schmuggel, Fälschung und Steuerhinterziehung vorgehen.

Auch Vertragsbindung zu AT&T soll wettbewerbswidrig sein. In den USA wurde eine Sammelklage gegen Apple eingereicht: Der SIM-Lock im iPhone soll gegen das kalifornische Wettbewerbsgesetz verstoßen. Mit der Klage soll Apple den SIM-Lock im iPhone fallen lassen, damit das Mobiltelefon direkt mit SIM-Karten anderer Netzbetreiber verwendet werden kann.

Microsoft schließt gefährliche Sicherheitslücken. Für den Oktober 2007 hat Microsoft insgesamt sieben Sicherheits-Patches in Aussicht gestellt. Vier davon schließen gefährliche Sicherheitslücken in Windows und Office, worüber Angreifer beliebigen Programmcode ausführen können. Drei weitere Patches für Windows und Office werden als weniger bedrohlich eingestuft.

Drei Sicherheitslücken in Java Runtime Environment. Sun schließt mit einem Update gleich drei Sicherheitslücken im Java Runtime Environment (JRE). Eine der Sicherheitslöcher kann unter bestimmten Umständen zum Ausführen von Programmcode missbraucht werden.

Patch für QuickTime verfügbar. In Apples QuickTime steckt ein Sicherheitsloch, das nur die Windows-Plattform betrifft. Dort können Angreifer beliebigen Programmcode ausführen und sich eine umfassende Kontrolle über ein fremdes System verschaffen.

RIPA Teil III in Kraft getreten. Seit gestern gilt in England die Pflicht zur Übergabe von Schlüsseln für verschlüsselte Daten, wenn die Polizei danach verlangt, berichtet die PC World. Bei Verweigerung droht eine Gefängnisstrafe zwischen zwei und fünf Jahren.

Python-Code lässt sich in Dom0 ausführen. Eine Sicherheitslücke in der Virtualisierungssoftware Xen ermöglicht dem Root-Nutzer einer virtuellen Maschine, beliebigen Python-Programmcode in der privilegierten Xen-Domäne auszuführen. Da verschiedene kommerzielle Virtualisierungslösungen auf Xen basieren, können diese auch betroffen sein.

Linux-Version soll kommen. HOB hat eine neue Version seiner BSI-zertifizierten VPN-Lösung angekündigt, die nun unter Windows Vista läuft. Ferner soll zur IT-Messe Systems im Oktober 2007 eine Linux- und Unix-Version der Software vorgestellt werden.

Kein Schaden für Nutzer bekannt. Google hat nach eigenen Angaben das jüngst in Gmail alias Google Mail bekannt gewordene Sicherheitsloch geschlossen. Bislang soll das Sicherheitsleck nicht aktiv ausgenutzt worden sein.

Patch korrigiert zehn Sicherheitslücken im Apple-Handy. Apple hatte für diese Woche ein Update für das iPhone in Aussicht gestellt und dieses Versprechen nun eingelöst. Mit dem Update erhält das iPhone zahlreiche neue Funktionen und Apple reagiert damit auf einige Kritikpunkte. Außerdem schließt das Update insgesamt zehn Sicherheitslücken in dem Handy. Gehackte iPhones funktionieren nach der Einspielung des Updates nicht mehr.

Angreifer legen eigene Filterregeln in Google Mail an. In Google Mail alias Gmail wurde ein Sicherheitsleck entdeckt, über das Angreifer beliebige E-Mails mitlesen können. Angreifer schleusen dazu spezielle Filtereinstellungen in Googles E-Mail-Dienst ein, indem Opfer lediglich zum Besuch einer präparierten Webseite verleitet werden müssen, während sie zugleich bei Gmail angemeldet sind.

Erweiterte Vertrauenswürdigkeitsstufe 2 erreicht. Der BlackBerry Enterprise Server und die dazugehörige BlackBerry Device Software von Research In Motion (RIM) haben eine Zertifizierung nach Common Criteria erhalten. Dieser Standard bewertet IT-Produkte hinsichtlich bestimmter Sicherheitsanforderungen. Nach RIM-Angaben wurde damit erstmals eine mobile Plattform nach Common Criteria zertifiziert.

VeriSign sieht Gefahr in steigender Anzahl von Denial-of-Service-Attacken. VeriSign warnt als Verwalter aller .com-Domains davor, dass immer mehr Denial-of-Service-Attacken auf die VeriSign-Server beobachtet werden. Langfristig sieht VeriSign kaum eine Möglichkeit, solche Angriffe abzuwehren. Ein Ausfall der Server würde einem Ausfall des Internets gleichkommen.

Leistungsschub durch ersetzte Spam-Engine. Astaro hat sein Security Gateway 7 aktualisiert und dabei eine neue Spam-Engine eingebaut, die bessere Ergebnisse bei gleichzeitig niedrigerer CPU-Last liefern soll. Das Linux-System Astaro Security Gateway 7 wurde Anfang 2007 vorgestellt.

Neuer iPhone-Hack macht SIM-Lock-Aufhebung wieder rückgängig. Nachdem Apple per Pressenotiz darauf hingewiesen hatte, dass neue Firmware-Updates ein gehacktes iPhone unbrauchbar machen können, stellt der Konzern klar, dass keine Mechanismen geplant sind, ein gehacktes iPhone direkt zu deaktivieren. Für die kommende Woche ist ein neuer iPhone-Hack geplant, der ein SIM-Lock-befreites Gerät wieder in den Lieferzustand zurückversetzt.

Firmware-Updates können iPhones unbrauchbar machen. In einer kurzen Pressenotiz spricht Apple eine Warnung an alle iPhone-Besitzer aus, die ihre Apple-Handys vom SIM-Lock befreit haben. Mittels Software-Hacks wird dazu die Firmware des iPhones so verändert, dass das Gerät mit SIM-Karten beliebiger Netzbetreiber arbeiten kann.

... an einen ausgewählten Kreis von Anwendern. Microsoft hat damit begonnen, die Beta-Version des Service Pack 1 für Windows Vista an einen auserwählten Kreis von Testern zu verteilen. Zugleich wurde der Release Candidate 0 vom Windows Server 2008 veröffentlicht, der von Interessierten erprobt werden kann.

Komitee für mobile Ajax-Anwendungen gegründet. Die OpenAjax-Allianz hat Materialien zu sicheren Ajax-Mashups veröffentlicht und will ihre Javascript-Bibliothek "Hub" um entsprechende Funktionen ergänzen. Ein neues Komitee beschäftigt sich darüber hinaus mit Ajax für mobile Endgeräte.

Weiß DoubleClick, was Sie letzten Sommer gelesen haben? In einer aktuellen Untersuchung der Canadian Internet Policy and Public Interest Clinic (CIPPIC) der Universität Ottawa konnte nachgewiesen werden, dass weit verbreitete DRM-Systeme (Digital Rights Management) auf ungesetzliche Weise persönliche Daten sammeln. Darüber hinaus werden heimlich Daten an dritte Parteien übertragen.

Angreifer sollen Windows-System kompromittieren können. Der Blogger Petko Petkov will eine kritische Lücke im Adobe Reader entdeckt haben, durch die sich beim Öffnen eines PDF-Dokumentes ein Windows-System kompromittieren lässt. Nähere Details veröffentlichte Petkov jedoch noch nicht.

Großteil der Produktpalette betroffen. VMware hat in seinen Virtualisierungsprogrammen ESX Server, Server, Workstation, ACE und Player kritische Sicherheitslücken geschlossen. Durch die Fehler ist es Angreifern unter anderem möglich, aus der virtuellen Maschine herauszuschlüpfen und Programmcode auf dem Host-System auszuführen.

Zu Grunde liegendes Problem soll schon länger bekannt sein. Eine neue Version des Browsers Firefox schließt die kürzlich entdeckte Sicherheitslücke, die im Zusammenspiel mit QuickTime auftritt. Über eine manipulierte QuickTime-Datei können Angreifer so JavaScript in Firefox ausführen.

Schnellspeicherung aus Sicherheitsgründen abgeschaltet. Microsoft hat mit dem Service Pack 3 (SP3) für Office 2003 eine Update-Sammlung für seine vorletzte Office-Generation vorgestellt. Sie beinhaltet sowohl das Service Pack 1 und 2 und darüber hinaus danach erschienene Fehlerbehebungen und auch neue Reparaturmaßnahmen, die vor allem mit der neu erschienenen Software wie dem IE7, Vista und Office 2007 notwendig wurden.

Neue Steam Community ist für manche Kunden zu auskunftsfreudig. Über Steam können nicht nur Spiele kostenpflichtig heruntergeladen und automatisch gepatcht werden, der Download-Dienst soll die Spieler auch zusammenführen. Dazu hat Steam-Betreiber Valve Software (u.a. Half Life 2) kürzlich neue Community-Funktionen eingeführt - und geht dabei recht freizügig mit der Privatsphäre der Kunden um.

"Life imitates art!". Der ehemals unter Terrorismusverdacht stehende US-Bürger und Kunstprofessor Hasan Elahi hat zu seiner eigenen Sicherheit beschlossen, sein tägliches Leben vollständig öffentlich zu dokumentieren. Elahi hofft, auf diese Weise verhindern zu können, irgendwann unschuldig nach Guantanamo zu verschwinden, berichtet die ARD.

Angreifer kann beliebigen Code ausführen. In Firefox wurde eine Sicherheitslücke entdeckt, die sich im Zusammenspiel mit QuickTime bemerkbar macht. Über eine präparierte QuickTime-Datei kann ein Angreifer beliebigen JavaScript-Code innerhalb von Firefox ausführen und sich im schlimmsten Fall eine umfassende Kontrolle über den betreffenden Rechner verschaffen.

Drittanbieter können sich in Desktop-Suche einbinden. Mit dem Service Pack 1 für Windows Vista wird Microsoft die Suchfunktion des Betriebssystems verändern. Dazu wird ein neues Protokoll eingeführt, über das sich andere Anbieter in die Desktop-Suche von Microsoft einklinken und diese durch eigene Routinen ersetzen können.

Medion bietet Software zum Löschen des Bootsektor-Virus. In der vergangenen Woche hat Aldi das Medion-Notebook MD 96290 in seinen Filialen angeboten. Wie Medion bestätigt, kann sich auf dem Notebook ein Virus befinden. Dieser Bootsektor-Virus soll aber keinen Schaden anrichten und sich ohne Aufwand wieder entfernen lassen.

Software umgeht SIM-Lock im Apple-Handy. Nachdem bereits eine kostenpflichtige Softwarelösung bereitsteht, die den SIM-Lock in Apples iPhone umgeht, gibt es nun auch eine kostenlose Alternative. Ein Hardware-Umbau ist nicht erforderlich, so dass jeder Besitzer eines iPhones das Apple-Handy auch mit anderen Netzbetreibern nutzen kann.

Ein Security Bulletin weniger als angekündigt. Aus den fünf angekündigten Security Bulletins für den Patch-Day im September 2007 sind nun nur vier geworden. Microsoft hatte sich kurzfristig entschlossen, eines der fünf Security Bulletins noch nicht zu veröffentlichen. Somit korrigiert Microsoft in diesem Monat Fehler im Windows Live Messenger, in Windows und Visual Studio. Drei der Sicherheitslecks können zur Ausführung von Programmcode missbraucht werden.

Warenhaus-Konzern verabschiedet sich langsam von Strichcodes. Karstadt hat in einer ersten Filiale damit begonnen, Preisauszeichnungen über RFID-Chips vorzunehmen. Damit soll die berührungslose Lesetechnik bisherige Strichcodes langfristig ersetzen. Der Konzern versichert, dass die RFID-Etiketten keine Kundendaten speichern.

Nur Windows-System für Angriff anfällig. Über die Chat-Funktion von Skype verbreitet sich derzeit ein Wurm, der allerdings keine gefährlichen Schadfunktionen aufweist. Bislang ist nur bekannt, dass sich der Wurm nach Aktivierung verbreitet, indem andere Skype-Partner entsprechende Chat-Nachrichten erhalten. Der Schädling kann sich nur auf Windows-Systemen verbreiten.

SIM-Lock-Hack kostet 99,- US-Dollar. Nach zahlreichen Terminverschiebungen hat die Webseite iPhoneSimFree.com die Verfügbarkeit des Software-Hacks für das iPhone verkündet. Mit einem reinen Software-Hack soll sich der SIM-Lock im iPhone deaktivieren lassen. Der standardmäßige SIM-Lock sorgt dafür, dass sich das Apple-Handy nur mit einer AT&T-SIM-Card verwenden lässt.