IT-Sicherheit

Sicherheitsleck erlaubt Ausführung von Programmcode. Wie in der jüngsten Vergangenheit wiederholt geschehen, ist auch um Microsofts Patch-Day im April 2007 herum Beispielcode für ein nicht geschlossenes Sicherheitsloch in einem Redmondschen Produkt im Internet aufgetaucht. Diesmal betrifft es das Office-Paket von Microsoft, das eine Sicherheitslücke aufweist, über die Angreifer beliebigen Programmcode ausführen können.

Vier Sicherheits-Patches für Windows. Vor einer Woche hat Microsoft bereits einen Sicherheits-Patch veröffentlicht, um eine Sicherheitslücke bei der Darstellung animierter Cursor zu schließen. Am regulären Patch-Day für den Monat April 2007 hat Microsoft sechs Sicherheitslecks in Windows sowie zwei Sicherheitslücken im Content Management Server mit Patches bedacht.

Neue Netscape-Version korrigiert nur Sicherheitslücken. AOL hat die Version 8.1.3 von Netscape veröffentlicht und will damit vor allem Sicherheitslücken schließen. Welche Sicherheitslecks darin geschlossen wurden, ist nicht bekannt. Neue Funktionen bringt Netscape 8.1.3 nicht.

Neue Sicherheitslücke wird aktiv ausgenutzt. In der vergangenen Woche hat Microsoft einen Fehler in den animierten Icon-Dateien bestätigt, nun soll bereits diese Woche ein Patch erscheinen. Eigentlich sollte dieser erst am regulären Patch-Day Mitte April 2007 erscheinen. Da das Sicherheitsleck aber bereits durch Schadcode ausgenutzt wird, entschied sich Microsoft zu diesem für den Konzern sehr ungewöhnlichen Schritt.

Aktualisiertes Signatur-Update beseitigt Fehlalarm. Die Virenscanner von Avira wurden am gestrigen 29. März 2007 mit einem fehlerhaften Signatur-Update bestückt. Dadurch meldeten die Avira-Virenscanner, dass die Windows-Systemdatei Winlogon.exe ein Trojanisches Pferd sei. Dieser Fehler wurde mittlerweile korrigiert und es stehen aktualisierte Signatur-Updates bereit.

Animierte Cursor erlauben Ausführung schadhaften Programmcodes. Microsoft hat ein Sicherheitsleck im Internet Explorer bestätigt. Mit Hilfe präparierter ani-Dateien für animierte Cursor lässt sich schadhafter Programmcode auf fremde Rechner schleusen und ausführen. Microsoft arbeitet an der Korrektur des Fehlers und will einen entsprechenden Patch veröffentlichen.

Rechner friert bei Dateioperationen ein. Seit Wochen macht ein ominöser Fehler in Windows Vista in Internetforen von sich reden. Der Rechner kann sich beim Kopieren, Verschieben oder Löschen einer Datei stundenlang mit sich selbst beschäftigen, die Aktion lässt sich auch nicht abbrechen. Zwar gibt es einen Hotfix von Microsoft, dieser ist jedoch nur auf Anfrage erhältlich, das Unternehmen nimmt zu diesem Fehler auch nicht weiter Stellung.

Auch persönliche Daten von knapp einer halben Million Kunden abhanden gekommen. Mitte 2005 hatte der Diebstahl von rund 40 Millionen Datensätzen bei CardSystems für Aufsehen gesorgt, wie nun bekannt wird, kam es beim US-Einzelhändler über einen Zeitraum von 18 Monaten zum Diebstahl mit noch größerer Tragweite.

Neue Version für die kommende Woche angekündigt. In OpenOffice.org 2.x wurden drei Sicherheitslücken gefunden, die zum Teil zum Ausführen beliebigen Programmcodes missbraucht werden können. Die in Arbeit befindliche Version 2.2 von OpenOffice.org soll die Fehler korrigieren und wird voraussichtlich in der kommenden Woche erscheinen.

Unternehmen widerspricht Meldungen. Derzeit machen Meldungen die Runde, denen zufolge Xbox Live gehackt und die Konten von Xbox-360-Spielern kompromittiert worden sein könnten. Microsoft widersprach dem nun.

Neue Versionen von Firefox erschienen; Marktanteil in Europa gleichbleibend. Das Mozilla-Team hat die Versionen 1.5.0.11 sowie 2.0.0.3 von Firefox veröffentlicht, um darin ein Sicherheitsleck in den ftp-Funktionen zu korrigieren. Auf Grund der Sicherheitslücke können sich Angreifer Informationen über die Netzwerkkonfiguration eines Rechners ergattern, um diese gegen das Opfer einzusetzen.

Unterstützung für größere FAT32-Volumes. Die Open-Source-Verschlüsselungssoftware Truecrypt ist nun in der Version 4.3 verfügbar, die hauptsächlich unter Windows neue Funktionen bietet. Dazu zählt eine vollständige Unterstützung von Windows Vista. In der Linux-Version wurde ein Sicherheitsproblem beseitigt.

Microsoft hat rechtliche Schritte angedroht. Wie WinFuture.de und Winboard.org per Forumsbeitrag mitteilen, werden vorerst keine inoffiziellen Pakete mit Windows-Patches mehr veröffentlicht. Microsoft hat den Betreibern von WinFuture.de rechtliche Schritte angedroht, falls die Patch-Sammlungen weiter angeboten werden.

Das Landesamt für Verfassungsschutz Nordrhein-Westfalen wird geehrt. Der jedes Jahr vom Chaos Computer Club (CCC) anlässlich der CeBIT verliehene Preis CCCeBIT geht dieses Mal an das Landesamt für Verfassungsschutz Nordrhein-Westfalen für den so genannten Bundestrojaner. Damit werden die Pläne kritisiert, verdeckte Online-Durchsuchungen durchzuführen.

Fertige Version soll im Mai 2007 verfügbar sein. Novell hat eine Beta-Version des Service Pack 1 für Suse Linux Enterprise 10 angekündigt. Im Bereich Virtualisierung bringt dieses weitere Verbesserungen, ebenso wie für die Hochverfügbarkeitssoftware in Suse Linux Enterprise. Für den Desktop bietet das Service Pack 1 eine erweiterte OpenOffice.org-Version sowie eine bessere Zusammenarbeit mit Microsofts Verzeichnisdiensten.

Sponsoren schwenken angeblich zu "Deutschland sicher im Netz" um. Das als zentraler Punkt für Sicherheitsfragen in der IT gestartete Mittelstands-Cert (Mcert) soll Ende Juni abgewickelt werden, berichtet die Financial Times Deutschland. Einige der Sponsoren steigen aus und der BITKOM will das Mcert daher wohl einstellen.

Virenscanner von Avira werden Rootkits erkennen und entfernen können. Im April 2007 wird Avira seine Windows-Antivirenlösungen mit einer Rootkit-Erkennung ausstatten, teilte das Unternehmen auf der CeBIT 2007 mit. Damit sollen sich Rootkits auf Rechnern erkennen, anzeigen und auch rückstandsfrei entfernen lassen. Diese Technik wird auch im kostenlosen Virenscanner von Avira zu finden sein.

Bahn und Vodafone testen "Touch&Travel". Das Mobiltelefon soll künftig die Fahrkarte aus Papier ersetzen. Statt am Automaten oder beim Busfahrer ein Ticket zu kaufen, drückt der Kunde dann jeweils vor Abfahrt und bei Ankunft auf eine Handy-Taste. Darauf zumindest zielt ein Projekt namens "Touch&Travel" ab, mit dem die Deutsche Bahn, Vodafone und weitere Kooperationspartner das elektronische Ticketing-Verfahren in den kommenden Jahren zur Marktreife entwickeln wollen.

Potsdamer Hasso-Plattner-Institut auf der CeBIT. Das Hasso-Plattner-Institut für Softwaresystemtechnik (HPI) hat auf der CeBIT 2007 ein virtuelles IT-Sicherheitslabor vorgestellt, mit dem man üben kann, Sicherheitsumgebungen aufzubauen. Das Angebot kann mit einem normalen Webbrowser benutzt werden und soll eine realistische und sichere Trainingsumgebung bieten.

Partner wollen Spam mit allen zur Verfügung stehenden Mitteln bekämpfen. Die Bundesnetzagentur ist dem Aktionsbündnis gegen Spam beigetreten und hofft durch die Zusammenarbeit auf eine Signalwirkung für Spammer. Das Anti-Spam-Bündnis besteht aus dem Verbraucherzentrale Bundesverband, der Zentrale zur Bekämpfung des unlauteren Wettbewerbs, dem Verband der deutschen Internetwirtschaft (eco) und jetzt auch der Bundesnetzagentur.

Anonymisierung nach 18 bis 24 Monaten soll Privatssphäre besser schützen. Bei jeder Suchanfrage sammelt Google fleißig Daten und hebt diese dauerhaft auf. Neben der Suchanfrage selbst zählen dazu die IP-Adresse und auch Cookie-Einstellungen. Nun soll sich dies ändern, nach einer gewissen Zeit sollen die Log-Daten künftig anonymisiert werden.

Sicherheitslücken in Webapplikationen - automatische Scanner reichen nicht. Sicherheitslücken in Webapplikationen können nicht zuverlässig mit automatisierten Werkzeugen gefunden werden, so dass es weiterhin unverzichtbar ist, derartige Anwendungen von Menschen testen zu lassen. Das ist das Fazit einer Untersuchung, die Markus Schumacher auf der Konferenz Datenschutz und Datensicherheit in Berlin vorgestellt hat. Rupert Vogel, Honorarprofessor für Informationstechnologierecht an der Universität Mannheim, stellte vor, wie das Recht helfen kann, die Sicherheit von Software zu verbessern.

Update schließt einige nicht näher beschriebene Sicherheitslücken. Mit einem umfangreichen Update für MacOS X beseitigt Apple zahlreiche Fehler in seinem Betriebssystem. MacOS X 10.4.9 könnte die letzte größere Aktualisierung des Betriebssystems vor Erscheinen des Nachfolgers Leopard sein.

Bundesnetzagentur greift bei Fax-Spam durch. Die Bundesnetzagentur hat bei vier (0)900er-Rufnummern wegen Fax-Spam die Abschaltung angeordnet und heute ein Rechnungs- und Inkassierungsverbot ausgesprochen.

Datenschützer geht mit der Politik hart ins Gericht. Statt Datenschutz als bürokratisches Hindernis anzusehen, sollte der Staat vielmehr fragen, wie er den Bürger vor einer überbordenden Überwachung schützen kann. So formulierte der Bundesbeauftragte für den Datenschutz, Peter Schaar, bei der Konferenz Datenschutz und Datensicherheit in Berlin seine Vorstellung davon, wie die Regierung darauf reagieren sollte, dass Technologien "uns immer überwachbarer machen".

Fehler in Windows Live OneCare soll in dieser Woche korrigiert werden. Microsofts Sicherheitslösung Windows Live OneCare geht offensichtlich übergründlich vor, um Schadsoftware zu vernichten. Denn die Software löscht unter Umständen Outlook-Daten und führt so zu erheblichen Datenverlusten. Der Fehler soll bereits seit Ende Januar 2007 bekannt sein, aber erst in dieser Woche wird dieser korrigiert.

Nächster Patch-Day im April 2007. Am 13. März 2007 stünde eigentlich der nächste Patch-Day bei Microsoft an, an dem meist mehrere Sicherheits-Patches für verschiedene Produkte erscheinen. Der Softwarekonzern wird in diesem Monat jedoch keine Sicherheits-Patches veröffentlichen.

Jeder Aufruf von Microsoft-Update sendet Informationen nach Redmond. Wie Microsoft kleinlaut per Blog einräumt, sammelt der Software-Gigant nicht nur bei der Lizenzprüfung per, sondern bei jeder Nutzung des Microsoft-Update-Dienstes. Hierbei spielt es keine Rolle, ob ein Update bis zum Ende geladen und installiert wird. Microsoft rechtfertigt diesen Schritt damit, den Dienst verbessern zu wollen.

Bundesdatenschutzbeauftragter verurteilt Überlegungen. Die Überlegungen des sächsischen Innenministers Albrecht Buttolo (CDU), Daten von Sexualstraftätern im Internet zu veröffentlichen, wurden vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, Peter Schaar, scharf kritisiert.

Software von G Data tritt in Konkurrenz zu Microsoft und Symantec. Mit dem neuen Windows-Produkt InternetSecurity TotalCare bringt G Data ein Sicherheitsprodukt, das in direkte Konkurrenz zu Microsofts OneCare und Symantec Norton 360 tritt. Es besteht aus einem Virenscanner, einem Spam-Filter, einer Software-Firewall, einer Backup-Lösung mit 1 GByte Online-Speicher und einem Tuning-Werkzeug für das Betriebssystem.

Aktuelle WGA Notification 1.7 überträgt Daten auch bei Nicht-Installation. Die angekündigte neue Lizenzprüfung WGA Notification 1.7 von Microsoft wird nun verteilt und verhält sich anders als die Vorversionen. Selbst wenn die Einspielung der neuen Version vom Nutzer abgelehnt wird, werden Daten an Microsoft übermittelt. Der Software-Konzern beschwichtigt, dass damit lediglich die Qualität der Software verbessert werden solle.

Neue Vorschauversion auf "Orcas". Für die Entwicklungsumgebung Visual Studio 2005 steht nun ein Update bereit, das neue Funktionen im Hinblick auf Windows Vista mitbringt. Programmierer sollen damit Anwendungen schreiben können, die ohne Probleme unter dem neuen Betriebssystem laufen. Auch die aktuelle Vorschauversion auf die nächste Visual-Studio-Generation steht zum Download bereit.

Patch korrigiert Fehler, Service Pack 2 in aktualisierter Version erschienen. Im jüngst erschienenen Service Pack 2 für den SQL Server 2005 steckt ein Fehler, der nun mit einem Patch korrigiert wurde. Zudem hat Microsoft ein aktualisiertes Service Pack 2 für den SQL Server 2005 veröffentlicht, in dem der Fehler bereits korrigiert ist.

Patch für QuickTime und neue iTunes-Version erschienen. Mit einem QuickTime-Update schließt Apple gleich acht gefährliche Sicherheitslücken. Ein Sicherheitsleck betrifft nur die Windows-Ausführung, während die sieben übrigen Sicherheitslecks sowohl in der Windows- als auch in der Mac-Ausführung von QuickTime stecken. Zudem hat Apples iTunes-Software ein Update erfahren.

Update auf Version 2.1.2 dringend angeraten. Einem Cracker ist es gelungen, eine kritische Sicherheitslücke in Wordpress 2.1.1 einzuschleusen. Zwar sind nicht alle Downloads dieser Version betroffen, mit der neuen Version 2.1.2 wollen die Entwickler aber ein klares Zeichen setzen, denn darin ist die Sicherheitslücke ihren Angaben nach definitiv beseitigt.

Neue Thunderbird-Version bringt ansonsten nur Fehlerkorrekturen. Es wurde bereits erwartet, ist vom Mozilla-Team aber immer noch nicht offiziell angekündigt worden: Das Sicherheits-Update für den E-Mail-Client Thunderbird findet sich auf den Mozilla-Seiten, nachdem bereits entsprechende Patches für Firefox und SeaMonkey erschienen sind. Die aktuelle Version schließt zwei Sicherheitslücken in Thunderbird.

Drei Sicherheitslücken am ersten Tag des "Month of PHP Bugs". In die Version 4.4.5 von PHP hat sich ein Fehler eingeschlichen, der PHP unter nicht unüblichen Umständen zum Absturz bringen kann. Derweil hat Stefan Esser die ersten Sicherheitslücken im Rahmen des von ihm ausgerufenen "Month of PHP Bugs" veröffentlicht.

Dave Maynor demonstriert Lücke bei Blackhat-Konferenz. Der Sicherheitsexperte Dave Maynor hat die bereits im August 2006 entdeckte Lücke in der WLAN-Software von MacOS X auf den derzeit in den USA stattfindenden Blackhat-Briefings erneut vorgeführt. Maynor erklärte auch, dass dieser Fehler inzwischen beseitigt sei und klärte einige offene Fragen.

Windows-Software mit Online-Backup und 2 GByte Backup-Speicher. Symantec bringt mit Norton 360 ein neues Sicherheitspaket zum Schutz und zur Absicherung von Windows-PCs. Neben der Abwehr von Internetattacken und der Beseitigung von Schadsoftware deckt das Programm auch Backup-Funktionen ab, die lokal sowie online arbeiten. Im Preis ist ein Online-Backup-Speicher von 2 GByte enthalten.

Kommunen nehmen Fingerabdrücke für den ePass der zweiten Generation. Ab dem 1. März 2007 läuft ein Pilotversuch in über 20 Passbehörden in Deutschland an, bei dem der neue elektronische Reisepass der zweiten Generation getestet werden soll. Dazu gehört auch ein Fingerabdruck des Passinhabers, der mit elektronischen Lesegeräten erfasst und der Bundesdruckerei übermittelt wird.

SeaMonkey in Version 1.0.8 sowie 1.1.1 erschienen. Die auf der Gecko-Engine beruhende Browser-Suite Mozilla steht ab sofort in aktualisierten Versionen bereit. Beide Fassungen schließen einige Sicherheitslücken, um die Sicherheit der Software zu verbessern. Zudem hat SeaMonkey 1.1.1 einige Fehlerkorrekturen erfahren.

Genaue Beschreibung bei Security Focus erschienen. Auf dem 23. "Chaos Communication Congress" (23C3) hat am 30. Dezember 2006 ein maskierter, wortloser Hacker kurz das Ausführen von eigenem Code auf der Xbox 360 demonstriert und versprochen, dass bald Linux und MacOS X auf der Konsole laufen würden. Ein Eintrag auf Security Focus hat nun den Hack bestätigt, allerdings wird es doch erstmal nichts mit neuen Betriebssystemen für die Xbox 360.

Hacker vermelden dennoch weitere Erfolge. Während Hacker versuchen, den AACS-Kopierschutz von Blu-ray Disc und HD-DVD Stück für Stück auszuhebeln, bleibt auch die Filmindustrie nicht untätig: Sourceforge.net hat den Quellcode für das Tool BackupHDDVD wieder offline genommen.