IT-Sicherheit

Erste Beta-Versionen angeblich an ausgewählte Tester verschickt. Microsofts Entwickler arbeiten fleißig an Service Packs für Windows Vista und Windows XP. Die Beta-Versionen der kommenden Service Packs sollen einem ausgewählten Kreis von Testern bereits zur Verfügung gestellt worden sein. Offiziell sagt Microsoft dies aber nicht.

Neue Demos vom Security-Experten Dave Maynor. Auf der in der vergangenen Woche in Las Vegas abgehaltenen BlackHat-Konferenz hat der in der Security-Branche recht bekannte Dave Maynor zusammen mit Robert Graham, beide inzwischen Besitzer von "Errata Security", seine neuen Erkenntnisse ausgebreitet. Die beiden zeigten dabei, wie man mit einfachsten Mitteln an WLAN-Hotspots fremde Identitäten annehmen kann, beispielsweise den Zugang zu einem E-Mail-Konto eines Webmailers.

Manipulierbare Speicherkarten und Signaturfälschungen. Wahlcomputer, die bei den amerikanischen Präsidentschafts-Vorwahlen in Florida eingesetzt werden sollen, weisen deutliche Mängel auf und können das Ergebnis fälschen. In einem offenen Brief an die Firma Diebold Election Systems hat der für die Wahlen zuständige Minister Browning den Wahlmaschinenlieferanten über die Lücken informiert und um Nachbesserung gebeten.

Mozilla-Entwickler stopfen URI-Lücke auch in ihrem E-Mail-Client. Nachdem die Mozilla-Entwickler die URI-Lücke im Zusammenspiel zwischen Firefox und Internet Explorer 7 eindämmten, folgt nun auch ein entsprechendes Update für den E-Mail-Client Thunderbird. Die Sicherheitslücke erlaubt es Dritten, Applikationen auf fremden Rechnern zu starten und ist nicht auf die Mozilla-Produkte beschränkt.

Security Update 2007-007 für MacOS X 10.4.10 veröffentlicht. Apple hat ein erstes Update für sein iPhone veröffentlicht. Dieses schließt allerdings nur einige Sicherheitslücken, neue Funktionen bringt es nicht mit. Gleiches gilt für ein Patch-Paket für MacOS X das ebenfalls erschienen ist. Zudem wurde eine neue Beta-Version des Browsers Safari 3 für MacOS X und Windows veröffentlicht.

Weitere Programme von Fehler betroffen. Der freie PDF-Betrachter Xpdf enthält eine kritische Sicherheitslücke, durch die Angreifer Programmcode auf einem System ausführen können. Da andere Projekte den Xpdf-Code nutzen, sind beispielsweise auch KDE und CUPS von dem Fehler betroffen.

Beta-Versionen des Updates machen Kopiervorgänge doppelt so schnell. Mehrere US-Webseiten berichten von einem Patch-Paket für Windows Vista, das unter anderem das recht zähe Kopieren von Dateien mit Microsofts neuem Betriebssystem beschleunigen soll. Das Update, das in unautorisierten Beta-Versionen bereits im Netz kursiert, soll zudem aber auch zahlreiche Kompatibilitätsprobleme lösen und für zuverlässigeren Betrieb sorgen.

Windows XP mit Internet Explorer 7 gefährdet. Eine Sicherheitslücke die bei Firefox unter Window XP im Zusammenspiel mit dem Internet Explorer 7 auftritt, erlaubt es, fremden Code auf Windows-Rechnern auszuführen. Firefox 2.0.0.6 schränkt die mit dieser Sicherheitslücke zusammenhängende Gefahr ein, schließt aber die Lücke nicht ganz. Auch andere Applikationen als Firefox sind von dem Problem betroffen, denn der Fehler steckt wohl im Verhalten des Windows-Shell-API.

Angreifer können Daten ausspähen. Die Sicherheitsfirma Security Evaluators hat Sicherheitslecks in Apples iPhone entdeckt, das von Angreifern dazu missbraucht werden kann, Daten auszuspionieren. Die Sicherheitsanfälligkeiten treten im iPhone-Browser und im Zusammenspiel mit der WLAN-Funktion des Apple-Handys auf.

TeleSec droht Entzug der Akkreditierung durch die Bundesnetzagentur. Die Bundesnetzagentur erwägt der Telekom die Genehmigung zum Betrieb ihrer Zertifizierungsstelle TeleSec zu entziehen. Die Telekom hat Teile ihres akkreditierten Zertifizierungsdienstes örtlich verlagert und an anderem Standort neu in Betrieb genommen - ohne dies der Bundesnetzagentur als Aufsichtsbehörde mitzuteilen.

Private PCs auf Ethernet-Ebene verbunden, nicht per Internet. In der am Montag, den 23. Juli 2007 erscheinenden Ausgabe berichtet die Zeitschrift c't über Fehlkonfigurationen bei DSL-Providern. Dadurch kann man auf Kosten anderer Nutzer - und mit deren IP-Adresse - mitsurfen, aber unter Umständen auch Windows-Freigaben einsehen. Bereits die Vorab-Berichterstattung sorgte für viel Wirbel und zahlreiche Missverständnisse.

Ask.com lässt Nutzer Suchgeschichte löschen. Im Kampf um die Aufmerksamkeit der Internet-Bevölkerung setzen die Betreiber der Suchmaschine Ask.com ein deutliches Zeichen für den Datenschutz. Ein neues Werkzeug namens AskEraser soll Ask.com-Nutzer ihre Suchgeschichte löschen lassen.

Windows-Freigaben werden bei Providern durch ganze Subnetze verteilt. Bei einigen deutschen DSL-Providern weisen die internen Netze massive Fehlkonfigurationen auf. Dadurch kann man beispielsweise die Festplatten seines Nachbarn durchsuchen - oder auf dessen Kosten surfen.

Updates schließen Sicherheitslücken. Nachdem kürzlich Firefox in der Version 2.0.0.5 erschienen ist, um Sicherheitslücken zu schließen, stehen nun auch die Mozilla-Applikationen Thunderbird, SeaMonkey und Flock in korrigierten Fassungen bereit. Mit Thunderbird 2.0.0.5 werden zwei als gefährlich eingestufte Sicherheitslecks geschlossen.

Update schließt Sicherheitslücken und bringt einige Verbesserungen. Der Web-Browser Opera steht ab sofort in der Version 9.22 als Download zur Verfügung. Die neue Version beseitigt unter anderem ein Sicherheitsleck, das für Phishing-Angriffe missbraucht werden kann. Ansonsten hat der Browser Fehlerkorrekturen erfahren und soll insgesamt zuverlässiger agieren.

Beta des Service Pack 1 für Windows Vista in den nächsten Tagen erwartet. ZDNet-Reporterin Mary Jo Foley hatte vor einigen Tagen Microsoft-Quellen zitiert, wonach eine erste Beta-Version des Service Pack 1 für Windows Vista am 16. Juli 2007 erscheinen wird. Daraus wurde aber nichts. Nun erwartet Foley die Veröffentlichung für den 19. Juli 2007.

Übersicht soll bei Beurteilung der Updates helfen. Mit der Patch-Sammlung für Juli 2007 schließt Oracle insgesamt 45 Sicherheitslöcher in seinen Produkten. In einer Risk Matrix gibt Oracle wieder an, wie wichtig die einzelnen Updates einzustufen sind.

Angreifer können Telefonate verfolgen oder selbst Anrufe starten. Der Sicherheitsspezialist SPI Labs warnt iPhone-Besitzer davor, über den iPhone-Browser Telefonnummern auf Webseiten anzuwählen. Durch antippen kann eine Rufnummer innerhalb einer Webseite aus dem Browser heraus angerufen werden, indem diese an die Telefonapplikation übergeben wird. Hierbei tritt eine Sicherheitslücke auf, die sich Hacker zunutze machen können, um Schadcode auszuführen.

Lebensdauer der Cookies wird auf zwei Jahre verkürzt. Google reagiert mit kleinen Schritten auf die Kritik von Datenschützern und ändert nun seine Cookie-Politik: Künftig sollen Cookies nur zwei Jahre halten, bislang hatte Google seinen Cookies eine Lebenszeit bis zum Jahr 2038 verpasst.

Neue Version schließt acht gefährliche Sicherheitslücken in QuickTime. Mit der aktuellen Version erhält die Gratis-Version von QuickTime endlich eine Option, um Videos im Vollbildmodus darzustellen. Zudem weist Apples QuickTime acht gefährliche Sicherheitslecks auf, die sowohl die Windows- als auch die Mac-Ausführung betreffen und mit dem Update geschlossen werden sollen. Im Zuge dessen wurde auch iTunes aktualisiert, um einen Fehler beim Zugriff auf die iTunes-Bibliothek zu beseitigen.

Beleuchtungsverhältnisse beeinflussen stark die Erkennungsfähigkeit. Das Bundeskriminalamt (BKA) führte von Oktober 2006 bis Januar 2007 im Auftrag des Bundesinnenministeriums im Mainzer Hauptbahnhof ein Biometrieprojekt durch. Dabei wurde versucht, 200 freiwillige Testpersonen aus der Masse der Reisenden automatisch per Video-Überwachung herauszufinden. Nun liegt der Bericht zur "Foto-Fahndung" vor - und ist ernüchternd für die Fahnder.

Angreifer können fremde Systeme unter ihre Kontrolle bringen. Adobe beseitigt einige Sicherheitslücken in Photoshop CS2 und CS3, mit denen sich Angreifer Kontrolle über entsprechende Systeme verschaffen können. Auch für den Flash-Player wurde ein wichtiges Update veröffentlicht.

Fehler in Firewall von Windows Vista. Allein drei Sicherheitslücken korrigiert Microsoft mit einem Patch in der Tabellenkalkulation Excel und ein weiteres Sicherheitsleck steckt in der Office-Komponente Publisher. Zudem muss Microsoft am diesmonatigen Patch-Day insgesamt vier Sicherheitslöcher in Windows beseitigen. Ein Fehler davon betrifft die Firewall von Windows Vista.

Beta-Version des Service Pack 1 soll Mitte Juli 2007 erscheinen. Um den Erscheinungstermin für das Service Pack 1 für Windows Vista gibt es einige Verwirrung. Nach Insider-Informationen soll die Beta-Version des Service Pack 1 für Windows Vista noch im Juli 2007 erscheinen, so dass die Final-Version doch im November 2007 erscheinen könnte.

Verteidigungsministerium gibt gelöschte Dokumente verloren. Das Verteidigungsministerium rechnet nicht mehr damit, dass die gelöschten Dokumente aus den Jahren 1999 bis 2003 wieder auftauchen. Bei einer Datenpanne wurde der gesamte Bestand an Geheimdienstinformationen aus den Jahren 1999 bis 2003 im "Amt für Nachrichtenwesen der Bundeswehr" vernichtet.

Umstrittene Regelungen könnten Arbeiten von Sicherheitsexperten kriminalisieren. Den umstrittenen Plänen der Bundesregierung zum "Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität" hat nach dem Bundestag nun auch der Bundesrat zugestimmt. Hacker und Informatiker hatten die geplante Regelung heftig kritisiert, sehen sie die Arbeit von Sicherheitsexperten und auch die universitäre Lehre doch bedroht und kriminalisiert.

Service Pack 1 für Windows Vista kommt erst 2008. Microsoft bekommt Service Pack 1 für Windows Vista nicht mehr dieses Jahr fertig. Ende 2007 soll lediglich eine Beta-Version erscheinen, das fertige Service Pack wird dann erst im kommenden Jahr zu haben sein. Microsoft will damit die Einbindung von Desktop-Suchmaschinen in Vista für Konkurrenten vereinfachen.

Vorabinformationen zum Patch-Day im Juli 2007. Am 10. Juli 2007 wird Microsoft in diesem Monat eine Reihe von Patches für seine Produkte veröffentlichen, um Sicherheitslücken in Windows und Office zu schließen. Wie auch im Vormonat sind wieder sechs Security Bulletins geplant, um Sicherheitslücken zu schließen, die einem Angreifer das Ausführen von Programmcode und damit eine umfassende Kontrolle über ein fremdes System erlaubt.

Freiminuten-Werbeaktion in Zukunft nur noch gegen Angabe der Handy-Nummer. Um mehr Leute für die internationale WLAN-Gemeinschaft FON zu gewinnen, startete der gleichnamige spanische Betreiber im Juni 2007 eine Freiminuten-Werbeaktion. Diese "WiFi Ads" auf den Startseiten der privat betriebenen FON-Hotspots gehen kritischen FON-Nutzern zufolge mit Sicherheitsproblemen einher. Das will FON zwar so nach mittlerweile erfolgter Analyse nicht bestätigen, verspricht aber dennoch zu handeln.

Apple kauft Domain www.iphone.com. Der für seinen DVD-Hack bekannte Programmierer Jon Johansen hat eine Möglichkeit gefunden, Apples iPhone auch ohne Aktivierung bei AT&T nutzen zu können. Zudem soll die Domain www.iphone.com von Apple aufgekauft worden sein - für angeblich 1 Million US-Dollar.

Schau mir in die Augen, Irikon. Das koreanische Unternehmen Rehoboth Tech hat einen Speicherstick vorgestellt, der zur Authentifizierung des Nutzers einen Iris-Scan vornimmt. 20 Augenbilder sind im Irikon speicherbar, das bei erfolgreicher Verifikation den Speicherinhalt freigibt.

Vorratsdatenspeicherung unverhältnismäßig und damit verfassungswidrig? Die geplante Vorratsdatenspeicherung ist unverhältnismäßig und damit verfassungswidrig, zu diesem Ergebnis kommt das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD), das im Auftrag des Innen- und Rechtsausschusses des Schleswig-Holsteinischen Landtags eine ausführliche Stellungnahme zum Entwurf für das "Gesetz zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen sowie zur Umsetzung der Richtlinie 2006/24/EG" erstellt hat. Die Datenschützer appellieren an den Bundesgesetzgeber, von der Vorratsdatenspeicherung Abstand zu nehmen.

Systeme mit Windows XP, Vista und Windows Server 2003 betroffen. Für alle aktuellen Windows-Systeme hat Microsoft einen Patch veröffentlicht, der Fehler im Betriebssystem ausbessert, die auf allen Systemen mit Intel-Prozessoren auftreten können. Mit dem Patch soll die Zuverlässigkeit von Windows verbessert werden. Welche Fehler der Patch im Detail korrigiert und wie wichtig eine Einspielung ist, hat Microsoft nicht verraten.

Verbesserte heuristische Prüfung und erweiterte Rootkit-Erkennung. Kaspersky hat seinen Virenscanner aktualisiert und will mit diesem den Schutz von Windows-PCs drastisch erhöhen. Eine neue heuristische Analyse arbeitet nun in einer speziellen Emulationsebene, um darin potenzielle Schadsoftware zu testen, ohne dass das Hauptsystem in Mitleidenschaft gezogen werden kann.

Datensammlung über Auslandseinsätze der Bundeswehr weg. Das Backup wichtiger Daten nicht mehr wiederherstellen zu können, dürfte für die meisten Admins den Albtraum schlechthin darstellen. Das dürfte auch den IT-Spezialisten der Bundeswehr nicht anders gehen, denen dies mit besonders brisanten Informationen passierte: einer geheimen Datensammlung über Auslandseinsätze der Bundeswehr.

Werbeaktion für 15-minütigen Freizugang lässt sich missbrauchen. Wer sich an der WLAN-Community FON aktiv beteiligt, stellt anderen seine DSL-Verbindung kostenlos oder auch gegen Entgelt per Funk zur Verfügung - sofern die Gäste eine FON-Kennung haben. Im Rahmen einer Werbeaktion lässt FON jedoch Fremde auch ohne ordentliche Anmeldung und damit im Grunde anonym auf die FON-Hotspots - was deren private Betreiber nicht sonderlich erfreut.

Hacker nutzen Ubisofts PSP-Spiel Lumines, um Code auszuführen. Mit Ubisofts PSP-Spiel Lumines und einem modifizierten Spielstand ist es den Hackern von Noobz in Partnerschaft mit Archaemic gelungen, selbst geschriebene Software ("Homebrew") auf allen PSP-Firmware-Versionen zum Laufen zu bringen. In der Regel läuft vom Hersteller nicht autorisierte Software auch nicht auf Spielekonsolen oder Spielehandhelds - eine Hürde, die Tüftler zu beseitigen versuchen.

PGP Corporation erhält 27,3 Millionen US-Dollar. Die PGP Corporation hat in einer dritten Finanzierungsrunde 27,3 Millionen US-Dollar erhalten. Zu den Investoren zählt unter anderem der Venture-Capital-Bereich von Intel. Außerdem hat sich die D.E. Shaw Group an der neuen Finanzierungsrunde beteiligt.

Bessere Sicherheit für Windows Vista als für Linux und MacOS X. Microsoft hat eine Studie veröffentlicht, wonach Windows Vista sechs Monate nach der Fertigstellung weniger Sicherheitslücken aufgewiesen hat als Linux oder MacOS X. Auch die Menge der bis zu diesem Zeitpunkt korrigierten Sicherheitslecks soll in Windows Vista geringer gewesen sein als in Linux und MacOS X.

Hunderte Angriffe auf die IT des Pentagon pro Tag. Das US-Verteidigungsministerium hat Teile seines E-Mail-Systems abgeschaltet, nachdem es Unbekannten gelungen war, in das System einzudringen. Insgesamt waren rund 1.500 Rechner betroffen.

Webseiten angeblich aus dem Google-Index genommen. Derzeit machen deutschsprachige E-Mails die Runde, in der Webmaster darauf hingewiesen werden, dass ihre Internetpräsenz aus Googles Suchindex entfernt wurde oder wird. Dahinter steckt allem Anschein nach lediglich eine Spam-Welle und Empfänger sollten sich dadurch nicht verunsichern lassen.

Erweiterte RAW-Unterstützung für neue Digitalkameras. Apple hat die Version 10.4.10 von MacOS X als Update veröffentlicht und korrigiert damit verschiedene Fehler im Betriebssystem. Große Neuerungen hat das Update somit nicht zu bieten, so dass keine neuen Funktionen darin zu finden sind.

Angreifer können beliebigen Programmcode ausführen. In Google Online-Office "Text & Tabellen" befindet sich ein gefährliches Sicherheitsleck, über das Angreifer beliebigen Code ausführen können. Bereits das Öffnen eines entsprechend präparierten Textdokuments genügt, um Opfer eines solchen Angriffs zu werden.