IT-Sicherheit

Michael Ott zeigt XSS-Lücken in 10 Websites auf. Der IT-Sicherheits-Spezialist WhiteHat Security warnt vor neuen Angriffsmethoden auf Unternehmensnetze durch Cross-Site-Scripting-Lücken (XSS) in Webapplikationen. Auf diesem Wege lassen sich beispielsweise Portscans interner Netze durchführen oder Router und Firewalls neu konfigurieren warnt das Unternehmen.

Schadprogramm protokolliert alle Browser-Eingaben. In den USA wurde ein Trojanisches Pferd entdeckt, das sich als vorgebliche Wal-Mart-Rechnung ausgibt und Firefox attackiert. Das als exe-Datei daherkommende Schadprogramm installiert eine Firefox-Erweiterung, die fortan alle Browser-Eingaben protokolliert, um etwa Zugangsdaten zu Online-Shops oder Banking-Systemen auszuspähen.

Proxy entdeckt Sicherheitslücken in Webapplikationen. Chorizo soll Sicherheitslücken in Webapplikationen aufdecken und ist ab sofort für die Allgemeinheit verfügbar. Zunächst ist Chorizo dabei auf PHP-Applikationen optimiert, untersucht aber auch JavaScript und kann mit Ajax-Anwendungen umgehen.

Microsofts Antivirenlösung für Exchange Server 2007 im Beta-Test. Microsoft hat eine offizielle Beta 2 von Exchange Server 2007 veröffentlicht, die von einer Beta der Sicherheitslösung Forefront Security for Exchange Server ergänzt wird. Mit der Beta 2 bietet der Exchange Server 2007 erstmals alle geplanten Programmfunktionen, so dass die neue Version auf Herz und Nieren geprüft werden kann.

Forschungsanstrengungen in IT-Sicherheit müssen ausgeweitet werden. Die Computerindustrie müsse ein stärkeres Augenmerk auf das Thema Sicherheit richten, meint Dr. Udo Helmbrecht, der Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Sowohl die Wirtschaft als auch die Verwaltung setze stark auf Computertechnik, so dass ein störungsfreier Einsatz besonders wichtig ist. Daher müsste stärker im Bereich der IT-Frühwarnsysteme geforscht werden.

Netzwerk-Stack von Windows XP arbeitet zuverlässiger als der von Windows Vista. Sicherheitsexperten von Symantec haben den neuen Netzwerk-Stack in Windows Vista näher unter die Lupe genommen und fanden auf Anhieb einige Schwachstellen. Für den Windows-XP-Nachfolger hat Microsoft den Netzwerk-Stack von Grund auf neu geschrieben. Im Zuge dessen erwartet Symantec, dass es noch Jahre dauern wird, bis der Vista-Netzwerk-Stack die Zuverlässigkeit des XP-Stacks erlangen wird.

DoS-Angriff per FTP möglich. Ein Sicherheitsloch im Kernel von Solaris 10 ermöglicht Denial-of-Service-Angriffe. Diese lassen sich von lokalen Nutzern, aber auch über FTP ausführen. Updates für SPARC und x86 sind bereits verfügbar.

Bundesregierung: RFID-Chips für den Masseneinsatz bei Veranstaltungen tauglich. Die Bundesregierung hat zu einer kleinen Anfrage von Bündnis90/Die Grünen erklärt, dass es nie vorgesehen war, die Identität aller Stadienbesucher zur Fußball-Weltmeisterschaft 2006 in Deutschland zu überprüfen. Die Identität der Ticketinhaber sei nur stichprobenartig geprüft worden.

Winziger Speicherbaustein ohne eigene Energieversorgung. Forscher von Hewlett-Packard haben einen winzigen Chip vorgestellt, der ohne eigene Stromversorgung wie ein RFID-Chip auch per induktiver Kopplung von einem Schreib-Lese-Gerät drahtlos ausgelesen bzw. beschrieben werden kann. Gegenüber herkömmlichen RFID-Bausteinen liegt sein großer Vorteil nicht nur in der Fläche von 2 bis 4 Quadratmillimetern, sondern vor allem in der höheren Speicherkapazität.

Sicherheitsloch erlaubt Ausführung von Makro-Befehlen. Für das nicht mehr ganz taufrische OpenOffice.org 1.1.5 wurde ein Patch veröffentlicht, um eine darin entdeckte Sicherheitslücke zu schließen. Das Sicherheitsleck erlaubt einer manipulierten OpenOffice.org-Datei die Ausführung von Basic-Befehlen, ohne vom Anwender eine Bestätigung einzufordern.

Verschlüsselungsalgorithmus sichert Daten an Bord. Die russische Firma JSC Ancort hat den Juwelier Peter Aloisson beauftragt, das Crypto-Smartphone von Crypto Telecommunication Security ein wenig zu veredeln. Dabei entstand ein 1,3 Millionen US-Dollar wertvolles Designer-Stück, das derzeit als das teuerste Mobiltelefon der Welt gilt. Das aus Platin gebaute WindowsCE-Modell verschlüsselt Inhalte mit einem 256-Bit-Algorithmus. Das Firmenlogo und der Joystick sind aus 18-karätigem Gold. Auch die Navigationstaste glitzert nur so, schließlich ist sie mit 28 Edelsteinen besetzt.

Patch-Sammlungen mit Sicherheitsaktualisierungen vom Juli 2006. Die drei Anbieter Winboard.org, WinFuture.de und Winhelpline.de haben wieder inoffizielle Patch-Pakete für die Windows-Plattform bereitgestellt. Die Pakete enthalten die am diesmonatigen Patch-Day veröffentlichten Sicherheitsaktualisierungen für die Windows-Plattform.

Entwickler-Zugang wurde geknackt. Für den Einbruch in den Debian-Entwicklungsrechner "Gluck" wurde ein Fehler im Linux-Kernel ausgenutzt. Der Angreifer knackte einen Entwicklerzugang, über den er dann unter Ausnutzung des Fehlers Root-Rechte erlangte. Schaden richtete er allerdings nicht an.

Angreifer nutzten eventuell Lücke im Linux-Kernel. In den Entwicklungsrechner "Gluck" des Debian-Projektes wurde eingebrochen, weshalb er vorerst vom Netz genommen wurde. Dadurch sind einige Dienste derzeit nicht erreichbar. Wie es zu dem Einbruch kommen konnte, ist noch nicht geklärt, es gibt jedoch Vermutungen, dass eine aktuelle Sicherheitslücke des Linux-Kernels ausgenutzt wurde.

Sicherheitslücke im Installer der Alternate- und Server-CD. Durch einen Fehler im Textinstaller von Ubuntu 6.06 LTS bleibt das Root-Passwort unter Umständen leer. Normalerweise sperrt die Distribution das Passwort, so dass eine Anmeldung als Root nicht möglich ist. Durch den Fehler kann jedoch jeder Nutzer Root-Rechte erlangen und hat somit uneingeschränkten Zugriff auf das System.

Microsoft korrigiert Sicherheitsloch im .NET Framework 2.0. In Windows bzw. Komponenten davon schließt Microsoft am Patch-Day des Monats Juli 2006 insgesamt vier Sicherheitslecks. Ein Teil davon kann zur Ausführung von Programmcode missbraucht werden, womit sich ein Angreifer eine umfassende Kontrolle über ein fremdes System verschaffen könnte.

Allein sieben Sicherheitslecks in Excel gefunden. Sowohl für die Tabellenkalkulation Excel als auch für eine Reihe anderer Office-Applikationen hat Microsoft Sicherheits-Patches veröffentlicht, um insgesamt zwölf Sicherheitslücken zu schließen. Die Sicherheitslücken werden als kritisch eingestuft und erlauben die Ausführung beliebigen Programmcodes.

Kopieren von Filmen soll unterdrückt werden. Kürzlich berichtete die c't davon, dass die Bildschirmfoto-Funktion von WinDVD HD dafür genutzt werden könnte, den Kopierschutz von HD-DVD- und Blu-ray-Spielfilmen zu umgehen. Ein von Intervideo angebotenes Update der WinDVD-Software für Toshibas HD-DVD-Notebook Qosmio G30 unterbindet das mittlerweile.

Angreifer kann beliebigen Programmcode ausführen. In Microsofts Textverarbeitung Word wurde ein Sicherheitsloch entdeckt, worüber sich beliebiger Programmcode auf fremde Systeme schleusen und ausführen lässt. Damit können Angreifer Systeme unbefugt unter ihre Kontrolle bringen. Bislang gibt es keinen Patch zur Abhilfe.

Einzelner Client für WLAN- und LAN-Zugangskontrolle. Cisco hat das US-amerikanische Unternehmen Meetinghouse übernommen, das sich auf Sicherheitssoftware für Wireless-LANs spezialisiert hat. Die Lösungen richten sich an Firmenkunden, die nur autorisierten Nutzern Zugang zu ihren WLAN- und LAN-Netzen geben wollen.

Fachmagazin c't entdeckt Kopierschutzlücke. Aus Sorge der Filmstudios vor digitalen Kopien sollen die DVD-Nachfolger Blu-ray Disc und HD DVD auf ihnen gespeicherte hochauflösende Filme mit komplexem Kopierschutz (AACS) und verschlüsselter Übertragung (HDCP) zum Monitor, Fernseher oder Projektor schützen. Die c't hat nun beim Test der ersten PCs und Notebooks mit Blu-ray- und HD-DVD-Laufwerken festgestellt, dass die Sicherheitskette ein Loch aufweist - unter Windows XP ließen sich per Wiedergabe-Software Screenshots in voller Auflösung anfertigen.

Vorabinformation zu Microsofts Patch-Day am 11. Juli 2006. Sicherheitslücken in Windows und Office nimmt Microsoft am allmonatlichen Patch-Day für den 11. Juli 2006 ins Visier. Während vier Patches für Windows geplant sind, gibt es drei Aktualisierungen für Office. Da Redmond die sieben Sicherheits-Patches als kritisch einstuft, wird eine baldige Einspielung nach Verfügbarkeit empfohlen.

Microsoft gibt Private Folder 1.0 kostenlos ab. Ab sofort bietet Microsoft mit Private Folder eine kostenlose Windows-Software an, um gezielt die Daten in einem Verzeichnis zu verschlüsseln. Besonders wenn mehrere Nutzer an einem Computer arbeiten, sollen sich so vertrauliche Daten vor fremden Blicken schützen lassen.

Fehler schon seit Kernel-Version 2.2.16 vorhanden. Ein Tippfehler im CD-ROM-Treiber des Linux-Kernels ist für eine Sicherheitslücke verantwortlich, durch die Angreifer Root-Rechte erlangen können. Der Fehler existiert offensichtlich bereits seit der Kernel-Version 2.2.16.

Updates auf Horde 3.0.11 und 3.1.2. Für das freie Applikations-Framework Horde sind zwei Sicherheits-Updates auf die Versionen 3.0.10 und 3.1.2 erschienen. Beide korrigieren Sicherheitslücken, die alle Versionen ab 3.0 betreffen. Frühere Versionen hingegen enthalten die Fehler nicht.

Online-Konsultation bis Mitte September 2006. Die europäische Kommission sammelt in einer Online-Umfrage Stimmen der Europäer zum zukünftigen Umgang mit der RFID-Technik. Die Ergebnisse sollen im Dezember 2006 zu Vorschlägen für eine EU-Richtlinie zusammengefasst werden.

Sony Computer Entertainment wird die Firmware 1.50 nicht los. Sony Computer Entertainment hat ein Problem: Nicht nur, dass vor kurzem eine Möglichkeit aufgetaucht ist, die Firmware-Versionen 2.5 und 2.6 der PlayStation Portable durch die "unsichere" Firmware 1.50 zu ersetzen. Nun fand ein Tüftler auch noch eine weitere Methode heraus, wie mit der Firmware 1.50 und Zusatzsoftware direkt Kopien von bestimmten Spielen von der UMD auf den Memory Stick gezogen werden können.

Sicherheitslücke erlaubt Ausführung von Programmcode; kein Patch verfügbar. Im Internet Explorer wurde ein neues Sicherheitsloch entdeckt, worüber Angreifer beliebigen Programmcode ausführen können. Beispiel-Code illustriert und belegt das Sicherheitsloch, das in den Funktionen für die HTML-Hilfe des Internet Explorer steckt. Bislang steht kein Patch zur Abhilfe bereit.

Windows Vista erhält neuen Aktivierungsmechanismus. Ende vergangener Woche berichteten zahlreiche IT-Medien über ein Gerücht, wonach Microsoft die kürzlich aus der Pilotphase kommende Gültigkeitsprüfung für Windows verpflichtend machen werde. Diesen Mutmaßungen widersprach der Software-Gigant nun und stellte klar, dass solche Maßnahmen für Windows XP nicht kommen. Allerdings erhält Windows Vista einen geänderten Aktivierungsmechanismus.

Star-Office-Patch enthält Änderungen aus OpenOffice.org 2.0.3. Nachdem die Version 2.0.3 von OpenOffice.org mit Verzögerung erschienen ist, bietet Sun ein aktualisiertes Update für StarOffice 8 an. Der überarbeitete Patch umfasst nun alle in OpenOffice.org 2.0.3 enthaltenen Fehlerkorrekturen und schließt drei Sicherheitslücken in StarOffice 8.

Strenge rechtliche Regelungen für den Datenschutz gefordert. Die großen Industrieverbände sehen die Radiofrequenz-Identifikation (RFID) in Deutschland und Europa vor dem Durchbruch. Laut einer Studie der Deutschen Bank wächst der Weltmarkt für diese Systeme sowohl im Hard- und Software-Bereich als auch bei den Dienstleistungen von 2004 bis 2010 von 1,5 auf 22 Milliarden Euro. Doch Verbraucherschützer monieren: Wenn bald jeder Joghurtbecher vom Regal über die Kasse bis in den privaten Kühlschrank daheim verfolgt werden kann, werde der Konsument zum gläsernen Kunden.

Apple bringt iTunes 6.0.5 für Windows und MacOS X. Die neue Version 6.0.5 von iTunes schließt ein gefährliches Sicherheitsloch, worüber Angreifer beliebigen Programmcode ausführen könnten. Angreifer könnten so eine umfassende Kontrolle über ein fremdes System erhalten. Das Sicherheitsloch betrifft sowohl die Windows- als auch die Mac-Ausführung von iTunes.

MacOS X 10.4.7 für Intel-Macs liegt in korrigierter Form vor. Das vor wenigen Tagen erschienene Update auf MacOS X 10.4.7 enthielt in der Intel-Ausführung einige Fehler, wie Apple per Mailingliste eingestand. Mittlerweile soll eine korrigierte Fassung von MacOS X 10.4.7 für Intel-Macs zum Download bereitstehen. Auf den Download-Seiten von Apple fehlt jeglicher Hinweis zu dem Vorkommnis.

Windows-Anwender verklagt Microsoft wegen Lizenzprüfung. In den USA hat ein Windows-Nutzer aus Los Angeles eine Klage gegen Microsoft eingereicht, wonach der Konzern Spyware vertreiben würde. Stein des Anstoßes ist die seit dem gestrigen 28. Juni 2006 der Pilotphase entstiegene Gültigkeitsprüfung einer Windows-Lizenz. Der Spyware-Vorwurf begründet sich damit, dass die über die Update-Funktion von Windows XP eingespielte Software Kontakt zu Redmond-Servern aufnimmt.

MacOS X 10.4.7 mit zahlreichen Fehlerkorrekturen. Eine Reihe von Fehlerbereinigungen lässt Apple seinem Betriebssystem angedeihen und hat ein Update auf MacOS X 10.4.7 bereitgestellt. Damit werden vor allem kleinere Fehler in diversen Komponenten von MacOS X korrigiert, so dass das Betriebssystem sowie die dazugehörigen Applikationen nun insgesamt stabiler und zuverlässiger zu Werke gehen sollten.

Gültigkeitsprüfung von Windows-Lizenzen nicht mehr täglich. Microsoft beendet in Kürze die Pilotphase der Gültigkeitsprüfung von Windows-Lizenzen und ändert in diesem Zusammenhang das Prüfintervall. Zukünftig nehmen Windows-XP-Systeme nicht mehr bei jedem Rechnerstart Kontakt zu Microsoft-Servern auf, um die Korrektheit der Windows-Lizenz zu bestätigen. Besonders die täglichen Anfragen an die Microsoft-Server sind bei Windows-Kunden in die Kritik geraten.

Fanjitas eLoader soll bald darauf angepasst sein. Das Katz-und-Mausspiel um die PlayStation Portable (PSP) geht weiter: Nun haben Hacker eine Sicherheitslücke entdeckt, mit der die Firmware-Versionen 2.50 sowie 2.60 ausgetrickst werden können, um etwa selbstgeschriebene Software ausführen zu können. In einem Video auf YouTube.com ist zudem eine mit Modchip versehene PSP mit der aktuellen Firmware 2.71 in Aktion zu sehen.

Neuer Patch beseitigt Einwahlprobleme. Ein im Juni 2006 erschienener Sicherheits-Patch für die Windows-Plattform steht in einer aktualisierten Ausführung bereit, um mögliche Fehler zu beseitigen. Der bisherige Patch konnte Einwahlverbindungen ins Internet stören, so dass Anwender unter Umständen nicht mehr ins Internet kamen. Microsoft hat bereits Schadcode entdeckt, der diese Sicherheitslücke ausnutzt.

Scoring-Systeme erhalten freie Bahn von der Regierung. Der Bundesverband der Verbraucherzentralen befürchtet durch die geplante Änderung des Kreditwesengesetzes, dass Banken Kundendaten vermehrt sammeln und die Kreditwürdigkeit alleine durch Scoring-Systeme beurteilen könnten. Man erwartet zudem ständige Verstöße gegen den Datenschutz.

Angreifer können beliebigen Programmcode einschleusen und ausführen. Eine knappe Woche, nachdem Microsoft den Instant-Messaging-Client Windows Live Messenger als Final-Version veröffentlicht hat, wurde bereits ein schweres Sicherheitsloch darin gefunden. Mit einer präparierten Kontaktlistendatei kann ein Angreifer beliebigen Programmcode auf ein fremdes System einschleusen und dort ausführen.

Künftiger Ausweis enthält Chip mit biometrischen Daten. Der künftige elektronische Personalausweis soll als Reisedokument einen Chip enthalten, auf dem biometrische Daten (zum Beispiel Fingerabdrücke) gespeichert werden können. Dies teilt die Bundesregierung in ihrer Antwort auf eine Kleine Anfrage der FDP-Fraktion mit.

Zivilrechtlicher Schadensersatzanspruch gefordert. Bündnis 90/Die Grünen fordern eine gesetzliche Regelung, wenn Unternehmen eine Panne im Umgang mit personenbezogenen Daten unterlaufen ist. Die Unternehmen sollen gezwungen werden, die betroffenen Personen darüber zu informieren.

Neues Open-Source-Tool bombardiert Netzwerkkarten. Die Sicherheit von drahtlosen Netzen steht erneut in der Diskussion. Diesmal geht es nicht um Fehler an den WLAN-Protokollen und Verschlüsselungen selbst, vielmehr haben Hacker die Treiber von WLAN-Modulen als Schwachpunkt identifiziert. Mit passender Software lassen sich so alle Rechner in Reichweite automatisch nach Lücken überprüfen.