IT-Sicherheit

Peter Schaar warnt vor einer Entwicklung hin zu einer Überwachungsgesellschaft. Die Überwachung von Bürgern hat "deutlich" zugenommen, so das Fazit des Bundesbeauftragten für den Datenschutz, Peter Schaar, fünf Jahre nach den Anschlägen auf die USA. Deutschland entwickle sich immer mehr zu einer Überwachungsgesellschaft, beklagt Schaar im Interview mit der Netzeitung.

Standardwerk zum Thema Software- und System-Sicherheit. Ross Andersons Buch "Security Engineering" kann ab sofort kostenlos heruntergeladen werden. Das im Jahr 2001 bei Wiley erschienene Buch gehört zu den Standardwerken zum Thema Software- und System-Sicherheit.

Fehlerhaftes X.org-Update in Ubuntu 6.06 LTS. Ein fehlerhaftes Update in Ubuntu 6.06 hat bei einigen Nutzern dazu geführt, dass der X-Server nicht mehr startete und sie sich unvermittelt auf der Textkonsole wiederfanden. Nach ca. 17 Stunden wurde der Patch zurückgezogen, betroffene Anwender können mittlerweile ein aktualisiertes Paket einspielen.

Gemeinsame Entwicklung von Fujitsu und Phoenix für Trusted Computing. Der Halbleiter-Hersteller Fujitsu und die BIOS-Spezialisten von Phoenix haben mit dem "Sweep Sensor MBF320" einen besonderen Fingerabdruck-Scanner vorgestellt. Das Gerät kann direkt beim Einschalten eines Rechners, also noch vor dem Zugriff auf irgendwelche Laufwerke, die Identität des Benutzers feststellen und soll so besonders sicher sein.

Übernahme soll IBMs Position bei Sicherheitslösungen ausbauen. IBM übernimmt den US-amerikanischen Sicherheitsdienstleister Internet Security Systems für 1,3 Milliarden US-Dollar bzw. 28 US-Dollar pro Aktie. Internet Security Systems (ISS) bietet IT-Sicherheitslösungen für Unternehmen rund um Netzwerke, PCs und Server an.

Microsoft verschiebt angekündigte Patch-Überarbeitung. In der vergangenen Woche gestand Microsoft einen Fehler in einem Sicherheits-Patch für den Internet Explorer 6 mit Service Pack 1 ein. Wie der Software-Gigant nun einräumt, führt der Fehler nicht nur zum Programmabsturz, sondern öffnet zugleich ein neues Sicherheitsloch. Der für den 22. August 2006 in Aussicht gestellte überarbeitete Patch für den Internet Explorer wird nun erst erscheinen.

Sicherheits-Patch für PowerPoint seit August 2006 verfügbar. TrendMicro hatte eine Sicherheitslücke in PowerPoint ausgemacht und diese als bisher unbekannt klassifiziert. Nun rudert der Virenspezialist zurück und gesteht ein, dass für die Sicherheitslücke im August 2006 ein Sicherheits-Patch erschienen ist.

Zwei Mitarbeiter wurden laut Wall Street Journal gefeuert. AOLs Datenpanne, die zur Veröffentlichung von rund 20 Millionen Suchanfragen von 650.000 AOL-Nutzern führte, hat Konsequenzen: AOLs Technik-Chefin Maureen Govern nimmt ihren Hut und zwei Mitarbeiter, die für den Vorfall verantwortlich gewesen sein sollen, wurden gefeuert, meldet das Wall Street Journal.

Virenscanner ohne automatische Systemprüfung. Unter der Bezeichnung "Windows Live OneCare Safety Scanner" startet Microsoft seinen kostenlosen Online-Virenscanner in Deutschland. Über die betreffende Webseite lässt sich ein Windows-PCs nach Viren und Würmern überprüfen. Zudem verspricht Microsoft eine Verbesserung der Systemleistung, indem nicht benötigte Dateien und Registry-Einträge entfernt werden.

Neuer Sammel-Patch für Internet Explorer für 22. August 2006 geplant. Der im August 2006 erschienene Sicherheits-Patch für den Internet Explorer 6 mit Service Pack 1 macht Probleme, wie Microsoft eingestand. Der Konzern gab bekannt, dass der Patch am 22. August 2006 in einer überarbeiteten Fassung erscheinen wird. Ein Hotfix hat der Konzern bereits fertig, verteilt diesen aber nur auf Anfrage.

Veröffentlichung der Suchbegriffe könnte politisches Nachspiel haben. Nach der peinlichen Preisgabe eines Archivs mit Suchanfragen von 650.000 seiner US-Kunden weht AOL nun ein heftiger Wind ins Gesicht. Zwar hatte das Unternehmen die Veröffentlichung von 20 Millionen Suchanfragen als Fehler bezeichnet, doch fordern Bürgerrechler nun eine Untersuchung des Vorfalls durch offizielle Stellen.

Schädling lässt sich als Bot fernsteuern. Im Internet wurde ein neuer Windows-Wurm gesichtet, der sich eine Sicherheitslücke in Windows zunutze macht. In der vergangenen Woche wurde das Sicherheitsloch durch Erscheinen eines Patches bekannt. Nur wenige Tage später geistert nun Schadcode durch das Internet, der sich bislang aber nicht sonderlich stark verbreitet hat.

Service Pack für TextMaker 2006 bringt USB-Stick-Unterstützung. Mit einem Service Pack lernt die Windows-Textverarbeitung TextMaker 2006 die aktualisierte neue deutsche Rechtschreibung. Zudem kann die Software bequem auf einen USB-Stick übertragen und von diesem auf anderen PCs gestartet werden.

Update-Pakete von Winboard.org, Winhelpline.de und WinFuture.de. Mit Winboard.org, Winhelpline.de und WinFuture.de haben alle drei Anbieter inoffizieller Patch-Pakete für Windows ihre Update-Sammlungen aktualisiert. Die Patch-Pakete enthalten die kürzlich veröffentlichten Sicherheits-Patches für Windows und den Internet Explorer.

Nur Mac-Pro-Systeme und Universal-Server-Variante betroffen. Für Mac-Pro-Syteme mit MacOS X 10.4.7 sowie für den MacOS X Server 10.4.7 in der Universal-Ausführung hat Apple ein Sicherheits-Update veröffentlicht. Damit werden Sicherheitslöcher in den Komponenten ImageIO und OpenSSH des Betriebssystems geschlossen. Über das ImageIO-Leck lässt sich schadhafter Code einschleusen und starten.

12 Patches schließen 23 Sicherheitslücken; Sammel-Patch für Internet Explorer. Insgesamt 23 Sicherheitslücken schließt Microsoft am Patch-Day für den Monat August 2006 mit 12 Patches. Ein Sammel-Patch für den Internet Explorer korrigiert gleich acht Sicherheitslücken, während zwei Patches insgesamt drei Sicherheitslecks in Office beseitigen. Zudem müssen zwölf Sicherheitslücken in Windows geschlossen werden. Ein Großteil der Sicherheitslücken lässt sich für das Ausführen von Programmcode missbrauchen, so dass die Patches möglichst bald eingespielt werden sollten.

Fehler tritt beim Entpacken von UPX-Dateien auf. Eine Sicherheitslücke im freien Viren-Scanner ClamAV ermöglicht Angreifern, beliebigen Programmcode auszuführen. Verantwortlich dafür ist ein Fehler beim Entpacken von im UPX-Format komprimierten Dateien. Ein Update ist bereits verfügbar.

Ministerpräsident von Rheinland-Pfalz plädiert gegen "Pay-TV light". In einem Interview mit dem Berliner Mediendienst Promedia hat sich der derzeitige Vorsitzende der Rundfunkkommission der Länder und rheinland-pfälzische Ministerpräsident Kurt Beck klar gegen eine Grundverschlüsselung gegen Gebühr für öffentlich-rechtliche Fernsehsender ausgesprochen.

Angreifer können Code über manipulierte MMS einschleusen und ausführen. Der Sicherheitsexperte Collin Mulliner hat ein Problem in der MMS-Applikation von Microsofts Smartphone-Plattform entdeckt. Auf der Hacker-Konferenz Defcon 14 zeigte er, wie sich mit einer manipulierten MMS beliebiger Schadcode einschleusen und ausführen lässt. Das Opfer muss die betreffende MMS-Nachricht lediglich öffnen; Sicherheitsabfragen gibt es nicht.

Kooperation mit StopBadware.org. Durch eine Kooperation mit StopBadware.org zeigt Google ab sofort Warnmeldungen an, wenn Suchergebnis-Seiten potentiell mit Spyware oder ähnlichen Schadprogrammen verseucht sind.

Signale sollen vor unberechtigten Zugriffen geschützt werden. Nach den Landesmedienanstalten meldet sich in der Diskussion um eine Grundverschlüsselung des Privatfernsehens nun auch der Lobby-Verband der privaten Fernsehanstalten (VPRT) zu Wort. Der Verband fordert eine Rückkehr zur Sachlichkeit, macht aber klar, dass an einer Grundverschlüsselung kein Weg vorbeiführe.

Staatliche Überwachung nicht wegen bedauerlicher Einzelfälle ausgeweiten. Der Landesbeauftragte für den Datenschutz in Schleswig-Holstein Dr. Johann Bizer warnt eindringlich davor, die im Rahmen der LKW-Maut erhobenen Daten zu fremden Zwecken, beispielsweise zur Strafverfolgung, zu nutzen. Der Gesetzgeber sei schlecht beraten, bedauerliche Einzelfälle zum Anlass zu nehmen, die staatliche Überwachung auszuweiten und rechtstaatliche Grundsätze der Datenverarbeitung auszuhebeln.

Vorabinformation zu Microsofts Patch-Day am 8. August 2006. Nachdem Microsoft im vergangenen Monat bereits zahlreiche Sicherheitslücken in Windows und Office geschlossen hat, muss der Software-Gigant nochmal ran. Am allmonatlichen Patch-Day für den 8. August 2006 sind zehn Patches für Windows sowie zwei Korrekturen für Office vorgesehen.

Auf- und Zusperren ohne Schlüsselloch. Die US-Firma GlobalComm hat mit dem MyKey 2300 einen RFID-Schlüssel für die Haustür entwickelt. Der Hausbesitzer kann mit dem MyKey 2003 ein Eintrittssystem nachrüsten, das über eine Karte den Bewohnern den Riegel öffnet und ohne Schlüssel- und Schlüsselloch auskommt.

Entwickler raten zum Update. Zwei Sicherheitslücken in der schon älteren PHP-Serie 4.4.x schließt die neue Version 4.4.3. Daneben wurden auch einige kleinere Fehler beseitigt.

Sollte auch DVB-T verschlüsselt werden droht ein Zwang zu kostenlosen Angeboten. Die Landesmedienanstalten sind von der geplanten Grundverschlüsselung, die SES-Astra zusammen mit RTL und MTV plant, wenig begeistert. Dort weist man auf die Risiken dieses Ansatzes hin und droht mit einem Zwang zu kostenlosen Angeboten.

Exploit auf BlackHat-Konferenz vorgeführt. Die bisher nur auf Windows-Notebooks vorgeführten WLAN-Angriffe auf Fehler im Treiber der drahtlosen Netzwerkkarte funktionieren auch unter MacOS. Auf der derzeit in Las Vegas stattfindenden Sicherheitskonferenz "Black Hat Briefing USA 2006" wurde die Attacke bereits erfolgreich demonstriert.

Pantech PG 6200 mit 2-Megapixel-Kamera. Der asiatische Handyhersteller Pantech hat mit dem PG 6200 ein Handy mit Fingerabdruck-Sensor vorgestellt. Neben der Schutzfunktion für die Datensicherheit ist eine 2-Megapixel-Kamera mit CMOS-Sensor an Bord.

Keine konkreten Pläne für Zeitrahmen und Kosten. Die Sendergruppe ProSiebenSat.1 hat gegenüber Golem.de anders lautende Berichte dementiert, nach denen auch ihre Programme zum Start des Projekts "Dolphin" über die Astra-Satelliten verschlüsselt gesendet werden sollen. Dennoch hält sich der Konzern diese Option offen.

Aktuelle Opera-Version ohne neue Funktionen. Dem Web-Browser Opera 9 hat der norwegische Browser-Produzent ein Update spendiert. Opera 9.01 korrigiert einige Programmfehler, bringt aber keine Neuerungen. Der Browser-Hersteller empfiehlt die Einspielung der aktuellen Version für alle Desktop-Plattformen.

Datenschutzbeauftragter verlangt von Wirtschaft verbindliche Regeln. Der Einsatz von RFID-Chips in der Wirtschaft soll einheitlich geregelt werden, verlangt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Peter Schaar. Er befürchtet ansonsten mangelnde Transparenz und Kennzeichnung bei Verwendung von RFID-Technik sowie den Missbrauch von RFID-Profilen. Zudem verlangt der Datenschützer eine Möglichkeit der Deaktivierung und Blockierung der Funkchip-Technik.

Senderfamilie beteiligt sich am Projekt "Dolphin" von SES-Astra. Was seit Monaten als unbestätigte Meldung durchs Netz geistert ist jetzt eine Tatsache: Die deutschen Privatsender wollen den Direktempfang ihrer Programme per Satellit nur noch gegen eine monatliche Grundgebühr erlauben. Mit entsprechenden Pressemitteilungen legten SES-Astra und RTL Television jetzt einen Teil der Fakten auf den Tisch.

Freie Alternative zu PGP. Die freie Kryptografie-Software Gnu Privacy Guard (GnuPG) ist in der Version 1.4.5 erschienen, die zwei weitere Sicherheitsprobleme behebt. Ansonsten bringt die neue Version nur kleine Änderungen und eine neue Übersetzung mit.

Intel nennt Lücke "kritisch" und bietet Patches an. Eine bereits im Vorfeld der derzeit in Las Vegas stattfindenden Sicherheitskonferenz "Black Hat Briefing USA 2006" bekannt gewordene Sicherheitslücke in WLAN-Treibern betrifft auch die weit verbreiteten Centrino-Notebooks mit Intel-Komponenten. Nahezu alle WLAN-Module von Intel sind betroffen, es empfiehlt sich dringend, die bereits reparierten Treiber zu installieren.

Zahlreiche gefährliche Sicherheitslücken gefunden. Insgesamt 20 Sicherheitslücken schließt Apple mit einem Sicherheits-Update in den MacOS-Versionen 10.3.9 sowie 10.4.7. Ein Großteil der nun korrigierten Sicherheitslecks kann zur Ausführung von Programmcode missbraucht werden. Zudem hat die Bluetooth-Funktion eine Sicherheitsverbesserung erfahren.

Safari-Sicherheitslücke erlaubt Programmausführung. In Apples Web-Browser Safari 2.x wurde ein Sicherheitsloch entdeckt, worüber Angreifer beliebigen Programmcode ausführen können. Das Sicherheitsleck ließe sich sich im schlimmsten Fall dazu einsetzen, ein fremdes System unter die eigene Kontrolle zu bekommen. Bislang gibt es keinen Patch zur Abhilfe.

Entwickler raten Nutzern dringend zum Upgrade. Mit der Version 2.0.4 schließen die Entwickler der freien Blog-Software Wordpress einige kritische Sicherheitslücken. Darüber hinaus wurden rund 50 weitere Fehler beseitigt.

Michael Ott zeigt XSS-Lücken in 10 Websites auf. Der IT-Sicherheits-Spezialist WhiteHat Security warnt vor neuen Angriffsmethoden auf Unternehmensnetze durch Cross-Site-Scripting-Lücken (XSS) in Webapplikationen. Auf diesem Wege lassen sich beispielsweise Portscans interner Netze durchführen oder Router und Firewalls neu konfigurieren warnt das Unternehmen.

Schadprogramm protokolliert alle Browser-Eingaben. In den USA wurde ein Trojanisches Pferd entdeckt, das sich als vorgebliche Wal-Mart-Rechnung ausgibt und Firefox attackiert. Das als exe-Datei daherkommende Schadprogramm installiert eine Firefox-Erweiterung, die fortan alle Browser-Eingaben protokolliert, um etwa Zugangsdaten zu Online-Shops oder Banking-Systemen auszuspähen.

Aktuelles Update Rollup korrigiert Programmfehler. Microsoft hat für die Media Center Edition von Windows XP ein neues Update Rollup veröffentlicht. Dieses kleine Service Pack enthält alle bisherigen Sicherheits-Patches und korrigiert einige Fehler in der Media-Center-Software. So soll es nun weniger Probleme bei der DVD-Wiedergabe geben.

Privatsender pochen auf verschlüsseltes DVB-T. Während der Ausbau des terrestrischen Digitalfernsehens (DVB-T) weiter vorangeht, wächst der Widerstand der privaten Fernsehsender. Diese wollen mehr Kontrolle über das ausgesendete Programm erhalten und die Übertragung grundsätzlich verschlüsseln - und verlangen damit auch vom Kunden den Austausch der bisher gekauften DVB-T-Tuner.

Integration in Mozilla und Evolution. DesktopSecure ist eine komplette Sicherheitslösung für Linux-Workstations, die neben der Anti-Viren-Funktion auch eine integrierte Firewall bietet. Durch die "Genetic Heurisitic Engine" soll die Software auch bisher unbekannte Schadprogramme erkennen und damit vor allem heterogene Netzwerke schützen. In den ersten drei Monaten sollen Updates kostenlos sein.

Proxy entdeckt Sicherheitslücken in Webapplikationen. Chorizo soll Sicherheitslücken in Webapplikationen aufdecken und ist ab sofort für die Allgemeinheit verfügbar. Zunächst ist Chorizo dabei auf PHP-Applikationen optimiert, untersucht aber auch JavaScript und kann mit Ajax-Anwendungen umgehen.