IT-Sicherheit

Sicherheitslücken erlauben Ausführung von fremdem Code. Die Mozilla-Entwickler beheben mit dem Sicherheits-Update auf Firefox 1.0.5 zwölf Sicherheitslücken in ihrem Browser. Darunter sind auch zwei als kritisch eingestufte Probleme, die das Ausführen von fremdem Code erlauben.

Ein weiteres kritisches Sicherheitsloch in Microsoft Word. Microsoft stellt am Patch-Day für den Monat Juli 2005 insgesamt drei Patches zur Verfügung, um Sicherheitslücken zu schließen, über die Angreifer beliebigen Programmcode auf fremden Systemen ausführen können, um sich so eine umfassende Kontrolle über andere Rechner zu verschaffen. Zwei der Sicherheitslücken betreffen Windows, während ein Sicherheitsleck in Microsoft Word steckt.

Fehler blockiert laut Heise-Bericht die Prozessor-Halt-States. Glaubt man einem Bericht von Heise.de, signalisiert Windows 2000 SP4 nach Einspielen des Update Rollup 1 der CPU nicht mehr den Idle-Modus. Das Resultat: Der Prozessor wechselt nicht mehr in einen seiner Stromsparmodi und läuft auch bei Untätigkeit mit voller Leistung.

Wiederholte Sicherheitsprobleme machen der Board-Software zu schaffen. Einige Web-Hoster verbannen die populäre, freie Board-Software phpBB wegen wiederholter Sicherheitsprobleme, berichtet Netcraft. Sicherheitslöcher in der weit verbreiteten Software hatten wiederholt Angriffe nach sich gezogen. Im Dezember hatte der Wurm Santy diverse Webseiten verunstaltet.

Vorabinformationen zu Microsofts Patch-Day am 12. Juli 2005. Auch in diesem Monat wird Microsoft am Patch-Day mehrere Sicherheits-Patches veröffentlichen. Gemäß den Vorabinformationen stehen Sicherheits-Patches für Windows und die Office-Suite aus Redmond an. Ein Großteil der zu beseitigenden Sicherheitslöcher wird von Microsoft als kritisch eingestuft.

Crossfire-Master-Karten bleiben wichtig für doppelte Radeon-Leistung. Wie ATI nun angab, funktioniert der von HKEPC veröffentlichte Crossfire-Hack doch nicht so gut wie zunächst vermutet: Die erzielte Leistung ist zwar etwa die gleiche, doch werden auf normalen Radeons mit modifiziertem BIOS auf Grund des fehlenden Crossfire-Chips der Master-Karten auch nur die Hälfte der Bilder angezeigt.

Fehler wirkt sich auf zahlreiche Applikationen aus. Die in zahlreicher Software eingesetzte Kompressionsbibliothek zlib enthält eine Sicherheitslücke, die Denial-of-Service-Angriffe auf Applikationen erlaubt, welche die zlib einsetzen. Möglicherweise ist es darüber aber auch möglich, fremden Code einzuschleusen.

Chinesische Hardware-Website hackte Crossfire-BIOS. Auch ohne eine als Master-Grafikkarte dienende Radeon X800 oder X850 soll ATIs SLI-Konkurrent Crossfire den gekoppelten Betrieb zweier Radeon-Grafikkarten erlauben. Dies will zumindest HKEPC durch einen BIOS- und Treiber-Hack geschafft haben - selbst mit Radeon-Grafikkarten mit X700- und X300-Chips, die eigentlich nicht für den Crossfire-Betrieb gedacht sind. Nachtrag: Mittlerweile hat ATI seine erste Aussage revidiert - der Hack funktioniert doch nicht so wie erhofft.

Neue Hash-Algorithmen und bessere Unterstützung aktueller Prozessoren. Die freie SSL- und TLS-Implementierung OpenSSL ist in der Version 0.9.8 erschienen, einem Major-Release, das mit zahlreichen neuen Funktionen aufwartet.

Sicherheitslücke im Acrobat Reader 5.x erlaubt Ausführung von Programmcode. In der Linux-Ausführung vom Acrobat Reader 5.x wurde ein Sicherheitsleck entdeckt, worüber Angreifer beliebigen Programmcode auf einem fremden System ausführen können, sofern das Opfer zum Öffnen eines präparierten PDF-Dokuments gebracht wird. Das betreffende PDF-Dokument kann etwa per E-Mail verbreitet werden oder auf einer Webseite bereitstehen.

London Action Plan nimmt weltweite Formen an. Vertreter der Volksrepublik China haben in einer feierlichen Zeremonie in Anwesenheit des britischen Botschafters Christopher Hum und des US-Außenhandelkommissars Jon Leibowitz eine internationale Anti-Spam-Vereinbarung unterzeichnet. Die Initiative gegen Spam nennt sich der "London Action Plan on Spam Enforcement Collaboration".

Infrastruktur des Debian-Sicherheitssystems arbeitet derzeit nicht zuverlässig. Seit dem Release von Debian GNU/Linux 3.1 alias Sarge hat Debian Probleme mit dem Bereitstellen von Sicherheits-Updates. Schien es zunächst eher ein Frage der Organisation und mangelnder Ressourcen, mahnte der zum Debian-Security-Team gehörende Martin "Joey" Schulze nun wiederholt Probleme mit der Infrastruktur zur Bereitstellung von Sicherheits-Updates an.

claviscom bietet Software-Chipkarten, digitale Signatur und Verschlüsselung. Die Solinger claviscom Technology GmbH bietet mit SignNotes eine universelle Sicherheitslösung für Lotus Notes an. Die Software ermöglicht die Verschlüsselung und digitale Signatur sowie den Zugang per Chipkarte und soll sich mit minimalem Aufwand installieren und administrieren lassen.

Vorwurf der Datenveränderung, Computersabotage und Störung öffentlicher Betriebe. Seit 9:00 Uhr am heutigen 5. Juli 2005 verhandelt die 3. große Strafkammer des Landgerichts Verden die Strafsache gegen den Autor der Würmer Sasser und Netsky. Ihm wird Datenveränderung, Computersabotage und Störung öffentlicher Betriebe vorgeworfen.

Exploit-Code für Internet Explorer im Internet aufgetaucht. Im Zusammenspiel mit dem Internet Explorer wurde ein Sicherheitsloch in Microsofts Java Virtual Machine entdeckt, das Angreifern das Ausführen beliebigen Programmcodes erlaubt, was ihnen eine umfassende Kontrolle über ein fremdes System verschafft. Ein erster Exploit-Code dafür kursiert bereits im Internet; Microsoft hat das Sicherheitsloch bestätigt, bietet aber noch keinen Patch an.

Sophos analysiert erste Hälfte des Jahres 2005. Der Antiviren-Spezialist Sophos hat seinen Report für die Viren- und Wurmverbreitung im ersten Halbjahres 2005 vorgelegt. Demnach nimmt vor allem die Zahl der Würmer drastisch zu - zumal sich einige alte Bekannte immer noch verbreiten.

Handflächen-Erkennung mit geringer Fehlerrate. Das seit Jahren entwickelte Verfahren, die Handfläche eines Menschen anhand des einzigartigen Musters der Venen zu erkennen ist jetzt serienreif. Rund um die Welt will Fujitsu seine Technologie jetzt anbieten.

"Security PASS"-Server als Hardwareschutz gegen Viren, Spam und Hacker. Mit einer besonderen Marketing-Aktion machen derzeit H+BEDV Datentechnik, eleven und godot auf sich aufmerksam. Wer einen "Security PASS"-Server der Unternehmen einsetzt und eine E-Mail bekommt, die fälschlicherweise von dem Gerät als Spam eingestuft wird, erhält für jede dieser so genannten "False Positives" 500,- Euro.

2.500 Postbank-Kunden potenziell gefährdet. Der Diebstahl von rund 40 Millionen Kreditkartendaten in den USA zieht Kreise. Als erstes deutsches Kreditinstitut tauscht nun die Postbank freiwillig die Karten der Kunden aus, die gefährdet sein könnten.

Große Patch-Sammlung von Microsoft. Das Service Pack 4 für Windows 2000 ist mittlerweile seit zwei Jahren erhältlich, danach behob Microsoft noch zahlreiche Fehler des Betriebssystems. Mit dem Update Rollup 1 getauften Paket bietet Microsoft nun eine Sammlung aller wichtigen Updates, die seit dem Erscheinen des Service Pack 4 im Juni 2003 bis zum 30. April 2005 veröffentlicht wurden.

Friedemann Mattern: Internet der Dinge nicht den Informatikern überlassen. Bedenken gegenüber biometrischen Pässen, RFID-Technologie und Teleüberwachung, geäußert etwa von Datenschützern, sind Angstmacherei, auf die man nicht hereinfallen sollte, sagte Bundesinnenminister Otto Schily beim Symposium "Computer in der Alltagswelt - Chancen für Deutschland" in Berlin. Die genannten Technologien dienten nicht dazu, Bürger zu überwachen oder zu unterdrücken, sondern ihre Sicherheit zu erhöhen.

Offenbar technische und organisatorische Probleme bei Debian. Seit dem Release von Debian GNU/Linux 3.1 alias Sarge sind für die Linux-Distribution keine Sicherheits-Updates erschienen, obwohl es einige Sicherheitslöcher zu stopfen gilt. Ganz offenbar hat das Debian-Security-Team derzeit erhebliche Probleme, denn obwohl es im Prinzip aus fünf Personen besteht, scheint sich nur Martin "Joey" Schulze der Sache ernsthaft zu widmen. Auf Grund der Vorbereitungen zum LinuxTag blieb diesem aber nicht genug Zeit.

Angreifer können Programmcode bei der Wiedergabe von Multimediadateien ausführen. In etlichen Versionen des RealPlayer stecken schwere Sicherheitslöcher, über die Angreifer beliebigen Programmcode auf einem fremden System ausführen können. In zwei Fällen genügt es bereits, ein Opfer dazu zu bewegen, eine manipulierte AVI- oder RealMedia-Datei mit dem Real Player zu öffnen, um ein fremdes System zu kontrollieren. RealNetworks hat einen Patch zur Abhilfe des Problems veröffentlicht.

Vertrauen in Internetsicherheit gesunken. Gartner hat die Ergebnisse einer US-Studie zum Thema "Phishing" veröffentlicht. Demnach haben viele Internetnutzer durch Berichte über verloren gegangene Kundendaten und unerlaubten Zugriff auf persönliche Daten wie etwa beim Home Banking das Vertrauen in Onlinegeschäfte verloren.

Update behebt weitere Fehler im Tungsten T5. Kurz nachdem palmOne endlich einen Patch für den Treo 650 veröffentlicht hatte, womit das Speicherschwund-Problem behoben wurde, ist nun auch ein entsprechender Patch für den Tungsten T5 erschienen. Damit steht dem Anwender nun auch im Tungsten T5 mehr Speicher als bislang zur Verfügung.

Lizenzüberprüfung bei Software-Downloads weiterhin freiwillig. Nachdem seit rund einem Monat erste Tools zur Umgehung von Microsofts Update-Sperren durch das Internet geistern, indem Informationen einer lizenzierten Windows-Version auf ein unlizenziertes Windows übertragen werden, wurde nun eine weitere Möglichkeit entdeckt. Die Update-Sperre wird von einem indischen Computerexperten dadurch umgangen, indem passende Schlüssel erstellt werden.

Hotmail soll E-Mails ohne Sender ID markieren. Im Januar hat Microsoft begonnen, die Anti-Spam-Technik Sender ID Framework (SIDF) bei Hotmail einzuführen, obwohl der Versuch einer Standardisierung zuvor an Microsofts eigenen Patentansprüchen gescheitert war. Nun will Microsoft das System offenbar im Alleingang durchsetzen, denn demnächst sollen alle E-Mails an Hotmail-Nutzer, die ohne Sender ID kommen, für die Hotmail-Nutzer sichtbar markiert und damit als potenzieller Spam ausgewiesen werden.

Antivirenprodukte von Sybari werden nur zum Teil weitergeführt. Nachdem Microsoft die Übernahme des Antivirenherstellers Sybari abgeschlossen hat, wird ein Großteil der Antivirenprodukte wie bisher weitergeführt. Die Antigen-Produktlinie für Unix und Linux wird jedoch eingestellt, so dass die Weiterführung nur die Applikationen für Microsoft-Systeme betrifft.

Neue Reisepässe zum 1. November 2005. Das Bundeskabinett hat den Vorschlag von Bundesinnenminister Otto Schily zur Ausgabe Biometrie-gestützter EU-Reisepässe ab 1. November 2005 gebilligt. Das Kabinett stimmte einem entsprechenden Entwurf einer Verordnung zur Änderung passrechtlicher Vorschriften zu.

LaCie stellt "SAFE Mobile"-Festplatten mit biometrischer Zugriffskontrolle vor. LaCie hat die "SAFE Mobile"-Festplatten mit einer biometrischen Erkennung des Fingerabdrucks vorgestellt - erst wenn dieser mit dem gespeicherten Muster übereinstimmt, sollen die gespeicherten Daten genutzt werden können.

Emulatoren einfach auf US-PSPs zum Laufen bringen. Die Tüftler-Szene widmet sich weiter Sonys PlayStation Portable: Nachdem Mitte Juni 2005 die erste Möglichkeit gefunden wurde, selbst geschriebene Software auch mit der Firmware-Version 1.50 vom Memory-Stick zu starten, gibt es seit dem 22. Juni eine komfortablere Lösung.

Microsoft veröffentlicht Tool zum vorübergehenden Abschalten des Pflicht-Updates. Von Microsoft ist nun ein Werkzeug erschienen, um den Auto-Update-Mechanismus, der beim Windows 2003 Server das Service Pack 1 (SP1) einspielen will, vorübergehend zu deaktivieren. Das Tool sorgt dafür, dass man dennoch die automatische Update-Funktion aktiviert lassen kann.

Schwachstelle durch Cross-Site-Scripting ausnutzbar. Im beliebten Webmailer SquirrelMail sind diverse Sicherheitslücken entdeckt worden, die es einem Angreifer ermöglichen könnten, durch eine URL-Manipulation die Session eines legitimen Anwenders zu übernehmen und so Kontrolle über seine Mails und den Webmailer zu erlangen.

Etliche Web-Browser geben Herkunft von JavaScript-Dialogboxen nicht preis. Am gestrigen 21. Juni 2005 wiesen die Sicherheitsspezialisten von Secunia auf eine Spoofing-Sicherheitsanfälligkeit in zahlreichen Web-Browsern hin, die als ungefährlich eingestuft wurde. Aber dennoch bietet Opera bereits seit ein paar Tagen eine aktualisierte Version des Browsers an, um das dahinter stehende Risiko zu minimieren, während Microsoft überhaupt keinen Handlungsbedarf sieht.

Geschwindigkeitsprobleme des Servers beseitigt. Mit einem neuen Patch bringt Crytek seinen Shooter Far Cry auf die Versionsnummer 1.32. Der für die 32-Bit-Version des Shooters gedachte Patch behebt unter anderem Probleme mit ATI- und Nvidia-Hardware sowie dem Netzwerk-Spiel.

Betrüger versuchen es per Handy-Bezahlung und klassischen Lastschriftverfahren. Mit neuen Maschen versuchen Betrüger weiterhin, unbedarfte Internetnutzer in die Irre zu führen, nachdem seit vergangener Woche verschärfte Regeln für das Anbieten von Dialern verbindlich sind. Mit Hilfe neuer Methoden werden Kunden Zugangsdaten nach einer Bezahlung per Handy-Rechnung oder per Banküberweisung versprochen, wobei die tatsächlichen Kosten verschleiert oder auch gar nicht genannt werden, da es sich nicht um Einmalzahlungen, sondern um Abonnements handelt.

Weichert: "Schily sollte besser schweigen". Die jüngsten Versuche von Bundesinnenminister Otto Schily, den Bundesbeauftragten für den Datenschutz (BfD) Peter Schaar zu maßregeln, werden von Dr. Thilo Weichert, Leiter des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein und derzeit Vorsitzender der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, zurückgewiesen.

Piltz: Datenschutzfreundliche Technik fördern. Die datenschutzpolitische Sprecherin der FDP-Bundestagsfraktion Gisela Piltz hat zu den Meldungen, wonach in Folge eines Sicherheitslecks bei einer Kreditkarten-Abrechnungsfirma in den USA rund 40 Millionen Mastercard-Nutzer zu möglichen Opfern von Betrügern werden könnten, erklärt, dass die FDP Gütesiegel für besonders datenschutzfreundliche Unternehmen und eine strengere staatliche Aufsicht fordert.

Unterlassungs- und Schadensersatzklage gegen Urheber von Spam-E-Mails. Wie Microsoft mitteilte, hat das Unternehmen bereits am 1. Juni 2005 eine Unterlassungs- und Schadensersatzklage wegen Spam-Versands und Markenverletzung gegen ein in Nordrhein-Westfalen ansässiges Unternehmen eingereicht. Nach Auffassung von Microsoft ist der Geschäftsführer des beklagten Unternehmens für zahlreiche Spam-Aktionen aus der jüngsten Vergangenheit verantwortlich.

Patch-Sammlung umfasst Sicherheits-Updates von Microsofts Patch-Day. Winboard.org bietet nun auch für Windows XP mit Service Pack 1 ein Update-Paket an, das die Sicherheits-Patches für Windows sowie den Internet Explorer umfasst. Seit vergangener Woche stehen bereits Update-Pakete für Windows 2000 sowie Windows XP mit Service Pack 2 zum Download bereit.

BSI Open Source Security Suite nutzt Nessus und SLAD. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt mit BOSS eine freie Software für eine Sicherheitsüberprüfung von Systemen im Netzwerk zur Verfügung. Bei der BSI Open Source Security Suite, kurz BOSS, handelt es sich um einen Nessus-basierten Netzwerk-Scanner mit deutschsprachiger grafischer Oberfläche.

Patch-Sammlungen für Windows 2000 und XP kostenlos zum Download. Wenige Tage nach Microsofts Patch-Day bietet die Webseite Winboard.org wieder aktualisierte Update-Pakete für Windows 2000 sowie XP an, worin die Sicherheits-Patches für Windows sowie den Internet Explorer enthalten sind. Auch Winfuture.de stellt für Windows XP ein Update-Paket zur Verfügung. Über die Webseite Winhelpline.de stehen außerdem passende Setup-Routinen für die Microsoft-Betriebssyteme zum Download bereit.

Aufschub der USA bei biometriegestützten Pässen nutzen. Der Bundesbeauftragte für den Datenschutz Peter Schaar begrüßt die Entscheidung der US-Regierung, bei der Einreise in die USA bis zum 26. Oktober 2006 auf biometriegestützte Pässe zu verzichten. Mit der Verschiebung der Verpflichtung um ein weiteres Jahr tragen die USA den erheblichen Problemen bei der Einführung dieser Technik Rechnung, so Schaar.