IT-Sicherheit

Red Hat bietet schon Patches. Drei Sicherheitslücken im Grafik-Toolkit GTK+ können zu einem Pufferüberlauf führen. Dazu genügt es, den Anwender zum Öffnen eines manipulierten XPM-Bildes in einem Programm, das GTK+ benutzt, zu bringen. Auch fremder Programmcode lässt sich so ausführen.

Patrick Stach setzte Methoden von Xiaoyun Wang um. Im August 2004 veröffentlichten chinesische Forscher um Xiaoyun Wang Methoden, die Kollisionen in den Hash-Algorithmen MD4, MD5, HAVAL-128 und RIPEMD aufzeigten. Nun legte Patrick Stach einen MD5-Collision-Generator vor, der auf Basis dieser Methoden arbeitet.

Weiterer Ärger: XCP-Deinstaller macht Rechner unsicher. Kaum schien der Ärger rund um das von Sony BMG auf Musik-CDs eingesetzte DRM-System XCP etwas abgeebbt, sorgt ein weiteres Sicherheitsrisiko für eine Welle der Entrüstung. Der XCP-Deinstaller agiert per ActiveX-Control und öffnet damit den Rechner für Angreifer, die so Programmcode einschleusen können. Zu allem Überfluss scheint XCP widerrechtlich Lame-Code zu verwenden. Sony BMG beginnt derweil damit, Audio-CDs mit der XCP-Software aus dem Handel zu nehmen.

Abermals starke Verbreitung von Sober-Würmern mit deutschen Nachrichtentexten. Unter anderem im deutschsprachigen Bereich des Internets machen seit den frühen Morgenstunden des 15. November 2005 gleich drei neuer Sober-Ableger die Runde, die allesamt über Spam-Listen versendet wurden. Die Würmer verschicken sich mit deutschsprachigem Nachrichtentext, in dem die Empfänger durch Tricks zum Öffnen des verseuchten Anhangs gebracht werden sollen. Im Vorfeld hatte das LKA Bayern bereits davor gewarnt, dass am heutigen 15. November 2005 eine neue Sober-Welle zu erwarten sei.

Update-Pack-CD mit Patch-Paketen für Windows 98, Me, 2000 und XP. Die bereits in der vergangenen Woche aktualisierten Update-Pakete für die Windows-Plattform gibt es nun auch gesammelt als CD-Image von der Webseite Winboard.org. Die Update-Pack-CD hilft etwa Support-Mitarbeitern bei der Pflege von Rechnersystemen.

Microsoft-Werkzeuge werden aktualisiert. Nachdem Microsoft seit ein paar Tagen darüber grübelt, ob der Software-Gigant das von Sony BMG verwendete DRM-System XCP als Schadsoftware einstuft, steht die Entscheidung nun fest: Die von Microsoft kostenlos angebotenen Windows-Werkzeuge zur Erkennung und Eliminierung von Schadsoftware werden demnächst das DRM-System als Schädling einstufen. Sony BMG hat auf Grund des öffentlichen Drucks die Produktion von mit XCP versehenen Musik-CDs vorerst gestoppt.

... wenn auch nur zeitweilig. Sony BMG hat sich auf Grund einer auf Audio-CDs zum Einsatz kommenden, von Antiviren-Software-Entwicklern auf Grund ihrer fragwürdigen Funktionsweise als Schadsoftware klassifizierten DRM-Software XCP mittlerweile sogar eine Warnung vom Chef des US-Department of Homeland Security eingefangen. Der ganze Trubel hat das Musiklabel nun mittlerweile dazu veranlasst, die Produktion von mit XCP versehenen Musik-CDs zu stoppen.

RUB-Arbeitsgruppe demonstriert Schwachstelle des iTAN-Verfahrens. Um die eigenen Kunden vor "Phishing" zu schützen, setzt unter anderem die Postbank mittlerweile auf das iTAN-Verfahren, bei dem vom Nutzer eine ganz bestimmte TAN abgefragt wird. Wissenschaftler der Ruhr-Universität Bochum zeigten jetzt, dass sich auch dieser Ansatz leicht überlisten lässt.

Plupii/Lupper nutzt Sicherheitslücken in Webapplikationen. Anti-Viren-Hersteller warnen vor einem Wurm namens Plupii bzw. Lupper, der Sicherheitslücken in PHP- bzw. Webapplikationen ausnutzt und darüber Linux-Server befällt.

New Yorker Vorort will ungesicherte Funknetzwerke verbieten. Politiker aus einem Vorort von New York wollen den Datenschutz fördern, indem sie den Betrieb ungesicherter drahtloser Netzwerke unter Strafe stellen. Der ungewöhnliche Gesetzesentwurf aus Westchester County betrifft nicht nur Betreiber von Hotspots jeglicher Art, sondern auch Betriebe mit drahtlosem Netzwerk.

Neue Version vom Flash-Player 7 stopft Sicherheitslücke. Im nicht mehr ganz taufrischen Flash-Player 7 haben die Experten von eEye ein Sicherheitsleck entdeckt, worüber Angreifer beliebigen Programmcode ausführen können. Zur Abhilfe bietet Macromedia nun eine neue Version vom Flash-Player 7 zum Download an. Der Flash-Player 8 kennt das Problem nicht.

Neue Erkenntnis: QuickTime 7.0.3 behebt vier Sicherheitslücken. Vor mehr als drei Wochen hat Apple die Version 7.0.3 von QuickTime veröffentlicht, ohne Informationen zu nennen, welche Änderungen das Update bringt. Erst jetzt ist bekannt, dass mit QuickTime 7.0.3 gleich vier Sicherheitslücken geschlossen werden, wovon drei Lecks zur unberechtigten Ausführung von Programmcode missbraucht werden können.

Oft kritisierte Sicherheitsarchitektur vom Internet Explorer zeigt Folgen. In den vergangenen Monaten hat Microsoft zur Beseitigung von Sicherheitslücken im Internet Explorer einige Funktionen so beschränkt, dass manche Webseite in dem Redmondschen Browser nicht mehr korrekt angezeigt wird. Dies belegt abermals, dass viele der durch den Internet Explorer hervorgerufenen Sicherheitsprobleme in der Browser-Architektur begründet sind, die sich eben nicht ohne weiteres beheben lassen, ohne dem Nutzer zunächst Nachteile aufbürden zu müssen.

Neue Unterstützung für x86-64-Systeme. Die Verschlüsselungs-Software TrueCrypt liegt in Version 4.0 erstmals auch für Linux vor. TrueCrypt verschlüsselt Dateien, Festplatten-Partitionen oder USB-Sticks. Neben der Linux-Portierung werden in der neuen Version auch zusätzliche Hardware-Plattformen wie x86-64, PowerPC und SPARC unterstützt.

Vorabinformationen zum nächsten Patch-Day von Microsoft. Im Monat November 2005 will Microsoft ein Security Bulletin veröffentlichen, das mindestens ein Sicherheitsleck in Windows behebt, das als kritisch eingestuft wird. Weitere Informationen dazu werden erst am 8. November 2005 folgen, wenn das Security Bulletin veröffentlicht wird.

Schutzlösung für mobile Geräte. Trend Micro hat seine "Mobile Security 2.0" veröffentlicht. Die Sicherheitslösung ist für die Geräte mit Symbians Series 60 gedacht, von denen es mittlerweile mehr als 25 Millionen Geräte gibt.

Update vom DRM-Entwickler First 4 Internet macht Software zudem sichtbar. Sony BMG ist durch den Einsatz eines sich vom Nutzer unbemerkt tief ins Windows-System grabenden Musik-CD-Kopierschutzsystem in die Kritik geraten. Nachdem Winternals-Chef Mark Russinovich und etwas später auch F-Secure auf die fragwürdige Software hinwiesen, reagierten das Musik-Label und auch der Entwickler des "XCP1 Burn Protect" getauften DRM-Systems halbherzig.

Microsoft wandelt auf Googles Spuren. Nach "Xbox live" will Microsoft mit "Windows Live" und "Office Live" nun auch seine beiden wichtigsten Produkte ins Internet bringen. Die neuen Dienste wurden von Microsoft-Chairman Bill Gates und Lotus-Notes-Erfinder Ray Ozzie vorgestellt, der heute Chef-Techniker von Microsoft ist. Beta-Versionen von einigen der neuen Dienste stehen ab sofort zur Verfügung, wobei Microsoft Googles Geschäftsmodell nachahmt.

Aktuelle Version von MacOS X enthält alle bisherigen Sicherheits-Patches. Mit der Version 10.4.3 für MacOS X wird auch der Web-Browser Safari aktualisiert, der nun ohne Hilfsmittel den Acid2-Test besteht. Außerdem wurden mehrere kleine Programmfehler in verschiedenen Applikationen behoben, so dass Rechner mit MacOS X 10.4.3 insgesamt stabiler zu Werke gehen sollten. Die jeweiligen Updates stehen für die Desktop- und Server-Ausführungen von MacOS X 10.4.x bereit.

Fehler gefährdet zahlreiche PHP-Applikationen. PHP-Entwickler Stefan Esser hat bei den Arbeiten an seinem "Hardening-Patch" für PHP einige Sicherheitslücken in der freien Scriptsprache entdeckt. Darunter auch ein Problem beim Upload von Dateien, das Esser als kritisch einstuft.

Verschlüsselungs-Software für Geldautomaten geplant. IBM hat die Verfügbarkeit der Verschlüsselungs-Software 'Encryption Facility for z/OS' Version 1.1 angekündigt. Damit sollen Datensicherungsmaßnahmen auf Bänder sicherer gemacht werden.

Virenscanner, Firewall, Spam-Filter und Phishing-Schutz im Paket. Das Software-Sicherheitspaket PC-cillin Internet Security hat Trend Micro in einer neuen Version in den USA veröffentlicht. Mit PC-cillin Internet Security 2006 sollen private Windows-Rechner vor den üblichen Bedrohungen aus dem Internet wirksam geschützt werden.

Politiker Otto Schily, Christian Wulff und Volker Bouffier gewürdigt. Am heutigen 28. Oktober 2005 wurden bereits zum siebten Mal die BigBrotherAwards verliehen, um auf Missstände in den Bereichen Überwachung, Datenschutz sowie Bürgerrechte hinzuweisen. In diesem Jahr konnten "Kaiser" Franz Beckenbauer, der niedersächsische Ministerpräsident, der Innenminister von Hessen sowie der Apple-Händler Gravis einen Preis ergattern. Außerdem wurde der ehemalige Bundesinnenminister Otto Schily für sein Lebenswerk geehrt.

GNessUs und Porz-Wahn setzen auf Nessus 2. Da die Sicherheits-Software Nessus in Version 3 nicht mehr als Open Source erhältlich sein wird, haben sich zwei neue Projekte gegründet. GNessUs und Porz-Wahn basieren auf Nessus 2, das weiterhin unter der GPL steht und sorgen so für die Nessus-Weiterentwicklung unter einer freien Lizenz.

Fehler im neuen Patch 1.8.1 wirft bei der Loot-Verteilung aus dem Spiel. Mit dem gerade eingespielten neuen Patch 1.8.1 hat Blizzard den World-of-Warcraft-Spielern einen saftigen Fehler mitgeliefert, der einen Absturz des deutschsprachigen Clients zur Folge hat. Und dabei hat der Spielspaß wegen teils drastischer Netzwerk-Probleme in den letzten Tagen sowieso schon gelitten.

Manipuliertes HTML-Tag bringt Browser zum Absturz. Ein Sicherheitsloch im Internet Explorer lässt den Browser nach Erkenntnissen des Sicherheitsexperten Tom Ferris abstürzen, so dass Angreifer über präparierte Webseiten den Browser gezielt beenden könnten. Ein Patch zur Beseitigung des Sicherheitslochs liegt derzeit nicht vor.

Koschyk: Internet ist virtueller Verbrechensraum mit realen Konsequenzen. Auf dem Bitkom-Innovationsforums in München vertrat der innenpolitische Sprecher der CDU/CSU-Bundestagsfraktion, Hartmut Koschyk, in einem Grundsatzvortrag zum Thema "Sicherheit in Deutschland" die Auffassung, dass die Informationstechnologie besser vor Terroristen geschützt werden müsse. Zudem würden die Möglichkeiten der Informationstechnologie aber von Terroristen und Kriminellen im Allgemeinen selbst genutzt - das Internet habe sich damit "zum virtuellen Verbrechensraum mit realen Konsequenzen" entwickelt, so Koschyk.

Sicherheitsbewertung der BlackBerry-Lösung. Das Fraunhofer Institut für sichere Informationstechnologie (SIT) wird eine Sicherheits-Analyse der BlackBerry-Lösung von Research In Motion (RIM) vornehmen, um die in der BlackBerry-Architektur steckende Verschlüsselung auf Herz und Nieren zu prüfen. Das Ergebnis der Studie kann RIM dann interessierten Kunden zur Verfügung stellen.

"Vorratsdatenspeicherung verletzt Grundrecht der Bürger". Die Datenschutzbeauftragten der einzelnen EU-Mitgliedsstaaten machen im Vorschlag der Europäischen Kommission für eine Richtlinie zur Vorratsspeicherung von Verbindungsdaten eine historische Dimension aus. Die so genannte Artikel-29-Gruppe sieht darin einen Eingriff in das unverletzliche Grundrecht auf eine vertrauliche Kommunikation.

Netscape 8.0.4 für Windows erschienen. Rund einen Monat nach Erscheinen von Firefox 1.0.7 hat AOL eine neue Version des darauf beruhenden Browsers Netscape 8 veröffentlicht, um eine Reihe von Sicherheitslücken zu schließen. Außerdem umfasst Netscape 8.0.4 nun eine neue Flash-Version, die verschiedene Fehler behebt.

Aktualisierter Exchange Server 2003 erhält neue Funktionen. Mit dem Service Pack 2 erhält der Exchange Server 2003 eine Reihe von Neuerungen, die etwa den Umgang mit "öffentlichen Ordnern" betreffen, aber sich auch auf die Größe der Informationsspeicher beziehen. Mit Direct Push lassen sich E-Mails direkt auf mobile Geräte leiten, sofern diese dafür ausgerüstet sind.

Kritisches Sicherheitsupdate von Oracle. Oracle beseitigt mit seinem Oktober-Patch zahlreiche Sicherheitlücken in seiner Software. Viele der Probleme schätzt Oracle dabei selbst als kritisch ein, schweigt sich aber wie üblich zu Details aus.

Kürzere Aktualisierungsdauer für AntiVir PersonalEdition Classic. Der für den privaten Einsatz kostenlose Virenscanner "AntiVir PersonalEdition Classic" von H+BEDV erhält eine neue Update-Abwicklung. Virensignaturen werden spätestens ab dem 21. Oktober 2005 als inkrementelle Updates angeboten, was den Datenverkehr drastisch verringert, weil die Signaturdatei dann nicht mehr komplett geladen werden muss.

Apache-Webserver 1.3.34 erschienen. Mit Apache 1.3.34 hat die Apache Software Foundation ein Update für ihren Webserver veröffentlicht. Zwar ist die Serie 1.3 mittlerweile durch Apache 2 abgelöst worden, dennoch wird die ältere Reihe noch auf zahlreichen Servern eingesetzt.

Version ist nur für den privaten Einsatz bestimmt. Vortech Consulting hat die Version 3.00 der "Coyote Linux Firewall" freigegeben. Diese gibt sich mit alter Hardware zufrieden, unterstützt aber keine PPP-Einwahl und ist nur für den privaten Einsatz zugelassen.

Exploit ist nur eine Zeile lang. Beim Anzeigen von HTML-Seiten bzw. -Mails können der Browser Firefox und der E-Mail-Client Thunderbird mit nur einer Codezeile zum Absturz gebracht werden. Ein Patch existiert bereits seit 2004, ist aber erst in Firefox 1.5 enthalten.

Version 3.6 mit neuen Anti-Spam-Strategien. Nuclear Elephant hat seinen Spam-Filter DSPAM in der Version 3.6 veröffentlicht. Die neue Version unterstützt eine Verifikation über LDAP, Markovian Discrimination sowie ein optimiertes, automatisches Whitelisting.

Patch-Einspielung kann verschiedene Windows-Funktionen beeinträchtigen. Unter bestimmten Umständen macht einer der von Microsoft in der vergangenen Woche veröffentlichten Sicherheits-Patches für Windows Probleme, so dass etwa der Windows-Installer nicht mehr funktioniert, nach der Anmeldung nur ein leerer Bildschirm erscheint oder die Microsoft-Update-Seite nicht mehr arbeitet.

Sechs Sicherheitsprobleme beseitigt. Mit der neuen Version 2.0.55 ihres Webservers Apache stopft die Apache Software Foundation einige Sicherheitslücken in der Software. Neue Funktionen bringt das Update nicht mit.

Verbesserte Browser-Unterstützung. Adobe bietet einen Sammel-Patch für Acrobat 7.x sowie den Adobe Reader 7.x zum Download an. Das Paket enthält die bislang einzeln veröffentlichten Sicherheits-Updates und bringt einige überarbeitete Funktionen. So wurde die Browser-Unterstützung erweitert und die Verarbeitung von dynamischen Formularen verbessert.

Sophos: USA dennoch weiterhin größte Spam-Versender. Die USA sind Spitze, zumindest was das Versenden von Spam angeht, allerdings mit deutlich rückläufigen Zahlen. Laut Sophos kamen zwischen April und September rund 26,35 Prozent der Spam-E-Mails aus den USA, im Vorjahr waren es noch 41,50 Prozent.

Alle Update-Pakete auch gesammelt auf CD oder DVD zu haben. Die Betreiber von Winboard.org haben sich mächtig ins Zeug gelegt und bereits einen Tag nach Microsofts Patch-Day alle Update-Pakete für Windows 2000 sowie Windows XP erneuert, die nun die Sicherheits-Patches für Windows und den Internet Explorer umfassen. Zudem wurde die von Winboard.org angebotene Update-Pack-CD und -DVD auf den aktuellen Stand gebracht. Ferner bietet WinFuture.de sein Update-Paket für Windows XP zum Download an.

Microsofts Patch-Day mit insgesamt elf Sicherheitslücken in Windows. Insgesamt sechs als gefährlich einzustufende Sicherheitslöcher hat Microsoft am Patch-Day für den Oktober 2005 in Windows zusätzlich zu den beiden Sicherheitslücken im Internet Explorer geschlossen. Über 6 von 11 gestopfte Windows-Sicherheitslecks können Angreifer beliebigen Programmcode ausführen und sich so eine umfassende Kontrolle über ein fremdes System verschaffen.