IT-Sicherheit

Drei Monate altes Sicherheitsleck im Internet Explorer weiterhin offen. Am Patch-Day im Januar 2005 hat sich Microsoft ein aus dem Dezember 2004 stammendes Sicherheitsloch im Internet Explorer vorgeknöpft sowie zwei bislang nicht bekannte Sicherheitslücken innerhalb von Windows geschlossen. Das seit Oktober 2004 bekannte Sicherheitsleck in Microsofts Browser bleibt hingegen weiterhin offen - vor wenigen Tagen wurde ein erster Exploit dafür entdeckt.

Neues Generation ermöglicht IPSec-VPN ohne eigene IP-Adresse. GeNUA verspricht mit der neuen Version seiner VPN-Appliance GeNUBox 2.0 eine deutlich höhere Ausfallsicherheit. An die Box kann zum einen eine Fallback-Leitung angeschlossen werden, die beim Ausfall der Hauptanbindung automatisch einspringt. Zum anderen können die Appliances geclustert werden, so dass eine GeNUBox einspringen kann, wenn eine andere ausfällt.

Mehr Fehler durch neues Entwicklungsmodell? Zusammen mit der neuen Version 2.1.0 der Linux-Sicherheitssoftware grsecurity hat Brad Spengler auf vier Sicherheitslücken im Linux-Kernel hingewiesen und sich über den Umgang mit Sicherheitslücken im Linux-Kernel sowie dessen Code-Qualität beschwert. Derweil meldet Paul Starzetz von Isec im Binary-Loader des Linux-Kernel eine Sicherheitslücke.

Auch Systeme mit Service Pack 2 für Windows XP betroffen. Wie das Internet Storm Center berichtet, wurde den Sicherheitsfachleuten ein Exploit eines mehrere Monate alten Sicherheitslochs im Internet Explorer gemeldet. Die Cross-Site-Scripting-Lücke in Microsofts Browser erlaubt es einem Angreifer, beliebigen Programmcode auf einem fremden System auszuführen und sich so eine umfassende Kontrolle darüber zu verschaffen. Einen Patch bietet Microsoft bislang nicht an.

JumpStart von Atheros und SecureEasySetup von Broadcom. Atheros und DLink auf der einen Seite sowie Broadcom, Linksys und HP auf der anderen Seite wollen die Installation und Konfiguration sicherer drahtloser Netzwerke vereinfachen. Bei Atheros und DLink heißt die entsprechende Technik "JumpStart", während Broadcom, Linksys und HP ihren Ansatz auf den Namen "SecureEasySetup" getauft haben.

Lücke in FTP-Kioslave erlaubt E-Mail-Versand. Die Entwickler des freien Unix- und Linux-Desktops KDE warnen vor einer Sicherheitslücke in ihrer Software. Ähnlich wie beim Microsoft Internet Explorer lässt sich auch beim KDE-Browser Konqueror über präparierte FTP-URLs Unheil anrichten.

Spam-König will seine Spyware nicht länger verbreiten. Der inoffizielle "König des Spam" Sanford Wallace hat sich im Vorfeld eines Prozesses mit der US-Handelsaufsicht geeinigt. Auch ohne Urteil will er seine umstrittenen Programme nicht mehr in Umlauf bringen.

Neben kostenloser Version gibt es eine Abo-Variante mit weiteren Funktionen. Mit dem Erscheinen von Filtertechnics' Googlefilter 2.0 steht das Plug-In für den Internet Explorer nun in einer neuen Version in zwei Ausbaustufen bereit, nachdem es die erste Version ausschließlich als Gratis-Variante gab. Neben einer weiterhin kostenlosen Basisversion wird eine Premium-Variante angeboten, die mehr Funktionen liefert und im Jahresabonnement angeboten wird. Googlefilter sortiert Spam- und Dialer-Seiten aus den Google-Suchergebnissen heraus.

Als Evita.de-Preisvergleich getarnte Website installiert Trojaner. Wer in der beliebten Suchmaschine Google das Stichwort Preisvergleich eingibt, könnte Opfer eines Trojanischen Pferdes werden: Die rechts neben den Suchergebnissen eingeblendete, zum Suchbegriff passende Werbung enthält derzeit auch einen Link auf eine böswillige Website, die Internet-Explorer-Nutzer sofort mit der automatischen Installation eines Trojaners "beglücken" will.

Bluetooth-Angriffe auf Handys nicht mehr nur mit dem Notebook möglich. Bluetooth-Handys sind auf Grund teils eher schlampiger Bluetooth-Integration nicht so sicher, wie ihre Nutzer es wähnen - insbesondere da Angreifer zum Ausspähen, Daten-Sammeln und SMS-Verschicken statt eines Notebooks mittlerweile auch ein normales Bluetooth-Handy nutzen können. Die Sicherheitsproblematik demonstrierte das trifinite-Team nun auf dem Chaos Communication Congress in Berlin mit einer neueren, als "recht stabil" geltenden Version ihrer "Blooover" getauften Handy-Software.

2004 ging durchgeleiteter Spam um 75 Prozent zurück. AOL hat im Kampf gegen den Spam Erfolge gemeldet. So sollen im Jahre 2004 insgesamt 75 Prozent weniger Spam an die Mitglieder des weltgrößten Onlinedienstes ausgeliefert worden sein, als noch ein Jahr zuvor. Diese Zahl errechnete sich nach den Spam-Meldungen der Mitglieder an den Onlinedienst.

Datenschutz sei durch bestehende Gesetze gewährleistet. Die RFID-Technologie hat nach Einschätzung des Branchenverbandes Bitkom das Potenzial, in Deutschland einen Schub für mehr Wachstum und Beschäftigung auszulösen. Die neuen Funketiketten sollen demnach nicht nur die Logistik revolutionieren, sondern auch die Produktsicherheit erhöhen und den Verbraucherschutz verbessern.

Kombination ungepatchter Lücken im Internet Explorer bedroht Windows-Systeme. Michael Evanchik weist zusammen mit "Paul von Greyhats Security" auf eine Sicherheitslücke hin, mit der Windows-Systeme beim bloßen Betrachten von präparierten Webseiten per Internet Explorer infiziert werden können. Dabei handelt es sich eigentlich um keine neue Sicherheitslücke, vielmehr um eine Kombination bereits bekannter Sicherheitslücken, die auch das Service Pack 2 für Windows XP nicht schließt.

Wurm sorgt für Last auf Webseiten mit PHP-Scripten. Am 21. Dezember 2004 begannen Anti-Virenhersteller, vor dem Wurm "Santy.A" zu warnen. Dieser nutzt eine Sicherheitslücke in der Foren-Software phpBB aus, um so verwundbare Server anzugreifen. Mittlerweile sind neue Varianten des Wurms im Umlauf, die mitunter wahllos versuchen, PHP-Scripte auf Server anzugreifen.

JavaScript lässt sich über GET- oder POST-Request einschleusen. Anfang Dezember untersuchte der IT-Sicherheitsexperte Michael Krax alias "mikx" zahlreiche Websites auf Cross-Site-Scripting-Probleme (XSS). Die meisten untersuchten Websites waren in irgendeiner Art und Weise verwundbar. Jetzt veröffentlichte Krax eine Liste der gefundenen Probleme auf 175 Websites.

Sicherheitslücke in phpBB wird ausgenutzt. Ein von Kaspersky Lab mittlerweile auf den Namen "Net-Worm.Perl.Santy.a" getaufter Wurm hat diverse, darunter auch deutsche Websites verunstaltet. Er nutzt eine seit einigen Wochen bekannte Sicherheitslücke in der Foren-Software phpBB aus und verbreitet sich rasch.

Kooperation mit der Wirtschaftsinformatik an der Humboldt-Universität zu Berlin. Das "Unabhängige Landeszentrum für Datenschutz in Schleswig-Holstein" (ULD) soll im Auftrag des Bundesministeriums für Bildung und Forschung die Folgen des "ubiquitären Computing", also die allgegenwärtige Datenverarbeitung und die datenschutzkonformen Gestaltungsmöglichkeiten dieser neuen Technologie untersuchen.

Modifizierte Fahrräder können von den Hackern kostenlos genutzt werden. Die Deutsche Bahn bietet mit "CallABike" in einigen Großstädten und Ballungsräumen einen Mietservice für Fahrräder an. Die Drahtesel stehen am Straßenrand und können kostenpflichtig ausgeliehen werden. Die Freischaltung der Räder und Abrechnung erfolgt per Handy. Doch das System hat Lücken, berichtet jetzt der CCC in der "Datenschleuder". Demnach ist es Hackern mit etwas Bastelarbeit gelungen, die Elektronik der Fahrräder zu modifizieren.

Load Balancing und Hochverfügbarkeit bei VPN-Tunneln. Lancom weitet den Funktionsumfang seiner Router mit einem weiteren Update seines Lancom Operating System (LCOS) aus. So sollen die VPN-Router des Herstellers mit der neuen Firmware bis zu acht verschiedene, redundante VPN-Gateways für einen einzelnen VPN-Tunnel nutzen können, um eine gleichmäßige Lastverteilung und höhere Ausfallsicherheit des Tunnels zu erreichen.

Angreifer kann Root-Rechte erlangen. Ein Puffer-Überlauf im smbd-Deamon von Samba erlaubt es Angreifern, beliebigen Code mit Root-Rechten auszuführen. Betroffen sind Samba 2.0.x, Samba 2.2.x und Samba 3.0.x bis einschließlich 3.0.9.

Browser lässt sich fremde Inhalte unterschieben. Wieder einmal ist ein Problem in Microsofts Internet Explorer aufgetaucht, das Angreifern Phishing-Angriffe erlaubt. Durch einen Fehler im "DHTML Edit Active X Control" lassen sich dem Browser beliebige Webinhalte unterschieben, ohne dass der Nutzer dies merkt oder etwas dazutun muss.

Beta eines Anti-Spyware-Tool soll Ende Januar 2005 erscheinen. Microsoft hat das US-Unternehmen "Giant Company Software" übernommen, das sich auf die Entwicklung von Anti-Spyware- und anderer Sicherheitssoftware spezialisiert hat. Microsoft will die Entwicklungen des Unternehmens nutzen, um Windows-Nutzern künftig Hilfsmittel zur Bekämpfung von Spyware und anderer böswilliger Software an die Hand zu geben.

Insgesamt sieben sicherheitskritische Fehler entdeckt. Stefan Esser von Hardened-PHP-Projekt weist auf sieben Sicherheitslücken in der freien Scriptsprache PHP hin, mit denen unter anderem beliebiger Code auf verwundbaren Systemen ausgeführt werden kann. Die neu erschienenen PHP-Versionen 4.3.10 und 5.0.3 beseitigen diese und fünf weitere Probleme.

Daniel J. Bernstein unterrichtet "UNIX Security Holes". Studenten von Daniel J. Bernstein, unter anderem Autor von qmail und den daemontools, haben im Rahmen eines Kurses zum Thema UNIX Security Holes an der Universität Illinois in Chicago insgesamt 44 Sicherheitslücken in verschiedenen Unix-Applikationen gefunden. Eine Liste der entsprechenden Security-Adisorys wurde jetzt veröffentlicht.

Update beseitigt einige kleinere Probleme. Wieder einmal bietet Apple ein Bugfix-Update für MacOS X an. Die neue Version 10.3.7 steht über Apples Software-Aktualisierung sowie als eigenständiges Installer-Paket zum Download bereit. Das Update beseitigt einige kleinere Fehler in MacOS X.

eBooks könnten Einstiegsmöglichkeit für böswiligen Code sein. Der Sicherheitsspezialist iDefense hat in einem Security Advisory vor einer Sicherheitslücke im Adobe Reader 6.0 gewarnt. Angreifern kann es damit gelingen, in .etd-Dateien, mit denen E-Book Transaktionen abgewickelt werden, fremden Code einzuschleusen und auszuführen.

JavaScript in Auktionen ermöglicht Phishing-Attacken. Die Eingabe von Passwörtern bei eBay ist nicht sicher, darauf weist jetzt das Entwicklerteam von Validome hin, das dazu eine eBay-Auktion entsprechend präpariert hat. In einer Live-Demo lässt sich die Sicherheitslücke nachvollziehen. Echte eBay-Passwörter werden dabei nicht benötigt und es sollten tunlichst auch nur Fantasiedaten verwendet werden.

Coverity findet 985 Bugs in 5,7 Millionen Code-Zeilen. Linux enthält in der aktuellen Version 2.6 rund 985 Bugs in 5,7 Millionen Code-Zeilen und weist damit eine bessere Code-Qualität auf als die meiste proprietäre Software für den Einsatz im Unternehmen, zu diesem Schluss kommt Coverity nach einer vierjährigen Code-Analyse des Linux-Kernels.

Zahlreiche Fehler erlauben Angreifern, fremden Code auszuführen. Microsoft hatte in einem vorgezogenen Patch-Day schon Anfang Dezember 2004 bereits eine kritische Sicherheitslücke im Internet Explorer geschlossen. Nun folgen zum geplanten Patch-Day-Termin fünf weitere Patches. Dabei werden Sicherheitslücken in WordPad, dem DHCP-Server unter NT 4.0, HyperTerminal sowie dem Windows-Kernel und dem lokalen Sicherheitsdienst LSASS beseitigt.

Anti-Virenhersteller warnen vor Zafi.D bzw. W32.Erkez.D. Ein neuer auf den Namen "W32.Erkez.D" bzw. "Worm/Zafi.D" getaufter Wurm tarnt sich als Weihnachtsgruß und öffnet unter den Betriebssystemen Windows 95, 98, ME, NT, 2000 und XP sowie Windows Server 2003 eine Backdoor. Verbreitet wird der Virus wie üblich per E-Mail, aber auch über Peer-to-Peer-Netze.

Gläserner Bürger dank Arbeitslosengeld II und zugehörigem Softwaresystem? Beim Arbeitslosengeld II hat sich der Bund laut Dr. Thilo Weichert, dem Landesbeauftragten für Datenschutz Schleswig-Holstein und Leiter des Unabhängigen Landeszentrums für Datenschutz (ULD), von der für einen Rechtsstaat üblichen Selbstverständlichkeit zur Wahrung des Sozialgeheimnisses von Anfang an verabschiedet. "Für Arbeitslose soll es nach dem Willen des Bundes keinen Datenschutz geben", kritisiert Weichert nach mehreren Monaten Diskussion.

Computerbild hält sich mit Details zurück. Beim Internetauktionshaus eBay klaffen nach Informationen der Computerbild mehrere Sicherheitslücken. Ein Angreifer oder Wurm könne durch die Sicherheitslücken Nutzerdaten von eBay-Mitgliedern ändern und in deren Namen Gebote in beliebiger Höhe abgeben - ohne das Passwort des Mitglieds kennen zu müssen.

Browser in Version 7.54u1 veröffentlicht. Opera hat ein Sicherheitsupdate seines Browsers in der Version 7.54 für alle Plattformen veröffentlicht. Die neue Version 7.54u1 schließt vier potenzielle Sicherheitslücken, die in den vergangenen Tagen bekannt geworden waren, aber nicht nur in Opera enthalten sind.

Fünf Security Bulletins für Windows-Plattform geplant. Nachdem Microsoft seinen Patch-Day Anfang Dezember 2004 zunächst vorgezogen hatte, um endlich das IFRAME-Sicherheitsloch im Internet Explorer zu schließen, steht ein weiterer Patch-Day im Monat Dezember 2004 an. Am 14. Dezember 2004 sollen dann mehrere Windows-Sicherheitslücken geschlossen werden.

Neue Version vereinfacht Netzwerkmanagement und Einbindung in SNMP-Umgebungen. Die Astaro AG hat ihre auf den Einsatz in Netzwerk-Equipment optimierte Linux-Distribution Astaro Security Linux jetzt in einer deutlich erweiterten Version 5.1 veröffentlicht. Das Update soll die Integration von Astaro Security Linux in Netzwerkmanagementsysteme vereinfachen und bietet Administratoren einen detaillierten Überblick über die Bandbreitenauslastung. Außerdem wurde der Spamschutz verbessert.

Verunsicherung über Spam gefährdet weiteres Wachstum des Online-Handels. Trotz eines gesunden Wachstums der Online-Verkäufe in der Weihnachtssaison droht dem Verkaufskanal Internet eine Vertrauenskrise. Dies ist das Ergebnis einer Studie des Marktforschungsinstituts Forrester Data. Obwohl die Online-Umsätze im deutschen Weihnachtsgeschäft auf 3,9 Milliarden Euro stiegen und damit EU-weit einen Anteil von 29 Prozent erreichen, fürchten immer mehr Verbraucher auf Grund von Spam-Mails um die Sicherheit ihrer Daten. Die BSA warnt deshalb davor, auf die Angebote in unverlangt erhaltenen Werbe-Mails einzugehen.

Phishing-Trick kann Inhalte von Pop-Up-Fenstern verändern. Die Sicherheitsspezialisten von Secunia haben eine neuartige Phishing-Variante in etlichen Web-Browsern entdeckt, die es einem Angreifer mit Hilfe spezieller Tricks erlaubt, den Inhalt eines Pop-Up-Fenstern zu verändern und sich so Zugriff auf vertrauliche Daten zu verschaffen. Je nach verwendetem Browser ist das tatsächliche Risiko unterschiedlich hoch.

Prototyp aus Österreich erreicht Geschwindigkeit von mehr als 1 MBit/s. Im Rahmen des Projekts PRODEQUAC entwickelten jetzt Forscher um Prof. Anton Zeilinger vom Institut für Experimentalphysik der Universität Wien den Prototypen einer Hardware-Firewall, die einen sicheren, per Quantenkryptographie geschützten Datenaustausch ermöglichen soll. Mit Hilfe des Gerätes sollen sich sensible Daten jeder Art bis hin zu IP-Telefongesprächen oder Videokonferenzen mit höchster Sicherheit austauschen lassen.

Spam-Filter überprüft nur die Identität des Absenders. IBMs "Internet Technology Group" hat auf den Entwicklerseiten des Unternehmens mit FairUCE einen neuen Spam-Filter veröffentlicht, der Spam schon verhindern soll, bevor er die Postfächer der Nutzer erreicht. Der Inhalt spielt dabei keine Rolle, der Filter prüft vielmehr die Identität des Absenders.

Anbieter gibt sich vom eigenen Erfolg überrascht. Anfang Dezember 2004 hatte Lycos Europe unter dem Motto "Make Love not Spam" eine Kampagne gegen unerwünschte Werbe-E-Mails gestartet. Mit einem Bildschirmschoner sollten die Lycos-Nutzer Web-Server bekannter Spammer ausbremsen. Nun fand die Aktion ein vorzeitiges Ende.

Winamp 5.07 behebt endlich Sicherheitsleck. Das vor rund zwei Wochen bekannt gewordene Sicherheitsleck in der Multimedia-Software Winamp soll nun endlich mit einer aktuellen Version tatsächlich behoben werden. Eigentlich sollte das vor etwa 14 Tagen erschienene Winamp 5.06 das betreffende Sicherheitsloch schließen, was sich dann aber als Trugschluss herausstellte.

Patch bereinigt zwei Sicherheitslücken in Safari. Mit einem Sicherheits-Update bereinigt Apple zahlreiche Sicherheitslücken in verschiedenen Komponenten von MacOS X, um das Betriebssystem gegen mögliche Angriffe abzusichern. Mit dem Patch werden unter anderem zwei Sicherheitslecks in dem Apple-Browser Safari behoben.

Microsoft verlegt Patch-Day für den Dezember 2004 vor. Nach fast genau einem Monat hat Microsoft überraschend außerplanmäßig einen Patch für die IFRAME-Sicherheitslücke im Internet Explorer veröffentlicht. Seit nunmehr drei Wochen nutzt der Bofra-Wurm dieses Sicherheitsleck aus und Ende November 2004 wurde dieser Wurm sogar über zahlreiche seriöse Webseiten verbreitet. Das IFRAME-Sicherheitsloch gestattet Angreifern eine umfassende Kontrolle über fremde Systeme.