IT-Sicherheit

Unbekannter Twiki-Exploit erlaubt unautorisierten Zugriff. Spanischen Hackern gelang es, unautorisiert auf Server des Chaos Computer Clubs (CCC) zuzugreifen und "in Vergessenheit geratene Registrierungsdaten des Chaos Communication Camp 2003" zu veröffentlichen, meldet jetzt der selbst betroffene CCC. Schuld ist ein bislang unbekannter Exploit in der Software TWiki.

Gehackte Webseite kündigt Klage gegen Microsoft an. Der Webserver von SCO wurde über das Thanksgiving-Wochenende offenbar gehackt. So verkündet die Seite nun: "We own all your code - pay us all your money". Damit aber nicht genug.

Oracle wandelt in Sachen Sicherheit auf Microsofts Spuren. Nach Microsoft will nun auch Oracle Sicherheits-Updates nur noch in regelmäßigen Abständen veröffentlichen. Gibt es bei Microsoft einen monatlichen Patch-Day, will Oracle ab 2005 Sicherheits-Updates nur noch vierteljährlich veröffentlichen.

Aktuelles Winamp 5.06 behebt Sicherheitsleck. In der Multimedia-Software Winamp wurde eine schwere Sicherheitslücke gefunden, über die etwa mit manipulierten Playlisten-Dateien beliebiger Programmcode ausgeführt werden kann. In einer aktuellen Winamp-Version wurde der Fehler mittlerweile bereinigt, so dass sich Nutzer von Winamp diese Version installieren sollten.

Fehler in Java-Plug-In-Technik betrifft Internet Explorer, Firefox und Mozilla. Eine schwere Sicherheitslücke haben die Sicherheitsexperten von iDefense in der Plug-In-Architektur der Java 2 Runtime Environment Standard Edition (JRE) entdeckt, die es Angreifern gestattet, auf einem fremden Rechner beliebigen Programmcode auszuführen. Sun bietet bereits eine Version an, die das Sicherheitsloch in der Java-Engine schließt und so Windows- und Linux-Systeme gegen entsprechende Attacken schützt. Außerdem wurde eine weniger gefährliche Sicherheitsanfälligkeit in der Java-Implementierung von Opera entdeckt.

Fehler erlauben Angreifern Ausführung von beliebigem Code. Der Cyrus-IMAP-Server weist einige gefährliche Sicherheitslücken auf, die es Angreifern von außen erlauben, beliebigen Code auszuführen, darauf weist der Sicherheitsexperte Stefan Esser hin, der die Probleme bei einer Überprüfung gefunden hat.

Sensory Networks setzt auf DSPAM. Zusammen mit dem Open-Source-Projekt DSPAM will Sensory Networks eine hardwarebeschleunigte Spam-Erkennung auf den Markt bringen. Dabei soll DSPAM in den NodalCore Security Accelerator von Sensory Networks integriert werden.

Immer noch kein Patch für den Internet Explorer 6.0 erschienen. Etliche seriöse Webseiten haben seit dem Wochenende den als MyDoom.AI respektive Bofra bezeichneten Wurm verbreitet, der sich über Ad-Server in die Seiten eingeschleust hatte und so Systeme infizierte, wenn die betreffenden Seiten mit dem aktuellen Internet Explorer 6.0 besucht wurden. Der für die Wurm-Verbreitung verantwortliche Ad-Server von Falk wurde anscheinend von Hackern gehackt.

Staat soll Selbstverantwortung der Bürger stärken. Auf der 28. Datenschutzfachtagung (DAFTA) in Köln hat der Bundesbeauftragte für den Datenschutz, Peter Schaar, auf die Probleme wachsender Überwachungs- und Kontrollmöglichkeiten hingewiesen. Er forderte eine verstärkte öffentliche Auseinandersetzung mit den Gefährdungen des Rechts auf informationelle Selbstbestimmung, die mit dem Einsatz neuer Technologien verbunden sei.

Stefan Esser findet sieben Fehler, die zumindest DoS-Angriffe erlauben. Der Sicherheitsexperte Stefan Esser weist auf insgesamt sieben Fehler in der Implementierung des SMB-Dateisystems in Linux hin. Diese erlauben es, Clients lahm zu legen, möglicherweise aber auch fremden Code auszuführen.

Version 3.5.0 erkennt neue CPUs und Grafikchips, beseitigt kleine Fehler. Futuremark hat dem auf DirectX 8 und 9 basierenden 3D-Grafikkarten-Benchmark 3DMark 03 ein Update auf die Version 3.5.0 spendiert. Der Vorgänger des aktuellen 3DMark 05 soll so besser mit aktueller Hardware zusammenarbeiten, etwa neue Prozessoren sowie Grafikchips zuverlässig erkennen.

Sicherheitslücke im Internet Explorer erlaubt das Tarnen von Programmdateien. Durch einen Programmfehler im aktuellen Internet Explorer lässt sich laut Secunia.com ein Sicherheitsmechanismus vom Service Pack 2 für Windows XP aushebeln, um eine bösartige Programmdatei als HTML-Datei zu tarnen. So können Nutzer dazu gebracht werden, ausführbare Programmdateien zu laden, obwohl sie dahinter unverdächtige HTML-Daten vermuten. Spezielle Sicherheitsfunktionen im Service Pack 2 sollten derartige Möglichkeiten eigentlich unmöglich machen.

Microsoft musste Patch abermals aktualisieren, weil Programmdateien fehlten. Bereits zwei Mal musste Microsoft das Security Bulletin zum Patch-Day vom November 2004 überarbeiten und den betreffenden Patch innerhalb einer Woche abermals korrigieren. Nutzer vom ISA-Server 2000 mit Service Pack 1 müssen daher nochmals ran und den aktualisierten Patch installieren, weil die ersten Versionen nicht alle notwendigen Programmdateien enthielten und die Einsatzfähigkeit der Software beeinträchtigen konnten, wie Microsoft erst eine Woche nach dem Patch-Day bemerkte.

Zweiter Bericht zu Biometrie und Ausweispapieren vorgelegt. Der Ausschuss für Bildung, Forschung und Technikfolgenabschätzung hat seinen zweiten Sachstandsbericht zum Thema "Biometrie und Ausweisdokumente - Technik, Leistungsfähigkeit, politische Rahmenbedingungen und rechtliche Ausgestaltung" vorgelegt. Je nachdem welche Verfahren zur biometrischen Authentifizierung genutzt werden, kommen auf den Steuerzahler Kosten von bis zu 700 Millionen Euro für die Erstausstellung entsprechender Papiere zu.

Aktuelle Skype-Version behebt Sicherheitsloch. In der Windows-Version der Voice-over-IP-Software (VoIP-Software) Skype wurde ein Sicherheitsloch entdeckt, das es einem Angreifer gestattet, schadhaften Programmcode auf ein fremdes System zu schleusen. Er muss sein Opfer lediglich dazu bringen, eine entsprechend präparierte Webseite zu besuchen.

Speicher vom kostenlosen E-Mail-Postfach wird auf 250 MByte erweitert. Yahoo hat sein E-Mail-Angebot überarbeitet und beginnt mit der Einführung von DomainKeys zum Schutz vor Spam. Die Grundidee bei DomainKeys ist es - wie bei Sender-ID oder SPF -, zu verhindern, dass E-Mails unter gefälschten E-Mail-Adressen verschickt werden, dazu wird aber eine kryptographische Adress-Authentifizierung genutzt.

Whitepaper gibt Handlungsempfehlungen für ISPs und Betreiber von Mailing-Listen. Auf ungewollte Nebeneffekte, die der Kampf gegen Spam nach sich zieht, weist die Electronic Frontier Foundation (EFF) in ihrem Whitepaper "Noncommercial Email Lists: Collateral Damage in the Fight Against Spam" hin. Nach Ansicht der EFF behindern Anti-Spam-Maßnahmen oft die Kommunikation über nicht kommerzielle E-Mail-Listen.

Nutzer vom Internet Explorer wollen kein Tabbed-Browsing. Kurz nach der Veröffentlichung des Open-Source-Browsers Firefox 1.0 veranstaltete Microsoft im australischen Sydney eine Sicherheitsveranstaltung, bei der unter anderem die Sicherheit vom Internet Explorer ein Thema war. Microsoft meinte bei der Gelegenheit, dass der Internet Explorer nicht weniger sicher als andere Browser sei. Auch der Funktionsumfang vom Internet Explorer wurde bei der Gelegenheit thematisiert.

Nutzer können eigene Rechte unerlaubt ausweiten. Der Sicherheitsexperte Paul Starzetz hat wieder einmal einige Sicherheitslücken im Linux-Kernel entdeckt. Fehler im ELF-Binary-Loader erlauben es demnach Angreifern, die über ein Benutzerkonto auf einem verwundbaren System verfügen, die eigenen Rechte auszuweiten.

Deutschsprachiger Patch für ISA-Server 2000 wurde aktualisiert. Wie Microsoft mitteilt, enthielt der vor zwei Tagen bereit gestellte Patch für den ISA-Server 2000 einen Fehler, der allerdings nur die deutschsprachige Version des Patches betrifft. Die erste Version des Patches ließ sich nur auf dem ISA-Server 2000 mit Service Pack 2 installieren, obwohl es auch mit Service Pack 1 möglich sein sollte. Dieser Fehler wurde nun durch einen aktualisierten Patch behoben.

Liberale DNS-Implementierungen sind laut NISCC anfällig. Das britische National Infrastructure Security Coordination Center (NISCC) warnt vor einigen Schwachstellen im Domain Name System (DNS), die von den DNS-Eexperten Roy Arends und Jakob Schlyter entdeckt wurden. Durch sehr freizügige Implementierungen des Protokolls könnten entsprechende Geräte aus dem Tritt gebracht werden.

Patch für Microsofts ISA- und Proxy-Server erschienen. An Microsofts Patch-Day für den November 2004 lässt Microsoft - wie erwartet - das Anfang November 2004 entdeckte I-FRAME-Sicherheitsloch im Internet Explorer unberücksichtigt. Seit dem gestrigen 9. November 2004 verbreitet sich ein neuer MyDoom-Wurm über das Sicherheitsloch im Internet Explorer. Somit wird von Microsoft an diesem Patch-Day nur ein Update für den ISA- und Proxy-Server angeboten, der eine Spoofing-Sicherheitslücke schließt.

IFRAME-Sicherheitsloch schleust Wurm-Code automatisch ein. Das Anfang September 2004 entdeckte IFRAME-Sicherheitsloch im Internet Explorer wird mittlerweile bereits von zwei Ablegern des MyDoom-Wurms ausgenutzt, um darüber andere Systeme zu infizieren. Auf einem anfälligen System muss ein Opfer nur zum Öffnen eines Links gebracht werden, was den Wurm dann über den Internet Explorer in das System schleust.

Auch Sammel-Updates für MacOS X 10.3 erhältlich. Apple bietet ein Update auf MacOS X 10.3.6 für alle Systeme mit MacOS X 10.3 und neuer an, das verschiedene Probleme beheben und das Betriebssystem insgesamt stabiler machen soll. Der Patch umfasst zudem alle bislang einzeln erhältlichen Sicherheits-Updates. Das Update-Paket steht in einer Version für die Desktop-Version und in einer Server-Ausführung bereit.

Vorabinformation soll bessere Planbarkeit bringen. Microsoft will sicherheitsinteressierten Kunden nun bereits vor dem monatlichen Patch-Day über neu erscheinende Sicherheits-Patches informieren. So sollen jeden Donnerstag vor einem Patch-Day Vorabinfos dazu veröffentlicht werden, welche Produkte mit einem Patch bedacht werden und wie gefährlich die dadurch geschlossenen Sicherheitslücken sind.

Sicherheitslücke erlaubt Angreifern Ausführung von Programmcode. Eine neu entdeckte Sicherheitslücke im Internet Explorer gestattet Angreifern das Ausführen von Programmcode, wenn eine präparierte Webseite mit Microsofts Browser geöffnet wird. Auf der Bugtraq-Mailingliste ist bereits ein Exploit für dieses Sicherheitsloch aufgetaucht, weshalb die Sicherheitsexperten von Secunia das Risiko als gefährlich hoch einstufen.

Erste Erprobung von RFID-Tickets bereits Anfang 2005. Anfang 2005 will Nokia zusammen mit Philips in Deutschland und dem Rhein-Main Verkehrsverbund (RMV) einen Ticketverkauf über RFID-Technik erproben. Dann soll man mit einem RFID-tauglichen Handy kontaktlos Fahrkarten für den öffentlichen Personennahverkehr lösen können, was langfristig den sonst fälligen Griff zur Geldbörse ersetzen soll.

Nokia-3220-Hülle mit RFID-Technik für Einsatz von Nahfeldkommunikation. Speziell für das Nokia-Handy 3220 wurde eine Spezialhülle vorgestellt, die mit RFID-Sensoren bestückt ist und somit zur Nutzung der von Philips, Sony und Nokia entwickelten "Nahfeldkommunikation" NFC (Near Field Communication) genutzt werden kann. Damit sollen sich Daten und Informationen auf einfache Weise mit kompatiblen Geräten austauschen lassen.

Google hat Sicherheitsleck behoben. Nachdem ein israelischer Medienbericht auf eine Sicherheitslücke in Googles E-Mail-Dienst Gmail hingewiesen hatte, der im Zusammenspiel mit dem Internet Explorer auftreten konnte, wurde dieses Sicherheitsloch von Google mittlerweile beseitigt. Über das Sicherheitsleck konnten sich Angreifer Zugang zu einem Gmail-Konto verschaffen.

Kosten und unterschiedliche Kommunikationsstandards behindern Einsatz. Die Radiofrequenz-Identifikation (RFID) ist derzeit in der IT- und Wirtschaftsbranche in aller Munde: Kaum ein Tag vergeht, ohne dass sich IT-Hersteller, Lieferanten oder auch große Handelsketten wie Metro oder Wal-Mart dazu bekennen. Erlaubt diese Technik doch, Bewegungsdaten berührungslos und ohne Sichtkontakt zu lesen und zu speichern. Trotz aller Begeisterung sehen Experten aber eine rasche Einführung von RFID in Deutschland skeptisch.

Canon, Lidl und Tchibo gehören ebenfalls zu den Preisträgern. Mittlerweile zum fünften Mal wurden am heutigen 29. Oktober 2004 in Deutschland die BigBrotherAwards verliehen, um auf Missstände in den Bereichen Überwachung, Datenschutz oder Bürgerrechte hinzuweisen. Neben dem Bundesjustizministerium, der Bundesgesundeitsministerin sowie dem Leiter der Bundesagentur für Arbeit wurden auch eine Reihe von Unternehmen wie Canon, Lidl und Tchibo mit einem Preis bedacht.

Microsoft, AOL, EarthLink und Yahoo reichen weitere Klagen ein. Microsoft, EarthLink und Yahoo haben einmal mehr Spammer in den USA verklagt. Erstmals beteiligt sich auch AOL an den Klagen, die die Unternehmen als ein Mittel zur Spam-Bekämpfung sehen. Es geht das erste Mal nicht nur um E-Mail-Spam.

Symantec will Schadensersatz geltend machen. Wegen einer vergleichenden Zeitschriftenanzeige hat Mitbewerber Symantec das deutsche Software-Haus G Data abgemahnt und fordert Schadensersatz. In einer in mehreren Fachmagazinen veröffentlichten Annonce wurden G Datas AntiVirenKit und Symantecs Norton AntiVirus miteinander verglichen. Besonders die Schlagzeilen "Der König ist tot. Es lebe der König" sowie "Da können andere ruhig Gelb vor Neid bleiben" und eine umgefallene Norton-AntiVirus-Packung sorgten bei Symantec für Verärgerung.

Aktuelles QuickTime 6.5.2 soll Sicherheitslücke endgültig beheben. Bereits seit einem Tag bietet Apple eine aktualisierte QuickTime-Version für Windows und MacOS X zum Download an, liefert aber erst jetzt Angaben dazu, was das Update an Veränderungen bringt. So soll die aktuelle Version von QuickTime das längst bereinigt geglaubte schwere Sicherheitsloch bei der Anzeige von BMP-Bildern endgültig beheben.

Kostenloser Virenschutz startet in den USA in zwei Wochen. Zumindest in den USA will AOL seinen Kunden schon bald einen kostenlosen Virenschutz anbieten. Demnach erhalten AOL-Kunden in den USA in zwei Wochen die Möglichkeit, sich kostenlos vor Viren, Würmern und anderen Schädlingen zu schützen, berichtet die US-Zeitung Wall Street Journal.

Einschleusung und Ausführung von Programmcode möglich. In zahlreichen Versionen des RealPlayer für die Windows-Plattform steckt ein schweres Sicherheitsloch, über das Angreifer beliebigen Programmcode auf einem fremden System ausführen können. Damit erhalten Angreifer eine umfassende Kontrolle über andere Systeme. RealNetworks hat einen Patch zur Abhilfe des Problems veröffentlicht.

Auch der Dedicated Linux Server für Far Cry ist nun verfügbar. Ubi Soft und Crytek haben den lang erwarteten Patch 1.3 für den Shooter Far Cry freigegeben. Den Patch 1.2 musste Crytek im Juli 2004 kurz nach seiner Veröffentlichung wieder offline nehmen, da er massive Probleme mit sich brachte. Ebenfalls verfügbar ist nun der Dedicated Linux Server für Far-Cry-Netzwerkspiele.

Mehr kritische Sicherheitslücken in Windows. Der Linux-Journalist Nicholas Petreley hat in einem Security-Report die Sicherheit von Linux und Windows verglichen. Dabei wurden der Microsoft Windows Server 2003 und Red Hat Enterprise Linux AS v.3 verglichen, wobei Linux in Sachen Sicherheit nach Einschätzung von Petreley klar die Nase vorn hat.

Nur Vorserienmodelle von Problemen betroffen. Für den PalmOS-PDA Tungsten T5 bietet palmOne ab sofort einen Patch an, um die vor rund zwei Wochen bekannt gewordenen Programmfehler zu beheben. Damit soll nun das Einfrieren des PDAs verhindert werden, falls die Kalenderansicht auf die Monatsübersicht gestellt wurde.

E-Mail fordert zum manuellen Update der fileutils auf. Red Hat warnt vor einer gefälschten Sicherheitswarnung, die Nutzer zu einem Software-Update auffordert. Dieses schleust aber angeblich einen Trojaner ein.

"Fingerabdrücke im Ausweis nur fragwürdige Sicherheitssimulation". Mit der Integration des Fingerabdrucks neben dem bereits beschlossenen, zur Gesichtserkennung geeigneten Digitalfoto als biometrische Merkmale in den Personalausweis wollen die Innenminister der G5-Staaten (Deutschland, Frankreich, Großbritannien, Italien und Spanien) mehr Sicherheit schaffen. Dieser Auffassung widerspricht der Chaos Computer Club (CCC), denn die biometrischen Merkmale lassen sich nach Ansicht des CCC einfach fälschen.

Sicherheitsloch umgeht Sicherheitsfunktion im Windows XP Service Pack 2. Der Sicherheitsexperte mit dem Pseudonym http-equiv hat erneut zwei Schwachstellen in Microsofts Internet Explorer aufgespürt, worüber ein Angreifer eine weit reichende Kontrolle über ein fremdes System erlangen kann. Darüber lässt sich auch eine mit dem Service Pack 2 für Windows XP eingeführte Sicherheitsfunktion aushebeln, die eigentlich den Internet Explorer besser vor derartigen Attacken schützen sollte.

Sicherheitslöcher gestatten das Abschöpfen vertraulicher Daten. Das Sicherheitsunternehmen Secunia hat in zahlreichen Web-Browsern zwei Sicherheitslücken in den Tabbed-Browsing-Funktionen der betreffenden Applikationen entdeckt, worüber Angreifer sich Zugang zu vertraulichen Informationen verschaffen können. Auch der Internet Explorer ist von diesen Sicherheitslöchern betroffen, wenn ein Browser-Aufsatz mit Tabbed-Browsing-Funktionen verwendet wird.