IT-Sicherheit

Microsoft bereinigt seit einem Monat bekannte Sicherheitslücken. Microsoft bietet einen Sammel-Patch für den Internet Explorer 5.0, 5.5 und 6.0 an, der sechs Sicherheitslecks beheben und alle bislang einzeln veröffentlichten Patches umfassen soll. Damit bereinigt Microsoft einen Großteil der von GreyMagic vor einem Monat entdeckten Sicherheitslücken, lässt aber drei Lecks weiterhin offen. Microsoft empfiehlt dringlich die Installation des Patches, auch weil sich eine der sechs Sicherheitslücken auf andere Microsoft-Produkte auswirkt.

Sicherheitsleck erlaubt Ausführung beliebiger Applikationen. Wie Microsoft berichtet, steckt eine Sicherheitslücke in einer Datenbank-Komponente, die Bestandteil etlicher Windows-Versionen ist und einem Angreifer gestattet, beliebigen Programmcode auf einem anderen System auszuführen. Einzig Windows XP ist von dem Problem nicht betroffen; für die anderen Windows-Versionen bietet Microsoft einen entsprechenden Patch an.

Patch-Sammlung behebt zahlreiche Sicherheitslücken. Microsoft bietet ab sofort das dritte Service Pack (SP) für Office 2000 zum Download an. Die Patch-Sammlung enthält zahlreiche bislang einzeln veröffentlichte Bugfixes und Sicherheits-Patches für Office 2000.

Funk-Etiketten aus Kunststoff sollen Strichcodes ablösen. Einem Infineon-Forscher-Team aus Erlangen ist es jetzt erstmals gelungen, elektronische Schaltkreise aus Plastik auf eine handelsübliche Verpackungsfolie zu integrieren. Bislang sei dies nur unter dem Einsatz sehr hochwertiger Kunststoffe möglich gewesen, so Infineon.

Patch-Update behebt zahlreiche Programmfehler. Apple bietet ab sofort ein weiteres Patch-Update für MacOS X 10.2 an, das Fehler bereinigt und auch aktualisierte Komponenten des Security Updates 2002-09-20 umfasst. Außerdem wurden zahlreiche Programmteile von MacOS X um Programmfehler bereinigt.

Zusammenarbeit von JoWooD und Sony. JoWooD und Sony wollen gemeinsam gegen die stetig steigenden Raubkopierzahlen vorgehen. Für das am 29. November 2002 erscheinende Rollenspiel Gothic 2 wird ein neuer Kopierschutz verwendet, der illegale Kopien weitestgehend verhindern soll.

Patch enthält vor allem Bugfixes und sorgt für höhere Stabilität. Adobe bietet ab sofort einen Patch für die Bildverarbeitungssoftware Photoshop 7 an, der das Programm auf die Versionsnummer 7.01 hievt. Der bereitgestellte Patch eignet sich für die deutschsprachige Version von Photoshop 7 und soll zahlreiche Programmfehler beheben. Der Patch steht sowohl für MacOS als auch für Windows zum Download bereit.

Kostenloses Test-Tool bei mobileaccess.de. Eine auf Security Focus veröffentlichte Sicherheitslücke zeigt, dass bei einigen von Global Sun Technology produzierten Access Points von Dritten Daten wie Administrator-Passwort oder WEP-Schlüssel ausgelesen werden können. Nun gibt es ein kostenloses Prüftool, mit dem man die eigene Hardware auf den Fehler hin testen kann.

Besonders Server-Systeme von der Sicherheitslücke betroffen. In einem aktuellen Security Bulletin beschreibt Microsoft eine Sicherheitslücke im PPTP-Service, der für Fernwartungen genutzt wird und Bestandteil von Windows 2000 und XP ist. Dieser Dienst kann auch zusätzlich auf Systemen mit Windows 98, 98SE, Millennium und NT 4.0 verwendet werden, soll da aber nicht von dem Sicherheitsleck betroffen sein. Microsoft bietet einen passenden Patch zum Download an.

Alle bisher bekannten Sicherheitslücken werden damit gestopft. Microsoft bietet ab sofort einen Sammel-Patch für den Internet Information Server (IIS) 4.0, 5.0 sowie 5.1 an, der alle bisherigen Bugfixes enthält und vier neue Sicherheitslücken stopfen soll. Die Mehrzahl der neu entdeckten Sicherheitslöcher stuft Microsoft als moderat ein.

Spieler berichten über massive Probleme. Einerseits kann man sich bei Sunflowers über die bisher sehr guten Abverkaufszahlen von Anno 1503 freuen, auf der anderen Seite werden aber die Stimmen aus der Spielerschaft immer lauter, die das Spiel aus unterschiedlichen Gründen massiv kritisieren. Als Reaktion soll nun in den nächsten Tagen der erste Patch erscheinen.

Anonymes Peer-to-Peer-Netz soll noch sicherer sein. Das Free Network Project hat seine Peer-to-Peer-Software Freenet nach 14 Monaten der Entwicklung in einer teils neu geschriebenen stabilen Version mit bedeutenden Verbesserungen veröffentlicht. Ab der Version 0.5 soll das durch die Freenet-Clients aufgebaute anonyme, verschlüsselte Peer-to-Peer-Netzwerk Informationen noch sicherer transportieren und - eventuellen Zensurversuchen zum Trotz - dezentral speichern können.

Schwedischer Softwarehersteller zeigt Nachrichtenagentur Reuters an. Das schwedische Unternehmen Intentia International gab seine Geschäftsergebnisse früher als ursprünglich geplant bekannt. Als Grund führt der Softwareanbieter an, dass die Nachrichtenagentur Reuters die Daten bereits vor der geplanten Veröffentlichung publiziert habe.

Hauptpreis geht an Microsoft. Am heutigen Freitagnachmittag wurden zum dritten Mal die deutschen BigBrotherAwards verliehen. Im Rahmen der Zeremonie in der "Ravensberger Spinnerei" wurden unter anderem Microsoft, die Bayer AG, der Deutsche Bundesrat sowie das BKA als "Protagonisten der Überwachungsgesellschaft" ausgezeichnet.

Mehr Flexibilität durch SDSL. Die Einrichtung von so genannten virtuellen privaten Netzen (VPN) auf SDSL-Basis tritt der Telekommunikationsdienstleister QSC ab sofort unter dem Namen Q-VPN auf dem Markt auf.

Patches für den Internet Explorer noch nicht verfügbar. Die israelische Sicherheitsfirma GreyMagic Software berichtet über neun Sicherheitslücken im Internet Explorer bei der Ausführung von Active Scripting. Entsprechende Patches bietet Microsoft bislang nicht an. Um sich vor den Risiken zu schützen, sollte man Active Scripting im Internet Explorer deaktivieren.

Website beschreibt, wie man sich davor schützen kann. Wie die Website Trojaner-Info.de berichtet, nutzen immer mehr Spammer in den USA den Nachrichtendienst in Windows 98, Millennium und XP, um darüber ihre Werbebotschaften an den Mann zu bringen. Es ist zu befürchten, dass dies auch in Deutschland Einzug halten wird, weswegen die Site eine Anleitung zur Deaktivierung des Nachrichtendienstes liefert.

Sicherheitspaket mit Firewall und Virenscanner. McAfee hat mit Internet Security 5.0 eine neue Software vorgestellt, die das Internetsurfen sicherer machen soll. Mit integrierter Firewall und Virenscanner sollen die üblichen Gefahren, die bei Online-Rechnern auftreten, gebannt werden. Lästigen Begleiterscheinungen wie Pop-Ups, Ad- und Spyware will man mit weiteren Zusatzfunktionen beikommen.

c't zur dubiosen Herkunft deutschsprachiger Bulkmails. Aufdringliche Werbung per E-Mail - im Netzjargon wird sie allgemein als "Spam" bezeichnet - wird immer mehr zur Plage im Internet. Die Redaktion des Computermagazins c't ist der Herkunft deutschsprachiger Spam-Mails nachgegangen und dabei auf Verbindungen zur Neonazi-Szene gestoßen. In der aktuellen Ausgabe 22/02 berichtet c't detailliert über die Recherche.

Passende Patches zum Teil nur in englischer Sprache erhältlich. Zwei aktuelle Security Bulletins behandeln Sicherheitslücken in der Hilfe von Windows XP, der Tabellenkalkulation Excel 2002 sowie der Textverarbeitung Word in etlichen Windows- und MacOS-Fassungen. Microsoft stuft alle Sicherheitslecks als moderat ein. Während die Hilfe in Windows XP es einem Angreifer erlaubt, eine Datei über eine präparierte Webseite oder HTML-E-Mail zu löschen, gestatten die Lücken in Word und Excel das Ausspionieren von Informationen.

Patch stopft bekannte Löcher und ein neues Sicherheitsleck. Ein neuer Sammel-Patch für den SQL-Server 7.0 und 2000 steht ab sofort zum Download bereit. Neben allen bislang veröffentlichten Bugfixes enthält der Patch auch Abhilfe gegen eine neu entdeckte Sicherheitslücke, worüber ein Angreifer unberechtigten Zugriff auf Web-Tasks erhält.

Sicherheits-Bugfixes nur für Trillian 0.74 und Pro-Version erhältlich. Für den Instant Messenger Trillian stehen ab sofort zwei überarbeitete Patches bereit, die jeweils nur für die beiden aktuellen Fassungen Trillian 0.74 sowie die kostenpflichtige Pro-Version Trillian 1.0 angeboten werden. Die Patches mit der Kennung "B" sollen einige Sicherheitslücken und Probleme in dem Programm beheben.

Lancom-VPN-Software-Client ab sofort kostenlos zum Download. Die Lancom Systems GmbH stellt auf der Systems 2002 in München eine zentrale Firewall mit Dynamic VPN Gateway zur Standortvernetzung mittlerer und größerer Firmen vor. Der Lancom 7011 VPN soll die nahtlose Integration von Außenstellen, die Anbindung von Partnerfirmen oder die Bereitstellung von Remote-Einwahl für mobile Nutzer über VPN an ein Firmennetzwerk erlauben.

Angreifer kann beliebigen Programmcode starten. In den Versionen 5.5 und 6.0 des Mail-Programms Outlook Express steckt ein Sicherheitsleck beim Umgang mit S/MIME-signierten E-Mails. Gemäß einem aktuellen Security Bulletin kann ein Angreifer darüber Programmcode auf dem betreffenden System ausführen oder den E-Mail-Client zum Absturz bringen. Für beide Programmversionen bietet Microsoft passende Patches an.

In den USA und Großbritannien sind hingegen die Budgets zu knapp. Die EDV-Sicherheit in deutschen Unternehmen ist nicht effizient genug organisiert. Mehr als 70 Prozent der Unternehmen räumen ihr zu wenig Zeit ein, zu diesen Ergebnissen kommt eine Studie von Informationweek. Die Analyse der Daten für Deutschland erfolgte mit Unterstützung durch Mummert Consulting.

Erweiterter Schutz für Instant Messenger. Symantec bietet sein Komplettpaket Norton Internet Security in der 2003er-Version an. Die Software versteht sich als Schutz vor allen Gefahren aus dem Internet und verfügt über die Funktion Norton Intrusion Detection, die bei Zugriffsversuchen einen zusätzlichen Schutz zur Firewall bieten soll.

Software soll vor Viren und Eindringlingen schützen. McAfee Security bringt mit der McAfee Active Client Security eine neue Unternehmenslösung zum Schutz gegen die zunehmenden Angriffe aus dem Netz und dem Hackermilieu auf den Markt. Die Desktop-Sicherheitslösung ist modular erweiterbar und basiert auf der Antivirensoftware von McAfee Security. Die Software kann zentral vom McAfee ePolicy Orchestrator, der McAfee-Anti-Virus-Management-Konsole, verwaltet werden.

Neue Client-Software soll Umgang mit Passwörtern vereinfachen. IBM hat sein Embedded Security Subsystem, das IBM in seinen ThinkPad-Notebooks als auch NetVista-Desktop-PCs einsetzt, verbessert. Das Sicherheitssystem, das es Nutzern erlaubt, ihre Passwörter und User-IDs in sicherer Weise zu verwalten, arbeitet nun auch mit IBMs Tivoli Access Manager zusammen.

Nun steht nur noch der passende Office-Patch aus. Microsoft stellt nach über vier Wochen endlich einen Patch gegen die SSL-Sicherheitslücke in Outlook Express für die MacOS-Plattform zur Verfügung. Nun fehlt noch ein passender Patch für das Office-Paket, das ebenfalls von dem SSL-Leck betroffen ist.

Update auf Illustrator 10.0.3 für MacOS und Windows. Adobe bietet für Illustrator 10 ein kostenloses Update, das die Kompatibilität zu Photoshop 7.0 erhöhen und eine höhere Geschwindigkeit bringen soll. Adobe bietet die Updates nun ausschließlich nach einer umständlichen Registrierung im Internet zum Download an, was einen Update-Prozess verkompliziert.

Zahlreiche Fehler im SQL-Server 7.0 und 2000 werden behoben. Microsoft stellt neue Sammel-Patches für den SQL-Server in den Versionen 7.0 und 2000 zum Download bereit. Dies Bugfix-Sammlungen sollen zahlreiche bisher einzeln veröffentlichte Sicherheitslücken in der Software stopfen sowie drei weitere Sicherheitslecks bereinigen.

Sicherheitslücken erlauben die Ausführung von Programmcode. Wie Microsoft in zwei aktuellen Security Bulletins berichtet, enthalten zahlreiche Windows-Versionen vier Sicherheitslücken, wovon zwei als kritisch betrachtet werden. Zwei der gefährlichen Sicherheitslecks stecken in der HTML-Hilfe, die Bestandteil zahlreicher Windows-Funktionen ist. Die anderen beiden Sicherheitslücken sind Bestandteil der ZIP-Funktionen in einigen Windows-Ausführungen. Die als kritisch eingestuften Lecks erlauben die Kontrolle über ein fremdes System oder die Ausführung von Programmcode.

Apache 1.3.27 und 2.0.43 erschienen. Die Apache Software Foundation bringt mit den Versionen 1.3.27 sowie 2.0.43 ein neues Sicherheits- und Bugfix-Update für den freien Webserver Apache. Die Version 1.3.27 stopft dabei drei mehr oder weniger große Sicherheitslöcher, die es mitunter Angreifern erlauben, Signale mit Root-Rechten an andere Prozesse zu senden.

SuSE Firewall on CD 2 soll IT-Infrastrukturen schützen. SuSE bringt die zweite Generation seiner SuSE Firewall on CD ab 15. Oktober in den Handel. Die Software soll sich vor allem durch einfaches Handling und komfortable Administration bei maximaler Sicherheit auszeichnen.

Bugbear späht Passwörter, Kreditkartennummern und weitere vertrauliche Daten aus. Wie zahlreiche Anbieter von Antiviren-Software übereinstimmend berichten, verbreitet sich seit vergangener Nacht ein Trojaner-Wurm namens Bugbear rasant im Internet. Der Wurm nutzt ein altes Sicherheitsleck im Internet Explorer, deaktiviert Virenscanner sowie Firewalls und enthält eine Trojaner-Komponente, die nach vertraulichen, sensitiven Daten auf dem befallenen System sucht.

15.769.938.165.961.326.592 Schlüssel überprüft. "Some things are better left unread", so die mit einem 64-Bit RC5-Key verschlüsselte Botschaft, die am 14. Juli 2002 mit Hilfe von distributed.net geknackt wurde. Der "Glückliche" war ein Pentium-III mit 450 MHz aus Tokio, der den korrekten Schlüssel "0x63DE7DC154F4D03" übermittelte.

Sicherheits-Bugfixes nur für Trillian 0.74 und Pro-Version erhältlich. In den vergangenen Tagen wurden im Internet einige Sicherheitslücken im Instant Messenger Trillian bekannt, wofür der Hersteller nun passende Patches anbietet, um diese Sicherheitslecks zu stopfen. Allerdings stehen nur Patches für die beiden aktuellen Versionen von Trillian zum Download bereit.

Unternehmen wollen Richtlinien zum Umgang mit Sicherheitslücken erarbeiten. Unter dem Namen "Organization for Internet Safety" (OIS) haben sich jetzt einige Unternehmen zusammengeschlossen, um gemeinsam Vorschläge für einen institutionalisierten Umgang mit Sicherheitslücken zu erarbeiten. Zu den Mitgliedern der OIS zählen unter anderem Caldera, Internet Security Systems, Microsoft, Network Associates, Oracle, SGI und Symantec.

Wahlchance vorausberechnet zur telefonischen "Nachbearbeitung". Die CDU soll im Bundestagswahlkampf 2002 in mehreren Verbänden Methoden angewandt haben, die gegen das Datenschutzgesetz verstoßen. Nach einem Bericht des WDR-Politikmagazins Monitor vom Donnerstag sind in einem Software-Programm sensible Daten von Wahlberechtigten gespeichert und verwendet worden.

Neue Versionen für MacOS und MacOS X erhältlich. Microsoft bietet nach über drei Wochen endlich einen Patch gegen die SSL-Sicherheitslücke im Internet Explorer für die MacOS-Plattform an. Dabei steht sowohl ein Patch für die normale MacOS-Version als auch ein Update für den MacOS-X-Browser zum Download bereit. Die Patches sind bereits auch in deutscher Sprache verfügbar. Auf Patches für Outlook Express und das Office-Paket müssen die Anwender weiter warten.

Denial-of-Service-Attacke oder Programmcode-Ausführung möglich. Wie Microsoft in einem aktuellen Security Bulletin mitteilt, enthalten die Frontpage Server Extensions eine kritische Sicherheitslücke, die es Angreifern ermöglicht, je nach verwendeter Software-Version entweder eine Denial-of-Service-(DoS-)Attacke zu starten oder beliebigen Programmcode auszuführen. Für beide Sicherheitslecks stehen bereits deutschsprachige Patches zum Download bereit.

McAfee Firewall 4.0 für zu Hause. Die Firewall 4.0 von McAfee soll Kleinstnetzwerke, die sich einen Online-Zugang teilen, und einzelne Rechner schützen. Die neue Software-Firewall von McAfee schlägt Alarm, wenn unerwartete Ereignisse eintreffen und teilt den Grund mit. Die Warnungen kommen wunschweise auch mit Ton. Wer möchte, kann sogar seine eigene Alarmmelodie oder Stimme einbinden.

Einstweilige Verfügung gegen SPD und Republikaner. Nachdem Rechtsanwalt Günter Frhr. v. Gravenreuth zunächst gegen die E-Cards der Grünen vorging und eine einstweilige Verfügung erwirkte, ging er nun auch gegen die SPD und die Republikaner vor. Gravenreuth beanstandet dabei, dass ihn unaufgefordert so genannte E-Cards der Parteien erreicht hätten, die jeder über die entsprechenden Webseiten versenden kann.