IT-Sicherheit

Microsoft arbeitet an Bugfixes; keine Terminangabe genannt. Wie das US-Computermagazin Computerworld berichtet, befindet sich das vergangene Woche entdeckte SSL-Sicherheitsloch gar nicht im Internet Explorer, sondern steckt im Windows Quellcode. Darin könnte der Grund liegen, dass sich Microsoft kurze Zeit nach Bekanntwerden des Sicherheitslochs bemühte, das Risiko klein zu reden.

Update beseitigt SSL-Sicherheitslücke. Das KDE Projekt bietet jetzt ein drittes Update der dritten Generation seines freien Unix-Desktops zum Download an. KDE 3.0.3 bietet dabei vor allem eine verbesserte Stabilität gegenüber KDE 3.0.2, das im Juli veröffentlicht wurde.

Alte Version erlaubt Ausführung beliebiger Programme. Macromedia musste seinen Flash Player 6 für Windows aktualisieren, um zwei Sicherheitslöcher zu stopfen, wovon eines als kritisch zu betrachten ist. Denn damit kann ein Angreifer beliebige Programme auf dem betroffenen System ausführen.

Browser prüfen SSL-Zertifikate nur unzureichend. Sowohl der Internet Explorer als auch der Linux-Browser Konqueror weisen eine Sicherheitslücke beim Aufruf von SSL-Seiten auf, wie Beiträge auf der Bugtraq-Mailingliste berichten. Angreifer können einem Surfer so die sichere Verbindung zu einer bestimmten Webseite vorgaukeln, die aber so nicht existiert.

Studie zum Weltmarkt für chipbasierte Fingerabdrucksysteme. Nach einer Studie kommen im Segment Fingerabdruckerkennung derzeit verstärkt chipbasierte Systeme auf den Markt und treten in Wettbewerb mit den bisher eingesetzten optischen Sensoren. Vor allem tragbare Geräte wie Mobiltelefone und Laptops sollen mit den Fingerabdruckchips ausgerüstet werden. Entsprechend positiv bewertet die Unternehmensberatung Frost & Sullivan das Marktgeschehen. Wurden im Jahr 2001 weltweit gerade einmal 5,1 Millionen US-Dollar Umsatz erzielt, so können die Anbieter im Jahr 2006 mit mehr als 424 Millionen US-Dollar rechnen.

Aufpreispflichtige Features gegen Dialerbetrug. Die Deutsche Telekom stellt ihren Kunden mit analogem Netz oder mit T-ISDN-Mehrgeräteanschluss ab sofort ein Sicherheitspaket zum Monatspreis von 1,99 Euro zur Verfügung. Die individuelle Einstellung der Sperrmoglichkeiten kann der Kunde selbst von seinem Telefon PIN-geschützt vornehmen. So sind zum Beispiel ohne Wissen des Anschlussinhabers keine Telefonate mehr möglich oder bestimmte Verbindungen ausgeschlossen. Mit dem Sicherheitspaket soll man sich durch diverse Filterfunktionen auch gegen Dialer-Programme schützen können.

Europaweiter Wettbewerbsnachteil abgewendet? Der Deutsche Multimedia Verband (dmmv) e.V. begrüßt den Beschluss des Europäischen Rates zu Gunsten eines Opt-Out-Prinzips beim Setzen von Cookies. Der in der Branche befürchtete Wettbewerbsnachteil sei somit ausgeblieben, kommentierte der dmmv das Ergebnis.

Beliebige Applikationen können mit höheren Nutzerrechten ausgeführt werden. Der freiberufliche Sicherheitsberater Chris Paget erläutert in einem umfangreichen Schriftstück, dass das Messaging-System in den Windows-APIs Angreifern erlaubt, die eigenen Rechte zu erweitern und so Zugriff auf Systembereiche zu erlangen, die für normale Anwender tabu sind. Microsoft stuft dies jedoch nicht als Sicherheitslücke ein, weil man dazu direkten Zugriff zu einem entsprechenden PC besitzen muss.

Abmahnung wegen E-Mail-Spam-Möglichkeit durch Absenderfälschung. Über die Domain von Joschka Fischer "joschka.de" wird für den Spitzenkandidaten der Grünen geworben. Man hat hier unter anderem die Möglichkeit, eine elektronische Postkarte in Form einer E-Mail an Freunde und Bekannte zu versenden. Die Aktion wurde nun durch den Rechtsanwalt Günter Frhr. v. Gravenreuth mit einer einstweiligen Verfügung "bedacht".

Unverschlüsselter Zugang ab 14. August nur noch optional möglich. Web.de will die Sicherheit seines FreeMail-Dienstes künftig erhöhen, indem man den sicheren Zugang mit SSL (Secure Socket Layer) zum Standard macht. Heute steht der verschlüsselte Zugang nur optional zur Verfügung.

Neue Version 0.9.6e soll Probleme beheben. In einem Security Bulletin warnen die Entwickler der freien SSL-Implementierung OpenSSL gleich vor vier Sicherheitslücken in OpenSSL, die sich aus der Ferne ausnutzen lassen. Betroffen sind alle OpenSSL-Versionen bis 0.9.6d bzw. 0.9.7-beta2.

"Peer to Peer Piracy Prevention Act" soll Industrie den Gegenangriff ermöglichen. Vier US-amerikanische Kongressabgeordnete, darunter auch der DMCA-Befürworter Howard L. Berman, haben eine Gesetzesvorlage veröffentlicht, mit der Peer-to-Peer-Raubkopiernetzwerke bekämpft werden sollen. Der "Peer to Peer Piracy Prevention Act" getaufte Gesetzesvorschlag soll der Industrie die Möglichkeit geben, sich auch mit normalerweise verbotenen technischen Mitteln aktiv gegen Raubkopierer zu wehren - so soll das gezielte Angriffe auf Peer-to-Peer-Netzwerke bzw. deren Teilnehmer erlaubt werden.

Microsoft muss Patch aktualisieren, weil Daten fehlten. Wie Microsoft in einem aktualisierten Security Bulletin berichtet, musste ein Sammel-Patch für den Windows Media Player aktualisiert werden. Der alte Sammel-Patch vom 26. Juni 2002 enthielt nicht alle notwendigen Daten, so dass alle Anwender des Windows Media Player der Versionen 6.4, 7.1 sowie des Windows Media Player für Windows XP den aktualisierten Patch aufspielen sollten.

Bugfixes stopfen insgesamt sechs Sicherheitslecks im SQL-Server 2000. Microsoft veröffentlichte zwei Security Bulletins, in denen sechs neu entdeckte Sicherheitslücken für den SQL-Server 2000 beschrieben werden. Drei der Sicherheitslöcher bewertet Microsoft nur als moderates und sogar geringes Risiko, während die übrigen drei Lücken als kritisch eingestuft werden. Für alle Lecks bietet Microsoft ab sofort passende Patches an.

Japanisches Unternehmen will Sicherheit von Webservern auf einfache Art erhöhen. Das japanische Unternehmen Scarabs hat ein neues Konzept zum Schutz von Webservern oder Intranets entwickelt: Ein Festplattenprototyp erlaubt den Anschluss von zwei Rechnern gleichzeitig: Während der eine Kontrolle über den Schreib-Lese-Kopf hat, kann der andere nur per Lese-Kopf zugreifen - laut Scarabs ein effektiver Schutz vor Eindringlingen, die Websites verunstalten, der zudem vergleichsweise günstig sein soll.

Service Pack enthält alle bisher erschienenen Patches. Microsoft bietet ab sofort das Service Pack 3 für Exchange 2000 zum Download an. Neben der englischsprachigen Version steht auch bereits eine deutsche Fassung bereit.

VirusScan Online und Personal Firewall mit neuer Oberfläche. McAfee.com hat eine Reihe neuer Veränderungen an seinen Sicherheitslösungen vorgenommen. VirusScan Online und Personal Firewall bieten jetzt einen erweiterten Service und eine neue grafische Bedienoberfläche.

PHP 4.2.2 enthält Patch für POST-Sicherheitslücke. Die Entwickler der Scriptsprache PHP haben jetzt über eine Sicherheitslücke in PHP informiert und zugleich mit PHP 4.2.2 eine neue Version vorgelegt, die Abhilfe schafft. Mit speziellen POST-Daten sollen sich IA32-Server zum Absturz bringen lassen. Bei anderen Architekturen bestünde unter Umständen sogar die Möglichkeit, Code auf fremden Servern auszuführen.

Neuer Rufnummernfilter soll unerwünschte Verbindungen verhindern. Die neue Version der AVM-Sicherheitssoftware ISDNWatch soll PC-Nutzer jetzt besser vor bösen Überraschungen schützen. Durch eine detaillierte Rufnummernüberwachung und individuelle Filterfunktionen soll die PC-Kommunikation sicherer werden. Zusammen mit neuen CAPI-Treibern bietet ISDNWatch auch Schutz vor 0190-Dialern.

Frethem-Wurm versendet sich über eigene SMTP-Engine. Wie zahlreiche Hersteller von Antiviren-Software warnen, verbreitet sich erneut ein Wurm, der eine alte Sicherheitslücke im Internet Explorer für seine Dienste ausnutzt. Immerhin ändert der Frethem-Wurm nicht ständig seine Betreffzeile oder den Nachrichtentext, wie es andere E-Mail-Würmer in jüngster Zeit vormachten.

Nur Patch für MacOS X 10.1.x erhältlich. Ein Patch für das Apple-Betriebssystem MacOS X 10.1.x behebt eine Sicherheitslücke im Modul der Software-Aktualisierung. Über das Sicherheitsleck ist es Angreifern möglich, beliebige Software auf einem betreffenden System zu installieren.

Sicherheitsleck erlaubt das Lesen von Dateien und Starten von Programmen. Der Däne Thor Larholm entdeckte eine Sicherheitslücke im Internet Explorer, worüber Angreifer Kontrolle über das betreffende System erlangen können. So lassen sich darüber beliebige Dateien und Cookies auf dem betreffenden System von einem Angreifer einsehen. Aber auch das Ausführen beliebiger Programme ist so möglich.

Outlook-Plugin in PGP erlaubt beliebige Programmausführung. Network Associates bietet einen Patch an, der ein Sicherheitsloch im Outlook-PlugIn der Verschlüsselungssoftware PGP 7.x behebt, das jetzt bekannt geworden ist. Mit einer präparierten E-Mail kann die Sicherheitslücke im PGP-Plugin dazu genutzt werden, beliebigen Code auf dem entsprechendem System auszuführen, was der Patch wieder bereinigt.

Microsoft stellt Patches für jüngst entdeckte Sicherheitslücken bereit. Microsoft veröffentlichte zwei Patches für den SQL-Server 2000 sowie einen Patch für den SQL-Server 7.0. Für die 2000er Version des SQL-Servers gibt es einen Sammel-Patch, der alle bisherigen und drei neue Sicherheitslöcher stopfen soll, und noch einen weiteren Patch, der auch für den SQL-Server 7.0 gilt. Alle neuen Sicherheitslücken stuft Microsoft als moderat ein.

Nur kostenlos in Verbindung mit dem Kauf anderer Steganos-Produkte erhältlich. Der Software-Hersteller Steganos bietet ab sofort einen Schutz gegen die Gefahr durch selbstinstallierende Dialer an. Der Steganos AntiDialer soll dabei vor unerwünschten 0190-Einwahlen bewahren helfen.

Informationssicherheit für das Top-Management nur ein "lästiges Übel"? Für fast ein Drittel der deutschen Top-Manager gilt IT-Sicherheit immer noch als "lästiges Übel": In einer aktuellen KES/KPMG-Sicherheitsstudie bescheinigen die befragten IT-Profis ihrer Führungsriege fehlendes Bewusstsein und ungenügende Kenntnisse in Sachen Informationssicherheit.

PGP-Erfinder will Verschlüsselungs-Software als Open Source veröffentlicht sehen. Nachdem Network Associates (NAI) seit mehreren Monaten erfolglos versucht, die Verschlüsselungs-Software PGP an ein interessiertes Unternehmen zu verkaufen, mischt sich nun der PGP-Erfinder Philip R. Zimmermann ein. Er ruft NAI dazu auf, PGP als Open Source anzubieten, was diese jedoch ablehnen.

Scalper-Wurm laut Antivirenherstellern bislang ohne größere Verbreitung. Der Scalper-Wurm nutzt eine bereits vor zwei Wochen bekannt gewordene Sicherheitslücke im Apache-Webserver, befällt derzeit aber wohl nur das Betriebssystem FreeBSD.

Firewall-Funktion inklusive Stateful Packet Inspection (SPI). Netgear bietet in seiner neuen ProSafe-Produktfamilie für kleine und mittelständische Unternehmen gleich vier neue Netzwerkprodukte. Darunter eine WLAN-Basisstation und ein Breitband-Router mit acht 10/100-Switch-Ports - alle Geräte bieten Firewall-Funktionen inklusive Stateful Packet Inspection (SPI), die u.a. Denial-of-Service-(DoS-)Attacken entschärfen soll.

Alle Patches bereits in deutscher Sprache verfügbar. Apple veröffentlichte jüngst drei Updates für die Mac-Welt, die unter anderem eine Sicherheitslücke in Apache stopfen und eine aktualisierte Carbon-Bibiliothek für MacOS 8.6 und 9.x anbieten. Das dritte Update ist speziell für iMac-Besitzer mit einer ganz bestimmten Version von MacOS X 10.1.5 gedacht.

Patch behebt drei neue Sicherheitslücken im Windows Media Player. Ein neuer Sammel-Patch von Microsoft behebt drei Sicherheitslücken im Windows Media Player der Versionen 6.4, 7.1 und dem Windows Media Player für Windows XP. Außerdem soll der Patch alle bislang veröffentlichten Patches enthalten.

Entwickler wollen Details am Freitag zusammen mit Gegenmitteln veröffentlichen. Laut Theo de Raadt, einem der Lead Developer für OpenBSD und OpenSSH, existiert eine Sicherheitslücke in OpenSSH, die es Angreifern erlaubt, "Root-Rechte" auf entfernten Systemen zu erlangen. Konkrete Details nennt de Raadt in seiner E-Mail an diverse Websites und Mailinglisten nicht, um so Missbrauch vorzubeugen.

Lässt sich nicht auf illegale Installationen anwenden. Acht Monate nach der Markteinführung von Windows XP am 25. Oktober 2001 bereitet Microsoft das erste Service Pack (SP1) für das neue Betriebssystem vor. Das SP1, das auch in deutscher Sprache verfügbar sein wird, ist voraussichtlich ab Ende Sommer 2002 erhältlich. Es lässt sich nach Angaben von Microsoft nicht auf illegale Windowsinstallationen anwenden.

Der Wurm Yaha.E übertrumpft in der Gerissenheit den Wurm Klez.H. Wie zahlreiche Antiviren-Hersteller warnen, verbreitet sich der Wurm Yaha.E rasant im Internet und nutzt die gleiche Sicherheitslücke im Internet Explorer wie der Wurm Klez.H zur automatischen Ausführung des Wurms. Außerdem durchsucht der Yaha-Wurm lokale Dateien nach E-Mail-Adressen und deaktiviert laufende Virenscanner. Immerhin bleibt als kleiner Trost, dass Yaha.E die Absenderadressen der E-Mails nicht fälscht, so dass befallene Anwender darüber informiert werden können.

Update auf neue Apache-Version wird dringend empfohlen. Die am Dienstag bekannt gewordene Sicherheitslücke im Apache WebServer erweist sich als gefährlicher als zunächst eingeschätzt. Anders als zunächst vermutet lässt sich auch auf 64-Bit- und 32-Bit-Unix-Plattformen beliebiger Code ausführen. Zunächst war man davon ausgegangen, dass diese Plattformen dadurch "lediglich" für Denial-of-Service-Attacken anfällig werden.

Patches stopfen vier neue und zahlreiche ältere Sicherheitslöcher. Microsoft stellt zwei Sammel-Patches für die Textverarbeitung Word 2002 und die Tabellenkalkulation Exel 2002 zum Download bereit. Damit sollen zahlreiche Sicherheitslöcher in den entsprechenden Applikationen behoben werden. Auch für Excel 2000 steht ein Patch bereit, der allerdings nur für englischsprachige Sprachversionen gilt.

Nutzer können Spam-Mails mit Hilfe von P2P-Netzwerk bekämpfen. Das US-Unternehmen Cloudmark bietet ab sofort neben Vipul's Razor für die Linux-Plattform mit SpamNet auch eine Erweiterung für das PIM- und E-Mail-Programm Outlook von Microsoft an, um systematisch Spam-Mail auszusortieren. Den Erfolg dahinter soll die Zusammenarbeit der Nutzer in einem P2P-Netzwerk bringen. Das Unternehmen will solche Erweiterungen auch für andere E-Mail-Clients auf Windows-Systemen anbieten, ohne jedoch nähere Details zu nennen.

BSI beauftragt Darmstädter Informatiker mit Prozessorentwicklung. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn hat Prof. Johannes Buchmann und Prof. Sorin Huss von der Technischen Universität Darmstadt mit der Entwicklung eines Kryptoprozessors für Systeme der Hochgeschwindigkeitsverschlüsselung beauftragt. Ziel des Projekts sind Prozessoren, die das Verschlüsseln von Daten in kürzester Zeit und dabei absolut sicher leisten.

Bugfix für den Internet Explorer lässt noch auf sich warten. Vor knapp zwei Wochen wurde eine Sicherheitslücke im Internet Explorer entdeckt, die bei der Verwendung des integrierten Gopher-Clients auftreten kann. Wie Microsoft mitteilte, sind auch der Proxy Server 2.0 und der ISA Server 2000 davon betroffen und bietet immerhin dafür passende Patches an. Das Sicherheitsleck im Internet Explorer bleibt hingegen weiterhin offen.

Wie Unternehmen Spam eindämmen können. Die richtige Konfiguration des Mailservers sowie Beschwerden beim Provider sind die wirksamsten Sofortmaßnahmen gegen unerwünschte Werbemails. Dass Gesetze die Spam-Flut eindämmen ist eher unwahrscheinlich, schreibt das iX Magazin in seiner aktuellen Ausgabe 7/2002 und gibt Tipps gegen lästige Mails.

Technikstudie ohne akute Bedrohung. Die Viren-Labors von Herstellern von Antiviren-Software entdeckten einen absolut harmlosen Virus, der erstmals JPEG-Bilddateien infiziert, aber nicht in der Lage ist, von sich aus ein System zu befallen. Im Grunde ist dieser Virus systembedingt funktionsuntüchtig, weil er sich ausschließlich auf einem bereits infizierten System aktivieren kann.

Windows NT 4.0, 2000, XP, SQL-Server 2000 und IIS 4.0 sowie 5.0 betroffen. Mit einem Schlag informierte Microsoft jetzt über drei aktuelle Sicherheitslücken in verschiedenen Microsoft-Produkten. Die Sicherheitslöcher betreffen Windows NT 4.0, 2000, XP, den SQL-Server 2000 sowie den Internet Information Server (IIS) 4.0 und 5.0. Zwei Lecks werden von Microsoft als moderate Gefahr eingestuft, während die dritte Lücke in Windows NT 4.0, 2000 und XP als kritisch eingeordnet wird. Für alle drei Sicherheitslöcher bietet Microsoft passende Patches an.

Erster Patch von Anfang Mai brachte nicht die erhoffte Wirkung. Wie Microsoft in einem aktualisierten Security Bulletin mitteilt, muss der MSN Chat Client erneut durch einen Patch aktualisiert werden, weil der Anfang Mai bereitgestellte Fix nicht alle Risiken beseitigt. Der MSN Chat Client, der auch im MSN Messenger und im Exchange Instant Messenger steckt, besitzt ein Sicherheitsloch, das es Angreifern ermöglicht, beliebigen Programmcode auszuführen.