Security-Alert

Viele Consumer-Geräte lassen sich per Web-Interface bequem konfigurieren, doch sie haben teilweise haarsträubende Sicherheitslücken. Insbesondere die Router sind angreifbar. Aber die Hersteller reagieren kaum, sagt Sicherheitsexperte Michael Messner.

Der Gründer und Hauptentwickler von Cryptocat wollte eigentlich die Vorzüge seines Projekts auf der Sigint 2013 vorstellen. Stattdessen musste sich Nadim Kobeissi aber rechtfertigen - für eine gefährliche Sicherheitslücke in seinem Chatsystem.

Das Bug Bounty Program von Microsoft belohnt ab nächster Woche Sicherheitsforscher, die sich die Vorschau von Windows 8.1 alias Windows Blue genau anschauen. Insbesondere in den ersten 30 Tagen will Microsoft so Sicherheitsfehler finden, bevor das Betriebssystem von der breiten Masse eingesetzt wird.

Oracle beendet den Support für Java 6. Rund 40 Sicherheitslücken, die teilweise gefährlich sind, dokumentiert Oracle in Java 5, 6 und 7. Doch nur für Java 7 gibt es ein öffentlich zugängliches Sicherheitsupdate. Für Apple-Nutzer gibt es eine Ausnahme.

Tausende US-Firmen tauschen angeblich Informationen über Schwachstellen in ihren Produkten gegen Geheimdienstwissen. Behörden können das für Angriffe nutzen.

Eine gefährliche Sicherheitslücke, die unter Linux längst gepatcht wurde, wird nun unter Android ausgenutzt. Laut Symantec ist es Entwicklern von Schadsoftware gelungen, den Exploit zu portieren. Abhilfe durch eine neue Android-Version gibt es zunächst nicht.

Adobe muss wie fast jeden Monat zahlreiche Lücken in seinen Flash Playern schließen. Zudem beendet Adobe den Support für Flash 10.3 mit diesem letzten Update. Mit dem nächsten Patchday wird nur noch Flash 11.7 unterstützt.

Googles Sicherheitsforscher sollen Sicherheitslücken in Software anderer Hersteller künftig schon nach sieben Tagen veröffentlichen, wenn diese aktiv von Angreifern ausgenutzt werden - auch dann, wenn der Hersteller sie noch nicht geschlossen hat. Das ist auch ein Angriff auf die Sicherheitspolitik von Microsoft und Oracle.

Adobe hat Sicherheitspatches für den Flash Player, AIR, den Adobe Reader, Acrobat und Coldfusion veröffentlicht. In allen drei Produkten werden gefährliche Sicherheitslücken geschlossen, 13 sind es im Flash Player und 24 im Adobe Reader sowie in Acrobat.

Der Mozilla Maintenance Service von Firefox und Thunderbird lässt sich von lokaler Schadsoftware zur Erlangung höherer Rechte ausnutzen. Die Sicherheitslücke kann nur über Umwege ausgenutzt werden. Andere Lücken sind allerdings kritisch und sollten vom Anwender durch Updates beseitigt werden.

Adobe warnt Nutzer von Coldfusion vor laufenden Angriffen im Netz und fordert Administratoren von Coldfusion auf, die Installationen abzusichern. Ein Patch kommt erst nächste Woche parallel zum Microsoft-Patchday.

Noch vor dem monatlichen Patchday hat Microsoft nun eine Zwischenlösung für die Zero-Day-Lücke im Internet Explorer 8 veröffentlicht. Der Hotfix soll zumindest fürs Erste den Internet Explorer 8 absichern.

In den vergangenen Wochen sind immer mehr Webseiten zu Schadsoftwareverteilern umgebaut worden. Es trifft Webseiten sowie Installationen von Apache, Nginx und Lighttpd. Das Internet Storm Center fragt sich schon: "Gibt es noch Webseiten, die nicht kompromittiert sind?"

Im Metasploit-Framework, das Anwender zum Testen der eigenen Sicherheit nutzen, ist ein Exploit integriert worden, der den Internet Explorer 8 überprüft. Somit dürften bald neben militärischen Zielen auch private Anwender angegriffen werden - allerdings sind nur wenige gefährdet.

Neue Firmware stopft Lücken in Produkten von D-Link. Die Updates gibt es für fünf Routermodelle und sieben Netzwerkkameras. In den IP-Cams wurden die Fehler erst vor kurzem entdeckt.

Eine bislang unbekannte Sicherheitslücke im Internet Explorer 8 wird aktiv ausgenutzt, um Trojaner auf Rechnern eines Opfers zu installieren. Angreifer hatten bislang Mitarbeiter der US-Atomwaffenforschung im Visier.

In Lotus Notes werden Java-Applets und Javascript-Code ohne Nachfrage heruntergeladen und ausgeführt. Bis ein Update vorhanden ist, sollten Nutzer Java und Javascript deaktivieren.

Ein noch nicht veröffentlichter Parameter für URLs ermöglicht es, die Verbreitung von PDFs anhand von IP-Adressen zu verfolgen. Der Anwender merkt davon nichts. Der Fehler ist in allen Versionen von Adobes Reader vorhanden. Noch gibt es keinen Patch.

In der Software Strongswan, die unter Linux und anderen Unix-Systemen für IPsec-Verbindungen eingesetzt wird, wurden ungültige Signaturen für das ECDSA-Verfahren akzeptiert. Eine gravierende Sicherheitslücke, die mehrere Jahre unentdeckt blieb.

Microsoft hat einen überarbeiteten Sicherheitspatch für die Windows-Plattform veröffentlicht. Mit dem aktualisierten Patch soll es nun keine Probleme mehr geben und das Sicherheitsloch in den Windows-Kernel-Treibern geschlossen werden.

Auch nach dem letzten Patchday reißen die Meldungen über Sicherheitslücken in Java nicht ab. Jetzt ist eine neue Lücke in der Reflection-API bekanntgeworden. Damit sie greift, muss der Nutzer aber Warnhinweise ignorieren.

Zwei Sicherheitsprojekte haben sich zahlreiche Router vorgenommen und teilweise erschreckende Sicherheitslücken gefunden. Die Geräte stammen unter anderem von Belkin, Linksys, Netgear und Sitecom.

Das heute veröffentlichte Java 7 Update 21 schließt 42 Sicherheitslücken und erhöht die Abfragen, wenn Java-Code auf angesteuerten Webseiten ausgeführt werden soll.

Microsoft hat einen Sicherheitspatch für Windows zurückgezogen, weil nach der Installation Probleme bei den Nutzern aufgetreten sind. Wer den Patch bereits eingespielt hat, sollte ihn wieder deinstallieren, empfiehlt Microsoft.

Adobe hat Sicherheitspatches für den Flash Player und für Air sowie für den Shockwave Player veröffentlicht. In den vier Produkten werden je vier Sicherheitslücken geschlossen, die allesamt zur Ausführung von Schadcode missbraucht werden könnten.

Der Sicherheitsforscher Adam Caudill ist über einen offenen FTP-Server in Taiwan gestolpert, der neben diversen privaten Daten auch den Quellcode von UEFI-Firmware von American Megatrends samt dem privaten Schlüssel zum Signieren enthalten hat.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in den vergangenen Tagen verstärkt beobachtet, dass Schadsoftware über Werbebanner auf etlichen populären deutschen Webseiten ausgeliefert wird. Nutzer sollten ihre Windows-Rechner schleunigst aktualisieren.

Der Dokumentendienst Scribd wurde Ziel eines Angriffs. Obwohl die Daten laut dem Unternehmen gesichert waren, gelang es den Angreifern trotzdem, bei einem Teil der Nutzer Passwörter zu erlangen.

Die Entwickler der freien Datenbank PostgreSQL haben eine kritische Sicherheitslücke in ihrer Software beseitigt, die es Angreifern erlaubt, beliebigen Code auf verwundbaren Servern auszuführen. Es ist die erste derart gefährliche Sicherheitslücke in PostgreSQL seit rund sieben Jahren.

Wegen einer sehr gefährlichen Sicherheitslücke hat sich das PostgreSQL-Team zu einem ungewöhnlichen Schritt entschieden. Die Quelltexte der freien Datenbank werden für eine Weile gesperrt. So soll verhindert werden, dass durch Codeänderungen ein Angreifer das Sicherheitsproblem zu früh entdeckt.

Bei den Sony-Modellen Xperia Z und Xperia T lässt sich die Displaysperre des Android-Smartphones umgehen. Ein Unbefugter erhält dann vollen Zugriff auf das Gerät, kann Daten ausspähen oder auch Schadsoftware installieren.

Wer sein Passwort für eine Apple ID vergessen hat, muss normalerweise einige Sicherheitsabfragen bestätigen. Kurzzeitig reichten aber wenige Informationen, um beliebige Zugänge zu übernehmen. Die Sicherheitslücke zeigt, wie wichtig es ist, sich für solche Fälle vorzubereiten.

In Android-Geräten von Samsung sind eine Reihe von Sicherheitslücken gefunden worden. Angreifer können darüber unter anderem beliebigen Programmcode auf ein Android-Gerät schleusen. Das Schließen der Lücken wird wohl noch einige Zeit dauern.

Apple hat mit Mac OS X 10.8.3 ein Update für sein aktuelles Betriebssystem Mountain Lion veröffentlicht. Es enthält einige kleine neue Funktionen, beseitigt aber vor allem diverse Fehler. Darunter ist ein peinlicher Bug, der Apps mit der Eingabe von 8 Zeichen zum Absturz bringt.

Im Flash Player muss Adobe zwei Wochen nach dem vergangenen Notfall-Patch erneut vier Sicherheitslücken schließen, die als gefährlich eingestuft werden. Die Patches gibt es für alle Plattformen, sie sollten zügig eingespielt werden.

Sicherheitslecks im Windows-Kernel verschaffen einem Angreifer Zugriff auf einen fremden Computer. Dazu muss er lediglich einen präparierten USB-Stick an den Rechner anstöpseln, es muss nicht einmal ein Nutzer angemeldet sein. Der bereitgestellte Patch sollte schleunigst installiert werden.

Per Telnet lassen sich zehn Drucker der Serie Laserjet Pro von Hewlett-Packard fernsteuern, ohne dass dafür ein Passwort nötig ist. Das US-Cert warnt vor der Lücke, sie ist laut HP durch neue Firmware zu beheben.

Apple hat eine Sicherheitslücke in seinem App Store beseitigt, über die Google-Mitarbeiter Elie Bursztein das Unternehmen bereits im Juli 2012 informierte. Durch fehlende Verschlüsselung war es unter anderem möglich, Passwörter zu stehlen und Apps auf Kosten der Nutzer auf ihren Geräten zu installieren.

Die Displaysperre von Samsungs Galaxy S3 lässt sich aushebeln, so dass Unbefugte vollen Zugriff auf das Gerät erhalten. Das Galaxy Note 2 hat einen ähnlichen Fehler. Vermutlich sind nur Samsung-Geräte betroffen, es handelt sich also nicht um einen Fehler in Android.

Eigentlich soll die neue Standard-Sicherheitseinstellung von Java für mehr Sicherheit sorgen, da nur noch signierte Java-Programme im Browser ohne Sicherheitswarnung ausgeführt werden. Doch nun ist ein erster signierter Java-Exploit aufgetaucht.

Update Oracle hat ein weiteres Sicherheitsupdate für Java veröffentlicht und schließt damit zwei Sicherheitslücken, von denen eine seit vergangener Woche aktiv ausgenutzt wird. Allerdings weiß Oracle bereits seit 1. Februar von dem Problem.

In der jüngst aktualisierten Java-Version befindet sich ein weiteres Sicherheitsloch, das bereits aktiv ausgenutzt wird. Nutzer sollten die automatisierte Ausführung von Java-Applets deaktivieren und Java nur dann zulassen, wenn der Urheber absolut vertrauenswürdig ist.

Mozilla blockiert seit kurzem das automatische Ausführen der aktuellen Version der Laufzeitumgebung Java 7 in seinem Firefox-Browser. Wegen einer angeblichen Sicherheitslücke wurde auf Click-to-Play umgestellt.