27C3 Um die Position eines Netzteilnehmers herauszufinden und seine Gespräche aufzuzeichnen, braucht es nur wenig: die Telefonnummer, etwas freie Software und ein günstiges altes Handy.
Eine Datenbank mit den Daten von rund 44.000 inaktiven Nutzern von addons.mozilla.org lag offen im Netz, warnt Mozilla. Darin enthalten waren immerhin auch die MD5-Hashes der Nutzerpasswörter.
27C3 Nokias im Jahr 2008 entdeckter Curse-of-Silence-Angriff ist kein Einzelfall. Fast alle Handyhersteller haben Probleme mit Fehlern beim Umgang mit dem Short Message Service (SMS). Abstürze und unbrauchbare Handys sind die Folge.
Microsoft hat eine Warnung zu der Sicherheitslücke im Internet Explorer veröffentlicht, die diesen Monat bekanntwurde. Obwohl Microsoft bisher keine aktiven Angriffe verzeichnet hat, gibt es bereits Beispielcode, der das Sicherheitsloch ausnutzt.
Microsoft verteilt nicht mehr den in der vergangenen Woche erschienenen Sicherheitspatch für Outlook 2007. Ein Fehler im Sicherheitspatch verlangsamt Outlook erheblich.
Die Entwickler des freien Ftp-Servers Proftpd haben die Sicherheitslücke geschlossen, die Hacker wenige Tage zuvor nutzten, um im Quellcode eine Hintertür zu platzieren. Zudem wollen die Entwickler die Software mit weiteren Korrekturen stabilisiert haben.
Der aktuelle Sicherheitspatch für den Internet Explorer verträgt sich nicht mit der Yahoo Toolbar, wenn sie nicht in einer aktuellen Version installiert ist. Microsofts Browser gibt dann nach der Einspielung des Sicherheitspatches Fehlermeldungen aus.
Mozilla will künftig regulär auch für Sicherheitslücken Prämien bezahlen, wenn diese in Webdiensten gefunden werden. Bisher galt das Security Bug Bounty Program offiziell nur für Mozilla-Applikationen.
Mit einem Sicherheitsupdate werden fünf Programmfehler in Googles Chrome 8 beseitigt. Keine der Sicherheitslücken kann vermutlich zum Ausführen von Schadcode missbraucht werden.
Im Internet Explorer ist eine bislang nicht bekannte Sicherheitslücke gefunden worden. Angreifer können den Fehler missbrauchen, um Schadcode auszuführen. Microsoft untersucht den Fehler.
Real hat im Realplayer 27 Sicherheitslücken beseitigt. Nach Unternehmensangaben ist es das umfangreichste Sicherheitsupdate, das es jemals für den Realplayer gab.
Für Firefox, Thunderbird und Seamonkey sind jeweils Updates erschienen, um eine Reihe von Sicherheitslücken zu beseitigen. Die Mehrzahl der Fehler kann zur Ausführung von Schadcode missbraucht werden. Weitere Fehlerkorrekturen gibt es nur für Thunderbird 3.1.7.
Mit 17 Patches will Microsoft diesen Monat 40 Sicherheitslöcher in Windows, Office, Internet Explorer, Sharepoint und Exchange beseitigen. Damit wird ein bekanntes Sicherheitsleck im Internet Explorer geschlossen. Außerdem verschwindet ein Sicherheitsloch, das vom Stuxnet-Wurm ausgenutzt wurde.
Mit dem Update auf Wordpress 3.0.3 schließen die Wordpress-Macher eine Sicherheitslücke in ihrer Blogsoftware, die das Verändern oder Veröffentlichen von Artikeln ermöglicht.
Die iPhone-Apps iControl, iOutbanking und S-Banking haben Sicherheitslücken. Im schlimmsten Fall wird sogar die TAN-Liste ohne Verschlüsselung auf dem iPhone abgelegt.
Hacker nutzten vermutlich eine Sicherheitslücke in dem Ftp-Server des Proftpd-Projekts, um Schadcode in die aktuelle Version Proftpd 1.3.3c einzuschleusen. Darüber können sich unautorisierte Benutzer mit Root-Rechten auf Ftp-Servern Zutritt verschaffen, die die manipulierte Version von Proftpd verwenden.
Das BSI behauptet, zusammen mit Siemens und Openlimit Signcubes die Schwachstellen in der AusweisApp für den elektronischen Personalausweis beseitigt zu haben. Eine Testversion für Firmen kommt am 10. Dezember 2010, die Bürgerversion folgt Anfang Januar 2011
Wer die Online-Ausweisfunktion im neuen elektronischen Personalausweis nutzt, kommt kostenlos auf die Cebit 2011. Hinter der Aktion stehen das Bundesinnenministerium und mehrere IT-Konzerne.
Apple beseitigt einige Fehler in seinem Browser Safari. Die Updates auf Safari 5.0.3 und 4.1.3 schließen insgesamt 27 Sicherheitslücken in dem Browser. 24 der Sicherheitslücken eignen sich, um Code auf Opfersystemen einzuschleusen.
Die Pannenserie beim neuen elektronischen Personalausweis reißt offenbar nicht ab. Das ARD-Magazin Monitor berichtet, dass die neue Software der Bundesdruckerei keinen Rufnamen mehr anzeigt, wenn ein Mensch mehrere Vornamen hat. Die Bundesdruckerei verweist auf das Innenministerium.
Adobe hat einen Patch für Adobe Reader und Acrobat veröffentlicht. Damit wird unter anderem eine gefährliche Sicherheitslücke geschlossen, die seit zweieinhalb Wochen bekannt ist. Mit dem Patch werden weitere 18 Sicherheitslücken geschlossen, die zum Großteil als gefährlich eingestuft werden.
Das Video-LAN-Team hat am Wochenende die VLC-Version 1.1.5 veröffentlicht. Die freie Medienwiedergabesoftware VLC wird damit um einige neue Funktionen erweitert und von einigen Fehlern befreit, unter Windows auch von einer Sicherheitslücke.
Erst erwiesen sich die Basislesegeräte ohne eigene Tastatur als unsicher, nun wurde die AusweisApp gehackt. Jan Korte fordert deshalb, das ganze Projekt E-Personalausweis sofort zu beenden.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die am Dienstag bekanntgewordene Sicherheitslücke in der AusweisApp bestätigt. In Kürze soll eine korrigierte Version zum Download bereitgestellt werden.
Für Microsofts Office-Software sind zwei Patches veröffentlicht worden, um insgesamt sieben Sicherheitslücken zu beseitigen. Obwohl alle sieben Fehler zur Ausführung von Schadcode missbraucht werden können, stuft der Hersteller nur einen als gefährlich ein.
Jan Schejbal weist auf eine Sicherheitslücke in der AusweisApp hin, die das Bundesinnenministerium seit kurzem für den neuen elektronischen Personalausweis zum Download anbietet.
In der Exploit-db ist Exploit-Code für eine Sicherheitslücke im Internet Explorer veröffentlicht worden. Das Sicherheitsleck ist seit Anfang November 2010 bekannt. Angreifer können darüber fremde Systeme unter ihre Kontrolle bringen. In diesem Monat ist kein Patch geplant.
Adobe warnt vor einem bisher nicht bekannten Sicherheitsleck im Adobe Reader. Beispielcode zur Ausnutzung der Schwachstelle ist bereits in Umlauf. Vorerst ist nur bekannt, dass die Sicherheitslücke nur für einen Denial-of-Service-Angriff verwendet werden kann.
Adobe hat das angekündigte Sicherheitsupdate für den Flash Player zum Teil vorgezogen. Updates für Windows, Mac OS X und Linux beseitigen 18 Sicherheitslücken im Flash Player. 15 Sicherheitslecks können zur Ausführung von Schadcode missbraucht werden. Ein Update für Android folgt erst nächste Woche.
Microsoft hat wie üblich Vorabinformationen für den Patchday in der kommenden Woche veröffentlicht. Demnach wird das diese Woche bekanntgewordene Sicherheitsleck im Internet Explorer erwartungsgemäß nicht geschlossen. Mit zwei Patches sollen vor allem Sicherheitslücken in Microsofts Office-Paket beseitigt werden.
Im Internet Explorer hat Microsoft ein Sicherheitsloch entdeckt, das aktiv ausgenutzt wurde. Über eine Webseite wurde Schadcode verteilt, aber vorerst ist die Seite abgeschaltet. Derzeit sind keine weiteren aktiven Attacken bekannt, ein Patch ist in Arbeit.
Adobe hat einen Patch für den Shockwave Player für Windows und Mac OS X veröffentlicht, um insgesamt elf gefährliche Sicherheitslöcher zu beseitigen. Alle Sicherheitslecks können zur Ausführung von Schadcode missbraucht werden.
Mozilla hat das offene Sicherheitsleck in Firefox 3.5 und 3.6 geschlossen. Außerdem gibt es Updates für Thunderbird, um das Sicherheitsloch auch darin zu beseitigen. Über die Sicherheitslücke wurde bereits aktiv Schadcode verteilt.
Mozilla hat eine offene Sicherheitslücke in Firefox bestätigt, die bereits aktiv ausgenutzt wird. Über die offizielle Webseite des Friedensnobelpreises wurde Schadcode verbreitet. An einem Patch für Firefox wird gearbeitet. Bis dahin hilft es, Javascript abzuschalten.
Die Codesperre von iOS 4.1 hat eine Sicherheitslücke. Sie ermöglicht es auch bei gesperrten iPhones über die Notruffunktion auf die kompletten Telefonfunktionen zuzugreifen.
Dem Mozilla-Team sind fünf gefährliche Sicherheitslücken bekanntgeworden. Als Folge gibt es je zwei neue Versionen von Thunderbird und Firefox, die die Probleme beheben sollen.
Microsoft hat seine eigenen Zahlen ausgewertet und ist dabei zu dem Schluss gekommen, dass Java ein immer beliebteres Angriffsziel wird. Die meisten Angriffe zielen auf eine Sicherheitslücke, die schon vor zwei Jahren gepatcht worden ist.
Mitte Oktober 2010 steht Microsofts Patchday an. Am kommenden Dienstag sollen zahlreiche Sicherheitslücken in Windows, Office und dem Internet Explorer geschlossen werden.
Adobe hat seine PDF-Software in den Versionen 9.4 und 8.2.5 fertiggestellt. Damit wird unter anderem eine Flash-Sicherheitslücke geschlossen. Die Linux-Version verzögert sich jedoch, und so bleibt die Möglichkeit offen, dass ein Angreifer höhere Systemrechte erlangen kann.
Datenhändler kaufen Adressen im Tausenderpaket bei deutschen Bürgerämtern ein. Das amtliche öffentliche Verzeichnis der Einwohnermeldeämter steht dafür offen. Pro Datensatz nehmen die Behörden 5 bis 15 Euro.
Am 5. Oktober 2010 will Adobe einen Patch für den Adobe Reader und Acrobat veröffentlichen. Damit werden mindestens zwei gefährliche Sicherheitslecks in den PDF-Applikationen beseitigt. Einer der Fehler wird bereits seit mehr als drei Wochen aktiv ausgenutzt.
Microsoft hat, wie versprochen, einen Patch für ein Sicherheitsloch in ASP.Net veröffentlicht. Das Sicherheitsloch kann von Angreifern zum Ausspähen von Informationen missbraucht werden.
Microsoft hat für ASP.Net einen Sicherheitspatch angekündigt. Damit soll am heutigen Dienstagabend ein offenes Sicherheitsloch beseitigt werden, über das Unbefugte an vertrauliche Daten gelangen können.
Eines der wichtigsten Einfallstore für Angriffe sind PDF-Reader von Adobe. Didier Stevens erklärt in einem E-Book, wie solche gefährlichen PDF-Dokumente erkannt werden können. Ein normaler ASCII-Editor reicht dazu aus.
Ein 17-jähriger Australier steckt hinter der Twitter-Attacke, die vor zwei Tagen für Aufsehen gesorgt hat. Mittels Javascript-Code wurde eine Sicherheitslücke in der Twitter-Homepage ausgenutzt.
Im Betriebssystem Ubuntu ist eine gefährliche Sicherheitslücke entdeckt worden. Sie kann genutzt werden, um Root-Rechte zu erhalten. Ein bereits erhältlicher Patch für Ubuntu behebt das Problem.
Schlamperei war die Ursache für den gestrigen Angriff via Twitter. Für die Attacke wurde ein Sicherheitsloch ausgenutzt, das Twitter im August 2010 bereits geschlossen hatte. Allerdings wurde der Fehler mit einem Update der Seite wieder eingefügt.
Tüftler und Kriminelle können den elektronischen Personalausweis und auch die Schweizer SuisseID mit einfachen Mitteln fernsteuern und so auch ohne direkten Zugriff auf die Dokumente die Identität des Ausweisinhabers missbrauchen. Darauf weist der Chaos Computer Club (CCC) hin.
Auf der Webseite Twitter.com ist ein Sicherheitsloch ausgenutzt worden, über das sich Wurmcode verbreitet hat. Twitter hat das Sicherheitsloch wohl vor kurzem geschlossen, ganz beseitigt ist der Fehler aber noch nicht.
