Wie Microsoft in einem aktualisierten Security Bulletin berichtet, musste ein Sammel-Patch für den Windows Media Player aktualisiert werden. Der alte Sammel-Patch vom 26. Juni 2002 enthielt nicht alle notwendigen Daten, so dass alle Anwender des Windows Media Player der Versionen 6.4, 7.1 sowie des Windows Media Player für Windows XP den aktualisierten Patch aufspielen sollten.
Microsoft veröffentlichte zwei Security Bulletins, in denen sechs neu entdeckte Sicherheitslücken für den SQL-Server 2000 beschrieben werden. Drei der Sicherheitslöcher bewertet Microsoft nur als moderates und sogar geringes Risiko, während die übrigen drei Lücken als kritisch eingestuft werden. Für alle Lecks bietet Microsoft ab sofort passende Patches an.
Das japanische Unternehmen Scarabs hat ein neues Konzept zum Schutz von Webservern oder Intranets entwickelt: Ein Festplattenprototyp erlaubt den Anschluss von zwei Rechnern gleichzeitig: Während der eine Kontrolle über den Schreib-Lese-Kopf hat, kann der andere nur per Lese-Kopf zugreifen - laut Scarabs ein effektiver Schutz vor Eindringlingen, die Websites verunstalten, der zudem vergleichsweise günstig sein soll.
Microsoft bietet ab sofort das Service Pack 3 für Exchange 2000 zum Download an. Neben der englischsprachigen Version steht auch bereits eine deutsche Fassung bereit.
McAfee.com hat eine Reihe neuer Veränderungen an seinen Sicherheitslösungen vorgenommen. VirusScan Online und Personal Firewall bieten jetzt einen erweiterten Service und eine neue grafische Bedienoberfläche.
Die Entwickler der Scriptsprache PHP haben jetzt über eine Sicherheitslücke in PHP informiert und zugleich mit PHP 4.2.2 eine neue Version vorgelegt, die Abhilfe schafft. Mit speziellen POST-Daten sollen sich IA32-Server zum Absturz bringen lassen. Bei anderen Architekturen bestünde unter Umständen sogar die Möglichkeit, Code auf fremden Servern auszuführen.
Die neue Version der AVM-Sicherheitssoftware ISDNWatch soll PC-Nutzer jetzt besser vor bösen Überraschungen schützen. Durch eine detaillierte Rufnummernüberwachung und individuelle Filterfunktionen soll die PC-Kommunikation sicherer werden. Zusammen mit neuen CAPI-Treibern bietet ISDNWatch auch Schutz vor 0190-Dialern.
Wie zahlreiche Hersteller von Antiviren-Software warnen, verbreitet sich erneut ein Wurm, der eine alte Sicherheitslücke im Internet Explorer für seine Dienste ausnutzt. Immerhin ändert der Frethem-Wurm nicht ständig seine Betreffzeile oder den Nachrichtentext, wie es andere E-Mail-Würmer in jüngster Zeit vormachten.
Ein Patch für das Apple-Betriebssystem MacOS X 10.1.x behebt eine Sicherheitslücke im Modul der Software-Aktualisierung. Über das Sicherheitsleck ist es Angreifern möglich, beliebige Software auf einem betreffenden System zu installieren.
Der Däne Thor Larholm entdeckte eine Sicherheitslücke im Internet Explorer, worüber Angreifer Kontrolle über das betreffende System erlangen können. So lassen sich darüber beliebige Dateien und Cookies auf dem betreffenden System von einem Angreifer einsehen. Aber auch das Ausführen beliebiger Programme ist so möglich.
Network Associates bietet einen Patch an, der ein Sicherheitsloch im Outlook-PlugIn der Verschlüsselungssoftware PGP 7.x behebt, das jetzt bekannt geworden ist. Mit einer präparierten E-Mail kann die Sicherheitslücke im PGP-Plugin dazu genutzt werden, beliebigen Code auf dem entsprechendem System auszuführen, was der Patch wieder bereinigt.
Microsoft veröffentlichte zwei Patches für den SQL-Server 2000 sowie einen Patch für den SQL-Server 7.0. Für die 2000er Version des SQL-Servers gibt es einen Sammel-Patch, der alle bisherigen und drei neue Sicherheitslöcher stopfen soll, und noch einen weiteren Patch, der auch für den SQL-Server 7.0 gilt. Alle neuen Sicherheitslücken stuft Microsoft als moderat ein.
Der Software-Hersteller Steganos bietet ab sofort einen Schutz gegen die Gefahr durch selbstinstallierende Dialer an. Der Steganos AntiDialer soll dabei vor unerwünschten 0190-Einwahlen bewahren helfen.
Für fast ein Drittel der deutschen Top-Manager gilt IT-Sicherheit immer noch als "lästiges Übel": In einer aktuellen KES/KPMG-Sicherheitsstudie bescheinigen die befragten IT-Profis ihrer Führungsriege fehlendes Bewusstsein und ungenügende Kenntnisse in Sachen Informationssicherheit.
Nachdem Network Associates (NAI) seit mehreren Monaten erfolglos versucht, die Verschlüsselungs-Software PGP an ein interessiertes Unternehmen zu verkaufen, mischt sich nun der PGP-Erfinder Philip R. Zimmermann ein. Er ruft NAI dazu auf, PGP als Open Source anzubieten, was diese jedoch ablehnen.
Der Scalper-Wurm nutzt eine bereits vor zwei Wochen bekannt gewordene Sicherheitslücke im Apache-Webserver, befällt derzeit aber wohl nur das Betriebssystem FreeBSD.
Netgear bietet in seiner neuen ProSafe-Produktfamilie für kleine und mittelständische Unternehmen gleich vier neue Netzwerkprodukte. Darunter eine WLAN-Basisstation und ein Breitband-Router mit acht 10/100-Switch-Ports - alle Geräte bieten Firewall-Funktionen inklusive Stateful Packet Inspection (SPI), die u.a. Denial-of-Service-(DoS-)Attacken entschärfen soll.
Apple veröffentlichte jüngst drei Updates für die Mac-Welt, die unter anderem eine Sicherheitslücke in Apache stopfen und eine aktualisierte Carbon-Bibiliothek für MacOS 8.6 und 9.x anbieten. Das dritte Update ist speziell für iMac-Besitzer mit einer ganz bestimmten Version von MacOS X 10.1.5 gedacht.
Ein neuer Sammel-Patch von Microsoft behebt drei Sicherheitslücken im Windows Media Player der Versionen 6.4, 7.1 und dem Windows Media Player für Windows XP. Außerdem soll der Patch alle bislang veröffentlichten Patches enthalten.
Laut Theo de Raadt, einem der Lead Developer für OpenBSD und OpenSSH, existiert eine Sicherheitslücke in OpenSSH, die es Angreifern erlaubt, "Root-Rechte" auf entfernten Systemen zu erlangen. Konkrete Details nennt de Raadt in seiner E-Mail an diverse Websites und Mailinglisten nicht, um so Missbrauch vorzubeugen.
Acht Monate nach der Markteinführung von Windows XP am 25. Oktober 2001 bereitet Microsoft das erste Service Pack (SP1) für das neue Betriebssystem vor. Das SP1, das auch in deutscher Sprache verfügbar sein wird, ist voraussichtlich ab Ende Sommer 2002 erhältlich. Es lässt sich nach Angaben von Microsoft nicht auf illegale Windowsinstallationen anwenden.
Wie zahlreiche Antiviren-Hersteller warnen, verbreitet sich der Wurm Yaha.E rasant im Internet und nutzt die gleiche Sicherheitslücke im Internet Explorer wie der Wurm Klez.H zur automatischen Ausführung des Wurms. Außerdem durchsucht der Yaha-Wurm lokale Dateien nach E-Mail-Adressen und deaktiviert laufende Virenscanner. Immerhin bleibt als kleiner Trost, dass Yaha.E die Absenderadressen der E-Mails nicht fälscht, so dass befallene Anwender darüber informiert werden können.
Die am Dienstag bekannt gewordene Sicherheitslücke im Apache WebServer erweist sich als gefährlicher als zunächst eingeschätzt. Anders als zunächst vermutet lässt sich auch auf 64-Bit- und 32-Bit-Unix-Plattformen beliebiger Code ausführen. Zunächst war man davon ausgegangen, dass diese Plattformen dadurch "lediglich" für Denial-of-Service-Attacken anfällig werden.
Microsoft stellt zwei Sammel-Patches für die Textverarbeitung Word 2002 und die Tabellenkalkulation Exel 2002 zum Download bereit. Damit sollen zahlreiche Sicherheitslöcher in den entsprechenden Applikationen behoben werden. Auch für Excel 2000 steht ein Patch bereit, der allerdings nur für englischsprachige Sprachversionen gilt.
Das US-Unternehmen Cloudmark bietet ab sofort neben Vipul's Razor für die Linux-Plattform mit SpamNet auch eine Erweiterung für das PIM- und E-Mail-Programm Outlook von Microsoft an, um systematisch Spam-Mail auszusortieren. Den Erfolg dahinter soll die Zusammenarbeit der Nutzer in einem P2P-Netzwerk bringen. Das Unternehmen will solche Erweiterungen auch für andere E-Mail-Clients auf Windows-Systemen anbieten, ohne jedoch nähere Details zu nennen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn hat Prof. Johannes Buchmann und Prof. Sorin Huss von der Technischen Universität Darmstadt mit der Entwicklung eines Kryptoprozessors für Systeme der Hochgeschwindigkeitsverschlüsselung beauftragt. Ziel des Projekts sind Prozessoren, die das Verschlüsseln von Daten in kürzester Zeit und dabei absolut sicher leisten.
Vor knapp zwei Wochen wurde eine Sicherheitslücke im Internet Explorer entdeckt, die bei der Verwendung des integrierten Gopher-Clients auftreten kann. Wie Microsoft mitteilte, sind auch der Proxy Server 2.0 und der ISA Server 2000 davon betroffen und bietet immerhin dafür passende Patches an. Das Sicherheitsleck im Internet Explorer bleibt hingegen weiterhin offen.
Die richtige Konfiguration des Mailservers sowie Beschwerden beim Provider sind die wirksamsten Sofortmaßnahmen gegen unerwünschte Werbemails. Dass Gesetze die Spam-Flut eindämmen ist eher unwahrscheinlich, schreibt das iX Magazin in seiner aktuellen Ausgabe 7/2002 und gibt Tipps gegen lästige Mails.
Die Viren-Labors von Herstellern von Antiviren-Software entdeckten einen absolut harmlosen Virus, der erstmals JPEG-Bilddateien infiziert, aber nicht in der Lage ist, von sich aus ein System zu befallen. Im Grunde ist dieser Virus systembedingt funktionsuntüchtig, weil er sich ausschließlich auf einem bereits infizierten System aktivieren kann.
Mit einem Schlag informierte Microsoft jetzt über drei aktuelle Sicherheitslücken in verschiedenen Microsoft-Produkten. Die Sicherheitslöcher betreffen Windows NT 4.0, 2000, XP, den SQL-Server 2000 sowie den Internet Information Server (IIS) 4.0 und 5.0. Zwei Lecks werden von Microsoft als moderate Gefahr eingestuft, während die dritte Lücke in Windows NT 4.0, 2000 und XP als kritisch eingeordnet wird. Für alle drei Sicherheitslöcher bietet Microsoft passende Patches an.
Wie Microsoft in einem aktualisierten Security Bulletin mitteilt, muss der MSN Chat Client erneut durch einen Patch aktualisiert werden, weil der Anfang Mai bereitgestellte Fix nicht alle Risiken beseitigt. Der MSN Chat Client, der auch im MSN Messenger und im Exchange Instant Messenger steckt, besitzt ein Sicherheitsloch, das es Angreifern ermöglicht, beliebigen Programmcode auszuführen.
Wie auf der Mailingliste Bugtraq berichtet wird, besitzen mindestens die Versionen 5.5 und 6.0 des Internet Explorer ein Sicherheitsleck bei ftp-Seiten. Dies kann dazu führen, dass gefährlicher JavaScript-Code auf dem betreffenden Computer ausgeführt wird. Einen Patch gibt es bislang nicht, aber ein Workaround wird angeboten.
Wie Microsoft in einem aktuellen Security Bulletin mitteilt, steckt ein Sicherheitsleck in ASP.NET, das es Angreifern erlaubt, beliebigen Programmcode auszuführen sowie den Server durch DoS-Attacken in die Knie zu zwingen. Microsoft bietet bereits einen passenden Patch an.
Die gestern vom Bundeskabinett beschlossene Änderung der Telekommunikations-Kundenschutzverordnung stößt beim Bundesverband der regionalen und lokalen Telekommunikationsgesellschaften (BREKO) auf Ablehnung. Dem Ziel, die Telefon- und Internetnutzer vor kriminellen Machenschaften einiger 0190-Diensteanbieter zu bewahren, erweise man so einen Bärendienst, meint BREKO-Geschäftsführer Rainer Lüddemann.
Ende Mai tauchte ein Wurm auf, der im Anhang vermeintliche Bilder des Popstars Shakira enthält, stattdessen aber einen Wurm ins System einschleust. Schien sich der Wurm zunächst nicht so stark zu verbreiten, konnte er sich in jüngster Zeit doch stark vermehren. Auf befallenen Systemen überschreibt er alle Dateien mit den Endungen .vbs und .vbe.
Mit dem VelociRaptor 1.5 präsentiert Symantec eine neue Version seiner Firewall/VPN-Lösung. Das Gerät unterstützt ab sofort den Advanced Encryption Standard (AES) und bietet neue Proxy-Funktionen für sichere Videokonferenzen. Im Cluster-Betrieb soll eine integrierte Funktion für Hochverfügbarkeit und Lastausgleich (HA/LB) bei Bedarf erweiterte Skalierbarkeit und ununterbrochenen Netzwerkschutz erlauben.
Die finnische Sicherheitsfirma Online Solutions Oy berichtet über eine Sicherheitslücke im Internet Explorer, die bei der Nutzung des internen Gopher-Clients auftreten kann. Demnach genügt der Aufruf eines präparierten Gopher-Servers, damit ein Angreifer die volle Kontrolle über einen fremden Rechner erlangt.
Mit der heute vom Bundeskabinett beschlossenen Änderung der Telekommunikationskundenschutzverordnung (TKV) sollen die Verbraucher gegen missbräuchliche Praktiken im Zusammenhang mit der Nutzung von Mehrwertdienste-Rufnummern, so genannten 0190er-Nummern, besser geschützt werden.
In einem vor ein paar Tagen veröffentlichten Forschungspapier demonstriert Andrew Huang, Student am Massachusetts Institute of Technology, seine Lösung zur Überwindung des Sicherheitssystems der Spielekonsole Xbox. Somit wird es möglich, eigene Software auf der Konsole zum Laufen zu bringen.
Bundesinnenminister Otto Schily und IBM Deutschland-Chef Erwin Staudt haben heute in Berlin einen weitreichenden Kooperationsvertrag über die Förderung von offenen Computerbetriebssystemen und Software in der öffentlichen Verwaltung Deutschlands unterzeichnet. Der Vertrag soll es Bund, Ländern und Kommunen erstmals ermöglichen, Software zu besonders günstigen Konditionen beschaffen zu können, die auf dem Betriebssystem Linux basieren - die Server werden dabei von IBM geliefert, die aufgespielte Linux-Distribution stammt von SuSE.
Auf Antrag des Landes Niedersachsen hat der Bundesrat heute einem Gesetzentwurf zugestimmt, der mehr Eingriffsmöglichkeiten der Ermittlungs- und Strafvollstreckungsbehörden im Bereich der Telekommunikationsüberwachung erlauben soll. Die Telekommunikationsüberwachung soll damit beispielsweise auch bei Verdacht von Straftaten des sexuellen Missbrauchs von Kindern und des Verbreitens (Kinder-)pornografischer Schriften möglich sein, insbesondere um die "pädophile Kriminalität" im Internet besser bekämpfen zu können.
Am Freitag, dem 31. Mai 2002, stehen im Bundesrat die Änderungen zum Telekommunikationsrecht zur Entscheidung an. Danach sollen alle Anbieter, die Telekommunikationsdienstleistungen erbringen, verpflichtet werden, Namen, Anschriften, Geburtsdaten und Rufnummern ihrer Kunden zu speichern. Nach Ansicht des Deutschen Anwaltvereins (DAV) würden diese Änderungen im krassen Widerspruch zu den Rechten der Bürgerinnen und Bürger aus dem Grundgesetz stehen.
Das Europäische Parlament hat die EU-Richtlinie zum Datenschutz in elektronischen Medien gebilligt. Mit ihr sollen Verbraucher besser vor Spam geschützt werden - andererseits soll aber auch die Speicherung von personenbezogenen Daten in den EU-Mitgliedsstaaten erlaubt werden, die bei der Internetnutzung anfallen.
Die Innominate Security Technologies AG zeigt auf der Internet World ihren neuen M2 "Mini". Das bisher kleinste Gerät aus der Innominate-Serverserie ist speziell für die Vernetzung von Firmen-Standorten vorgesehen, die auf hohe Kommunikationssicherheit Wert legen und sich ein kleines, preiswertes, einfach zu bedienende und geräuschloses System wünschen. Dabei sind IPsec und L2TP Sicherheitsprotokolle so implementiert, dass auch mobile Mitarbeiter oder Heimarbeiter auf ihren Arbeitsplatz-PC ohne Gefahr und ohne zusätzliche Kosten über ihr bestehendes Windows-Betriebssystem zugreifen können.
Am Freitag stimmt der Bundesrat über einen im Rechtsausschuss bereits mehrheitlich angenommenen Vorschlag ab, die Internet- und Telekommunikations-Provider zur zwangsweisen Vorratsspeicherung sämtlicher Daten ihrer Kunden zu verpflichten. Damit drohe eine nahezu vollständige Aushebelung des Datenschutzes für Internet und Telekommunikation, warnt das "Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein".
Wie Microsoft in einem aktuellen Security Bulletin mitteilt, enthält der Mail-Server Exchange 2000 eine empfindliche Sicherheitslücke, die es Angreifern ermöglicht, den Mail-Server in die Knie zu zwingen. Microsoft bietet einen Patch gegen das Problem an.
Ein jetzt erhältlicher Patch für den Yahoo Messenger 5.0 beseitigt zwei Sicherheitslöcher in dem Instant Messenger. Angreifer können die Sicherheitslücken dazu nutzen, um Programme auf einem eroberten System auszuführen oder beliebige JavaScript- oder Visual-Basic-Kommandos ausführen.
Sophos liefert ab sofort den neuen Sophos Enterprise Manager aus. Der Enterprise Manager ist das erste Produkt der nächsten Sophos-Generation von Administrations-Tools und soll für die automatische Verteilung der aktuellsten Viren-Updates und Sophos Applikationen sorgen und gleichzeitig manuelle Updates erleichtern.
McAfee Security, ein Geschäftsbereich von Network Associates, bringt eine neue Version seiner Gateway Appliances, WebShield e250 und e500. Die Version 2.5 von McAfee WebShield, eine Kombination aus Soft- und Hardware, ermöglicht transparentes Inline Scanning nach Viren.
"Was ist die größte Gefahr für die IT-Sicherheit in Ihrem Unternehmen?" Diese Kernfrage beantworten rund 500 IT-Experten in der Studie "IT-Sicherheit 2002" von silicon.de. Das Ergebnis ist deutlich: Viren sind noch immer das Hauptproblem. Drei Viertel der befragten Unternehmen hatten im vergangenen Jahr eine Virenattacke im eigenen Haus erlebt. Entsprechend hoch ist deshalb auch die Verbreitung von Antivirensoftware, mehr als 95 Prozent setzen sie mittlerweile in ihrem Unternehmen ein.
Security