Security

Die Zahl der vom Binary Planting betroffenen Anwendungen wächst stetig und es tut sich ein grundsätzliches Problem auf: Viele Programme rufen DLLs auf, die gar nicht existieren. Dann hilft auch Microsofts SafeDLLSearch nicht.

Um die elektronische Ausweisfunktion zu missbrauchen, müssten Angreifer nicht nur die PIN per Keylogger erobern, sie müssten auch den neuen Personalausweis stehlen, weist das BSI die Kritik des Chaos Computer Clubs zurück.

Die aktuelle Version 5.6 von Openssh soll durch eine Logging-Option Phishing-Angriffe aufdecken. Dabei werden bei jeder erfolgreichen Verbindung Hostname und IP-Adresse registriert. Zudem kann Openssh 5.6 eine Verbindung unbegrenzt aufrechterhalten oder benutzerdefiniert nach einer bestimmten Zeit der Inaktivität schließen.

Die Art und Weise, wie Anwendungen DLL-Dateien behandeln, hat weitreichende Folgen für die Sicherheit von Windows. Zahlreiche Anwendungen können zum Einschleusen und Ausführen von Schadcode missbraucht werden, wenn die Entwickler beim Nachladen von DLLs nicht aufgepasst haben. Viel Schutz gibt es nicht, zudem ist der veröffentlichte Workaround kompliziert in der Handhabung.

Die Lesegeräte, die die Regierung zusammen mit dem neuen Personalausweis an die Bürger ausgeben will, haben offenbar eine Schwachstelle. Das haben Tests des Chaos Computer Clubs und des ARD-Magazins Plusminus ergeben.

Wikileaks-Gründer Julian Assange hat sich in einem Interview gegen die Vorwürfe der Vergewaltigung und der sexuellen Nötigung gewehrt. Er sieht in den Anschuldigungen eine Diskreditierungskampagne, hinter der möglicherweise die US-Regierung steckt.

Heimliche Überwachung per Videokamera soll es künftig am Arbeitsplatz nicht mehr geben. Das hat die FDP bei den Verhandlungen zu einem Gesetzentwurf zum Arbeitnehmerdatenschutz durchgesetzt.

In vier neuen Linux-Versionen haben die Entwickler eine Sicherheitslücke geschlossen, bei der Angreifer über Fehler in der Speicherverwaltung Root-Rechte erlangen können. Reparierte Versionen sind bereits in den Repositories verschiedener Distributionen aufgetaucht, etwa von Ubuntu.

Für rund 7,7 Milliarden US-Dollar will der Chiphersteller Intel das auf Software für IT-Sicherheit spezialisiere Unternehmen McAfee übernehmen.

Der Mikrocontrollerchip für den neuen deutschen elektronischen Personalausweis kommt von einem niederländischen Unternehmen. NXP Semiconductors gab heute seine Auswahl durch das Bundesinnenministerium bekannt.

Das Videolan-Team hat eine neue Version des freien Mediaplayers VLC 1.1.3 veröffentlicht. Diese beseitigt einige Fehler, die in älteren Versionen zu Abstürzen führen.

In Sachen Google Street View meldet sich der Bundesdatenschutzbeauftragte Peter Schaar mit zwei konkreten Forderungen zu Wort: Er fordert die Einrichtung eines Widerspruchsregisters und ein Profilbildungsverbot.

Die US-Staatsanwaltschaft wird keine Anklage gegen Beschäftigte eines Schulbezirks erheben, die Kinder heimlich mit Webcams überwacht haben. Kriminelle Absichten seien nicht zweifelsfrei bewiesen. Der Anwalt der Betroffenen sieht das anders.

Die schwedische Piratenpartei wird künftig einige der Server von Wikileaks hosten und der Organisation Bandbreite zur Verfügung stellen - beides kostenlos. Die Partei betrachtet das als Teil ihrer politischen Aufgabe. In den USA droht Gründer Julian Assange inzwischen eine Anklage wegen Spionage.

Adobe veröffentlicht erst am 19. August 2010 einen Sicherheitspatch für den Adobe Reader und für Acrobat. Der außerplanmäßige Patch wurde bereits für diese Woche angekündigt, ein genaues Datum war aber noch nicht bekannt.

Der Softwareanbieter Maxicom bietet im Android Market ein Softwarepaket an, mit dem sich die GPS-Standortdaten eines anderen Android-Smartphones unbemerkt überwachen lassen. Auf Seiten des Überwachten wird dazu ein Spiel installiert, das die GPS-Daten an den Ausspäher sendet.

Google hat wie angekündigt heute eine Website freigeschaltet, auf der Hausbesitzer und Bewohner die Unkenntlichmachung ihrer Häuser in Google Street View beantragen können. Die dafür eingeräumte Frist von vier Wochen hält Bundesverbraucherschutzministerin Ilse Aigner für zu kurz und fordert Google auf, den Bürgern mehr Zeit einzuräumen.

Die Mustersperre von Android-Smartphones lässt sich leicht knacken. Fingerspuren zeigen das gemalte Muster, womit der Zugangsschutz nicht besonders sicher ist. Mit Hilfe von Fotos lassen sich die Fingerspuren analysieren und das gewählte Muster herausfinden, berichten Forscher der Universität von Pennsylvania.

Sowohl in Googles Android als auch in Palms WebOS wurden Sicherheitslücken gefunden, die vom Hersteller bereits geschlossen wurden. Aber nicht allen Gerätebesitzern steht bereits das notwendige Update bereit, vor allem die meisten Android-Smartphones bleiben anfällig für Angriffe.

Alte Geräte wie das erste iPhone und der erste iPod touch sind weiterhin anfällig für eine gefährliche Sicherheitslücke. Denn Apple hat die Geräte und ältere iOS-Versionen bereits aufgegeben. Einen Patch gibt es nun aus der Community.

Mit der Veröffentlichung von Quicktime 7.6.7 schließt Apple eine seit rund zwei Wochen bekannte kritische Sicherheitslücke in seinem Mediaplayer für Windows.

"Alleine können wir den Kampf nicht gewinnen. Wir rennen stetig hinterher", kommentiert Martin Madej den Kampf der Verbraucherschützer gegen Abofallen im Internet. Madej kümmert sich beim Verbraucherzentrale Bundesverband (vzbv) als Rechtsexperte um das Thema.

Opera 10.61 steht ab sofort als Download zur Verfügung. Die aktuelle Version beseitigt drei Sicherheitslöcher. Ein Sicherheitsleck kann zur Ausführung von Schadcode missbraucht werden. Zudem wurden etliche Programmfehler korrigiert.

Eine offenbar schon geschlossene Lücke im Anmeldesystem von Facebook machte das soziale Netzwerk zur Verifizierungsstelle für Mailadressen. Zudem ließen sich durch einen einfachen Trick die Realnamen der Benutzer und ihre Profilbilder einsammeln.

Captchas verwehren Spambots den Zugang zu Webangeboten wie Blogs und Foren. Um diese Sperren zu umgehen, bezahlen Spammer Hilfskräfte, häufig in asiatischen Ländern, die die Buchstabenrätsel lösen. Inzwischen hat sich daraus ein veritables Geschäft entwickelt, dem US-Wissenschaftler auf den Grund gegangen sind.

Tagelange Serverausfälle, wütende PC-Spieler: Mit seinem Onlinekopierschutz hat sich Ubisoft unbeliebt gemacht. Für das Strategiespiel Ruse kündigt der Publisher überraschend an, dass statt des hauseigenen DRM-Systems schlicht Steam Verwendung findet - und Einzelspieler auch offline antreten können.

Apple hat mit iOS 4.0.2 für das iPhone und iOS 3.2.2 für das iPad eine neue Betriebssystemversion veröffentlicht. Sie schließt die Sicherheitslücke, mit der die Geräte per Jailbreak geknackt werden können, wenn eine präparierte Website aufgesucht wird.

Zum Patchday in diesem Monat hat Microsoft elf Patches für die Windows-Plattform veröffentlicht, um insgesamt 23 Fehler zu beseitigen. Zudem wurden fünf gefährliche Sicherheitslücken im Internet Explorer und fünf gravierende Sicherheitslöcher in der Office-Software beseitigt. Insgesamt sollen 14 Patches 34 Sicherheitslücken beseitigen.

Adobe hat Patches für die Produkte Flash Player sowie Flash Media Server veröffentlicht, um darin befindliche Sicherheitslücken zu schließen. Fünf Sicherheitslücken im Flash Player können zur Ausführung von Schadcode missbraucht werden. Für Coldfusion hat Adobe einen Hotfix veröffentlicht.

Reifendruckkontrollsysteme sollen für mehr Sicherheit im Auto sorgen. In den USA sind sie bereits Pflicht, in den kommenden Jahren sollen sie auch in Europa eingeführt werden. US-Wissenschaftler haben jedoch herausgefunden, dass die Systeme anfällig gegen drahtlose Angriffe von außen sind.

Die Deutsche Post ruft einen Sicherheitswettbewerb für ihren neuen E-Postbrief aus. Im Rahmen des E-Postbrief Security Cups sollen Schwachstellen im E-Postbrief-Portal gefunden werden.

Unter dem Dach des Videolan-Projekts arbeiten einige Entwickler von Doom9 an libaacs, einer freien Implementierung des bei Blu-rays verwendeten Kopierschutzsystems Advanced Access Content System (AACS). Zusammen mit der libbluray entsteht damit die notwendige Infrastruktur, um kopiergeschützte Blu-rays mit freier Software anzuspielen.

Der anstehende Start von Google Street View in Deutschland ruft dessen Kritiker auf den Plan. Hamburgs Datenschutzbeauftragter ist überrascht, der Niedersächsische Städte- und Gemeindebund hält den Start für verfrüht.

Mit dem Erscheinen des Foxit Reader 4.1.1.0805 wird eine gefährliche Sicherheitslücke in der Freetype-2-Bibliothek beseitigt. Die Bibliothek wird auch im PDF-Reader von iOS verwendet. Das Sicherheitsloch sorgte bereits bezüglich Jailbreakme etwa für das iPhone für Schlagzeilen.

Die neue Wipe-Technik von Toshiba soll dafür sorgen, dass die auf verschlüsselten Festplatten gespeicherten Daten beim Ausschalten oder beim Ausbau der Festplatte automatisch unleserlich gemacht werden. Der für die Entschlüsselung notwendige Schlüssel wird gelöscht.

In Android können Rootkits auf Hardwareebene installiert werden. Sie bleiben dabei unentdeckt und ermöglichen den Zugang zu E-Mails und SMS-Texten sowie zu integrierten Kameras, Mikrofonen und GPS-Modulen. Selbst Telefonate könnte ein Angreifer über ein gekapertes Smartphone tätigen.

Bundesinnenminister Thomas de Maizière sieht Deutschland verstärkt als Angriffsziel von kommerziellen, vor allem aber politischen IT-Attacken. So rät de Maizière im Handelsblatt Regierungsmitarbeiten und der Bundesverwaltung davon ab, Blackberrys und iPhones im Dienst zu nutzen. Die SPD plädiert für ein Verbot.

Das Arkon-Blog hat eine Sicherheitslücke in Windows veröffentlicht, mit der sich möglicherweise fremder Code auf Windows-Systemen ausführen lässt. Betroffen ist auch Windows 7 mit aktuellen Patches.

Ein Sprecher des US-Verteidigungsministeriums hat noch einmal die Veröffentlichung der Afghanistan-Dokumente auf Wikileaks verurteilt. Gleichzeitig forderte er die Rückgabe der Dokumente, deren Löschung von der Wikileaks-Website sowie von allen Computern und Datenträgern der Organisation.

US-Informatiker haben eine Software entwickelt, die die Privatsphäre von Menschen, die bei Googles Fotofahrzeugen erwischt werden, schützen soll: Die Software entfernt die Menschen und ergänzt das Bild an dieser Stelle. Bis auf kleine Fehler funktioniert das System recht gut.

Die britische Regierung setzt auch weiterhin auf den Internet Explorer 6. Ein Umstieg auf andere Browser sei nicht zwingend besser, ein Update auf den Internet Explorer 8 zu zeitaufwendig und teuer.

Auf der US-Sicherheitskonferenz Black Hat wurde ein Sicherheitsloch im Adobe Reader und in Acrobat enthüllt. Adobe will in der Woche ab 16. August 2010 ein außerplanmäßiges Update veröffentlichen, um das Sicherheitsleck zu schließen.

Diesen Monat nimmt sich Microsoft viel vor, der Softwarekonzern will kommende Woche insgesamt 34 Sicherheitslücken in seinen Produkten beseitigen. 14 Patches für Windows, Office und Silverlight sind geplant.