Security

Browser-Suite bringt Tab-Vorschau und optimierte Lesezeichenfunktionen. Die Browser-Suite SeaMonkey steht ab sofort in der Version 1.1 zum Download bereit und bringt einige Verbesserungen. So gibt es nun eine Vorschau geöffneter Browser-Fenster, Adresseinträge lassen sich nun zwischen Adressbüchern bequem austauschen und verbesserte Sicherheitsfunktionen sollen vor Internetattacken schützen.

Microsoft aktualisiert Patch für Excel. Auch im Monat Januar 2007 hat Microsoft kein Glück mit seinem Patch-Day. Im vergangenen Jahr musste Microsoft mehrfach Patches korrigieren, weil diese fehlerhaft waren. Nun betrifft es einen Excel-Patch, der Microsofts Tabellenkalkulation so durcheinander bringt, dass sich Dokumente unter bestimmten Umständen nicht mehr damit öffnen lassen.

"Risk Matrix" hilft bei Beurteilung der Updates. Oracles Patch-Sammlung für den Januar 2007 schließt insgesamt 51 Sicherheitslücken in den Produkten des Herstellers. Eine Risk Matrix soll Administratoren bei der Entscheidung helfen, welche Updates schnell einzuspielen sind.

Zweites Update innerhalb von zehn Tagen. Mit der Version 2.0.7 ihrer Blog-Software beseitigen die Wordpress-Entwickler eine Sicherheitslücke, die in bestimmten PHP-Versionen auftreten kann. Zudem wurde ein Fehler beseitigt, der mit der kürzlich erschienenen Version 2.06 Einzug hielt.

Schäuble will europaweite Vernetzung polizeilicher Datenbanken. Auf dem informellen Treffen der Justiz- und Innenminister der Europäischen Union in Dresden hat Bundesinnenminister Schäuble vorgeschlagen, die Verbesserung des Informationsaustauschs durch die gegenseitige Vernetzung nationaler Datenbanken voranzutreiben. Ziel ist die effektivere Verbrechensbekämpfung.

Einschicken des Handys für neue Softwareversionen in Zukunft überflüssig. Seit August 2006 arbeitet Nokia daran, ein Firmware-Upgrade direkt via Internet anzubieten. Mit dem Service müssen Kunden ihr Mobiltelefon nicht länger einschicken, sie können nun ein Update zu Hause vornehmen. Bislang war der Service nur in Großbritannien verfügbar, nun können auch deutsche Besitzer eines Nokia-Geräts den Dienst nutzen.

Neue Lesezeichenfunktionen und besserer Umgang mit Add-Ons sowie Plug-Ins. Die Arbeiten an Firefox 3.0 schreiten voran und die Entwickler haben per Wiki-Seite einen Einblick gegeben, welche Neuerungen in dem Browser zu finden sein werden. Neben verbesserten Lesezeichenfunktionen steht der bessere Umgang mit Add-Ons sowie Plug-Ins im Vordergrund. Aber auch die Druckfunktionen werden erneuert und Webservices lassen sich direkter als zuvor in Firefox 3.0 einbinden. Zugleich wurde der Erscheinungstermin von Firefox 3.0 massiv nach hinten verschoben.

Bundesregierung wartet auf Entscheidung des Bundesgerichtshofs. Auf Anfragen der FDP und der Linksfraktion zur Rechtmäßigkeit von "Online-Durchsuchungen" auf PCs ohne Unterrichtung des Besitzers kann die Bundesregierung derzeit noch keine eindeutigen Aussagen machen. In einer Mitteilung vom 10. Januar 2007 heißt es dazu, dass die Regierung selbst bis zu einer noch ausstehenden Entscheidung des Bundesgerichtshofes (BGH) keine Stellungnahme abgeben wolle.

Update schließt zwei Sicherheitslücken. Mit dem Adobe Reader sowie Acrobat 7.0.9 korrigiert Adobe eine Anfang Januar 2007 bekannt gewordene Sicherheitslücke in der Software sowie ein zweites Sicherheitsleck. Beide Sicherheitslücken erlauben einem Angreifer das Ausführen beliebigen Programmcodes, um sich so eine umfassende Kontrolle über ein fremdes System zu verschaffen. Adobe Reader 8.0 enthält den Fehler nicht.

Patch-Day schließt fünf Excel-Lecks und drei Outlook-Sicherheitslücken. Die Vermutung hat sich nicht bestätigt, dass Microsoft endlich die drei offenen Sicherheitslücken in Word schließt. Zwar hat der Softwarekonzern drei Patches für sein Office-Paket veröffentlicht, aber keines dieser Korrekturen kümmert sich um die seit Dezember 2006 bekannten Sicherheitslücken, zu denen im Internet bereits Schadcode unterwegs ist. Immerhin wird das im Januar 2007 bekannt gewordene Sicherheitsleck in Excel geschlossen.

Zusammenarbeit von Strafverfolgung und der deutschen Kreditkartenwirtschaft. Dank einer engen Zusammenarbeit mit der deutschen Kreditkartenwirtschaft konnten das Landeskriminalamt Sachsen-Anhalt und die Zentralstelle der Staatsanwaltschaft Halle einen "bedeutenden Ermittlungserfolg gegen Kinderpornografie" vermelden. Insgesamt 322 deutsche Tatverdächtige wurden ermittelt, die über eine im Ausland betriebene Website per Kreditkarte kinderpornografisches Material bezogen.

Neue Sicherheitsfunktionen mit Hilfe der NSA entstanden? Wie Microsoft erstmals einräumte, hat der Softwarekonzern bei der Entwicklung von Windows Vista Hilfe von dem US-Geheimdienst NSA (National Security Agency) erhalten. Die NSA-Hilfe bezieht sich angeblich auf Schutzmechanismen für Windows Vista, um Viren, Würmer oder andere Schädlinge abzuwehren.

Mehrere Funktionen anfällig für Integer Overflows. In dem X-Server von X.org stecken mehrere Sicherheitslücken, die zu Integer Overflows führen können. Ausgenutzt werden können sie zwar nur von einem bereits authentifizierten Client, betroffen sind allerdings alle Versionen seit X.org 6.8.2. Patches stehen bereits zum Download bereit.

Kein Patch von Microsoft verfügbar. In Microsofts Tabellenkalkulation Excel wurde ein Sicherheitsloch gefunden. Angreifer können darüber beliebigen Programmcode ausführen. Opfer müssen lediglich dazu gebracht werden, eine entsprechend manipulierte XLS-Datei zu öffnen.

Software-Update Version 2.1 unterstützt das Microsoft-DRM. Der kalifornische Hersteller Sonos bietet mit seinen ZonePlayern auch synchronisiert arbeitende Netzwerk-Audio-Abspielgeräte zur Beschallung einzelner bis mehrerer Räume. Nun hat Sonos die Softwareversion 2.1 veröffentlicht, mit der die ZonePlayer auch Musikstücke abspielen können, die im Microsoft-DRM-Korsett stecken.

Sicherheitslöcher erlauben Ausführung beliebigen Codes. Mitte Dezember 2006 erschien Opera in der Version 9.1 mit integriertem Phishing-Schutz. Wie erst jetzt bekannt wurde, korrigiert der aktuelle Browser zwei Sicherheitslücken. Beide Sicherheitslecks können von Angreifern zum Ausführen von Programmcode missbraucht werden. Während das eine Sicherheitsloch bei der Anzeige von jpeg-Bildern zuschlägt, tritt das andere bei der Darstellung von SVG-Daten auf.

Fehler steckt in den PDF-Spezifikationen. Im Rahmen des "Month of Apple Bugs" (MOAB) wurde eine Sicherheitslücke im PDF-Format aufgedeckt. Diese verursacht entweder Programmabstürze, kann aber auch für das Ausführen von Programmcode missbraucht werden. Mehrere Anzeigeapplikationen sind von dem Problem betroffen.

LivePC-Engine nutzt den VMware Player. Die kostenlose Moka5-LivePC-Engine hilft dabei, eine virtuelle Maschine einzurichten und diese auf einem USB-Datenträger zu speichern. Davon lässt sich das in der virtuellen Umgebung installierte Betriebssystem an jedem beliebigen Windows-Rechner ausführen. Verschiedene Optionen sollen außerdem helfen, das virtuelle System abzusichern. Eine Beta-Version ist anlässlich der CES erhältlich.

Version 2.0.6 beseitigt einige Probleme der freien Blog-Software. Zwei kritische Fehler in der freien Blog-Software WordPress werden mit der neuen Version 2.0.6 beseitigt. Sicherheitsexperte Stefan Esser hatte auf zwei Fehler in der Software hingewiesen, durch die Dritte evtl. Administrationsrechte über ein entsprechendes Blog erlangen können.

Neue Planung sieht nur noch insgesamt vier Patches vor. Ohne jegliche Begründung hat Microsoft die Menge der Patches für den Patch-Day im Januar 2007 um die Hälfte reduziert. Was den Software-Giganten zu diesem Schritt bewogen hat, bleibt offen, denn es gibt keine Begründung aus Redmond für diesen ungewöhnlichen Schritt.

Software ist als Open Source verfügbar. Die freie Netzwerk-Backup-Lösung Bacula ist in der Version 2.0 erschienen und kann Daten nun auf Volumes verschlüsselt speichern. Die neue Version soll außerdem mit Wechseldatenträgern besser umgehen können und insgesamt flexibler sein. So lassen sich Skripte vor und nach einem Job starten.

Weitere Office- und Windows-Lecks werden ausgemerzt. Für den Patch-Day am 9. Januar 2007 wird Microsoft aller Voraussicht nach endlich die offenen Sicherheitslücken in Word schließen. Alle drei in Word gefundenen Sicherheitslecks wurden bereits im Dezember 2006 entdeckt, bisher aber nicht korrigiert. Außerdem stehen Fehlerkorrekturen für Windows, Visual Studio und weitere Office-Komponenten an.

Verdreifachung der Besucherzahlen verzeichnet. Um die Öffnungszeiten von Bibliotheken zu verlängern, ohne ausufernde Personalkosten verkraften zu müssen, gehen einige dazu über, die Bücher mit RFID-Modulen auszustatten und die Ausleihe und Rückgabe elektronisch vorzunehmen. Die Uni Karlsruhe setzt ein solches System seit April 2006 ein - und promt verdreifachten sich die Benutzerzahlen.

Eingebettete Vektorbilder erlauben Code-Ausführung. In OpenOffice.org 1.1.5 sowie 2.0.x steckt ein Sicherheitsloch, das sich bei der Verarbeitung von WMF- oder EMF-Dateien bemerkbar macht. Angreifer können darüber beliebigen Programmcode ausführen. Für OpenOffice.org 1.1.5 gibt es einen separaten Patch, während Nutzer von OpenOffice.org 2.0.x auf die Version 2.1 wechseln müssen.

Fehler in Adobe Reader 8.x korrigiert. Das Browser-Plug-In für den Adobe Reader enthält ein Sicherheitsleck, worüber Angreifer beliebige JavaScript-Kommandos ausführen können. Dazu müssen Opfer lediglich zum Öffnen einer entsprechend manipulierten URL gebracht werden. Im aktuellen Adobe Reader 8.x ist das Problem bereits korrigiert.

Patch umgeht Sicherheitsgefahr in QuickTime 7.1.3. Zumindest für die MacOS-Fassung von QuickTime 7.13 steht ein Workaround-Patch zum Download bereit. Damit soll der gestern berichtete Fehler in QuickTime umgangen werden, worüber Angreifer beliebigen Code ausführen können. Auf der Windows-Plattform bleibt der QuickTime-Fehler weiter bestehen.

Beispiel-Code im Internet zu finden. Der VLC Media Player weist in der Mac- und Windows-Version eine Sicherheitslücke auf, worüber Angreifer beliebigen Programmcode ausführen können. Bereits das Öffnen eines entsprechend präparierten Links kann genügen, um Opfer einer solchen Attacke zu werden. Mittlerweile steht auch ein Patch für den VLC Media Player bereit.

Linux und MacOS sollen bald auf der Microsoft-Spielekonsole laufen. Im Rahmen von Lightning Talks genannten Projektkurzvorstellungen auf dem 23. "Chaos Communication Congress" (23C3) widmete sich ein maskierter, wortloser Hacker der Xbox 360. Das Versprechen: Linux und MacOS werden bald auf der aktuellen Microsoft-Spielekonsole laufen.

Noch kein Patch zur Abhilfe verfügbar. In Apples QuickTime wurde ein Sicherheitsleck entdeckt, für das bereits Beispiel-Code verfügbar ist. Bei der Verarbeitung des URL-Typs "rtsp" tritt ein Pufferüberlauf auf, worüber ein Angreifer beliebigen Programmcode ausführen kann. Bislang steht kein Patch zur Beseitigung des Fehlers bereit.

Identifizierung von Rechnern über elektrische Eigenschaften. Zum Abschluss des 23. "Chaos Communication Congress" (23C3) in Berlin hat ein britischer Wissenschaftler umfangreiche Studien zu möglichen Lücken in Anonymisierungsdiensten vorgelegt. Als Beispiel diente dabei "The Onion Router" (Tor), in dessen Netz Steven Murdoch einzelne PC unter anderem an ihrer indivuellen Taktabweichung identifizieren konnte.

Kriminalpolizei ermittelte gegen 63-jährigen Anschlussinhaber. Zu Unrecht ist ein 63-jähriger Mann aus Nürnberg ins Visier der Kriminalpolizei geraten. Ein Betreiber von Erotikseiten hatte ihn angezeigt, da er die angefallenen Kosten für den Besuch der schlüpfrigen Seiten nicht bezahlte.

4.200 Besucher von denen sich 1.000 Besucher freiwillig via RFID orten ließen. Auch dieses Jahr hat der Chaos Computer Club auf dem 23. Chaos Communication Congress wieder den Rahmen für zahlreiche Vorträge und Workshops geschaffen und die Veranstalter ziehen ein positives Fazit. Der Blick in die Zukunft prophezeit ein spannendes Jahr und zunehmende Nutzung von Überwachungstechnik bei zugleich sinkender Hemmschwelle. Dementsprechend kamen Forderungen auf, eine umfangreiche Politikerüberwachung als vertrauensbildende Maßnahme einzuführen.

Drahtlos-Technologien DVB und Bluetooth im Visier der Hacker. Mit einem gerade erst fertig gestellten DVB-T-Sender können die Teilnehmer des 23. Chaos Communication Congress (23C3) sich erstmals die Vorträge auch anschauen ohne dabei im Saal zugegen zu sein. Die Entwicklung des Senders offenbarte Sicherheitsprobleme und auch auf Schwächen des Bluetooth-Standards wurde erneut hingewiesen.

Niederländische Initiative schlägt vor europaweit gegen E-Voting vorzugehen. Die niederländische Kampagne "Wir vertrauen Wahlcomputer nicht" hat mit dem erfolgreichen Hack des Wahlcomputers von Nedap für einigen Wirbel gesorgt. Auf dem 23. Chaos Communication Congress (23C3) in Berlin berichtete die Initiative über die Erfolge und Probleme, die im Verlauf der Kampagne auftraten.

Schneller zum richtigen Club finden. Anfang Dezember begann in Tokios Geschäfts- und Vergnügungsviertel Ginza ein RFID-Großversuch. Rund 10.000 verteilte RFID-Tags werden im Zusammenspiel mit einem Internet-Server, einer WLAN-/Bluetooth-Infrastruktur und speziellen Lesegeräten Informationen zu Orten mehrsprachig verfügbar machen, berichtet die Computerworld.

"So etwas tut man einfach nicht". Der Bundesbeauftragte für den Datenschutz hat Plänen der Bundesregierung widersprochen, die unbemerkte Durchsuchung von privaten PCs über das Internet zu legalisieren. In einem Interview hatte zuvor Innenminister Schäuble erneut ein entsprechendes Gesetz gefordert.

Erstes Software-Tool entfernt AACS-Entschlüsselung. Um auf Blu-ray Discs und HD-DVDs ausgelieferte hochauflösenden Spielfilme zu schützen, drängten die Filmwirtschaft auf starke Kopierschutzmechanismen - und wählte AACS. Nun hat ein Tüftler herausgefunden, wie sich zumindest bei HD-DVD-Filmen mit einem einfachen Software-Tool der Kopierschutz entfernen lässt.

O'Reilly bietet Sicherheits-Leitfaden zum kostenlosen Download an. Einen praxisnahen Leitfaden zum Thema "Sicherheit im Internet" will O'Reilly mit dem gleichnamigen Buch der Reihe "o'reillys basics" geben, das nun auch als OpenBook als kostenloser Download zu haben ist.

Bundesregierung droht eine Klage aus Brüssel. Die Europäische Kommission verlangt von den deutschen Bundesländern, innerhalb von zwei Monaten die "völlige Unabhängigkeit" ihrer Datenschutzbehörden herzustellen. Andernfalls drohe Deutschland laut dem Jurist und Bürgerrechtler Patrick Breyer eine Klage der EU-Kommission vor dem Europäischen Gerichtshof.

Alle Vorträge werden mit einem selbst gebauten DVB-T-Sender übertragen. Die Zeit zwischen den Jahren füllt der Chaos Computer Club wie in jedem Jahr mit dem nun 23. Chaos Communication Congress (23C3), der vom 27. bis zum 30. Dezember 2006 im Berliner Congress Center (bcc) am Alexanderplatz in Berlin stattfindet. 130 Vorträge und 20 Workshops stehen auf dem Programm, ebenso eine Keynote unter dem Titel "Who can you trust?" von John Perry Barlow, Musiker in der Band "Grateful Dead" und einer der Gründer der Electronic Frontier Foundation (EFF).

SPD spricht von "digitalem Hausfriedensbruch". Mit den Stimmen von CDU und FDP hat der Landtag von Nordrhein-Westfalen am 20. Dezember 2006 eine Änderung des Verfassungsschutzgesetzes des Landes beschlossen. Demnach dürfen die Behörden auch mit rechtlicher Deckung private Computer unerkannt überwachen.

Gefahr von Identitätsdiebstählen. Die Pläne der Bundesregierung, künftig auch den elektronisch erfassten Fingerabdruck im Reisepass zu integrieren, stößt bei der Opposition auf herbe Kritik. Die innenpolitische Sprecherin Silke Stokar und Wolfgang Wieland, Sprecher für innere Sicherheit (Bündnis 90/Die Grünen) bezeichnen die Aufnahme von Fingerabdrücken als ein Sicherheitsrisiko für den Passinhaber.

Helm zeichnet Geräusche und Bilder der Umgebung auf. Das Massachusetts Institute of Technology (MIT) hat einen Media-Helm entwickelt, der einem Radfahrer Informationen aus seiner Umgebung übermitteln und damit die Fahrsicherheit erhöhen soll. Dazu nimmt der Helm Geräusche, Bilder und Bewegungen aus der Umgebung auf und analysiert sie, um notfalls vor Gefahren zu warnen.