Security

MacOS X - doch keine sichere Burg? Eine Gruppe von Sicherheitsexperten will den Januar 2007 nutzen, um jeden Tag eine Sicherheitslücke in Apples Betriebssystem oder MacOS-X-Programmen aufzudecken, berichtet der Journalist Brian Krebs in seinem Blog für die Washington Post.

Dennoch werden mutmaßlich erbeutete Gelder nicht eingezogen. Im so genannten "Osnabrücker Dialer-Prozess" hat das niedersächsische Landgericht nun ein weiteres Urteil gesprochen. Die beiden Hauptbeschuldigten wurden dabei zu Haftstrafen verurteilt, bei ihnen gefundenes Geld wird jedoch nicht eingezogen.

Neue Versionen von Firefox und Thunderbird erschienen. Der Mozilla-Browser Firefox ist in den Versionen 2.0.0.1 und 1.5.0.9 erschienen, mit denen die Entwickler einige Sicherheitslücken des Browsers schließen. Gleiches gilt auch für den E-Mail-Client Thunderbird 1.5, der von einigen der Lücken ebenfalls betroffen ist.

Mit SVGA- und XGA-Auflösungen sowie unterschiedlichen Helligkeiten. Acer hat eine ganze Serie von DLP-Projektoren vorgestellt, die allesamt für den mobilen Einsatz vorgesehen sind. Die Geräte Acer XD1150 und XD1170D erreichen eine Auflösung von 800 x 600 Punkten bei einem Kontrastverhältnis von 2.200:1 bei einer Helligkeit von 1.800 ANSI-Lumen (XD1150) bzw. 2.300 ANSI-Lumen beim XD1170.

Erste Entwickler-Builds von MacOS X 10.5 alias Leopard mit neuem Dateisystem. Schon länger liebäugelt Apple mit der Integration von Suns freiem Dateisystem ZFS in das eigene Betriebssystem MacOS X. Mit der kommenden Version 10.5 alias Leopard könnte es denn so weit sein. Erste Entwicklerversionen von Leopard bringen eine erste, aber wohl noch nicht vollständige Unterstützung mit.

Neues Firmware-Update steht bereit. Ubisofts Prinz aus Persien machte bereits auf verschiedenen Systemen eine gute Figur, nun soll er auch auf Nintendos Wii kommen - mit auf die Wii-Fernbedienung und den Nunchuk angepasster Steuerung. Zudem hat Nintendo nun endlich ein Wii-Update parat, mit dem der Wetterkanal aktiviert wird und die Spielekonsole nun auch zur kleinen Wetterfee wird.

Dateisysteme lassen sich mounten und Daten lesen. Das "ZFS on Linux"-Projekt stellt mit der Version 0.3.0 eine Möglichkeit bereit, ZFS-Dateisysteme unter Linux zu lesen. Erstmals erlaubt es die Portierung von Suns Dateisystem Linux-Nutzern nun, ZFS-Partitionen zu mounten.

Künftig können Nutzer nur noch eigene Aufzeichnungen herunterladen. Die GEMA hat den Betreiber der Plattform Mp3flat.com abgemahnt. Der Radiorekorder-Dienst hatte nach Angaben der Organisation Radiomitschnitte im MP3-Format angeboten, ohne die Lizenz für die Nutzung der Urheberrechte von Komponisten, Textautoren und Musikverlegern einzuholen. Die Betreiber von MP3Flat.com haben daraufhin ihren Dienst umgestellt, machen aber weiter.

Freie Linux-Distributionen statt restriktivem Windows. Die Free Software Foundation (FSF) startet eine Kampagne gegen Microsofts neues Betriebssystem Windows Vista. BadVista.org soll Computernutzer auf die von Vista ausgehenden Nachteile hinweisen und Alternativen aus dem Bereich freier Software vorstellen.

Update-Pakete von Winboard.org, Winhelpline.de und WinFuture.de. Bereits am Dezember-Patch-Day haben Winboard.org und WinFuture.de erste inoffizielle Patch-Pakete für Windows angeboten. Nun stehen die Patch-Sammlungen für alle Windows-Ausführungen bereit und Winhelpline hat als dritter deutscher Anbieter solcher Patch-Pakete nachgezogen. Die Patch-Sammlungen enthalten die in diesem Monat veröffentlichten Sicherheits-Patches für Windows, den Internet Explorer, Outlook Express und den Windows Media Player.

Damit der Garagentoröffner im Ausland nicht aus dem Tritt kommt. Die EU-Kommission will eine europaweite Harmonisierung der Frequenzbänder vorantreiben, die von drahtlosen Geräten des täglichen Gebrauchs genutzt werden. Dazu gehören so banale Dinge wie Garagentoröffner, Alarmanlagen, Baby-Überwachung, schnurlose Kopfhörer, aber auch RFID-Etiketten.

Forschung und Unternehmen entwickeln gemeinsam. Die Europäische Kommission hat ein Anti-Phishing-Projekt ins Leben gerufen, bei dem Forschungseinrichtungen und Firmen Mechanismen gegen derartige Angriffe entwickeln. Das auf drei Jahre angelegte Projekt wird von der Europäischen Kommission gefördert.

Auch der Deutsche Kulturrat fordert Änderungen am Gesetzentwurf. Der Deutsche Kulturrat hat die Abgeordneten des Bundestages aufgefordert, dem Gesetzesentwurf zum neuen Urheberrecht nicht zuzustimmen. Kritik am Entwurf von Bundesjustizministerin Brigitte Zypries (SPD) kommt auch aus den Reihen der SPD-Bundestagsfraktion.

Kooperation mit der Humboldt-Universität. Der Internetdienstleister Strato verwendet so genanntes Fingerprinting, um zuverlässig auch Spam-Botschaften zu erkennen, die statt mit Text mit Bildern versehen sind. Das von der Berliner Humboldt-Universität entwickelte Verfahren erkennt gleichartige Bilder in E-Mail-Nachrichten und merkt so anhand der für Spam-Botschaften großen Menge, dass es sich hierbei um nicht erwünschte E-Mail-Werbung handelt und sortiert diese entsprechend aus.

Drittes offenes Word-Sicherheitsloch in diesem Monat. Microsoft hat gerade seinen Patch-Day absolviert, da taucht eine dritte Sicherheitslücke in Word auf. Hierfür wurde bereits Schadcode entdeckt, der sich das Sicherheitsloch zunutze macht. Somit wurden in diesem Monat bislang drei Sicherheitslücken in Word bekannt, die Microsoft bisher nicht geschlossen hat.

Malaysia führt funkende Kennzeichen ein. In Malaysia werden jeden Tag rund 30 Fahrzeuge gestohlen, die meisten davon aus dem gehobenen Preissegment. Mit RFID-Tags in den Kennzeichen neu zugelassener Fahrzeuge will das Land die Fahrzeuge nun automatisch erfassen. Wie die New Strait Times aus Malaysia berichtet, sollen dazu die winzigen Mikrosender in versiegelte Kennzeichen eingebettet werden. Sie enthalten Informationen über den Halter und das Fahrzeug.

Sicherheitsexperte verlässt das PHP Security Response Team. Stefan Esser kehrt dem PHP Security Response Team den Rücken. Der Sicherheitsexperte hat genug. Seine Versuche, PHP von innen sicherer zu machen, seien vergeblich gewesen. Künftig werde er Sicherheitslücken in PHP auch dann veröffentlichen, wenn es noch keinen Patch gebe.

Sicherheitslücken in Windows und Outlook Express. Am Patch-Day für den Monat Dezember 2006 korrigiert Microsoft Sicherheitslücken in Windows, im Internet Explorer, in Outlook Express, im Windows Media Player und in Visual Studio. In vielen der Fälle können diese Sicherheitslecks zur Ausführung beliebigen Programmcodes missbraucht werden, so dass sich Fremde eine umfassende Kontrolle über andere Systeme verschaffen können.

Rund 800.000 Personen werden vorsorglich gewarnt. Ein Eindringling in einen Server der Universität Kalifornien in Los Angeles (UCLA) hatte Zugriff auf die Daten von rund 800.000 Personen, warnt die Universität. Die gehackte Datenbank enthält persönliche Informationen zu ehemaligen und aktuellen Studenten der Universität sowie Mitarbeitern, Bewerbern und deren Eltern.

Durchsuchung von Festplatten per Internet für illegal erklärt. Einem Bericht der taz zufolge hat der Bundesgerichtshof die bisher bereits mehrfach eingesetzte Praxis für illegal erklärt, die Festplatte eines Verdächtigen über seine Internetverbindung zu durchsuchen. Die Bundesregierung plant jedoch, die bisherige Gesetzeslage zu ändern, um die Online-Durchsuchungen legal zu machen.

Sun veröffentlicht Solaris 10 11/06. Sun hat ein weiteres Update für sein Betriebssystem Solaris 10 veröffentlicht. In der neuen Version Solaris 10 11/06 sind nun auch die Trusted Extensions enthalten, die Sicherheitsfunktionen aus Trusted Solaris in das normale Solaris übertragen. Sun verspricht jedoch eine höhere Flexibilität. Weitere neue Funktionen bekam das Dateisystem ZFS.

Gesetz-Formulierungen noch zu schwammig? Der Branchenverband Bitkom hat Sorge, dass das geplante Anti-Spam-Gesetz über das Ziel hinausschießt und auch "normale" Werbung betreffen könnte. Die Formulierungen seien so schwammig, dass die Kundenansprache kriminalisiert werden könne.

Kein Patch für diesen Monat geplant? Mitte vergangener Woche wurde Schadcode für eine neue Sicherheitslücke in Word ausgemacht, der sich aktiv im Internet verbreitet. Auch für ein weiteres Word-Sicherheitsloch wurde nun Schadcode gefunden, über den sich ein Angreifer eine umfassende Kontrolle über ein fremdes System verschaffen kann. Bisher ist für beide Sicherheitslecks kein Patch in Sicht.

In Einzelfällen sollen Computer über das Internet durchsucht worden sein. Das BKA soll nach dem Willen des Bundesinnenministeriums künftig verdächtige Computer über das Internet ausspähen dürfen. Die Ermittler sollen online auf Rechner zugreifen und die Festplatte durchsuchen dürfen, beispielsweise bei Verdacht auf Landesverrat. Die Polizei mache dies schon heute, berichtet die Süddeutsche Zeitung.

Update für Linux-WLAN-Treiber bereits verfügbar. Der Linux-Treiber "Madwifi" für WLAN-Karten mit Atheros-Chip enthält eine Sicherheitslücke, die es Angreifern ermöglicht, über eine drahtlose Verbindung Schadcode einzuschleusen und auf dem betroffenen System im Kernel-Space auszuführen. Verantwortlich dafür sind Buffer Overflows in Funktionen des Treibers. Ein Update steht bereits zur Verfügung.

Sicherheitsleck in Word bleibt weiter offen. Am allmonatlichen Patch-Day korrigiert Microsoft im Dezember 2006 mehrere Sicherheitslücken in Windows und kümmert sich um Visual Studio. Das jüngst bekannt gewordene Sicherheitsleck in Word lässt Redmond hingegen außen vor und veröffentlicht vorerst keinen Patch. Und das, obwohl Schadcode diese Sicherheitslücke bereits aktiv ausnutzt.

3 Bilder/Sekunde und 20 Stück RAW+JPEG-Aufnahmen hintereinander. Fujifilm hat weitere Informationen zu seiner digitalen Spiegelreflexkamera FinePix S5 Pro mitgeteilt. Bislang war wenig über das Modell bekannt, dessen Entwicklung zur Photokina 2006 angekündigt wurde. Die Kamera löst die FinePix S3 Pro ab und ist mit einem 12-Megapixel-CCD-Sensor von Fuji ausgerüstet. Durch die Einteilung in 6,17 Millionen S-Pixel (für normale Bildinformationen) und die gleiche Anzahl so-genannter R-Pixel (für besonders helle Bildbereiche) soll ein hoher Dynamikumfang erreicht werden.

Teure Werbeaktion soll Händlern Googles Bezahlsystem schmackhaft machen. Google hat angekündigt, dass sein Bezahlsystem "Checkout" für Händler nun bis Ende 2007 kostenlos nutzbar ist. Inhaber eines Google- bzw. Gmail-Kontos können sich in das System einloggen und nach einer Registrierung unter Angabe der eigenen Kreditkartendaten darüber in Online-Shops bezahlen. Darüber hinaus wurden einige neue Funktionen in Google Checkout integriert.

Angreifer können beliebigen Code ausführen. In Microsofts Windows Media Player wurde eine Sicherheitslücke entdeckt, über die Angreifer beliebigen Code ausführen können. Dazu muss ein Opfer nur dazu gebracht werden, eine manipulierte ASX-Playlisten-Datei zu öffnen. Bisher gibt es keinen Patch zur Abhilfe.

Software-Analyse von Sicherheitslücken soll erlaubt bleiben. Mit ihren Plänen zur Bekämpfung von Computerkriminalität ist die Bundesregierung auf heftige Kritik gestoßen. In einer Gegenäußerung zur Stellungnahme des Bundesrates weist die Bundesregierung die Kritik in weiten Teilen zurück. Befürchtungen, Software-Analyse von Sicherheitslücken werde kriminalisiert, seien nicht zutreffend.

Erneut Sicherheitslücke geschlossen. Sony Computer Entertainment hat mit einer neuen PlayStation-Portable-Firmware eine weitere Sicherheitslücke geschlossen, die unter Umständen Hackern das Ausführen von selbst entwickelter Software erlaubt. Mit früherer Firmware konnte das Spiel PaRappa The Rapper abstürzen.

Fehlerhaftes ActiveX-Control erlaubt Ausführung von Programmcode. Im Adobe Reader 7.0.x steckt ein Sicherheitsloch, wenn PDF-Dokumente per ActiveX-Control im Internet Explorer geöffnet werden. Angreifer können darüber Code ausführen und nun hat Adobe eine Abhilfe nachgereicht, nachdem als Überbrückungslösung die Löschung der betreffenden ActiveX-Controls empfohlen wurde.

Noch kein Patch-Termin genannt. Microsoft warnt vor einem Sicherheitsloch in Word, das bereits aktiv von Schadcode ausgenutzt wird. Werden entsprechend präparierte Dateien geöffnet, können Angreifer beliebigen Code ausführen und sich so eine umfassende Kontrolle über ein fremdes System verschaffen. Wann ein Patch erscheint, ist nicht bekannt.

Sicherung von Bildern und SMS sowie die Synchronisation mit Outlook geplant. Netzbetreiber versuchen, nicht nur über die Mobilfunkpreise, sondern auch über Zusatzdienste Kunden zu gewinnen und zu binden. Daher hat E-Plus nun eine Partnerschaft mit dem dänischen Online-Backup-Dienst Zyb geschlossen. In Zukunft soll deren Datensicherungsdienst auf den E-Plus-Seiten verfügbar sein. ZYB verspricht sich von der Partnerschaft, bekannter zu werden.

Bundeskartellamt stellt Verfahren gegen RTL und ProSiebenSat.1 ein. ProSiebenSat.1 macht bei seinen Plänen zum Thema Grundverschlüsselung eine Kehrtwende. Gegenüber dem Bundeskartellamt erklärte das Fernsehunternehmen, man habe die Absicht aufgegeben, ein digitales grundverschlüsseltes Fernsehen auf der Grundlage eines entgeltlichen Geschäftsmodells einzuführen. Dies sei aber keine Entscheidung gegen eine Grundverschlüsselung, so ProSiebenSat.1 gegenüber Golem.de.

Neue Firmware für Terratecs aktuelle Noxon-Geräte erlaubt auch Podcast-Abruf. Mit einer neuen Firmware bringt Noxon seinen beiden WLAN-Audio-Playern "Noxon iRadio" und "Noxon 2 Audio" neue Funktionen bei, darunter neue Audioformate, die Möglichkeit, auch Podcasts abspielen, sich nach bestimmter Zeit abschalten und neuerdings auch WPA-2-verschlüsselte Verbindungen unterstützen zu können.

Verbesserte, kostenlose Software zur organisationsweiten Sicherheitsüberprüfung. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Version 2.0 seiner "BSI OSS Security Suite" (BOSS) getauften, als Open Source freigegebenen Prüfsoftware für Netzwerksicherheit veröffentlicht. Neben Netzwerk-Sicherheitsaudits ermöglicht BOSS V 2.0 jetzt auch die zentrale Verteilung und Konfiguration der Sicherheitssoftware auf den Linux-Clients im Netzwerk.

Studentenportal am Donnerstag wegen eines neuen XSS-Angriffs offline. Die Pannenserie von kleinen und großen Problemen und Sicherheitslücken beim Studentenportal studiVZ reißt nicht ab. Nun verspricht studiVZ eine Belohnung von 256 Euro, wenn jemand Sicherheitslücken im Portal meldet. Parallel zu der Ankündigung ging studiVZ wegen eines erneuten XSS-Angriffs offline.

23C3 findet vom 27. bis 30. Dezember 2006 in Berlin statt. Auch 2006 findet der Chaos Communication Congress des Chaos Computer Clubs (CCC) wieder vom 27. bis 30. Dezember im Berliner Congress Centrum statt. Nun wurde das Programm für den 23C3 veröffentlicht, in dem wie immer neben technischen Themen auch Politik und der Schutz der Privatsphäre einen Platz haben.

Verschlüsselung kein Allheilmittel. US-amerikanische Zoll- und Einwanderungsbeamte haben das Recht, Notebooks sowie andere Datenträger ohne Angabe von Gründen näher zu untersuchen oder ganz zu beschlagnahmen. Dies berichtet die Berliner Zeitung unter Berufung auf einen Bericht des Congressional Research Service an den US-Kongress. Auch in Asien ist dies möglich.

Enttäuscht von Betrüger, der PSP-schrottende Firmware anbietet. Der Hacker Dark_AleX ist PSP-Besitzern mit Faible für Homebrew-Software vor allem für seine modifizierten Firmware-Versionen ein Begriff. Nun will er aufhören, da jemand seinen Namen missbrauchte, um anderen die PSPs mit falschen Firmware-Dateien kaputtzumachen.

Einfache Installation von System-Bibliotheken wird ausgenutzt. F-Secure hat nach eigenen Angaben ein Adware-Programm für MacOS X zugespielt bekommen. Theoretisch sei es möglich, die Software unbemerkt auf einem Rechner zu installieren und in nahezu jede Applikation einzuklinken.

Mitgliedsstaaten sollten wirksamere Maßnahmen ergreifen. Die Europäische Kommission will den Kampf gegen Computerübel deutlich ausweiten. Sie ruft deshalb die Regierungen der Mitgliedsländer auf, energischer gegen Spam, Späh- und Schadsoftware anzutreten. Zwar sei innerhalb der EU Spam verboten, doch leiden die Anwender immer noch stark an illegalen Online-Aktivitäten aus den Mitgliedsländern und aus dem EU-Ausland.