Security

Negativpreis für Datenkraken in Bielefeld verliehen. Lebenslange Schüler-IDs, verdachtsunabhängige Tonaufzeichnungen, Anti-Terror-Datei, Seriennummern auf gebrannten CDs, Warn- und Hinweisdateien der Versicherungswirtschaft und die Übermittlung von Überweisungsdaten an US-Behörden durch SWIFT wurden in diesem Jahr mit dem Negativpreis Big Brother Award ausgezeichnet. Der Preis wird jährlich an Firmen, Organisationen und Personen verliehen, die in besonderer Weise und nachhaltig die Privatsphäre von Menschen beeinträchtigen oder persönliche Daten Dritten zugänglich machen.

Aktualisierter Sicherheits-Patch für Windows 2000. Bereits in den letzten beiden Monaten musste Microsoft Sicherheits-Updates überarbeiten, die am allmonatlichen Patch-Day veröffentlicht wurden. Auch im Oktober 2006 wurde ein Fehler in einem Sicherheits-Patch erst nach Erscheinen bemerkt. Microsoft hat nun einen überarbeiteten Patch für Windows 2000 veröffentlicht.

Sicherheitslücke liegt in der Qt-Bibliothek. In der Qt-Bibliothek ist eine Sicherheitslücke aufgetaucht, die Auswirkungen auf den KDE-Browser Konqueror hat. Dieser nutzt Qt so, dass es Angreifern möglich sein soll, beliebigen Programmcode auszuführen. Dazu reicht eine manipulierte Webseite aus.

Auch Service Pack 2 für Windows Server 2003 verzögert sich. Klammheimlich hat Microsoft das Veröffentlichungsdatum für das Service Pack 3 für Windows XP nach hinten verschoben. Bisher sollte das Update im zweiten Halbjahr 2007 kommen. Nach neuer Planung zieht es sich nun noch mindestens bis zur ersten Jahreshälfte 2008 hin, bis das dritte Service Pack für Windows XP kommt. Eine Terminverschiebung gibt es auch für das Service Pack 2 für Windows Server 2003.

Sicherheitsloch erlaubt Ausspähen von Daten. Der Internet Explorer 7 ist nicht mal einen Tag alt, da wurde schon eine Sicherheitslücke in Microsofts neuem Browser entdeckt. Das Sicherheitsleck erlaubt Angreifern das Ausspähen von Daten und wird als wenig kritisch eingestuft. Einen Patch zur Abhilfe gibt es bislang nicht.

Netzwerk-Shooter hat Probleme mit Windows-XP-Kernel-Patch. Electronic Arts sorgt erneut für Unmut bei Kunden: Für den futuristischen Netzwerk-Shooter Battlefield 2142 ist seit dieser Woche der erste Patch erhältlich, der unter Windows XP Probleme mit einem wichtigen Kernel-Sicherheitsupdate hat. EA empfiehlt kurzerhand dessen Deinstallation und nimmt in Kauf, dass die Rechner der Kunden damit angreifbarer werden.

Alle Plattformen vom Flash Player betroffen. Adobe berichtet über zwei bislang nicht geschlossene Sicherheitslecks im Flash-Player. Darüber können Angreifer verschiedene Kommandos ausführen, um etwa an vertrauliche Daten zu gelangen. Noch arbeitet der Hersteller an einem Patch, so dass derzeit keine Abhilfe zur Verfügung steht.

Internet Explorer 7 mit Feed-Reader, Phishing-Filter und Pop-up-Blocker. Fast zwei Jahre nach der ersten Ankündigung des Internet Explorer 7 hat Microsoft es endlich geschafft, die Arbeiten an der neuen Browser-Version abzuschließen. Zuvor ließ Redmond die Entwicklung am Internet Explorer über mehrere Jahre ruhen. Der Internet Explorer 7 bringt nach langer Wartezeit viele von der Konkurrenz lange bekannte Funktionen, wie Tabbed-Browsing, einen Feed-Reader, einen Pop-up-Blocker und einen Phishing-Filter.

BSD- und Solaris-Treiber enthalten Sicherheitslücke vermutlich auch. Die Linux-Treiber von Nvidia enthalten eine Sicherheitslücke, durch die sich beliebiger Programmcode mit Root-Rechten ausführen lässt. Ein Angriff soll auch von einem entfernten Rechner aus möglich sein. Unter Umständen sind auch die BSD- und Solaris-Treiber betroffen, wobei Nvidia der Fehler angeblich bereits seit zwei Jahren bekannt ist. Ein Exploit existiert schon.

Fertige Version von Firefox 2.0 für Ende Oktober 2006 erwartet. Das Mozilla-Team hat einen dritten und damit den voraussichtlich letzten Release Candidate von Firefox 2.0 veröffentlicht. Damit stehen die Chancen gut, Firefox 2.0 noch bis Ende Oktober 2006 fertig zu bekommen. Im Vergleich zum Release Candidate 2 bringt die neue Version vor allem Fehlerkorrekturen.

Abfluss geheimer Informationen soll auf jedem Kanal verhindert werden. McAfee hat den israelischen Softwarehersteller Onigma übernommen. Onigma entwickelt Sicherheitssoftware für Unternehmensnetzwerke und soll das Portfolio von McAfee in diesen Bereichen aufbessern.

Digitales Rechtemanagement mit Smartcard. Die amerikanisch-israelische Firma Aladdin hat einen Prototypen vorgestellt, der optisches Speichermedium und Smartcard-Speicher kreuzt. Die unregelmäßig geformte XCD ist so dick wie eine normale DVD und soll in entsprechenden Laufwerken mit Schubladen auch abgespielt werden können. Außerdem ist in dem Medium eine Smartcard eingebunden.

Zahlreiche Notebooks betroffen, erster Patch verfügbar. In den Treibern der bei vielen Marken-Notebooks verbauten Bluetooth-Module von Toshiba steckt eine schwere Sicherheitslücke. Ein Angreifer kann darüber Code einschleusen und ausführen - oder Windows XP zum Absturz bringen. Von Toshiba selbst gibt es bereits einen Patch.

Software blockiert die Arbeit von Schadprogrammen. Mit Norton Confidential bringt Symantec ein Werkzeug für Windows und MacOS X auf den Markt, das Spionage-Angriffe abwehren soll. Dazu zählen Attacken durch Phishing-Seiten sowie Schadprogramme, die vertrauliche Daten ausspionieren. Durch entsprechende Schutzmechanismen soll das Abschöpfen von Kennwörtern, Kreditkartennummern oder TAN-Nummern verhindert werden.

Update-Pakete von Winboard.org, Winhelpline.de und WinFuture.de. Bereits am Patch-Day hatten Winboard.org und WinFuture.de erste inoffizielle Patch-Pakete für Windows XP fertig gehabt. Nun stehen die Patch-Sammlungen für alle betroffenen Windows-Ausführungen bereit und auch Winhelpline als dritter deutscher Anbieter solcher Patch-Pakete hat nachgezogen. Die Patch-Sammlungen enthalten die in diesem Monat veröffentlichten Sicherheits-Patches für Windows.

Neues Verfahren versteckt Nutzdaten im Rauschen. US-Wissenschaftler haben eine Methode entwickelt, um über Glasfaser-Verbindungen Daten zu übertragen, die nur sehr schwer abzufangen und zu entschlüsseln sind. Das Verfahren bedient sich dabei der optischen Eigenschaften der Glasfaser und nicht einer Kodierung durch Software.

Anwendung unterstützt Windows-, Linux- und Mac-Clients. Der 2X Application Server ist nun in der Version 4 verfügbar und soll damit einen günstigen Einstieg in Thin-Client-Lösungen ermöglichen. Für eine beschränkte Anzahl von Anwendungen ist auch eine kostenlose Version verfügbar. Die Software verteilt unter anderem die Last automatisch und lässt sich auch auf Server-Farmen einrichten.

Viele Sicherheitslücken erlauben Ausführung beliebigen Programmcodes. Am Patch-Day für den Monat Oktober 2006 schließt Microsoft insgesamt neun Sicherheitslücken in Windows und 16 Sicherheitslecks in Microsofts Office-Paket. Viele der geschlossenen Sicherheitslücken werden als gefährlich eingestuft, weil Angreifer darüber beliebigen Programmcode einschleusen können. Zudem wird ein Fehler im .NET Framework 2.0 korrigiert.

Displayanzeige auch ohne Stromzufuhr stabil. Normalerweise sind Radio-Frequency-Identity-Tags, kurz RFID-Tags, Funketiketten, die nur elektronisch ausgelesen werden können. Neue Tags sollen zukünftig auch mit einem bistabilen Display ausgerüstet werden, damit sie ohne Hilfsmittel ablesbar sind. Die Entwicklung von D-RFIDs findet im Rahmen des vom Bundesforschungsministerium geförderten Projekts PARIFLEX statt.

Windows Live OneCare als Beta-Version verfügbar. Vorerst nur mit einer Beta-Version betritt Microsofts Sicherheitslösung "Windows Live OneCare" den deutschen Markt. Das Sicherheitsprodukt umfasst einen Virenscanner, eine Personal Firewall und Anti-Spyware sowie Backup-Funktionen für Windows, um das Betriebssystem zu pflegen.

Abgeschottete Anwendungen mit Abfragen beim Benutzer. In einem Interview und einer Mailing-Liste hat der Software-Chef des für eine Bildungsoffensive in der Dritten Welt gedachten 100-Dollar-Laptops ein für bisherige Betriebssysteme revolutionäres Sicherheitskonzept angedeutet. So sollen die Rechner nicht einmal einen ständig aktualisierten Virenscanner benötigen, da sich die Software selbst heilen kann.

Kritik von CCC und niederländischer Initiative wird berücksichtigt. Die Physikalisch-Technische Bundesanstalt (PTB) will die vom Chaos Computer Club und der niederländischen Initiative "Wir vertrauen Wahlcomputern nicht" demonstrierte Methode zur Manipulation von Wahlgeräten des niederländischen Herstellers Nedap in ihren eigenen Untersuchungen künftig berücksichtigen. Eine generelle Absage an Wahlcomputer wird es seitens der PTB jedoch nicht geben: "Es gibt in Deutschland bisher keine Hinweise für eine Manipulation von eingesetzten Wahlgeräten", heißt es in einer Pressemitteilung.

Neue Version der Backup-Software vereinfacht das Backup einzelner Applikationen. Die Home-Ausführung der Imaging-Software True Image steht ab sofort in einer neuen Version bereit. Mit True Image 10 Home wurde das Datei-Backup aufgebohrt, das nun über Profile gesteuert werden kann. Außerdem hat der Hersteller Hand an die Backup-Verwaltung gelegt, um die Bedienung zu vereinfachen.

Falsches Posting in Googles Blog sorgt für Verwirrung. Google beendet sein "Click-to-Call"-Programm mit dem sich Telefonanrufe aus AdWords-Anzeigen starten lassen, das zumindest stand am Wochenende im Google-Blog. Stand, denn Google will das Programm keineswegs beenden, vielmehr nutzte ein unbekannter einen Fehler in der Blog-Software um einen falschen Beitrag im Google-Blog zu veröffentlichen.

Final-Version soll noch im Oktober 2006 kommen. Die Arbeiten an Firefox 2.0 schreiten voran. Mittlerweile wurde der Release Candidate 2 des neuen Browsers offiziell bereit gestellt. Im Unterschied zum ersten Release Candidate bringt die aktuelle Version vor allem Fehlerkorrekturen und Verbesserungen am Programmcode, um eine möglichst stabile Final-Version anbieten zu können. Nach derzeitiger Planung soll die Final-Version noch im Oktober 2006 erscheinen.

Vorabinformation zu Microsofts Patch-Day am 10. Oktober 2006. Für den Oktober 2006 knöpft sich Microsoft zahlreiche Sicherheitslücken in Windows und Office vor. Während für Windows sechs Sicherheits-Patches geplant sind, sollen vier für Microsofts Office-Paket am Patch-Day für den 10. Oktober 2006 erscheinen.

Analyse von Nedap-Wahlcomputern veröffentlicht. Der Chaos Computer Club hat in enger Kooperation mit der niederländischen Kampagne "Wir vertrauen Wahlcomputern nicht" Wahlcomputer der Firma Nedap auf Schwachstellen untersucht und die Ergebnisse dieser "unabhängigen Prüfung" publiziert. Das Fazit: Computersysteme sind für Wahlen ungeeignet. Der CCC fordert daher ein vollständiges Verbot von Wahlcomputern für Bundes-, Landtags- und Kommunalwahlen.

Hardened-PHP-Projekt weist auf Designfehler hin. Stefan Esser warnt vor einem Fehler in der Scriptsprache PHP, mit der Nutzer auf Shared-Webhosting-Accounts aus ihrem "Verzeichnis-Gefängnis" ausbrechen können. Eigentlich soll über die Einstellung "open_basedir" verhindert werden, dass Nutzer auf solchen Maschinen außerhalb des ihnen zugedachten Verzeichnisses Dateien lesen und schreiben können, doch offenbar gibt es einen einfachen Weg dies zu umgehen.

Neuauflage des Ratgebers "Datenschutz für Verbraucher" erschienen. Der Verbraucherzentrale Bundesverband (vzbv), die Verbraucherzentrale Schleswig-Holstein und das Unabhängige Landeszentrum für Datenschutz (ULD) haben ihren Ratgeber "Datenschutz für Verbraucher - 99+1 Beispiele und Tipps zum Bundesdatenschutzgesetz" neu aufgelegt. Die Broschüre soll auf verständliche Weise mit Alltagsbeispielen die Regelungen des Bundesdatenschutzgesetzes erklären sowie Tipps für Verbraucher und Unternehmen enthalten.

Bilder und erste Informationen im Forum von Xbox-Scene aufgetaucht. Laut eines Berichts von Xbox-Scene fertigt Microsoft seit etwa Ende August 2006 Xbox-360-Spielekonsolen mit neuem DVD-ROM-Laufwerk. Zuvor verbaute DVD-Laufwerke ließen sich - unter Verlust der Garantie - ausbauen, im PC umprogrammieren und damit die Erkennung von Spiele-Schwarzkopien umgehen.

Linux-Distribution auch in kostenloser Edition erschienen. Die kommerzielle Linux-Distribution Mandriva 2007 ist fertig und auch in einer kostenlosen Variante verfügbar. Mandriva liefert die Software Cedega mit, über die sich verschiedene Windows-Spiele unter Linux nutzen lassen. Zusätzlich bietet die Distribution grafische Effekte für den Desktop und setzt dafür sowohl auf AIGLX als auch auf Xgl.

TANs mit System machen es Betrügern unnötig leicht. Die Citibank macht es nach Ansicht des Sicherheitsexperten Felix Lindner unnötig einfach, TAN-Nummer zu erraten. Mit den Nummern werden einzelne Transaktionen, z.B. eine Überweisung, beim Online-Banking abgesichert. Die Nummern können nur einmal verwendet werden.

Firefox-Entwickler rufen Hacker-Team zur Zusammenarbeit auf. Auf einer Hacker-Konferenz im kalifornischen San Diego sorgte die Bekanntgabe einer Sicherheitslücke in Firefox für einen Eklat. Die Hacker haben ein Sicherheitsleck so präsentiert, dass Angreifer den Fehler in der JavaScript-Implementierung des Mozilla-Browsers leicht ausnutzen können, berichtet das IT-Magazin ZDNet.com. Die Firefox-Entwickler zeigen sich wenig begeistert von diesem Vorgehen und riefen die Hacker zur Kooperation auf.

Auch Sicherheitslücken in Komponenten für Browser-Nutzung. Apple hat MacOS X erneut Sicherheits-Patches verpasst, um eine Reihe von Sicherheitslücken in dem Betriebssystem zu schließen. Hierbei geht es auch um Sicherheitslücken, die bei der Verwendung von Apples Safari-Browser auftreten. Einige der Sicherheitslecks gestatten das Ausführen beliebigen Programmcodes.

Neue Version 5.1.2 korrigiert den Fehler. In der freien Groupware PHProjekt ist ein Sicherheitsloch aufgetaucht, durch das Angreifer Skripte ausführen können. Eine neue Version steht bereits zum Download zur Verfügung, in der die Sicherheitslücke geschlossen wurde.

Fehlerkorrekturen und neue Funktionen. Die freie SSH-Implementierung OpenSSH ist in der Version 4.4 erschienen, die einige Sicherheitslücken schließt und neue Funktionen mitbringt. Darunter sind vor allem neue Konfigurationsoptionen und die Portable-OpenSSH-Version unterstützt nun auch die Sicherheitserweiterung SELinux.

Fertiges Gerät auch zum Kauf verfügbar. Das OpenPCD-Projekt hat ein RFID-Lesegerät mit offenem Hardware-Design und freier Software vorgestellt. Die Spezifikationen lassen sich herunterladen und das Gerät so selbst nachbauen, während die Firmware unter der GPL verfügbar ist. Zudem gibt es das fertige Gerät auch zum Kauf. Für Hersteller gibt es zudem eine kommerzielle Lizenz.

Weitere Angriffe von erleuchteter Bühne. Auch Intels ehemaliger Chief Technology Officer und jetziger Chef der Enterprise-Abteilung Pat Gelsinger ließ sich auf dem IDF dazu hinreißen, in seiner Keynote-Ansprache eine Spitze gegen AMD zu setzen. Zwar war Gelsinger dabei etwas dezenter als zuvor Justin Rattner mit seinem Opteron im Papierkorb, doch auch dieser Gag erscheint überflüssig.

Schadcode im Internet unterwegs; kein Patch verfügbar. Microsoft hat eine Sicherheitslücke in der Präsentationssoftware PowerPoint bestätigt. Das Sicherheitsloch wird bereits von Schadcode ausgenutzt, der im Internet unterwegs ist. Die Ursachen für das Sicherheitsleck in PowerPoint gab Redmond nicht bekannt. Wann der Fehler korrigiert wird, ist ebenfalls unbekannt.

Kein Patch verfügbar. Nur einen Tag nachdem Microsoft ein seit über einer Woche bekanntes Sicherheitsleck im Internet Explorer geschlossen hat, tauchte Schadcode für eine nicht geschlossene Sicherheitslücke in Redmonds Browser im Internet auf. Das Sicherheitsloch erlaubt einem Angreifer die Ausführung beliebigen Programmcodes; ein Patch ist nicht verfügbar.

Fehlerhafter Patch hat Dateien unter Windows 2000 zerstört. Die angekündigte Neuauflage des Kernel-Patches für Windows 2000 ist ab sofort verfügbar. Microsoft hatte im September 2006 einen Patch veröffentlicht, der auf Systemen mit Windows 2000 unter bestimmten Umständen Dateien zerstört, so dass diese nicht mehr lesbar sind. Der aktuelle Patch soll diesen Fehler korrigieren.

VML-Dateien erlauben Ausführung von Programmcode. Überraschend hat Microsoft einen außerplanmäßigen Sicherheits-Patch für den Internet Explorer veröffentlicht. Für das am 20. September 2006 bekannt gewordene Sicherheitsloch in Microsofts Browser hatte ein Drittanbieter bereits einen Patch veröffentlicht. Dieser Schritt dürfte Redmond dazu gebracht haben, den Patch außerplanmäßig zu veröffentlichen. Denn gleichwohl beteuert Microsoft weiterhin, die Gefahr durch das Sicherheitsloch sei nur gering.

Final-Version für Oktober 2006 geplant. Mit dem Release Candidate 1 (RC1) von Firefox 2.0 haben die Entwickler einen wichtigen Schritt hin zur Final-Version genommen. Nach Mozilla-Angaben bringt der RC1 im Unterschied zur Beta 2 keine Neuerungen mehr. Die Entwickler haben sich vor allem auf Fehlerkorrekturen konzentriert, um die für den Oktober 2006 geplante Final-Version möglichst fehlerfrei zu machen.