Security

Update-Pakete von Winboard.org, Winhelpline.de und WinFuture.de. Bereits am Dezember-Patch-Day haben Winboard.org und WinFuture.de erste inoffizielle Patch-Pakete für Windows angeboten. Nun stehen die Patch-Sammlungen für alle Windows-Ausführungen bereit und Winhelpline hat als dritter deutscher Anbieter solcher Patch-Pakete nachgezogen. Die Patch-Sammlungen enthalten die in diesem Monat veröffentlichten Sicherheits-Patches für Windows, den Internet Explorer, Outlook Express und den Windows Media Player.

Damit der Garagentoröffner im Ausland nicht aus dem Tritt kommt. Die EU-Kommission will eine europaweite Harmonisierung der Frequenzbänder vorantreiben, die von drahtlosen Geräten des täglichen Gebrauchs genutzt werden. Dazu gehören so banale Dinge wie Garagentoröffner, Alarmanlagen, Baby-Überwachung, schnurlose Kopfhörer, aber auch RFID-Etiketten.

Drittes offenes Word-Sicherheitsloch in diesem Monat. Microsoft hat gerade seinen Patch-Day absolviert, da taucht eine dritte Sicherheitslücke in Word auf. Hierfür wurde bereits Schadcode entdeckt, der sich das Sicherheitsloch zunutze macht. Somit wurden in diesem Monat bislang drei Sicherheitslücken in Word bekannt, die Microsoft bisher nicht geschlossen hat.

Malaysia führt funkende Kennzeichen ein. In Malaysia werden jeden Tag rund 30 Fahrzeuge gestohlen, die meisten davon aus dem gehobenen Preissegment. Mit RFID-Tags in den Kennzeichen neu zugelassener Fahrzeuge will das Land die Fahrzeuge nun automatisch erfassen. Wie die New Strait Times aus Malaysia berichtet, sollen dazu die winzigen Mikrosender in versiegelte Kennzeichen eingebettet werden. Sie enthalten Informationen über den Halter und das Fahrzeug.

Sicherheitsexperte verlässt das PHP Security Response Team. Stefan Esser kehrt dem PHP Security Response Team den Rücken. Der Sicherheitsexperte hat genug. Seine Versuche, PHP von innen sicherer zu machen, seien vergeblich gewesen. Künftig werde er Sicherheitslücken in PHP auch dann veröffentlichen, wenn es noch keinen Patch gebe.

Sicherheitslücken in Windows und Outlook Express. Am Patch-Day für den Monat Dezember 2006 korrigiert Microsoft Sicherheitslücken in Windows, im Internet Explorer, in Outlook Express, im Windows Media Player und in Visual Studio. In vielen der Fälle können diese Sicherheitslecks zur Ausführung beliebigen Programmcodes missbraucht werden, so dass sich Fremde eine umfassende Kontrolle über andere Systeme verschaffen können.

Rund 800.000 Personen werden vorsorglich gewarnt. Ein Eindringling in einen Server der Universität Kalifornien in Los Angeles (UCLA) hatte Zugriff auf die Daten von rund 800.000 Personen, warnt die Universität. Die gehackte Datenbank enthält persönliche Informationen zu ehemaligen und aktuellen Studenten der Universität sowie Mitarbeitern, Bewerbern und deren Eltern.

Durchsuchung von Festplatten per Internet für illegal erklärt. Einem Bericht der taz zufolge hat der Bundesgerichtshof die bisher bereits mehrfach eingesetzte Praxis für illegal erklärt, die Festplatte eines Verdächtigen über seine Internetverbindung zu durchsuchen. Die Bundesregierung plant jedoch, die bisherige Gesetzeslage zu ändern, um die Online-Durchsuchungen legal zu machen.

In Einzelfällen sollen Computer über das Internet durchsucht worden sein. Das BKA soll nach dem Willen des Bundesinnenministeriums künftig verdächtige Computer über das Internet ausspähen dürfen. Die Ermittler sollen online auf Rechner zugreifen und die Festplatte durchsuchen dürfen, beispielsweise bei Verdacht auf Landesverrat. Die Polizei mache dies schon heute, berichtet die Süddeutsche Zeitung.

Update für Linux-WLAN-Treiber bereits verfügbar. Der Linux-Treiber "Madwifi" für WLAN-Karten mit Atheros-Chip enthält eine Sicherheitslücke, die es Angreifern ermöglicht, über eine drahtlose Verbindung Schadcode einzuschleusen und auf dem betroffenen System im Kernel-Space auszuführen. Verantwortlich dafür sind Buffer Overflows in Funktionen des Treibers. Ein Update steht bereits zur Verfügung.

Sicherheitsleck in Word bleibt weiter offen. Am allmonatlichen Patch-Day korrigiert Microsoft im Dezember 2006 mehrere Sicherheitslücken in Windows und kümmert sich um Visual Studio. Das jüngst bekannt gewordene Sicherheitsleck in Word lässt Redmond hingegen außen vor und veröffentlicht vorerst keinen Patch. Und das, obwohl Schadcode diese Sicherheitslücke bereits aktiv ausnutzt.

3 Bilder/Sekunde und 20 Stück RAW+JPEG-Aufnahmen hintereinander. Fujifilm hat weitere Informationen zu seiner digitalen Spiegelreflexkamera FinePix S5 Pro mitgeteilt. Bislang war wenig über das Modell bekannt, dessen Entwicklung zur Photokina 2006 angekündigt wurde. Die Kamera löst die FinePix S3 Pro ab und ist mit einem 12-Megapixel-CCD-Sensor von Fuji ausgerüstet. Durch die Einteilung in 6,17 Millionen S-Pixel (für normale Bildinformationen) und die gleiche Anzahl so-genannter R-Pixel (für besonders helle Bildbereiche) soll ein hoher Dynamikumfang erreicht werden.

Teure Werbeaktion soll Händlern Googles Bezahlsystem schmackhaft machen. Google hat angekündigt, dass sein Bezahlsystem "Checkout" für Händler nun bis Ende 2007 kostenlos nutzbar ist. Inhaber eines Google- bzw. Gmail-Kontos können sich in das System einloggen und nach einer Registrierung unter Angabe der eigenen Kreditkartendaten darüber in Online-Shops bezahlen. Darüber hinaus wurden einige neue Funktionen in Google Checkout integriert.

Angreifer können beliebigen Code ausführen. In Microsofts Windows Media Player wurde eine Sicherheitslücke entdeckt, über die Angreifer beliebigen Code ausführen können. Dazu muss ein Opfer nur dazu gebracht werden, eine manipulierte ASX-Playlisten-Datei zu öffnen. Bisher gibt es keinen Patch zur Abhilfe.

Software-Analyse von Sicherheitslücken soll erlaubt bleiben. Mit ihren Plänen zur Bekämpfung von Computerkriminalität ist die Bundesregierung auf heftige Kritik gestoßen. In einer Gegenäußerung zur Stellungnahme des Bundesrates weist die Bundesregierung die Kritik in weiten Teilen zurück. Befürchtungen, Software-Analyse von Sicherheitslücken werde kriminalisiert, seien nicht zutreffend.

Erneut Sicherheitslücke geschlossen. Sony Computer Entertainment hat mit einer neuen PlayStation-Portable-Firmware eine weitere Sicherheitslücke geschlossen, die unter Umständen Hackern das Ausführen von selbst entwickelter Software erlaubt. Mit früherer Firmware konnte das Spiel PaRappa The Rapper abstürzen.

Fehlerhaftes ActiveX-Control erlaubt Ausführung von Programmcode. Im Adobe Reader 7.0.x steckt ein Sicherheitsloch, wenn PDF-Dokumente per ActiveX-Control im Internet Explorer geöffnet werden. Angreifer können darüber Code ausführen und nun hat Adobe eine Abhilfe nachgereicht, nachdem als Überbrückungslösung die Löschung der betreffenden ActiveX-Controls empfohlen wurde.

Noch kein Patch-Termin genannt. Microsoft warnt vor einem Sicherheitsloch in Word, das bereits aktiv von Schadcode ausgenutzt wird. Werden entsprechend präparierte Dateien geöffnet, können Angreifer beliebigen Code ausführen und sich so eine umfassende Kontrolle über ein fremdes System verschaffen. Wann ein Patch erscheint, ist nicht bekannt.

Sicherung von Bildern und SMS sowie die Synchronisation mit Outlook geplant. Netzbetreiber versuchen, nicht nur über die Mobilfunkpreise, sondern auch über Zusatzdienste Kunden zu gewinnen und zu binden. Daher hat E-Plus nun eine Partnerschaft mit dem dänischen Online-Backup-Dienst Zyb geschlossen. In Zukunft soll deren Datensicherungsdienst auf den E-Plus-Seiten verfügbar sein. ZYB verspricht sich von der Partnerschaft, bekannter zu werden.

Bundeskartellamt stellt Verfahren gegen RTL und ProSiebenSat.1 ein. ProSiebenSat.1 macht bei seinen Plänen zum Thema Grundverschlüsselung eine Kehrtwende. Gegenüber dem Bundeskartellamt erklärte das Fernsehunternehmen, man habe die Absicht aufgegeben, ein digitales grundverschlüsseltes Fernsehen auf der Grundlage eines entgeltlichen Geschäftsmodells einzuführen. Dies sei aber keine Entscheidung gegen eine Grundverschlüsselung, so ProSiebenSat.1 gegenüber Golem.de.

Neue Firmware für Terratecs aktuelle Noxon-Geräte erlaubt auch Podcast-Abruf. Mit einer neuen Firmware bringt Noxon seinen beiden WLAN-Audio-Playern "Noxon iRadio" und "Noxon 2 Audio" neue Funktionen bei, darunter neue Audioformate, die Möglichkeit, auch Podcasts abspielen, sich nach bestimmter Zeit abschalten und neuerdings auch WPA-2-verschlüsselte Verbindungen unterstützen zu können.

Verbesserte, kostenlose Software zur organisationsweiten Sicherheitsüberprüfung. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Version 2.0 seiner "BSI OSS Security Suite" (BOSS) getauften, als Open Source freigegebenen Prüfsoftware für Netzwerksicherheit veröffentlicht. Neben Netzwerk-Sicherheitsaudits ermöglicht BOSS V 2.0 jetzt auch die zentrale Verteilung und Konfiguration der Sicherheitssoftware auf den Linux-Clients im Netzwerk.

Studentenportal am Donnerstag wegen eines neuen XSS-Angriffs offline. Die Pannenserie von kleinen und großen Problemen und Sicherheitslücken beim Studentenportal studiVZ reißt nicht ab. Nun verspricht studiVZ eine Belohnung von 256 Euro, wenn jemand Sicherheitslücken im Portal meldet. Parallel zu der Ankündigung ging studiVZ wegen eines erneuten XSS-Angriffs offline.

23C3 findet vom 27. bis 30. Dezember 2006 in Berlin statt. Auch 2006 findet der Chaos Communication Congress des Chaos Computer Clubs (CCC) wieder vom 27. bis 30. Dezember im Berliner Congress Centrum statt. Nun wurde das Programm für den 23C3 veröffentlicht, in dem wie immer neben technischen Themen auch Politik und der Schutz der Privatsphäre einen Platz haben.

Verschlüsselung kein Allheilmittel. US-amerikanische Zoll- und Einwanderungsbeamte haben das Recht, Notebooks sowie andere Datenträger ohne Angabe von Gründen näher zu untersuchen oder ganz zu beschlagnahmen. Dies berichtet die Berliner Zeitung unter Berufung auf einen Bericht des Congressional Research Service an den US-Kongress. Auch in Asien ist dies möglich.

Enttäuscht von Betrüger, der PSP-schrottende Firmware anbietet. Der Hacker Dark_AleX ist PSP-Besitzern mit Faible für Homebrew-Software vor allem für seine modifizierten Firmware-Versionen ein Begriff. Nun will er aufhören, da jemand seinen Namen missbrauchte, um anderen die PSPs mit falschen Firmware-Dateien kaputtzumachen.

Einfache Installation von System-Bibliotheken wird ausgenutzt. F-Secure hat nach eigenen Angaben ein Adware-Programm für MacOS X zugespielt bekommen. Theoretisch sei es möglich, die Software unbemerkt auf einem Rechner zu installieren und in nahezu jede Applikation einzuklinken.

Mitgliedsstaaten sollten wirksamere Maßnahmen ergreifen. Die Europäische Kommission will den Kampf gegen Computerübel deutlich ausweiten. Sie ruft deshalb die Regierungen der Mitgliedsländer auf, energischer gegen Spam, Späh- und Schadsoftware anzutreten. Zwar sei innerhalb der EU Spam verboten, doch leiden die Anwender immer noch stark an illegalen Online-Aktivitäten aus den Mitgliedsländern und aus dem EU-Ausland.

Datenschutzprobleme bis zur vorübergehenden Abschaltung. Das Studentenportal studiVZ kommt nicht aus den Negativschlagzeilen. Waren es am Anfang nur merkwürdige Auftritte eines der Gründer und später Partyeinladungen im Stil des Nazi-Blattes "Völkischer Beobachter", tun sich nun auch kleine und große Probleme in Fragen der Datensicherheit auf. Am Montag wurde die Seite nach einen Phishing-Angriff dann zunächst einmal ganz abgeschaltet.

Microsoft-Player durch Änderung an der Windows-Registry aufgepeppt. Die in den USA bereits erhältliche iPod-Alternative "Zune" von Microsoft lässt sich ab Werk nur mit der mitgelieferten Software mit Daten füllen. Zudem landen unter den Playern per WLAN getauschte Dateien in einem DRM-Korsett. Dieser Schutz ist jedoch kinderleicht auszuhebeln, wie eine US-Website nun herausgefunden hat.

Staatsanwaltschaft ermittelt wegen Betrugs. Nach einem Bericht der Süddeutschen Zeitung hat die Staatsanwaltschaft Stuttgart Ermittlungen gegen den Bezahlsender Premiere wegen Betrugsverdachts bei der Behandlung von Abo-Kündigungen aufgenommen. Hintergrund ist eine Sammelklage der Verbraucherzentrale Hamburg. Wer den Abo-Vertrag kündigt, muss die Smartcard zurücksenden. Premiere behauptete nach Angaben der Verbraucherschützer besonders häufig, dass die zurückgeschickten Karten nicht angekommen seien und fordere Schadensersatz.

Spionage-Befürchtungen durch Einstieg in die Telekommunikation. Der Bundesnachrichtendienst (BND) ist laut eines Berichts des Tagesspiegels in Sorge vor einem Einstieg des russischen Mischkonzerns Sistema bei der Deutschen Telekom. Der Geheimdienst befürchtet, dass es zu Sicherheitsproblemen für Wirtschaft, Privatpersonen und Behörden kommen könnte, so die Zeitung.

Sicherheitslücke in der Vorgänger-Firmware lässt PSP-Hacker aufhorchen. Sony Computer Entertainment hat der PlayStation Portable (PSP) mit dem Erscheinen der PlayStation 3 (PS3) in den USA und Japan eine große neue Firmware-Version mit der Nummer 3.0 spendiert. Nun sah sich das Unternehmen genötigt, ein Firmware-Update auf die Version 3.01 zu veröffentlichen, um eine Sicherheitslücke zu schließen, an der sich private PSP-Entwickler sehr interessiert zeigen.

Microsoft hat Update vorerst zurückgezogen. Wird der Internet Explorer 7 über die Windows Server Update Services (WSUS) installiert, kommt es offenbar zu Problemen. In Foren berichten Administratoren, dass dieser Vorgang nur möglich ist, wenn der lokale Nutzer auch über Administratorrechte verfügt. Das Update soll nun erst einmal nicht mehr zur Verfügung stehen.

Professionalisierung soll vor Abmahnungen schützen. Mit einem Praxisleitfaden zu Rechtsfallen für Online-Shops will der Bundesverband Digitale Wirtschaft (BVDW) Online-Händlern helfen, kleine rechtliche Fehler zu vermeiden und sich so selbst vor Abmahnungen zu schützen. Der Verband verweist dabei ausdrücklich auf die von zahlreichen Media Märkten und Rechtsanwalt Joachim Steinhöfel initiierten Abmahnungen wegen "teils kaum wahrnehmbarer Verfehlungen".

Verbraucherschutz soll beim Telemediengesetz berücksichtigt werden. Bündnis 90/Die Grünen verlangen von der Bundesregierung, auch Verbraucherschutz-Interessen beim geplanten Telemediengesetz zu berücksichtigen. Zwar werde die Zusammenführung der Regelwerke für Tele- und Mediendienste zu mehr Einheitlichkeit und besserer Übersichtlichkeit führen, doch solle die Verfolgung von Spam-Untaten verbessert werden.

Angreifer können Zugangsdaten ausspähen. Im Kennwort-Manager von Firefox 2.0 steckt ein Programmfehler, über den Angreifer Zugangsdaten abgreifen können. Entsprechende Angriffe sollen bereits über gefälschte MySpace-Seiten laufen. Der Fehler liegt darin, dass der Kennwort-Manager nicht prüft, ob die Daten das richtige Ziel erreichen.

Software ist auch für FreeBSD erhältlich. Grisoft hat einige seiner Anti-Viren-Produkte für Linux und FreeBSD neu aufgelegt. Dabei sind sowohl Server- als auch Desktop-Versionen verfügbar, die also nicht nur E-Mails filtern, sondern auch Nutzer der freien Betriebssysteme direkt schützen sollen.

Fortsetzung der unterhaltsamen Action-Persiflage von THQ. Mit Destroy All Humans konnte THQ Mitte 2005 einen Überraschungshit landen - vielleicht nicht unbedingt an der Verkaufstheke, dafür aber in den Herzen zahlreicher Kritiker. Das Konzept, mit einem hässlichen Alien die Menschheit ausrotten zu wollen, präsentiert im Ambiente eines 50er-Jahre-Horrorfilms, spielte sich erfrischend anders und überzeugte mit viel Humor. Jetzt kommt Teil 2 in die Läden; und Hauptheld Crypto-137 muss sich diesmal noch mit viel mehr unangenehmen Zweibeinern herumschlagen.

Heise-Urteil in einem neuen Verfahren gegen ein Musikmagazin bestätigt. Wenn Journalisten über verbotene Kopiersoftware berichten, dürfen sie keine Links setzen: Wiederholt hat ein Gericht entschieden, dass das Setzen von Links unzulässige Werbung darstellt und deshalb nichts in journalistischen Texten zu suchen hat. Nach Heise Online musste nun ein Musikmagazin diese Erfahrung machen.

Wer darf was mit welcher Edition und wann fordert Microsoft eine neue Lizenz. Kurz vor der Markteinführung von Windows Vista bemüht sich Microsoft, die Lizenzbedingungen des neuen Systems klarzustellen, denn einiges ändert sich gegenüber Windows XP. So hatten manche Pläne zu heftiger Kritik und schon vor Veröffentlichung zu Änderungen und bei manchen wohl durchaus zu Verwirrung geführt. Aber auch so gibt es zum Teil deutliche Unterschiede zwischen den einzelnen Editionen.

GnuPG 2.0 setzt auf eine neue, modulare Architektur. Der GNU Privacy Guard, kurz GnuPG, ist in der Version 2.0 erschienen. Mit der OpenPGP- und S/MIME-konformen Software lassen sich Daten verschlüsseln und digitale Signaturen erzeugen. Zudem stellt GnuPG ein Framework zur Public-Key-Kryptographie dar - samt Schlüsselverwaltung - und kann den SSH-Agent auf Wunsch komplett ersetzen. Dabei bringt die neue Version eine modulare Architektur mit.

Microsoft schließt auch Sicherheitslücke in Adobes Flash-Player. Am Patch-Day vom November 2006 beseitigt Microsoft Sicherheitslücken in Windows sowie dem Internet Explorer. Einige der von Redmond der Windows-Plattform zugeschriebenen Sicherheitslücken betreffen aber eher den Browser aus Seattle, weil sich darüber Programmcode ausführen lässt. Zudem korrigiert Microsoft am diesmonatigen Patch-Day mehrere Sicherheitslücken in Adobes Flash-Player.