Security

BSD- und Solaris-Treiber enthalten Sicherheitslücke vermutlich auch. Die Linux-Treiber von Nvidia enthalten eine Sicherheitslücke, durch die sich beliebiger Programmcode mit Root-Rechten ausführen lässt. Ein Angriff soll auch von einem entfernten Rechner aus möglich sein. Unter Umständen sind auch die BSD- und Solaris-Treiber betroffen, wobei Nvidia der Fehler angeblich bereits seit zwei Jahren bekannt ist. Ein Exploit existiert schon.

Fertige Version von Firefox 2.0 für Ende Oktober 2006 erwartet. Das Mozilla-Team hat einen dritten und damit den voraussichtlich letzten Release Candidate von Firefox 2.0 veröffentlicht. Damit stehen die Chancen gut, Firefox 2.0 noch bis Ende Oktober 2006 fertig zu bekommen. Im Vergleich zum Release Candidate 2 bringt die neue Version vor allem Fehlerkorrekturen.

Software blockiert die Arbeit von Schadprogrammen. Mit Norton Confidential bringt Symantec ein Werkzeug für Windows und MacOS X auf den Markt, das Spionage-Angriffe abwehren soll. Dazu zählen Attacken durch Phishing-Seiten sowie Schadprogramme, die vertrauliche Daten ausspionieren. Durch entsprechende Schutzmechanismen soll das Abschöpfen von Kennwörtern, Kreditkartennummern oder TAN-Nummern verhindert werden.

Update-Pakete von Winboard.org, Winhelpline.de und WinFuture.de. Bereits am Patch-Day hatten Winboard.org und WinFuture.de erste inoffizielle Patch-Pakete für Windows XP fertig gehabt. Nun stehen die Patch-Sammlungen für alle betroffenen Windows-Ausführungen bereit und auch Winhelpline als dritter deutscher Anbieter solcher Patch-Pakete hat nachgezogen. Die Patch-Sammlungen enthalten die in diesem Monat veröffentlichten Sicherheits-Patches für Windows.

Neues Verfahren versteckt Nutzdaten im Rauschen. US-Wissenschaftler haben eine Methode entwickelt, um über Glasfaser-Verbindungen Daten zu übertragen, die nur sehr schwer abzufangen und zu entschlüsseln sind. Das Verfahren bedient sich dabei der optischen Eigenschaften der Glasfaser und nicht einer Kodierung durch Software.

Anwendung unterstützt Windows-, Linux- und Mac-Clients. Der 2X Application Server ist nun in der Version 4 verfügbar und soll damit einen günstigen Einstieg in Thin-Client-Lösungen ermöglichen. Für eine beschränkte Anzahl von Anwendungen ist auch eine kostenlose Version verfügbar. Die Software verteilt unter anderem die Last automatisch und lässt sich auch auf Server-Farmen einrichten.

Viele Sicherheitslücken erlauben Ausführung beliebigen Programmcodes. Am Patch-Day für den Monat Oktober 2006 schließt Microsoft insgesamt neun Sicherheitslücken in Windows und 16 Sicherheitslecks in Microsofts Office-Paket. Viele der geschlossenen Sicherheitslücken werden als gefährlich eingestuft, weil Angreifer darüber beliebigen Programmcode einschleusen können. Zudem wird ein Fehler im .NET Framework 2.0 korrigiert.

Displayanzeige auch ohne Stromzufuhr stabil. Normalerweise sind Radio-Frequency-Identity-Tags, kurz RFID-Tags, Funketiketten, die nur elektronisch ausgelesen werden können. Neue Tags sollen zukünftig auch mit einem bistabilen Display ausgerüstet werden, damit sie ohne Hilfsmittel ablesbar sind. Die Entwicklung von D-RFIDs findet im Rahmen des vom Bundesforschungsministerium geförderten Projekts PARIFLEX statt.

Neue Version der Backup-Software vereinfacht das Backup einzelner Applikationen. Die Home-Ausführung der Imaging-Software True Image steht ab sofort in einer neuen Version bereit. Mit True Image 10 Home wurde das Datei-Backup aufgebohrt, das nun über Profile gesteuert werden kann. Außerdem hat der Hersteller Hand an die Backup-Verwaltung gelegt, um die Bedienung zu vereinfachen.

Falsches Posting in Googles Blog sorgt für Verwirrung. Google beendet sein "Click-to-Call"-Programm mit dem sich Telefonanrufe aus AdWords-Anzeigen starten lassen, das zumindest stand am Wochenende im Google-Blog. Stand, denn Google will das Programm keineswegs beenden, vielmehr nutzte ein unbekannter einen Fehler in der Blog-Software um einen falschen Beitrag im Google-Blog zu veröffentlichen.

Final-Version soll noch im Oktober 2006 kommen. Die Arbeiten an Firefox 2.0 schreiten voran. Mittlerweile wurde der Release Candidate 2 des neuen Browsers offiziell bereit gestellt. Im Unterschied zum ersten Release Candidate bringt die aktuelle Version vor allem Fehlerkorrekturen und Verbesserungen am Programmcode, um eine möglichst stabile Final-Version anbieten zu können. Nach derzeitiger Planung soll die Final-Version noch im Oktober 2006 erscheinen.

Vorabinformation zu Microsofts Patch-Day am 10. Oktober 2006. Für den Oktober 2006 knöpft sich Microsoft zahlreiche Sicherheitslücken in Windows und Office vor. Während für Windows sechs Sicherheits-Patches geplant sind, sollen vier für Microsofts Office-Paket am Patch-Day für den 10. Oktober 2006 erscheinen.

Analyse von Nedap-Wahlcomputern veröffentlicht. Der Chaos Computer Club hat in enger Kooperation mit der niederländischen Kampagne "Wir vertrauen Wahlcomputern nicht" Wahlcomputer der Firma Nedap auf Schwachstellen untersucht und die Ergebnisse dieser "unabhängigen Prüfung" publiziert. Das Fazit: Computersysteme sind für Wahlen ungeeignet. Der CCC fordert daher ein vollständiges Verbot von Wahlcomputern für Bundes-, Landtags- und Kommunalwahlen.

Hardened-PHP-Projekt weist auf Designfehler hin. Stefan Esser warnt vor einem Fehler in der Scriptsprache PHP, mit der Nutzer auf Shared-Webhosting-Accounts aus ihrem "Verzeichnis-Gefängnis" ausbrechen können. Eigentlich soll über die Einstellung "open_basedir" verhindert werden, dass Nutzer auf solchen Maschinen außerhalb des ihnen zugedachten Verzeichnisses Dateien lesen und schreiben können, doch offenbar gibt es einen einfachen Weg dies zu umgehen.

Neuauflage des Ratgebers "Datenschutz für Verbraucher" erschienen. Der Verbraucherzentrale Bundesverband (vzbv), die Verbraucherzentrale Schleswig-Holstein und das Unabhängige Landeszentrum für Datenschutz (ULD) haben ihren Ratgeber "Datenschutz für Verbraucher - 99+1 Beispiele und Tipps zum Bundesdatenschutzgesetz" neu aufgelegt. Die Broschüre soll auf verständliche Weise mit Alltagsbeispielen die Regelungen des Bundesdatenschutzgesetzes erklären sowie Tipps für Verbraucher und Unternehmen enthalten.

Bilder und erste Informationen im Forum von Xbox-Scene aufgetaucht. Laut eines Berichts von Xbox-Scene fertigt Microsoft seit etwa Ende August 2006 Xbox-360-Spielekonsolen mit neuem DVD-ROM-Laufwerk. Zuvor verbaute DVD-Laufwerke ließen sich - unter Verlust der Garantie - ausbauen, im PC umprogrammieren und damit die Erkennung von Spiele-Schwarzkopien umgehen.

Linux-Distribution auch in kostenloser Edition erschienen. Die kommerzielle Linux-Distribution Mandriva 2007 ist fertig und auch in einer kostenlosen Variante verfügbar. Mandriva liefert die Software Cedega mit, über die sich verschiedene Windows-Spiele unter Linux nutzen lassen. Zusätzlich bietet die Distribution grafische Effekte für den Desktop und setzt dafür sowohl auf AIGLX als auch auf Xgl.

TANs mit System machen es Betrügern unnötig leicht. Die Citibank macht es nach Ansicht des Sicherheitsexperten Felix Lindner unnötig einfach, TAN-Nummer zu erraten. Mit den Nummern werden einzelne Transaktionen, z.B. eine Überweisung, beim Online-Banking abgesichert. Die Nummern können nur einmal verwendet werden.

Firefox-Entwickler rufen Hacker-Team zur Zusammenarbeit auf. Auf einer Hacker-Konferenz im kalifornischen San Diego sorgte die Bekanntgabe einer Sicherheitslücke in Firefox für einen Eklat. Die Hacker haben ein Sicherheitsleck so präsentiert, dass Angreifer den Fehler in der JavaScript-Implementierung des Mozilla-Browsers leicht ausnutzen können, berichtet das IT-Magazin ZDNet.com. Die Firefox-Entwickler zeigen sich wenig begeistert von diesem Vorgehen und riefen die Hacker zur Kooperation auf.

Auch Sicherheitslücken in Komponenten für Browser-Nutzung. Apple hat MacOS X erneut Sicherheits-Patches verpasst, um eine Reihe von Sicherheitslücken in dem Betriebssystem zu schließen. Hierbei geht es auch um Sicherheitslücken, die bei der Verwendung von Apples Safari-Browser auftreten. Einige der Sicherheitslecks gestatten das Ausführen beliebigen Programmcodes.

Neue Version 5.1.2 korrigiert den Fehler. In der freien Groupware PHProjekt ist ein Sicherheitsloch aufgetaucht, durch das Angreifer Skripte ausführen können. Eine neue Version steht bereits zum Download zur Verfügung, in der die Sicherheitslücke geschlossen wurde.

Fehlerkorrekturen und neue Funktionen. Die freie SSH-Implementierung OpenSSH ist in der Version 4.4 erschienen, die einige Sicherheitslücken schließt und neue Funktionen mitbringt. Darunter sind vor allem neue Konfigurationsoptionen und die Portable-OpenSSH-Version unterstützt nun auch die Sicherheitserweiterung SELinux.

Fertiges Gerät auch zum Kauf verfügbar. Das OpenPCD-Projekt hat ein RFID-Lesegerät mit offenem Hardware-Design und freier Software vorgestellt. Die Spezifikationen lassen sich herunterladen und das Gerät so selbst nachbauen, während die Firmware unter der GPL verfügbar ist. Zudem gibt es das fertige Gerät auch zum Kauf. Für Hersteller gibt es zudem eine kommerzielle Lizenz.

Weitere Angriffe von erleuchteter Bühne. Auch Intels ehemaliger Chief Technology Officer und jetziger Chef der Enterprise-Abteilung Pat Gelsinger ließ sich auf dem IDF dazu hinreißen, in seiner Keynote-Ansprache eine Spitze gegen AMD zu setzen. Zwar war Gelsinger dabei etwas dezenter als zuvor Justin Rattner mit seinem Opteron im Papierkorb, doch auch dieser Gag erscheint überflüssig.

Schadcode im Internet unterwegs; kein Patch verfügbar. Microsoft hat eine Sicherheitslücke in der Präsentationssoftware PowerPoint bestätigt. Das Sicherheitsloch wird bereits von Schadcode ausgenutzt, der im Internet unterwegs ist. Die Ursachen für das Sicherheitsleck in PowerPoint gab Redmond nicht bekannt. Wann der Fehler korrigiert wird, ist ebenfalls unbekannt.

Kein Patch verfügbar. Nur einen Tag nachdem Microsoft ein seit über einer Woche bekanntes Sicherheitsleck im Internet Explorer geschlossen hat, tauchte Schadcode für eine nicht geschlossene Sicherheitslücke in Redmonds Browser im Internet auf. Das Sicherheitsloch erlaubt einem Angreifer die Ausführung beliebigen Programmcodes; ein Patch ist nicht verfügbar.

Fehlerhafter Patch hat Dateien unter Windows 2000 zerstört. Die angekündigte Neuauflage des Kernel-Patches für Windows 2000 ist ab sofort verfügbar. Microsoft hatte im September 2006 einen Patch veröffentlicht, der auf Systemen mit Windows 2000 unter bestimmten Umständen Dateien zerstört, so dass diese nicht mehr lesbar sind. Der aktuelle Patch soll diesen Fehler korrigieren.

VML-Dateien erlauben Ausführung von Programmcode. Überraschend hat Microsoft einen außerplanmäßigen Sicherheits-Patch für den Internet Explorer veröffentlicht. Für das am 20. September 2006 bekannt gewordene Sicherheitsloch in Microsofts Browser hatte ein Drittanbieter bereits einen Patch veröffentlicht. Dieser Schritt dürfte Redmond dazu gebracht haben, den Patch außerplanmäßig zu veröffentlichen. Denn gleichwohl beteuert Microsoft weiterhin, die Gefahr durch das Sicherheitsloch sei nur gering.

Final-Version für Oktober 2006 geplant. Mit dem Release Candidate 1 (RC1) von Firefox 2.0 haben die Entwickler einen wichtigen Schritt hin zur Final-Version genommen. Nach Mozilla-Angaben bringt der RC1 im Unterschied zur Beta 2 keine Neuerungen mehr. Die Entwickler haben sich vor allem auf Fehlerkorrekturen konzentriert, um die für den Oktober 2006 geplante Final-Version möglichst fehlerfrei zu machen.

Virtualisierungslösung unterstützt Windows 2000 und XP. Die Software Win4BSD erlaubt, eine Windows-Installation unter FreeBSD und PC-BSD vorzunehmen. In dieser virtuellen Umgebung lässt sich Windows dann wie gewohnt nutzen, wobei laut Hersteller eine nahezu native Geschwindigkeit zu erwarten ist.

Mehrzahl der Internetangriffe richtet sich gegen Privat-PCs. Auch im ersten Halbjahr 2006 stellen Browser ein deutliches Sicherheitsrisiko für die Computersicherheit dar, heißt es in Symantecs halbjährlich erscheinendem Sicherheitsbericht "Internet Security Threat Report". Weiterhin haben Angreifer Privatpersonen im Visier, konzentrieren sich aber verstärkt auf Unternehmen insbesondere aus dem Finanzsektor.

Freie Software in zwei Ausführungen verfügbar. ZRM ist eine freie Backup-Lösung für MySQL-Datenbanken und kann entweder direkt auf dem Datenbank-Server oder einem anderen System installiert werden. Bei der Sicherung hält sich die Software an vom Administratoren festgelegte Regeln und arbeitet mit vorhandenen Backup-Lösungen zusammen.

Einstweilige Verfügung gegen Mein-Parteibuch-Blogger Marcel Bartels. Marcel Bartels hat in seinem Blog mein-parteibuch.de ein Abmahnschreiben des Münchner Rechtsanwalts Günter Frhr. v. Gravenreuth gegen das Forum Forenabmahnungen.de veröffentlicht. Dadurch sah Gravenreuth sein Persönlichkeitsrecht verletzt und zog vor das Landgericht Berlin. Dieses gab ihm Recht und untersagte die Veröffentlichung des Anwaltsschreibens ohne Genehmigung des Verfassers.

Bundesregierung legt Entwurf für neues Strafgesetz zur Computerkriminalität vor. Zur Bekämpfung von Computerkriminalität will die Bundesregierung das Strafrecht verändern und hat dazu am 20. September 2006 einen Gesetzentwurf beschlossen, der z.B. beim Chaos Computer Club (CCC) auf heftige Kritik stößt. Nach Ansicht der Hacker wird mit dem Gesetz unter anderem Software kriminalisiert, die zur Analyse von Sicherheitslücken zwingend erforderlich ist. Der CCC fürchtet daher, dass die Umsetzung des Entwurfes die Sicherheit von Computersystemen gefährdet und schlägt stattdessen eine drastische Verschärfung der Strafen für Datenverbrechen vor.

Schärfere Gesetze sollen abschrecken. Nach einem Bericht des Tagesspiegels will die Bundesregierung stärker gegen unerwünschte Telefonwerbung bei Verbrauchern vorgehen. Derzeit prüfe man, ob die bestehenden Gesetze verschärft werden sollten. Schon seit 2004 ist es Werbern verboten, ohne Einwilligung des Verbrauchers anzurufen.

Sampler "Pimp My Rights" steht zum Download bereit. Unter dem Motto "Boycott Musicindustry" verteilt der Chaos Computer Club parallel zur Musikmesse Popkomm in Berlin den kostenlosen Musik-Sampler "Pimp My Rights", unter anderem mit Titeln der Beastie Boys und paniq, die ihre Musik komplett legal zum Download anbieten.

Angreifer können beliebigen Programmcode ausführen. In Apples WLAN-Implementierung namens AirPort wurden drei Sicherheitslücken gefunden, die ein Patch beseitigen soll. Über die Sicherheitslecks in dem Treiber kann ein Angreifer beliebigen Programmcode ausführen und sich so eine umfassende Kontrolle über ein fremdes System verschaffen.

Kontinuierliche Datensicherung im Hintergrund. Mit Carbonite ist ein kommerzieller Dienst ins Leben gerufen worden, der den Backup-Vorgang vor allem für private Anwender so vereinfachen soll, dass er möglichst nur einmal eingerichtet und danach im besten Falle vergessen werden kann - weil er im Hintergrund abläuft. Ein Medienwechsel ist nicht nötig - denn der Client von Carbonite schaufelt die Daten der ausgewählten Ordner über das Internet auf einen Server des Unternehmens.

Maximal 1,5 TByte Speicherkapazität mit USB- und FireWire400-Anschluss. Buffalo Technology bringt mit der "DriveStation Duo"-Serie zwei externe Festplattenverbundsysteme auf den Markt. Der Speicher besteht aus zwei Serial-ATA-Festplatten, die als RAID-1 oder auch im Spanning-Verfahren bzw. einzeln betrieben werden können.

Portable Firefox bildet Basis von Torpark. Basierend auf dem Portable-Firefox-Projekt hat die Gruppe Hacktivismo mit Torpark einen Browser veröffentlicht, mit dem sich Anwender per Tor-Netzwerk anonym im Internet bewegen können. Der Browser kann von einem USB-Stick geladen werden und bedarf damit keiner Installation. Zudem soll Torpark keine lokalen Daten ablegen, wenn auf einem fremden Rechner das Internet mit Hilfe des Browsers besucht wird.

Opera 9.02 schließt Sicherheitsleck. Mit Opera 9.02 wird ein Sicherheitsloch in dem Browser geschlossen und die neue Version bringt einige Fehlerkorrekturen. So wurde Hand an die Rendering-Engine gelegt, so dass Webseiten fehlerfrei dargestellt werden sollten.

Datenschützer: Daten unbeteiligter Personen dürfen nicht gespeichert werden. Schwerwiegende verfassungsrechtliche Risiken sieht der Bundesdatenschutzbeauftragte Peter Schaar im Gesetzentwurf zur Anti-Terror-Datei. Vor allem die Daten unbeteiligter Personen dürften in keinem Fall gespeichert werden.

Neuauflage von Internet Security vorgestellt. Mit einigen Neuerungen kommt der Virenscanner von G Data in Kürze auf den Markt. Sowohl die beiden Scan-Engines als auch der OutbreakShield sollen effizienter zu Werke gehen. Außerdem wurde die Sicherheitssoftware InternetSecurity neu aufgelegt, die zusätzlich eine Firewall, einen Kinderschutz und einen Spam-Filter umfasst.