Security

Registry-Einträge bestimmen Anfälligkeit. Wie das Internet Storm Center berichtet, soll der Zotob-Wurm nicht nur Systeme mit Windows 2000 befallen, sondern auch Windows XP sowie Windows Server 2003 infizieren können. Dies gilt, wenn die beiden Letztgenannten mit aktivierten, so genannten "Null Sessions" arbeiten, um etwa als Domänen-Controller, Exchange- oder SQL-Server zu agieren.

24 Komponenten von MacOS X betroffen. Mit einem aktuellen Sicherheits-Update behebt Apple gleich 34 Sicherheitslücken in insgesamt 24 Komponenten des Betriebssystems. Zwei der Sicherheitslöcher stecken in Apples Webbrowser Safari und eines der Lecks erlaubt einem Angreifer die Ausführung beliebigen Programmcodes. Die Sicherheits-Patches stehen für MacOS X 10.3.9 sowie 10.4.2 jeweils für die Desktop- und Server-Ausführung zum Download bereit.

Angreifer können eigenen Perl-Code einschleusen. IDefense warnt vor einer kritischen Sicherheitslücke in der Logfile-Analyse-Software AWStats, durch die Angreifer fremden Code auf entsprechenden Systemen ausführen können. AWStats erfreut sich recht großer Beliebtheit und kommt auf diversen Servern zum Einsatz, die dadurch nun gefährdet sind.

Exploit-Code für Windows-Sicherheitsloch im Internet gesichtet. In einem gesonderten Sicherheitshinweis weist Microsoft explizit darauf hin, dass für eine der in dieser Woche geschlossenen Windows-Sicherheitslücken Exploit-Code im Internet entdeckt wurde. Zumindest unter Windows 2000 könnten Angreifer darüber beliebigen Programmcode ausführen, so dass Microsoft dringend zur Aktualisierung des Betriebssystems rät.

Kostenlose Patch-Sammlungen und Setup-Routinen für Windows 2000 und XP. Für Windows XP stehen ab sofort aktualisierte inoffizielle Update-Pakete sowie Setup-Routinen bereit, welche die in dieser Woche erschienenen Sicherheits-Patches von Microsoft für Windows und den Internet Explorer umfassen. Während Winboard.org und WinFuture.de wie gewohnt Update-Pakete bereitstellen, findet man auf Winhelpline.de entsprechende Setup-Routinen auch bereits für Windows 2000, um eine Patch-Einspielung zu automatisieren.

Pyramid gründet Open-Source-Geschäft aus. Pyramid gründet sein Open-Source-Geschäft in das neu formierte Unternehmen Collax aus, das mit 5 Millionen Euro von den Risikokapitalgebern Atlas Venture und Wellington Partners finanziert wird. Collax soll sich ausschließlich auf den Vertrieb eines fertig konfigurierten Linux-Servers konzentrieren, wobei Collax auf "Ben Hur" aufsetzt.

Blu-ray Disc Association versucht, HD-DVD zu übertrumpfen. Mit einem schon für den Konkurrenten HD-DVD vorgesehenen Rechteverwaltungssystem und einem zusätzlichen Kopierschutzverfahren wollen die Blu-ray-Befürworter ihren DVD-Nachfolger-Standard attraktiver für die Filmindustrie machen. Wie die Blu-ray Disc Association (BDA) mitteilte, soll dadurch das bisher umfassendste Kopierschutz- und Rechtemanagement-System für einen optischen Datenträger geboten werden - wie es heißt, ohne den Kunden einzuschränken.

Funktionierender Patch für Internet Explorer wieder per Download-Center zu haben. Am gestrigen 10. August 2005 hatte Microsoft anlässlich des monatlichen Patch-Days einen Sammel-Patch für den Internet Explorer veröffentlicht, um drei Sicherheitslücken in dem Browser zu schließen. Wurde der Patch über Microsofts Download-Center geladen, ließ er sich auf Grund eines Fehlers, der nun behoben ist, jedoch nicht installieren.

Microsoft einigt sich mit Scott Richter und OptInRealBig.com. Microsoft hat sich mit dem selbst ernannten "Spam King" Scott Richter und seiner Firma OptInRealBig.com geeinigt, nachdem Microsoft Richter im Rahmen seiner Anti-Spam-Kampagne im Dezember 2003 verklagt hatte. Künftig wolle Richter auf Spam verzichten und zudem 7 Millionen US-Dollar Schadensersatz an Microsoft zahlen.

Stabile Version für Kernel 2.6 erschienen. Das Linux-VServer-Projekt hat seine Software in der stabilen Version 2.0 vorgelegt, die nun auch die aktuelle Kernel-Serie 2.6 unterstützt. Die Software erlaubt es, mehrere Server auf einem Linux-System einzurichten, die sicher voneinander getrennt sind. Im Gegensatz zu anderen Ansätzen läuft bei VServer aber nur ein Kernel.

Aktuelle Netscape-Version schließt Sicherheitslöcher. Ab sofort steht der Netscape-Browser in der Version 8.0.3.3 weiterhin ausschließlich für die Windows-Plattform zum Download bereit, womit die durch Firefox 1.0.5 bekannt gewordenen Sicherheitslücken auch in Netscape wieder geschlossen werden. Die fehlerbereinigte Version 8.0.3.1 von Netscape wurde von AOL ohne Angabe von Gründen kurze Zeit nach der Veröffentlichung wieder zurückgezogen.

Network Reputation Services zunächst nur für die USA und Australien. Mit seinen "Trend Micro Network Reputation Services" präsentiert Trend Micro ein Paket netzwerkbasierter Anti-Spam-Dienste. Laut Trend Micro unterbrechen die neuen Dienste 40 bis 80 Prozent aller Verbindungen zu bekannten, verdächtigen IP-Adressen und verhindern somit, dass davon versendete E-Mails in ein Netzwerk eindringen.

Diverse Maßnahmen sollen Kunden besser schützen. Die Postbank will Betrügern im Internet mit der indizierten Transaktionsnummer (iTAN) das Handwerk legen. Während die Bank heute eine beliebige TAN aus der Liste akzeptiert, gibt sie dem Kunden ab sofort den Einsatz einer bestimmten TAN vor. Selbst wenn die Betrüger in Besitz dieser iTAN gelangen, ist sie wertlos, denn bei der nächsten Online-Buchung verlangt der Bankrechner eine andere iTAN.

FBI ermittelt gegen Identitätsdiebe. Die Sicherheitssoftware-Firma Sunbelt berichtet in ihrem Blog von einer Spyware, die als Keylogger die Tastatureingaben der betreffenden Anwender mitschreibt und diese an einen fremden Webserver übermittelt. Die gespeicherten Informationen betreffen unter anderem Kontodaten, Logins, eBay-Passwörter, Chat-Mitschnitte und ähnliches Material.

Festnahme nach vorausberechnetem Überfall. Im US-Bundesstaat New York konnten die Strafverfolgungsbehörden zwei mutmaßliche Räuber festnehmen, die zuvor eine Frau überfallen hatten. Zeit und Ort des Verbrechens hatte nach statistischen Analysen ein Computer der Polizei prophezeit.

Phisher verlinken laut Netcraft die echte Login-Seite von eBay. Netcraft warnt vor einer neuen Phishing-Methode, bei der die Angreifer E-Mails mit Links zu eBays Login-Seite versenden. Zwar zeigen die Links wirklich auf die Original-E-Mail-Seite, dennoch landen Nutzer letztendlich in den Fängen der Phisher.

Ausnutzung alter Windows-Sicherheitslücke befürchtet. Ein Mitarbeiter des Antiviren-Hersteller Kaspersky Labs berichtet, dass neue Varianten eines Trojanischen Pferdes gesichtet wurden, das sich über ein längst geschlossenes JPEG-Sicherheitsloch in Windows verbreitet. In Kürze könnte daher die Gefahr bestehen, dass sich entsprechende JPEG-Schädlinge im Internet verbreiten.

Sendmail, PGP, Yahoo und Cisco reichen Vorschlag bei der IETF ein. Mit "DomainKeys Identified Mail" (DKIM) schlagen Sendmail, PGP, Yahoo und Cisco ein neues System vor, mit dem das Fälschen von E-Mail-Absendern unterbunden werden soll. DKIM wurde von den vier Unternehmen bei der IETF eingereicht, nachdem der Versuch, mit Sender ID ein ähnliches Verfahren zu verabschieden, gescheitert war.

Vorabinformationen zu Microsofts Patch-Day am 9. August 2005. Wie üblich informierte Microsoft wenige Tage vor dem monatlichen Patch-Day grob über die zu erwartenden Sicherheits-Patches. Demnach werden am 9. August 2005 mindestens sechs Sicherheitslücken in Windows geschlossen. Einige der Sicherheitslücken stuft Microsoft selbst als kritisch ein.

Suchfunktion verriet Passwörter von Mitarbeitern und Kunden. Eine Schwachstelle in der Suchfunktion auf der Cisco-Homepage hat die Passwörter von registrierten Nutzern verraten, gestand der Netzwerk-Ausrüster jetzt ein. Da die Passwörter von Mitarbeitern, Kunden, Partnern und anderen so in die Hände von Dritten hätten geraten sein können, setzte Cisco alle Passwörter zurück.

Matte Oberflächen sind von Hause aus fälschungssicher. Forscher am Imperial College London haben nach eigenen Angaben einen Weg gefunden, um nahezu alle Papierdokumente, Plastikkarten und Produktverpackungen eindeutig und fälschungssicher erkennen zu können. Sie setzen auf kleine Mängel in der Oberflächstruktur, anhand derer sie Dokumente eindeutig identifizieren können.

ViTec Audio-Video GmbH zeigt sich siegreich. Die deutsche ViTec Audio-Video GmbH hat sich gegen eine Patentrechtsverletzungsklage des US-Kopierschutzanbieters Macrovision durchsetzen können. In einem seit 1999 andauernden Rechtsstreit forderte Macrovision wegen der von ViTec hergestellten Video-Kopierschutz-Entferner "ViTector-Spezial" und "Copy-Joker" 2 Millionen Euro Schadensersatz, musste aber letztendlich selbst die Gerichtskosten des kleinen Herstellers zahlen.

Noch kein Patch verfügbar. Die Sicherheitsexperten von eEye haben eine weitere schwere Sicherheitslücke im Internet Explorer gefunden. Das Sicherheitsloch in Microsofts Browser erlaubt Angreifern die Ausführung beliebigen Programmcodes, so dass diese eine umfassende Kontrolle über ein fremdes System erlangen können.

... und mit Audio füttern. Mit Blooover hatte das Bluetooth-Sicherheitsrisiken aufzeigende trifinite-Team bereits gezeigt, wie sich ein Bluetooth-Handy leicht dazu nutzen kann, um seine Artgenossen auszuspionieren. Dass es auch um die Sicherheit von Bluetooth-Headsets bzw. fest eingebaute Bluetooth-Freisprechanlagen nicht sonderlich gut bestellt ist, zeigen trifinites Versuche mit einem Linux-Notebook, einer Richtantenne und einer eigenen Software namens "Car Whisperer".

Tracking-System für Flotten-Management mit neuem Einsatzzweck. Ein ursprünglich nur für das Flotten-Management von Firmenwagen gedachte System wird in den USA jetzt von seinem Hersteller als "Teen Tracking Device" vermarktet. Über eine Webseite können die Eltern jederzeit sehen, wo sich die Autos der Kinder befinden.

Aktuelle Opera-Version schließt Sicherheitslücken. In der vergangenen Woche veröffentlichte Opera die um Sicherheitslücken und Programmfehler bereinigte Version 8.02 des norwegischen Browsers. Nun reicht der Hersteller die bislang fehlende Version für Solaris nach. Mit Opera 8.02 werden insgesamt drei Sicherheitslücken in dem Browser geschlossen.

Cursor-Navigation machte Probleme. Wie bereits angekündigt, braucht die Browser-Suite Mozilla ein weiteres Update, nachdem erst kürzlich die Version 1.7.10 erschienen ist. Mit Mozilla 1.7.11 sollen die durch die Vorversion aufgetretenen Programmfehler wieder behoben werden.

Unternehmen fordert Lizenzgebühren von der Europäischen Zentralbank. Die Firma Document Security Systems aus Rochester (New York) hält unter anderem ein europäisches Patent, das für Ärger bei der Europäischen Zentralbank sorgen könnte. Dabei geht es um ein Verfahren zu Verhinderung von Falschgeld in Form von Markierungen, die beim Scannen und Kopieren auffallen.

Philip Zimmermann kündigt VoIP-Client zFone an. Schon 1995/96 versuchte sich Philip Zimmermann, der Erfinder der erfolgreichen PGP-Verschlüsselung, mit PGPfone an einer Software für verschlüsselte Internet-Telefonie. Damit war Zimmermann nach eigenem Bekunden aber etwas früh dran; sein neues Projekt zFone soll mit der heutigen größeren Bandbreite und VoIP-Protokollen wie SIP und RTP mehr Verbreitung finden.

Mobiltelefon-Besitzer müssen sich häufig für Nicht-Erreichbarkeit rechtfertigen. Handy-Besitzer geraten immer stärker in Erklärungsnot, falls sie per Taschentelefon nicht erreichbar sind, so dass Mobiltelefone einen entsprechenden Kontrollmechanismus ausüben. Gerade im familiären und beruflichen Umfeld komme es häufiger vor, dass sich Handy-Besitzer rechtfertigen müssen, wenn sie ihr Handy ausschalten und nicht erreichbar sind, berichtet ein Lüneburger Sozialwissenschaftler.

Erkennungsrate von Fingerabdrücken deutlich höher als von Gesichtsscans. Die deutschen Botschaften werden mit biometrischer Erkennungsmethoden ausgerüstet, um Visabetrüger leichter identifizieren zu können. Von April 2004 bis zum März 2005 wurde das Verfahren durch die deutsche Vertretung in Nigeria in einem Pilotversuch getestet, so der Spiegel.

Internet Explorer 7 Beta 1 mit Tabbed Browsing, RSS-Feeds und Anti-Phishing. Parallel mit dem Erscheinen der ersten Beta-Version von Windows Vista hat Microsoft auch die erste Beta vom kommenden Internet Explorer veröffentlicht. Zu den Neuerungen des Internet Explorer 7 gehören Tabbed Browsing, ein RSS-Reader, Anti-Phishing-Mechanismen, verbesserte CSS-Konformität und die Unterstützung transparenter PNG-Grafiken. Außerdem verspricht Microsoft mit dem Internet Explorer 7 eine deutlich gesteigerte Sicherheit, um Angriffe aus dem Internet gar nicht erst zu ermöglichen. Die Beta-Version vom Internet Explorer 7 zeigt viele Ansätze, aber noch wenig Endgültiges.

Aktuelle Version ist wieder Netscape 8.0.2. Ohne Angabe von Gründen verschwand die Download-Möglichkeit von Netscape 8.0.3.1 von den entsprechenden AOL-Internetseiten. Auch die Release Notes wurden so überarbeitet, als ob es Netscape 8.0.3.1 nie gegeben hätte. Ob die nun zurückgezogene Version möglicherweise fehlerhaft ist, kann derzeit nur spekuliert werden.

Wasserzeichen und Schließen der analogen Lücke gefordert. Im Vorfeld der Markteinführung von HD-DVDs meldet sich nun auch die "Video Software Dealers Association" (VSDA) zu Wort, die in den USA unter anderem Videotheken vertritt. Neben zahlreichen Selbstverständlichkeiten wie langlebigen Discs fordert der Verband auch einen rigorosen Kopierschutz.

Zugriff auf Windows-Downloads auch ohne korrekte Lizenzierung. Die Anfang der Woche gestartete, nun verbindliche Echtheitsprüfung von Windows-Lizenzen beim Download von Software über Microsofts Webseiten wurde durch einen einfachen JavaScript-Befehl ausgehebelt. Zudem lässt sich der Mechanismus durch Modifikation einer DLL deaktivieren. Damit können Updates und Tools mit einer nicht korrekt lizenzierten Software wieder über Microsoft Update oder per Webseite heruntergeladen werden, ohne dass der Lizenzschlüssel der verwendeten Windows-Version geprüft wird.

Yahoo-Toolbar 1.0 für Windows, Linux und MacOS X. Der Suchmaschinen-Betreiber Yahoo bietet seine Yahoo-Toolbar für den Firefox-Browser ab sofort in der Final-Version an. Die Yahoo-Toolbar steht für Windows, Linux und MacOS X nun unter anderem auch in deutscher Sprache bereit.

Opera 8.02 behebt drei Sicherheitslücken und kleine Programmfehler. Der norwegische Browser-Bauer Opera bietet ab sofort eine fehlerbereinigte Version von Opera 8 für alle Plattformen außer Solaris an, um drei Sicherheitslücken zu schließen und verschiedene kleinere Programmfehler zu beseitigen. Wie bekannt wurde, bringt die Final-Version von Opera 8.02 allerdings keine BitTorrent-Unterstützung, die in einer Vorabversion bereits enthalten war.

Beta 1 von Windows Vista und Internet Explorer 7 stehen zum Download bereit. Wie erwartet, hat Microsoft nun eine erste Beta-Version von Windows Vista - vormals Longhorn - veröffentlicht. Die Beta 1 von Microsofts Windows-XP-Nachfolger wird an rund 10.000 Beta-Tester im Rahmen des "Windows Vista Technical Beta Program" sowie an weitere Tester per MSDN und TechNet ausgeliefert.

Macrovision übernimmt Trymedia für 34 Millionen US-Dollar. Mit der Übernahme von Trymedia steigt Macrovision in das Geschäft mit Spiele-Downloads ein und eröffnet zugleich einen entsprechenden Geschäftsbericht. Trymedia bietet Spieleherstellern die Möglichkeit, ihre Titel auf sicherem Weg per Internet zu verbreiten, ein Konzept das Macrovision ausbauen will.

Durchdringung von neuen Begriffen gering. Die PEW Internet & American Life Studienreihe hat gezeigt, dass der durchschnittliche US-amerikanische Internetnutzer weder weiss, was Podcasting ist, was ein RSS-Feed tut noch was der Begriff Phishing bedeutet. Die US-weite telefonische Befragung wurde Mitte 2005 durchgeführt.

Mann erschlagen in Wohnung gefunden. Der als notorischer Werbemail-Versender bekannte Russe Vardan Kushnir wurde am vergangenen Sonntag tot in seiner Wohnung in Moskau aufgefunden. Dem Mann wurde nach russischen Berichten der Schädel eingeschlagen.

Keine Lizenzprüfungen bei Sicherheits-Updates. Microsoft hat damit begonnen, bei Downloads für Windows-Erweiterungen und -Updates die Gültigkeit der verwendeten Windows-Lizenz automatisch beim Herunterladen zu prüfen. Dazu wurde der Download-Bereich von Microsoft entsprechend überarbeitet. Mit dem Schritt will Microsoft vornehmlich die Verbreitung nicht-lizenzierter Software eindämmen.

Netscape 8.0.3.1 für Windows verfügbar. Einige der aus Firefox bekannten Sicherheitslücken werden nun mit einem Update auch in Netscape 8 behoben. Da Netscape 8 auf Firefox beruht, ist länger bekannt, dass die in Firefox gefundenen Sicherheitslücken zum Teil auch den Netscape-Browser betreffen.