Security

Sicherheitsloch erlaubt Ausführung von Programmcode. Im Internet wurde Exploit-Code für ein Windows-Sicherheitsleck gesichtet, das mit einem Patch vom Oktober 2005 geschlossen werden kann. Falls der notwendige Patch für Windows 2000 noch nicht eingespielt wurde, sollte dies schleunigst nachgeholt werden. Über das Sicherheitsloch können Angreifer beliebigen Programmcode ohne Zutun des Anwenders auf einem fremden Rechner ausführen.

Neuer Patch sichert unter anderem das Session-Handling. Das Hardened-PHP-Projekt will mit seinem Patch für PHP die freie Scriptsprache sicherer machen. Nun erschien der Hardened-PHP-Patch in einer neuen Version, die an einigen Ecken die Sicherheit erhöhen kann.

22C3 findet vom 27. bis 30. Dezember 2005 in Berlin statt. Vom 27. bis 30. Dezember 2005 findet der 22. Chaos Communication Congress des Chaos Computer Clubs (CCC) im Berliner Congress Centrum statt. Nun steht auch das Programm des jährlich stattfindenden Hacker-Kongresses zum Großteil, wobei dieses Jahr neben deutschen Vorträgen auch immer mehr in englischer Sprache stattfinden.

Microsoft, Mozilla, Opera und KDE an einem Tisch. KDE-Entwickler George Staikos hat in einem Treffen mit Browser-Entwicklern von Microsoft, Mozilla und Opera Methoden erörtert, um die Sicherheit von Webbrowsern zu steigern. Konqueror wird in KDE 4 beispielsweise kein SSL Version 2 mehr unterstützen und die Adressleiste wird farbig anzeigen, ob man eine sichere oder unsichere Seite besucht, kündigte Staikos an.

Neue Opera-Version behebt Sicherheitsleck unter Linux, FreeBSD und Solaris. Mit Opera 8.51 ist nun ein Sicherheits-Update für den norwegischen Browser erschienen, um etwa das kürzlich bereinigte Flash-Sicherheits-Update in die Windows-Version des Browsers zu integrieren. Außerdem wird ein nun bekannt gewordenes Sicherheitsleck in Opera beseitigt, das auf den Plattformen Linux, FreeBSD und Solaris auftritt.

Wurm gibt sich als E-Mail vom Bundeskriminalamt aus. Im Internet treibt ein neuer Sober-Wurm sein Unwesen, der per E-Mail-Text und Absender vorgibt, eine Nachricht vom Bundeskriminalamt (BKA) zu sein. Darin werden die Empfänger informiert, sie würden vom BKA verdächtigt, Raubkopien einzusetzen. Seit den Morgenstunden des 22. November 2005 verbreitet sich der neue Wurm und will Opfer auf Grund der BKA-Herkunft zum Öffnen des verseuchten Anhangs bewegen.

Angreifer nutzen Sicherheitsloch vom Mai 2005. Für Microsofts Webbrowser ist Programmcode aufgetaucht, der ein altes, aber bislang nicht geschlossenes Sicherheitsleck im Internet Explorer ausnutzt. Angreifer können über eine präparierte Webseite beliebigen Programmcode auf fremde Rechner schleusen und sich so eine umfassende Kontrolle darüber verschaffen. Ein Patch zur Beseitigung des Sicherheitslochs ist nicht verfügbar.

Versteckte Technik macht PCs anfällig für Viren. Der texanische General-Staatsanwalt Greg Abbott hat wegen des umstrittenen Kopierschutzes XCP Anklage gegen Sony BMG wegen illegaler "Spyware" erhoben. Laut Abbott ist dies die erste Klage auf Basis eines neuen Gesetzes gegen Spyware, das in diesem Jahr in Kraft getreten ist.

Hinweise auf Code unterschiedlicher GPL- und LGPL-Software entdeckt. Hinweise, dass Sony BMGs Rootkit Code der LGPL-Software Lame enthält, gibt es schon seit einigen Tagen. Doch zusätzlich scheint das auf Musik-CDs eingesetzte DRM-System XCP auch noch Code aus GPL-lizenzierter Software zu enthalten, wie einige Entwickler festgestellt haben wollen.

"Für wen arbeiten die Sicherheitsunternehmen eigentlich wirklich?". Sicherheitsexperte Bruce Schneier geht mit Herstellern von Sicherheitssoftware in Bezug auf den von Sony BMG eingesetzten XCP-Kopierschutz hart ins Gericht. Mit geschätzten 500.000 infizierten Systemen handle es sich um eine der schlimmsten Epidemien, doch die Hersteller von Anti-Viren-Software bemerkten davon offenbar nichts.

Windows-Updates über Firefox möglich. Einige Updates aus dem "Microsoft Download Center" lassen sich nur herunterladen, nachdem über ein ActiveX-Control die Echtheit des verwendeten Windows-CD-Keys überprüft wurde. Wer diese Prüfung nicht zulässt, darf nur als sicherheitskritisch eingestufte Updates herunterladen. Durch die Verwendung eines ActiveX-Controls war man aber bisher auf den Internet Explorer angewiesen, doch jetzt bietet Microsoft auch ein entsprechendes Plug-in für Firefox an.

Aktuelle Datenbank von Phishing-Webseiten in die MSN-Search-Toolbar integriert. Microsoft will seine Kunden besser vor Phishing schützen und will dazu auf aktuelle Daten über Phishing-Webseiten zurückgreifen. Über ein Add-in für die MSN-Search-Toolbar soll das Angebot den Nutzern ab sofort zur Verfügung stehen.

Sicherheitslücke ermöglicht Denial-of-Service-Attacken. Ein Sicherheitsproblem im Windows-RPC-Dienst (Remote Procedure Call) ermöglicht Angreifern unter Umständen einen Denial-of-Service-Angriff. Microsoft zufolge sind Windows XP bis Service Pack 1 sowie Windows 2000 bis Service Pack 4 betroffen. Updates für diese Versionen bietet der Softwarehersteller allerdings noch nicht an.

Serial-ATA-Unterstützung aus Kernel 2.6 integriert. Marcelo Tosatti, der Betreuer des Kernels 2.4, hat den Kernel 2.4.32 freigegeben. In dieser Version wurden hauptsächlich Fehler korrigiert, große Änderungen fließen in den 2.4er-Zweig ohnehin nicht mehr ein. Allerdings wurde die Serial-ATA-Unterstützung auf den Stand von Kernel 2.6 gebracht.

Lösungen sollen Sicherheit von Webanwendungen verbessern. Citrix Systems hat das US-Unternehmen Teros übernommen, das Sicherheitslösungen für Webanwendungen entwickelt. Citrix will damit seine Netscaler-Produkte mit neuen Sicherheitsfunktionen ausstatten. Die Übernahme von Netscaler hatte Citrix im August 2005 abgeschlossen.

Version 3.8.1 schließt Sicherheitslücken. Mit der Version 3.8.1 ihres Content-Management-Systems schließen die Entwickler von Typo3 einige Sicherheitslücken und führen zugleich Vorkehrungen gegen das Umgehen von bestehenden Sicherheitsmechanismen ein. Zudem wurde die grafische Darstellung optimiert.

Ad- und Spyware soll ihre Ziele im Vorfeld benennen. Ein Firmenzusammenschluss arbeitet an einer Initiative namens "Trusted Download Program", das Anbieter von Ad- und Spyware dazu verpflichten soll, entsprechende Programme klar zu kennzeichnen. Außerdem sollen solche Applikationen vorher die betreffenden Anwender um Erlaubnis fragen, ob etwa Daten ausspioniert werden dürfen.

Hersteller von Windows-PCs in PDA-Größe erhält 20 Millionen US-Dollar. OQO, Hersteller von PDA-großen Windows-PCs, erhält eine Finanzspritze von 20 Millionen US-Dollar. Neben Finanzinvestoren beteiligt sich auch Motorola Ventures, der Risikokapital-Arm von Motorola, als strategischer Investor an OQO.

Red Hat bietet schon Patches. Drei Sicherheitslücken im Grafik-Toolkit GTK+ können zu einem Pufferüberlauf führen. Dazu genügt es, den Anwender zum Öffnen eines manipulierten XPM-Bildes in einem Programm, das GTK+ benutzt, zu bringen. Auch fremder Programmcode lässt sich so ausführen.

Patrick Stach setzte Methoden von Xiaoyun Wang um. Im August 2004 veröffentlichten chinesische Forscher um Xiaoyun Wang Methoden, die Kollisionen in den Hash-Algorithmen MD4, MD5, HAVAL-128 und RIPEMD aufzeigten. Nun legte Patrick Stach einen MD5-Collision-Generator vor, der auf Basis dieser Methoden arbeitet.

Sicherheitskonferenz künftig unter dem Dach von CMP Media. CMP Media übernimmt den auf Sicherheitskonferenzen und Training spezialisierten Anbieter Black Hat, der auch hinter der gleichnamigen Konferenz steht.

Verschlüsselung im DES- oder Triple-DES-Modus. LaCie hat eine Serie von externen Festplatten vorgestellt, die auf zwei verschiedene Arten vor unberechtigten Zugriffen geschützt sind. Zum einen verfügen die Geräte über eine biometrische Zugriffskontrolle in Form eines Fingerabdruck-Sensors und zum anderen werden die Daten auf der Festplatte hardwareverschlüsselt.

Visortech Fingerprint Reader USB für Windows-Anmeldung und Passwort-Verwaltung. Einen USB-Fingerabdruck-Sensor als Ersatz für die Passworteingabe hat der Versender Pearl nun mit dem "Visortech Fingerprint Reader USB" im Programm. Mit dem Identifizierungssystem soll man sich unter anderem bei Windows anmelden können und Passwörter für andere Anwendungen wie für geschützte Websites verwalten können.

Cisco und Juniper Networks sollen Problem bereits behoben haben. Ein finnisches Forscherteam der Universität Oulu veröffentlichte jetzt eine Schwachstelle beim Schlüsselaustausch (Internet Key Exchange) von IPSec. Betroffen sein sollen verschiedene VPN- und Firewall-Produkte, unter anderem von Cisco und Juniper Networks.

Weiterer Ärger: XCP-Deinstaller macht Rechner unsicher. Kaum schien der Ärger rund um das von Sony BMG auf Musik-CDs eingesetzte DRM-System XCP etwas abgeebbt, sorgt ein weiteres Sicherheitsrisiko für eine Welle der Entrüstung. Der XCP-Deinstaller agiert per ActiveX-Control und öffnet damit den Rechner für Angreifer, die so Programmcode einschleusen können. Zu allem Überfluss scheint XCP widerrechtlich Lame-Code zu verwenden. Sony BMG beginnt derweil damit, Audio-CDs mit der XCP-Software aus dem Handel zu nehmen.

Abermals starke Verbreitung von Sober-Würmern mit deutschen Nachrichtentexten. Unter anderem im deutschsprachigen Bereich des Internets machen seit den frühen Morgenstunden des 15. November 2005 gleich drei neuer Sober-Ableger die Runde, die allesamt über Spam-Listen versendet wurden. Die Würmer verschicken sich mit deutschsprachigem Nachrichtentext, in dem die Empfänger durch Tricks zum Öffnen des verseuchten Anhangs gebracht werden sollen. Im Vorfeld hatte das LKA Bayern bereits davor gewarnt, dass am heutigen 15. November 2005 eine neue Sober-Welle zu erwarten sei.

Update-Pack-CD mit Patch-Paketen für Windows 98, Me, 2000 und XP. Die bereits in der vergangenen Woche aktualisierten Update-Pakete für die Windows-Plattform gibt es nun auch gesammelt als CD-Image von der Webseite Winboard.org. Die Update-Pack-CD hilft etwa Support-Mitarbeitern bei der Pflege von Rechnersystemen.

Microsoft-Werkzeuge werden aktualisiert. Nachdem Microsoft seit ein paar Tagen darüber grübelt, ob der Software-Gigant das von Sony BMG verwendete DRM-System XCP als Schadsoftware einstuft, steht die Entscheidung nun fest: Die von Microsoft kostenlos angebotenen Windows-Werkzeuge zur Erkennung und Eliminierung von Schadsoftware werden demnächst das DRM-System als Schädling einstufen. Sony BMG hat auf Grund des öffentlichen Drucks die Produktion von mit XCP versehenen Musik-CDs vorerst gestoppt.

... wenn auch nur zeitweilig. Sony BMG hat sich auf Grund einer auf Audio-CDs zum Einsatz kommenden, von Antiviren-Software-Entwicklern auf Grund ihrer fragwürdigen Funktionsweise als Schadsoftware klassifizierten DRM-Software XCP mittlerweile sogar eine Warnung vom Chef des US-Department of Homeland Security eingefangen. Der ganze Trubel hat das Musiklabel nun mittlerweile dazu veranlasst, die Produktion von mit XCP versehenen Musik-CDs zu stoppen.

RUB-Arbeitsgruppe demonstriert Schwachstelle des iTAN-Verfahrens. Um die eigenen Kunden vor "Phishing" zu schützen, setzt unter anderem die Postbank mittlerweile auf das iTAN-Verfahren, bei dem vom Nutzer eine ganz bestimmte TAN abgefragt wird. Wissenschaftler der Ruhr-Universität Bochum zeigten jetzt, dass sich auch dieser Ansatz leicht überlisten lässt.

Angreifer können beliebigen Programmcode ausführen. In etlichen Versionen des RealPlayers stecken gefährliche Sicherheitslücken, die das Ausführen beliebigen Programmcodes auf einem fremden System ermöglichen. Dazu genügt es, Anwender zum Öffnen einer manipulierten Skin- oder RealMedia-Datei zu bewegen. RealNetworks hat bereits Updates zur Behebung der Probleme veröffentlicht.

Wurm nutzt erfolgreich das von Sony BMG verwendete DRM-System. Nach einem Tagesschau-Bericht will Sony BMG das in die Kritik geratene DRM-System XCP auch in Europa einführen. In den USA wurde bereits eine Klage gegen Sony BMG eingereicht, in der dem Plattenkonzern vorgeworfen wird, Rechnersysteme widerrechtlich mit der DRM-Software zu infizieren.

Anwalt reicht Klage gegen Sony BMG wegen DRM-Software ein. Microsoft erwägt gegen die in Verruf geratene DRM-Software "XCP1 Burn Protect" vorzugehen, berichtet das Online-News-Magazin eWeek.com. Die von Sony BMG auf einigen Musik-CDs zu findende DRM-Verwaltung sorgte in den vergangenen Tagen für Unmut, weil typische Schadsoftware-Routinen darin zum Einsatz kommen. Aus diesem Grunde wurden in den USA bereits Klage gegen Sony BMG eingereicht.

Patch-Pakete mit aktuellem Windows-Patch. Die Betreiber von Winboard.org haben alle Update-Pakete für Windows 2000 sowie Windows XP erneuert, die nun den Sicherheits-Patch für Windows umfassen. Die von Winboard.org angebotene Update-Pack-CD soll in den nächsten Tagen in neuer Version bereitstehen. Auch Winhelpline.de bietet Update-Pakete für Windows 2000 sowie XP an, während WinFuture.de ein Update-Paket für Windows XP bereit stellt.

Applikationen sollen sich so einfach wie Webseiten verbreiten lassen. Openwave will mit dem "Mobile Integrated Dynamic Application System" (MIDAS) eine scriptbasierte Applikationsumgebung für Mobiltelefone etablieren. Die Entwicklung von Bedienoberflächen von Handy und Smartphone soll so vereinfacht, Entwicklungszeiten verkürzt, Kosten gesenkt und neue Möglichkeiten erschlossen werden.

Sicherheitslöcher bei der Anzeige von WMF- und EMF-Dateien. An Microsofts Patch-Day für den November 2005 erscheint wie angekündigt nur ein Security Bulletin für die Windows-Plattform. Allerdings werden damit gleich drei verschiedene Sicherheitslücken im Betriebssystem geschlossen. Über zwei der drei Sicherheitslöcher kann ein Angreifer beliebigen Programmcode ausführen, während das andere Sicherheitsleck eine Denial-of-Service-Attacke erlaubt.

Unternehmen sollen wissen, was die Öffentlichkeit über sie denkt. IBM hat zusammen mit Nstein Technologies und Factiva eine Software entwickelt, mit der Unternehmen Webinhalte wie Blogs, Foren, News-Feeds, Newsgroups und Artikel überwachen können. Sie sollen so herausfinden können, wie das eigene Unternehmen oder die eigenen Produkte aktuell diskutiert werden.

Signatur-Updates bald per Windows-Update. Das AntiSpyware-Tool von Microsoft befindet sich weiterhin im Beta-Test, allerdings steht nun der endgültige Name der Software fest, die in der Final-Version als "Windows Defender" auf den Markt kommen soll. Die aktuelle Beta-Version trägt weiterhin die Bezeichnung "Windows AntiSpyware".

Distributionsbaukasten stammt von Rock-Linux ab. Nach rund einem Jahr Entwicklungszeit hat das Projekt seinen Distributionsbaukasten T2 jetzt erstmals in einer "stabilen" Version vorgelegt. Das von Rock Linux abstammende T2 v2.1.0 alias "Charlotte" ist mehr ein Linux-Baukasten als nur eine weitere Linux-Distribution. Das als System Development Environment (SDE) bezeichnete System erlaubt es, eigene, aktuelle und auf die jeweilige Hardware optimierte Distributionen zu erstellen - ganz gleich ob diese nun auf einem PC installiert, als Live-CD oder ROM für Embedded-Geräte laufen sollen. Dabei ist das System nicht einmal auf Linux festgelegt.

Plupii/Lupper nutzt Sicherheitslücken in Webapplikationen. Anti-Viren-Hersteller warnen vor einem Wurm namens Plupii bzw. Lupper, der Sicherheitslücken in PHP- bzw. Webapplikationen ausnutzt und darüber Linux-Server befällt.

New Yorker Vorort will ungesicherte Funknetzwerke verbieten. Politiker aus einem Vorort von New York wollen den Datenschutz fördern, indem sie den Betrieb ungesicherter drahtloser Netzwerke unter Strafe stellen. Der ungewöhnliche Gesetzesentwurf aus Westchester County betrifft nicht nur Betreiber von Hotspots jeglicher Art, sondern auch Betriebe mit drahtlosem Netzwerk.

Neue Version vom Flash-Player 7 stopft Sicherheitslücke. Im nicht mehr ganz taufrischen Flash-Player 7 haben die Experten von eEye ein Sicherheitsleck entdeckt, worüber Angreifer beliebigen Programmcode ausführen können. Zur Abhilfe bietet Macromedia nun eine neue Version vom Flash-Player 7 zum Download an. Der Flash-Player 8 kennt das Problem nicht.

Bereits zweiter Release Candidate von Thunderbird 1.5 in Aussicht gestellt. Nach dem Release Candidate 1 für Firefox 1.5 wurde nun auch ein erster Release Candidate für den E-Mail-Client Thunderbird 1.5 veröffentlicht. Im Unterschied zur Beta 2 bringt der Release Candidate vor allem Fehlerbereinigungen und kaum neue Funktionen. Bis zur Final-Version ist bereits ein zweiter Release Candidate des E-Mail-Clients geplant.