Security

Keine Sicherheits-Patches von Microsoft im März 2005. Wie seit kurzem üblich, verriet auch Microsoft für den Monat März 2005 vorab Informationen über den bevorstehenden Patch-Day, der diesen Monat ausfällt.

Nutzt wahlweise Rendering Engine von Mozilla oder vom Internet Explorer. Nachdem der Erscheinungstermin der ersten öffentlichen Beta von Netscape 8 kurzfristig um einige Wochen verschoben wurde, steht die Beta nun für jedermann kostenlos zum Testen bereit. Netscape 8 Beta verwendet Firefox als Basis und kennt somit auch nur die Browser-Funktionen, so dass zu Netscape 8 kein E-Mail-Client gehört. Falls Seiten nicht mit der Mozilla-Rendering-Engine dargestellt werden können, wird stattdessen der Internet Explorer verwendet.

Kostenlose Sicherheitsüberprüfung von PCs und Laptops. Anlässlich der CeBIT 2005 startet Microsoft zusammen mit Computer Associates die so genannte Sicherheits-Tour "Deutschland sicher im Netz", bei der PC-Besitzer ihre Systeme gratis durch entsprechende Sicherheitsmaßnahmen gegen Angriffe aus dem Internet schützen können. Die Tour startet am 12. März 2005 zunächst in Hannover, weitere Termine und Orte wurden bislang nicht genannt.

Einschleusung und Ausführung von Programmcode möglich. In etlichen Versionen des RealPlayer stecken zwei schwere Sicherheitslöcher, über die Angreifer beliebigen Programmcode auf einem fremden System ausführen können. Dazu genügt es, ein Opfer etwa zum Öffnen einer manipulierten WAV-Datei zu bringen. Angreifer erhalten dann eine umfassende Kontrolle über andere Rechner. RealNetworks hat einen Patch zur Abhilfe des Problems veröffentlicht.

Feature Tool und Drive Fitness Test in neuer Version. Hitachi hat seine Tools zur Diagnose und Konfiguration von Festplatten überarbeitet. Die Programme stehen unter anderem nun als CD-Images bereit, so dass man sie direkt von CD booten kann.

Entwickler raten dringend zum Update auf phpBB 2.0.13. Die Entwickler der Board-Software phpBB weisen auf eine kritische Sicherheitslücke in ihrer Software hin. Ein Fehler in der Auswertung von Session-Variablen erlaubt es Angreifern, Administratorrechte zu erlangen.

Keine Inhaltsspeicherung gefordert. Im Kampf gegen internationalen Terrorismus setzt der Präsident des Bundeskriminalamtes (BKA), Jörg Ziercke, auf verstärkte Überwachung von Telefonen, Handys und Internet. Er fordert darüber hinaus eine längere Aufbewahrungspflicht von den anfallenden Verbindungsdaten.

Browser soll Phishing-Angriffe besser unterbinden. Opera hat jetzt eine zweite Beta-Version seines kommenden Web-Browsers Opera 8 veröffentlicht. Die neue Vorabversion bietet unter anderem neue Sicherheitsfunktionen, die Phishing-Angriffe verhindern sollen.

Festplatte zur Datensicherung und Synchronisation unter Windows. Mit der 2,5-Festplatte TouchMe erweitert TEAC seine Produktfamilie um eine neue Version externer Festplatten, die per Knopfdruck und in Zusammenarbeit mit einer Windowssoftware vordefinierte Daten speichern bzw. zurücksichern können.

Kunststoff-Transistor überlebt auch tiefe Temperaturen. In der Entwicklung von Datenspeichern auf Kunststoffbasis ist Philips einen großen Schritt vorangekommen. Das Unternehmen kann jetzt Plastik-Speicher herstellen, die sich auch durch Gießen oder Drucken auf einen Untergrund aufbringen lassen.

Einzelspieler- und Mehrspieler-Map für Stealth-Action-Fans. Mit einer englischsprachigen Demo seines neuen Stealth-Action-Spiels "Splinter Cell: Chaos Theory" verkürzt Ubisoft die Wartezeit bis zur Fertigstellung des dritten Splinter-Cell-Titels. Enthalten sein sollen ein Tutorial, ein Leuchtturm-Level für Einzelspieler sowie eine Mehrspieler-Karte.

Neue Firefox-Version erhält andere Umlaut-Domain-Unterstützung. Voraussichtlich am 25. Februar 2005 wird Firefox 1.0.1 veröffentlicht, sofern die jetzt auch in lokalisierter Form bereitgestellten Nightly Builds keine größeren Fehler mehr enthalten. Firefox 1.0.1 erhält eine überarbeitete Unterstützung von "International Domain Names" (IDN), um die jüngst bekannt gewordenen Phishing-Angriffe zu verhindern.

Datenzugriff auf Telekom-Konten per Telefon- und Kontonummer möglich. Das deutschsprachige IT-News-Magazin ZDNet berichtet von einem potenziellen Datenschutzproblem bei der Deutschen Telekom, worüber Unbefugte Zusatzdienste auf Kosten anderer bestellen können und Einsicht in die Daten anderer Kunden erlangen. Stein des Anstoßes ist die Möglichkeit, sich auf den T-Com-Seiten ohne Registrierung allein mit Telefon- und Kontonummer anmelden zu können.

StartCom will Millionengeschäft mit SSL-Zertifikaten ein Ende machen. Der Linux-Distributor StartCom hat mit dem "StartCom Free SSL Certificate Project" begonnen, kostenlose SSL-Zertifikate auszugeben. Man wolle mit Mythen von sicheren und vertrauenswürdigen Websites aufräumen, heißt es zur Begründung des Projekts. Andere, darunter der CCC, bieten Vergleichbares bereits seit Jahren an, ebenfalls kostenlos.

Sicherheitslücke nur in Version 1.4.2 von Apples Java. Für Java 1.4.2 auf MacOS X hat Apple einen Sicherheits-Patch veröffentlicht, der einen Fehler im Java-Plug-in behebt. Über ein Sicherheitsloch in dem Plug-in kann ein Angreifer beliebigen Programmcode auf einem fremden System ausführen.

Sicherheitslecks erlauben Ausführung von Programmcode. Mit einer neuen Version vom Yahoo Messenger sollen gleich zwei Sicherheitslücken in dem Instant-Messaging-Client behoben werden. Über eines der beiden Sicherheitslöcher kann ein Angreifer seinem Opfer eine ausführbare Datei unterschieben, was dem Angreifer eine umfassende Kontrolle über ein fremdes System verschaffen kann.

Eutelsat tritt europäischem Forschungsprojekt MOWGLY bei. Der Satellitenbetreiber Eutelsat beteiligt sich an dem europäischen Forschungs- und Entwicklungsprojekt MOWGLY (MObile Wideband GLobal Link sYstem). Ziel ist die Entwicklung neuer Standards für die Bereitstellung von Breitbandzugängen in Flugzeugen, Zügen und auf Schiffen. Dem Projekt gehören 16 Partner aus der Telekommunikations- und Transportindustrie, kleine und mittlere Unternehmen sowie Hochschulen an.

Unterschriftenaktion drängt auf Legalisierung von Musik- und Filmtausch. Das FairSharing-Netzwerk, ein Zusammenschluss aus Bürgerrechtsorganisationen und politischen Bewegungen, fordert eine Legalisierung des Tauschens von Musik und Filmen zu privaten Zwecken. Dazu werden unter www.FairSharing.de Unterschriften von Betroffenen gesammelt, die mit der "FairSharing-Erklärung" bekennen sollen, dass sie privat Film- und Musikdateien getauscht haben und so möglicherweise gegen das Urheberrecht verstoßen haben.

Experten fordern neue Ansätze für Hash-Algorithmen. Nachdem in der letzten Woche bekannt wurde, dass der Hash-Algorithmus SHA-1 wahrscheinlich geknackt wurde, d.h. dass sich Kollisionen viel einfacher finden lassen, als bislang geglaubt, wird nun eine Migration weg von SHA-1 gefordert. Aber auch ganz neue Ansätze stehen zur Diskussion.

Kommende Versionen von Mozilla und Firefox umgehen Phishing-Attacken. Das Mozilla-Team wird die Unterstützung der "International Domain Names" (IDN) entgegen ersten Plänen doch nicht in seinen Web-Browsern deaktivieren. Stattdessen hat man eine Möglichkeit gefunden, die durch Umlaut-Domains möglichen Phishing-Angriffe zu unterbinden. Dazu wird die IDN-Unterstützung in den kommenden Versionen von Firefox und Mozilla überarbeitet. Auch 8.0 Opera soll so erweitert werden, dass derartige Angriffe wirksam unterbunden werden.

Nutzer vom Googlefilter finden Dialer-Server in Österreich. In Österreich wurde ein Server mit 1.000 Internet-Domains gefunden, über die Dialer angeboten werden. Die Entdeckung wurde durch Nutzer der Software Googlefilter von Filtertechnics möglich. Die Software soll dafür sorgen, unerwünschte Spam- und Dialer-Seiten aus den Suchergebnissen von Google auszufiltern und ist als Plug-In für den Internet Explorer erhältlich.

Mehr als 25 Millionen Downloads von Firefox 1.0 innerhalb von 100 Tagen. AOL hat den Erscheinungstermin der ersten öffentlichen Beta-Version von Netscape 8 auf Ende Februar 2005 verschoben. Ursprünglich sollte die Beta-Version am 17. Februar 2005 der Allgemeinheit zum Testen zur Verfügung gestellt werden. Nach Angaben von PCWorld.com waren gefundene Programmfehler der Grund dafür.

Wine-Entwickler findet Fehler, der keiner ist. Die vor genau einer Woche auch in Deutschland gestartete (noch freiwillige) Überprüfung der Gültigkeit der Windows-Lizenz bei Software-Downloads von Microsoft sorgt für einige Verwirrung. Ein Entwickler von Wine mokiert sich darüber, dass das Microsoft-Werkzeug für die Gültigkeitsprüfung bei älteren Windows-Versionen unter Wine nicht korrekt arbeitet, allerdings ist die Software für eben diese Windows-Ausführungen gar nicht gedacht.

Windows Media Player 10 mit aktualisierter DRM-Komponente. Microsoft hat klammheimlich in seinem Download-Center eine neue Version des Windows Media Player 10 zum Download bereitgestellt, ohne über die darin vorgenommenen Änderungen zu informieren. Nach US-Berichten werden damit gleich zwei Sicherheitslücken gestopft, die bereits durch entsprechende Schadprogramme ausgenutzt wurden.

Sucht über Altavista, Google, Yahoo und Lycos nach E-Mail-Adressen. Wie mehrere Antivirenhersteller berichten, verbreitet sich eine neue Variante des MyDoom-Wurms besonders stark im Internet, der wie einer seiner Vorgänger zahlreiche Suchmaschinen nutzt, um darüber nach gültigen E-Mail-Adressen zu suchen. Damit soll eine breite Streuung des Wurms erreicht werden, außerdem installiert der Wurm ein Trojanisches Pferd auf einem befallenen System.

Neues ultraportables Notebook soll mehr Sicherheit und Komfort bieten. Toshibas neues ultraportables Centrino-Notebook Portégé M300 soll durch ein geringes Gewicht von 1,65 kg, eine Akkulaufzeit von bis zu sechs Stunden und mehr Datensicherheit vor allem für mobile Unternehmenskunden interessant sein. Das Gerät verfügt über ein 12,1-Zoll-Polysilizium-TFT-Farbdisplay, das wie der mit 1,2 GHz getaktete Ultra-Low-Voltage-Prozessor Pentium M 753 sehr stromsparend arbeiten soll.

E-Mail-Zustellung von beteiligten Massenversendern soll sichergestellt werden. Mit einer Positiv-Liste wollen der Verband der deutschen Internetwirtschaft (eco) und der Deutsche Direktmarketing Verband (DDV) den Kampf gegen Spam aufnehmen. Wie Spam dabei verhindert werden soll, bleibt unklar, denn die Positivliste stellt lediglich sicher, dass Werbe-E-Mails von bestimmten Versendern ohne Spam-Prüfung ausgeliefert werden.

Neue Version verspricht höhere Leistung, bleibt aber kompatibel. Das iptables, das jetzt in der Version 1.3.0 erschien, ist die erste Überarbeitung durch das Netfilter-Team seit der Veröffentlichung der 1.2-Serie im Jahr 2000. Die Version behebt diverse Fehler und enthält eine überarbeitete Bibliothek, die anderen Programmen zur Verfügung steht. Das Paket enthält die zur Kontrolle der Linux Kernel Firewall notwendigen Programme.

Neues Geschäftsmodell lässt altbekannte Gefahren neu aufleben. In den USA bietet Napster mit "Napster to Go" seit kurzem ein Abo mit unbegrenzten Musikdownloads an. Das Angebot kann 14 Tage lang kostenlos getestet werden, nach Ablauf des Abos sorgt ein DRM-System aber dafür, dass die Musik ohne Bezahlung der Abo-Gebühr nicht länger abgespielt werden kann. Dies lässt sich aber offenbar mit sehr einfachen Mitteln umgehen.

Microsoft plant Antivirenprodukt mit der GeCad-Engine für 2005. Nachdem Microsoft bereits mit dem Malicious Software Removal Tool einen ersten Schritt in den Markt für Antivirenprodukte getan hatte, steht der nächste Schritt bevor: Nach Angaben von Bill Gates will das Unternehmen bis Ende 2005 eine Antiviren-Software mit der Scan-Engine von GeCad fertig stellen.

Chinesische Forscher finden angeblich Kollision in SHA-1. Der Hash-Algorithmus SHA-1 wurde jetzt von drei chinesischen Forschern geknackt, das berichtet der IT-Sicherheitsexperte Bruce Schneier in seinem Blog. Dabei handle es sich nicht um eine verkürzte oder vereinfachte Version, sondern "das wahre Ding".

...für Privatkunden; bei Unternehmenskunden fallen Gebühren an. Anlässlich der Ankündigung einer neuen Version vom Internet Explorer wurden weitere Details zur bislang kostenlos als Beta-Version verfügbaren "Windows AntiSpyware" bekannt gegeben. So soll auch die Final-Version für private Windows-Nutzer kostenlos angeboten werden, während Unternehmenskunden dafür bezahlen müssen.

Weitere Zertifizierung soll Linux-Einsatz bei Regierungen fördern. Der Suse Linux Enterprise Server 9 (SLES 9) hat jetzt die Sicherheitszertifizierung EAL4+ nach Common Criteria erhalten. Mit dem höheren Sicherheitszertifikat kann die Software in zunehmend kritischen Bereichen bei Regierungen eingesetzt werden. Aber auch speziell für den militärischen Einsatz wurde die Software jetzt zertifiziert.

Erste Beta-Version des Internet Explorer 7 für Windows XP kommt im Sommer 2005. Auf der RSA Conference in San Francisco hat Bill Gates angekündigt, dass das Unternehmen einen neuen Internet-Browser auf den Markt bringen will. Der Internet Explorer 7 soll Sicherheitsmaßnahmen gegen Phishing, Virenbefall und Spyware umfassen und wird - wider Erwarten - deutlich vor der nächsten Windows-Version Longhorn erhältlich sein.

Neuer Kopierschutz für DVDs kommt Mitte 2005. Mit einer weiteren Pressemitteilung wirbt Macrovision für sein neues Kopierschutzverfahren, welches das Rippen von DVDs unmöglich machen soll. Wie die Technik funktioniert und ob Inkompatibilitäten mit bestehenden DVD-Playern zu befürchten sind, wird nicht verraten.

Kunden sollen auf E-Mail-Submission über Port 587 ausweichen. Um die Verbreitung von Viren, Würmern, Trojanischen Pferden und Spam aus dem eigenen Netz einzuschränken, hat AOL eine kleine Änderung an seinem Netzwerk vorgenommen. Verbindungen auf Port 25 werden per Redirect über Server von AOL geleitet, um diese dort auf Malware zu überprüfen. Nutzern von Webmail-Diensten kann dies aber unter Umständen Probleme bereiten. AOL ist damit aber nicht allein.

Microsoft, PayPal, eBay und Visa unterstützen Phish Report Network. Um die Gefahr von Phishing-Angriffen zu senken, wurde mit dem Phish Report Network anlässlich der RSA-Konferenz in San Francisco eine zentrale Meldestelle für Phishing-Angriffe eröffnet. Das von dem US-Sicherheitsunternehmen WholeSecurity betriebene Netzwerk wird von Microsoft, PayPal, eBay und Visa unterstützt, weitere Firmen können sich daran beteiligen.

Hersteller von Kopiersoftware drängt auf Richtigstellung und Schadensersatz. Der Hersteller von Kopiersoftware für CDs und DVDs, SlySoft, hat den Bundesverband der Phonographischen Wirtschaft und die Deutsche Landesgruppe der IFPI als Vertreter der deutschen Musikindustrie abgemahnt. SlySoft wirft IFPI-Pressesprecher Dr. Hartmut Spiesecke vor, in einer Presseerklärung unwahre Tatsachenbehauptungen aufzustellen. Dabei geht es um die Pressemitteilung, in der die IFPI ihrerseits die Abmahnung von Heise angekündigt hat.

IDN-Unterstützung in Mozilla künftig nur noch optional. Die Mozilla-Entwickler reagieren auf einen Fehler in der Unterstützung von "International Domain Names" (IDN), der Phishing-Attacken erlaubt. Die IDN-Unterstützung wird in den kommenden Versionen von Mozilla und Firefox aus den Browsern wieder entfernt.

Zahlreiche Verbesserungen für Thunderbird 1.1 vorgesehen. Die Mozilla-Entwickler haben für den E-Mail-Client Thunderbird eine neue Roadmap veröffentlicht, die einen Ausblick auf die Neuerungen in Thunderbird 1.1 gibt und außerdem erste Planungen für Thunderbird 2.0 aufdeckt. Thunderbird 1.1 erhält demnach eine verbesserte Rechtschreibprüfung und wird mit dem bereits bekannten Phishing-Schutz ausgestattet sein.

Neue Technik soll Verbreitung von Würmern im Netzwerk ausbremsen. HP hat eine neue Anti-Viren-Technik vorgestellt, die vor allem gegen Schädlinge helfen soll, die sich im Netzwerk verbreiten. Dazu bremst die Software Rechner aus, die scheinbar infiziert sind.

Innenminister nimmt Browserhersteller in die Pflicht. Bundesinnenminister Otto Schily (SPD) hat Softwarehersteller und Webseitenbetreiber dazu aufgefordert, Internetnutzer besser vor Kriminellen zu schützen. Mit Blick auf die ständig steigende Zahl von Betrugsversuchen beim Online-Banking rief Schily Banken und andere Anbieter sicherheitskritischer Online-Dienstleistungen auf, enger als bisher mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zusammenzuarbeiten.

McAfee: Hacker sind out, IT-Söldner sind in. McAfee kommt in einer aktuellen Studie zur Online-Kriminalität zu alarmierenden Ergebnissen. Dem Papier zufolge organisieren sich Kriminelle bei Internetverbrechen immer besser und kaufen auch gezielt Know-how dafür ein.