Security

Zahlreiche Hardware-Hersteller nutzen Bluetooth-Software von Widcomm. In der Bluetooth-Software von Widcomm hat das britische Unternehmen Pentest ein Sicherheitsloch entdeckt, worüber ein Angreifer beliebigen Programmcode via Bluetooth auf einem fremden System ausführen kann. Die Bluetooth-Software von Widcomm wird in verschiedenen Bluetooth-Produkten und -Geräten eingesetzt.

Microsoft-Dokument beschreibt Hilfe. In einem Knowledge-Base-Artikel informiert Microsoft über eine Reihe von Applikationen, welche sich nicht mit der in Windows XP Service Pack 2 (SP2) integrierten Firewall vertragen, sofern keine Anpassungen vorgenommen werden.

Tool verhindert die automatische Installation vom Service Pack 2. Speziell für Unternehmenskunden bietet Microsoft ein Tool an, das den automatischen Download sowie die Installation vom Service Pack 2 auf Systemen mit Windows XP für ein festgeschriebenes Zeitfenster unterbindet. Damit erhalten Unternehmen die Kontrolle darüber, wann und auf welchen Systemen das Service Pack 2 aufgespielt wird, ohne dass die automatische Update-Funktion von Windows XP deaktiviert werden muss.

Gecracktes Symbian-Spiel versendet als Kopierschutzmaßnahme SMS. Wie Symbian am gestrigen 11. August 2004 berichtete, enthält die gecrackte Version des Symbian-Spiels Mosquitos angeblich ein Trojanisches Pferd. Diese Annahme hat sich nun als fehlerhaft herausgestellt, wie die Virenforscher von F-Secure herausfanden. Der in der gecrackten Software stattfindende SMS-Versand stellt vielmehr einen fehlerhaften Kopierschutz des Herstellers dar.

Patches für drei Sicherheitslücken veröffentlicht. Das KDE-Team warnt vor drei Sicherheitslücken, die in den letzten Wochen und Tagen bekannt wurden. Diese erlauben es lokalen Angreifen, KDE lahm zu legen, in fremde User-Accounts einzudringen oder ermöglichen Phishing-Attacken.

Software erlaubt zentrale Spyware-Bekämpfung im Netzwerk. Wer einen PC von ungewollter Software mit ausgeprägter Datensammelwut zu befreien versucht, dem bieten sich heute zahlreiche Lösungen an: AdAware von Lavasoft zählt dabei sicher zu den bekanntesten. Will man die Software aber in einem kleinen Unternehmen mit mehrenen Dutzend PCs einsetzen, ist zumeist ein Administrator mit ausgeprägter Laufbereitschaft vonnöten. Diesem Problem will nun AdAxis zu Leibe rücken, eine Management-Lösung, die den Aufruf von AdAware im Netzwerk kapselt.

Trojanisches Pferd versendet unbemerkt kostenpflichtige Kurzmitteilungen. Von dem kostenpflichtigen Symbian-Spiel Mosquitos geistert eine gecrackte Version durch das Internet, in der ein Trojanisches Pferd verborgen ist. Der Unhold versendet von befallenen Geräten Kurzmitteilungen an eine gebührenpflichtige Rufnummer, so dass dem Besitzer eines verseuchten Geräts entsprechende Kosten entstehen.

Sicherheitsloch erlaubt Ausführung von Scripting-Code. Am Patch-Day für den Monat August 2004 bereinigt Microsoft - kurz nach dem Erscheinen vom Service Pack 2 für Windows XP - ein Sicherheitsleck im Outlook-Web-Access-Server der Version 5.5. Das Sicherheitsloch erlaubt es einem Angreifer im schlimmsten Fall, gefährlichen Programmcode auf einem fremden System auszuführen.

Zunahme um 19 Prozent gegenüber Vormonat. Die Versuche von Betrügern, Internet-User auf gefälschte Webseiten zu locken, damit sie dort persönliche PIN-Codes oder Passwörter hinterlassen, haben drastisch zugenommen. Allein im Juni 2004 hat es nach einer Studie von Websense weltweit rund 1.400 so genannte Phishing-Attacken gegeben. Das entspricht einer Zunahme von 19 Prozent gegenüber dem Vormonat.

Service Pack 2 macht Windows XP sicherer vor Internetangriffen. Ab sofort steht das Service Pack 2 für Windows XP zum Download unter anderem in deutscher Sprache bereit. Mit dem Service Pack 2 nimmt Microsoft einige Änderungen besonders in Bezug auf die Sicherheitsfunktionen am Betriebssystem vor. Damit soll Windows XP ein ganzes Stück sicherer vor Internetattacken werden - allerdings könnte manche Software aufgrund der Änderungen ihren Dienst verweigern.

Kostenfreies LCOS-Update ermöglicht sichere WLANs nach IEEE 802.11i. Lancom unterstützt mit der neuen Version 3.50 seines Router-Betriebssystems LCOS (LANCOM Operating System) den neuen Sicherheitsstandard IEEE 802.11i. Dieser lässt sich damit in LANCOM-Geräten nach dem WLAN-Standard 802.11g per Update nachrüsten.

Software steht aber noch nicht zum Download bereit. Das Service Pack 2 für Windows XP ist fertig, zumindest kündigte Microsoft dies jetzt offiziell an. Mit den neuen Sicherheitsfunktionen im Service Pack 2 soll Windows XP vor allem besser vor Internet-Attacken, Wurm-Angriffen und Viren-Epidemien geschützt werden.

Entdecker des "BluBugs" zeigt Gefahr unsicherer Bluetooth-Handys. Technische Versuche zeigen, dass Angriffe auf Bluetooth-Handys über eine Entfernung von knapp 2 km möglich sind, obgleich die Bluetooth-Reichweite eigentlich mit lediglich 10 Metern spezifiziert ist. Damit konnte per so genanntem Bluesnarfing auf die Daten fremder Handys zugegriffen werden, um Adressen auszulesen, Kurzmitteilungen zu senden oder Ähnliches anzustellen.

CD mit deutschsprachigem Service Pack 2 für Windows XP kostenlos erhältlich. Auch wenn die Bereitstellung des Downloads vom Service Pack 2 (SP2) für Windows XP weiter auf sich warten lässt, hat sich zumindest ein Termin bestätigt: Ab dem 25. August 2004 kann man eine CD mit dem Service Pack 2 bestellen - zumindest in den USA. In Deutschland muss man sich noch eine weitere Woche gedulden.

FreeHaven-Projekt will Verbindung per Onion-Routing anonymisieren. Mit "Tor" entwickelt das FreeHaven-Projekt ein so genanntes "anonymisierendes Overlay-Netzwerk für TCP". Dabei nutzt Tor das Konzept des "Onion-Routing-Konzepts" und kann diverse Verbindungen über TCP anonymisieren.

Brador.A öffnet TCP-Port 2989. Wie die Labors der Hersteller von Virenscannern übereinstimmend berichten, wurde das erste Trojanische Pferd für die WindowsCE-Plattform entdeckt. Der Schädling Brador.A weist keine Verbreitungsmechanismen auf und ist somit auf den manuellen Programmstart angewiesen.

Thunderbird 0.7.3 bereits seit 5. August 2004 in deutscher Version erhältlich. Die Sicherheits-Updates für Mozilla, Firefox und Thunderbird vom gestrigen 5. August 2004 stehen ab sofort auch in deutscher Sprache kostenlos zum Download bereit. Die Updates beheben vier Sicherheitslücken in den drei Applikationen und bieten ansonsten keine Neuerungen.

Opera-Update für Windows, Linux, MacOS X, Solaris und FreeBSD. Mit Opera 7.54 erschien eine neue Version des Browsers für zahlreiche Plattformen, die zwei Sicherheitslücken behebt und wenige Optimierungen bietet. Ein mit dem Erscheinen des Patches bekannt gewordenes Sicherheitsloch in Opera erlaubte einem Angreifer das Lesen lokaler Dateien aus einer Webseite heraus.

Weiter Verwirrung um genauen Erscheinungstermin vom Service Pack 2. Wie die für gewöhnlich gut unterrichtete Webseite WinInfo von Paul Thurrott berichtet, steht ein genauer Erscheinungstermin für das Service Pack 2 (SP2) für Windows XP fest. Das US-News-Magazin CNet will hingegen genau das Gegenteil erfahren haben und titelt mit einer weiteren Verzögerung vom Service Pack 2.

Angreifer können möglicherweise über PNG-Dateien beliebigen Code ausführen. Die Entwickler der Software-Bibliothek "libpng" warnen vor mehreren Sicherheitslücken, durch die über präparierte PNG-Grafiken von Dritten beliebiger Code auf verwundbaren Systemen ausgeführt werden kann.

Patches für Mozilla, Firefox und auch Thunderbird. Für die drei Haupt-Mozilla-Applikationen Mozilla, Firefox sowie Thunderbird wurden Updates veröffentlicht, die vier Sicherheitslücken in den Produkten bereinigen. So wird damit eine Sicherheitslücke in der Browser-Funktionen beim Aufruf SSL-verschlüsselter Webseiten behoben, die eine Darstellung fremder Inhalte einer Webseite mit falschen Zertifikaten erlaubte.

Profile für LAN, WLAN, Modem, DSL, ISDN, GPRS, HSCSD und UMTS. Lancom hat mit dem Advanced VPN Client ein Werkzeug vorgestellt, das umfangreiche Sicherheits-Funktionen, eine integrierte Profilverwaltung sowie über IPSec-Verschlüsselung mit AES oder 3-DES und eine integrierte Stateful Inspection Firewall beinhaltet.

Fehler in der Behandlung von 64-Bit-File-Offset-Pointern entdeckt. Paul Starzetz weist auf eine Sicherheitslücke im Linux-Kernel hin, die es erlaubt, unbefugten, lokalen Nutzern kritische Daten wie Passwörter auszulesen. Schuld ist ein Fehler in der Behandlung von 64-Bit-File-Offset-Pointern.

Fingerabdrucksensor im Pantech GI100 hält Unbefugte von Handydaten fern. Der südkoreanische Hersteller Pantech kündigt mit dem GI100 ein Klapp-Handy an, das mit einem Fingerabdrucksensor bestückt ist. Mit einem Fingerdruck soll man so das eigene Handy nutzen können, während Unbefugte ohne einen registrierten Fingerabdruck von der Benutzung ausgeschlossen werden.

Update liefert minimale Veränderungen und eine überarbeitete Doku. Eine Woche nach der Veröffentlichung des englischsprachigen Updates für Flash MX 2004 in der Standard- und Professional-Ausführung bietet Macromedia die Software-Aktualisierungen bereits in deutscher Sprache an. Damit erscheinen die Patches früher als angekündigt, denn eigentlich waren sie erst für Ende des Sommers 2004 geplant.

Exportfunktion als Lücke im System. Nach einem Bericht von MacNews.de soll sich mit dem von Apple entwickelten Videoprogramm iMovie das Digital Rights Management von Songs, die im Apple iTunes Shop gekauft wurden, aushebeln lassen.

Sicherheitsloch in Browser-Suite Mozilla bereits behoben. Eine Sicherheitslücke in Netscape 7.x erlaubt Angreifern per JavaScript beliebigen Programmcode bei Aufruf einer Webseite auf einem fremden System auszuführen, berichtet das Sicherheitsunternehmen iDefense. Das Sicherheitsloch steckt auch in der Browser-Suite Mozilla, auf die Netscape aufsetzt, und wurde bereits bereinigt, so dass die aktuelle Mozilla-Version nicht betroffen ist.

Alle wesentlichen Neuerungen in Ghost 9.0 stammen von Drive Image 7.0. Mit der Ankündigung von Norton Ghost 9.0 steht nun fest, dass Symantec die durch die PowerQuest-Übernahme aufgekauften Produkte der Drive-Image-Familie beerdigt. Symantec verkündet vollmundig, dass die Drive-Image-Technik in Norton Ghost integriert wurde. Das bedeutet im Klartext, dass die wesentlichen Neuerungen von Ghost 9.0 bereits aus Drive Image 7.0 bekannt sind.

Mozilla-Stiftung belohnt Informationen über schwere Sicherheitslücken. Wer eine schwere Sicherheitslücke in der Open-Source-Software entdeckt und an Mozilla meldet, erhält künftig eine Belohnung von 500,- US-Dollar. Dazu rief die Mozilla-Stiftung ein so genanntes "Mozilla Security Bug Bounty Program" ins Leben, das zunächst mit Geldmitteln der Linux-Entwickler Linspire sowie des Internet-Unternehmers Mark Shuttleworth finanziert wird.

Aktualisierung von Windows XP über Windows Update 5.0 funktionierte nicht. Bei der Bereitstellung des Sicherheits-Patches für den Internet Explorer vom 30. Juli 2004 ist Microsoft ein kleiner Fehler unterlaufen, bei dem das neue Windows Update 5.0 im Zusammenspiel mit Windows XP nicht mit dem aktuellen Sicherheits-Patch bestückt wurde. Dieser Fehler wurde nun bereinigt, so dass der Sicherheits-Patch auch darüber zum Download bereit steht.

Backup-System bietet Kapazität von 1,1 TByte. Archiware präsentiert mit PresStore als erster Hersteller eine plattformunabhängige Backup- und Archivlösung auf Basis der Blu-Ray-Disc. Die optischen Speichermedien bieten Kapazitäten von bis zu 23 GByte pro Medium.

Kritische Sicherheitsupdates außer der Reihe. Außer der Reihe der üblichen vierwöchigen Sicherheitsupdates hat Microsoft am Abend des 30. Juli 2004 drei Sicherheitsupdates für kritische Sicherheitslücken im Internet Explorer veröffentlicht, darunter auch für die als Download.Ject bekannt gewordene Sicherheitslücke.

Rammstein-Management lässt größte Fansite schließen. Rammsteinfan.de, eine seit dem Jahr 2000 bestehende Rammstein-Fansite, wurde auf Druck des Rammstein-Managements geschlossen. Bedenklich stimmt dabei, dass in einer Unterlassungs- und Verpflichtungserklärung für die Fansite-Betreiber nicht nur Rammsteinfan.de, sondern Fansites allgemein in Frage gestellt worden seien.

Jeff Smith warnt vor neuen Trickbetrügereien mittels spezieller Webseiten. Eine besonders perfide Methode um arglosen Firefox-Nutzern geheime Passwörter und Daten zu entlocken, zeigt ein aktuelles Advisory von Jeff Smith. Bei der von Smith exemplarisch vorgeführten Methode wird über eingeschleuste XUL-Daten der gesamte Browser samt Menü und Statusleisten in einem PopUp nachgebildet.

... die Abschaltung der Dienste sei auf Dauer wohl etwas hart. In einem ersten Schritt hat die Telekom in Reaktion auf die vom Chaos Computer Club (CCC)angemahnten Sicherheitsprobleme in ihrem Kundenverwaltungssystem, OBSOC zunächst die betroffenen Dienste komplett vom Netz genommen und mit einem kurzen Text das Problem im Grundsatz eingestanden. Der CCC begrüßt die Maßnahme und wünscht der Telekom viel Glück bei der eigentlichen Behebung der Sicherheitslücken.

Besonders Online-Banking im Visier von Betrügern. Die Kriminalität im Internet wird weiter zunehmen, wie die Internet-Forscher vom Darmstädter Institut für Multimedia-Kommunikation (KOM) befürchten. Die Forscher erwarten, dass besonders Betrugsversuche beim Online-Banking häufiger auftreten werden.

Microsoft will Download-Ject-Sicherheitsproblem beseitigen. Microsoft arbeitet derzeit an einem Patch für den Internet Explorer, welcher das Sicherheitsproblem Download-Ject beseitigen soll, berichtet das US-News-Magazin eWeek.com. Allerdings wird dieser Patch nicht zu dem üblichen monatlichen Patch-Day erscheinen, sondern Microsoft will diesen bereits gesondert in der kommenden, ersten August-Woche bereitstellen.

RFDump liest RFIDs aus - und beschreibt sie. Mit einem von Lukas Grunwald und Boris Wolf programmierten Tool lassen sich mittels handelsüblichem RFID-Lesegerät nicht nur die Daten von RFID-Etiketten auslesen, sondern auch selbst verändern. Die auf RFIDs in der Regel fehlende Verschlüsselung macht's möglich - und verdeutlicht die daraus entstehenden Datenschutzprobleme nicht nur für Endkunden, sondern auch für Ladenbesitzer.

Patch bringt zahlreiche Verbesserungen. Für den PalmOS-PDA Tungsten C bietet palmOne einen Patch, der die WLAN-Funktionen optimiert und auch einige Neuerungen bringt. So erlaubt der Patch nun, dass die Betriebs-LED aufleuchtet, wenn das WLAN-Netz Daten sendet oder empfängt.

Patch 1.1 steht zum Download bereit. Electronic Arts bietet ab sofort den Patch 1.1 für den populären Multiplayer-Shooter Battlefield Vietnam an. Neben zahlreichen Fehlerbehebungen bringt der Patch auch ein Community-Update mit neuen Inhalten mit sich.

BlackBerry Enterprise Server mit Novell-GroupWise-Unterstützung geplant. Research In Motion (RIM) plant, den BlackBerry Enterprise Server noch in diesem Jahr mit einer Unterstützung von Novell GroupWise 6.5 zu versehen. Das versetzt Kunden von Novell GroupWise in die Lage, bequem ihre Daten per BlackBerry mit entsprechenden Endgeräten auszutauschen.

Update liefert nur minimale Veränderungen. Macromedia stellt für Flash MX 2004 in der Standard- und Professional-Ausführung Updates bereit, welche die Applikationen zuverlässiger und stabiler machen sollen. Außerdem bringt das Update eine umfassendere Dokumentation.

Zahlreiche Webseiten waren schwer erreichbar. Am 27. Juli 2004 wurde der AdServer-Betreiber DoubleClick Opfer einer Distributed-Denial-of-Service-Attacke, so dass DoubleClicks Werbe-Server nicht erreichbar waren, berichtet die Washington Post. Das führte dazu, dass zahlreiche Webseiten vorübergehend nur schwer erreichbar waren, welche DoubleClick mit Werbung versorgt.