Security

Anbieter gibt sich vom eigenen Erfolg überrascht. Anfang Dezember 2004 hatte Lycos Europe unter dem Motto "Make Love not Spam" eine Kampagne gegen unerwünschte Werbe-E-Mails gestartet. Mit einem Bildschirmschoner sollten die Lycos-Nutzer Web-Server bekannter Spammer ausbremsen. Nun fand die Aktion ein vorzeitiges Ende.

Winamp 5.07 behebt endlich Sicherheitsleck. Das vor rund zwei Wochen bekannt gewordene Sicherheitsleck in der Multimedia-Software Winamp soll nun endlich mit einer aktuellen Version tatsächlich behoben werden. Eigentlich sollte das vor etwa 14 Tagen erschienene Winamp 5.06 das betreffende Sicherheitsloch schließen, was sich dann aber als Trugschluss herausstellte.

Überwachungsgerät MyAy mit Mobilfunktechnik und verschiedenen Sensoren. Siemens hat mit MyAy eine Ergänzung für Mobiltelefone entwickelt, die etwa als mobile Alarmanlage oder als Babyfone überall nutzbar sein soll und derzeit als Prototyp vorliegt. MyAy verfügt über Sensoren, um Bewegungen, Geräusche und Ähnliches zu registrieren und bei Bedarf darüber den Nutzer per SMS oder Anruf zu informieren.

Microsoft verlegt Patch-Day für den Dezember 2004 vor. Nach fast genau einem Monat hat Microsoft überraschend außerplanmäßig einen Patch für die IFRAME-Sicherheitslücke im Internet Explorer veröffentlicht. Seit nunmehr drei Wochen nutzt der Bofra-Wurm dieses Sicherheitsleck aus und Ende November 2004 wurde dieser Wurm sogar über zahlreiche seriöse Webseiten verbreitet. Das IFRAME-Sicherheitsloch gestattet Angreifern eine umfassende Kontrolle über fremde Systeme.

Forderung: Staatliche Kontenkontrolle muss auf den Prüfstand. Ab dem 1. April 2005 können nicht nur Finanzbehörden, sondern auch eine Vielzahl weiterer Behörden Zugriff auf die Bankdaten der Bürger erhalten. Nach Auffassung des Bundesbeauftragten für den Datenschutz, Peter Schaar, muss dabei insbesondere die Transparenz des Verfahrens beachtet werden. Dies bedeutet, dass die Betroffenen möglichst frühzeitig über einen Zugriff auf ihre Kontostammdaten informiert werden. Der Zugriff erfolgt ohne Anfangsverdacht und ohne richterliche Erlaubnis.

Unbekannter Twiki-Exploit erlaubt unautorisierten Zugriff. Spanischen Hackern gelang es, unautorisiert auf Server des Chaos Computer Clubs (CCC) zuzugreifen und "in Vergessenheit geratene Registrierungsdaten des Chaos Communication Camp 2003" zu veröffentlichen, meldet jetzt der selbst betroffene CCC. Schuld ist ein bislang unbekannter Exploit in der Software TWiki.

Gehackte Webseite kündigt Klage gegen Microsoft an. Der Webserver von SCO wurde über das Thanksgiving-Wochenende offenbar gehackt. So verkündet die Seite nun: "We own all your code - pay us all your money". Damit aber nicht genug.

Update-Paket für Windows 2000 soll Mitte 2005 erscheinen. Mitte 2005 will Microsoft ein Update-Paket für Windows 2000 anbieten und verzichtet damit auf ein Service Pack 5 für Windows 2000, so dass nach dem aktuellen Service Pack 4 für Windows 2000 kein weiteres erscheinen wird.

Aktuelle Winamp-Version stopft Sicherheitsleck nicht. Die am gestrigen 23. November 2004 bekannt gewordene Winamp-Sicherheitslücke wird entgegen den Versprechungen des Herstellers mit der aktuellen Version der Software nicht behoben. Somit bleibt derzeit nur als Lösung, das Angriffsszenario durch Komfort-Einbußen zu umgehen.

Oracle wandelt in Sachen Sicherheit auf Microsofts Spuren. Nach Microsoft will nun auch Oracle Sicherheits-Updates nur noch in regelmäßigen Abständen veröffentlichen. Gibt es bei Microsoft einen monatlichen Patch-Day, will Oracle ab 2005 Sicherheits-Updates nur noch vierteljährlich veröffentlichen.

Aktuelles Winamp 5.06 behebt Sicherheitsleck. In der Multimedia-Software Winamp wurde eine schwere Sicherheitslücke gefunden, über die etwa mit manipulierten Playlisten-Dateien beliebiger Programmcode ausgeführt werden kann. In einer aktuellen Winamp-Version wurde der Fehler mittlerweile bereinigt, so dass sich Nutzer von Winamp diese Version installieren sollten.

Fehler in Java-Plug-In-Technik betrifft Internet Explorer, Firefox und Mozilla. Eine schwere Sicherheitslücke haben die Sicherheitsexperten von iDefense in der Plug-In-Architektur der Java 2 Runtime Environment Standard Edition (JRE) entdeckt, die es Angreifern gestattet, auf einem fremden Rechner beliebigen Programmcode auszuführen. Sun bietet bereits eine Version an, die das Sicherheitsloch in der Java-Engine schließt und so Windows- und Linux-Systeme gegen entsprechende Attacken schützt. Außerdem wurde eine weniger gefährliche Sicherheitsanfälligkeit in der Java-Implementierung von Opera entdeckt.

Fehler erlauben Angreifern Ausführung von beliebigem Code. Der Cyrus-IMAP-Server weist einige gefährliche Sicherheitslücken auf, die es Angreifern von außen erlauben, beliebigen Code auszuführen, darauf weist der Sicherheitsexperte Stefan Esser hin, der die Probleme bei einer Überprüfung gefunden hat.

Sensory Networks setzt auf DSPAM. Zusammen mit dem Open-Source-Projekt DSPAM will Sensory Networks eine hardwarebeschleunigte Spam-Erkennung auf den Markt bringen. Dabei soll DSPAM in den NodalCore Security Accelerator von Sensory Networks integriert werden.

Viel Aufregung um eBay-Suchleiste in Firefox 1.0. Auf Grund unglücklicher Kommunikation hat sich in der vergangenen Woche eine hitzige Debatte um die integrierte eBay-Suche in der deutschsprachigen Version von Firefox 1.0 entwickelt. Den Mozilla-Entwicklern wurde vorgeworfen, dass sie Spyware in Firefox 1.0 integriert hätten, was sich aber schnell als Irrtum herausstellte. Dennoch wird die eBay-Suche in Firefox in Kürze durch ein Update modifiziert.

Immer noch kein Patch für den Internet Explorer 6.0 erschienen. Etliche seriöse Webseiten haben seit dem Wochenende den als MyDoom.AI respektive Bofra bezeichneten Wurm verbreitet, der sich über Ad-Server in die Seiten eingeschleust hatte und so Systeme infizierte, wenn die betreffenden Seiten mit dem aktuellen Internet Explorer 6.0 besucht wurden. Der für die Wurm-Verbreitung verantwortliche Ad-Server von Falk wurde anscheinend von Hackern gehackt.

Herkunft angeblicher Platzhalter ist ungeklärt. Ende vergangener Woche machte im IRC und auch in einigen Foren die Nachricht die Runde, Microsoft habe möglicherweise zur Erstellung von Wave-Dateien des Windows Media Player eine gecrackte Version von SoundForge eingesetzt. Unter anderem griff die PC-Welt diese Meldung auf und meldete dies als eigene Entdeckung. Microsoft aber dementiert nun offiziell den Einsatz von "Warez".

SymbOS/Skulls überschreibt Systemdateien von Symbian. Die Virenjäger von F-Secure sind auf ein neues Trojanisches Pferd für die Symbian-Plattform gestoßen, das bei Programmausführung die fest installierten Symbian-Applikationen überschreibt und ein Smartphone mit Series 60 so zum Teil unbrauchbar macht.

Sober.I gibt sich als vermeintliche Fehlermeldung eines Mail-Servers aus. Mit Sober.I verbreitet sich nach einer längeren Ruhephase abermals eine Sober-Variante sehr schnell im Internet und überflutete in den vergangenen Stunden die E-Mail-Postfächer zahlreicher Nutzer. Der Wurm versendet sich unter anderem in einer als angebliche Mail-Server-Fehlermeldung getarnten E-Mail mit deutschsprachigem Betreff und Nachrichtentext. Wie bei aktuellen Würmern üblich, fälscht auch dieser die Absenderadresse und verschleiert somit seine Herkunft.

Staat soll Selbstverantwortung der Bürger stärken. Auf der 28. Datenschutzfachtagung (DAFTA) in Köln hat der Bundesbeauftragte für den Datenschutz, Peter Schaar, auf die Probleme wachsender Überwachungs- und Kontrollmöglichkeiten hingewiesen. Er forderte eine verstärkte öffentliche Auseinandersetzung mit den Gefährdungen des Rechts auf informationelle Selbstbestimmung, die mit dem Einsatz neuer Technologien verbunden sei.

Stefan Esser findet sieben Fehler, die zumindest DoS-Angriffe erlauben. Der Sicherheitsexperte Stefan Esser weist auf insgesamt sieben Fehler in der Implementierung des SMB-Dateisystems in Linux hin. Diese erlauben es, Clients lahm zu legen, möglicherweise aber auch fremden Code auszuführen.

Version 3.5.0 erkennt neue CPUs und Grafikchips, beseitigt kleine Fehler. Futuremark hat dem auf DirectX 8 und 9 basierenden 3D-Grafikkarten-Benchmark 3DMark 03 ein Update auf die Version 3.5.0 spendiert. Der Vorgänger des aktuellen 3DMark 05 soll so besser mit aktueller Hardware zusammenarbeiten, etwa neue Prozessoren sowie Grafikchips zuverlässig erkennen.

Sicherheitslücke im Internet Explorer erlaubt das Tarnen von Programmdateien. Durch einen Programmfehler im aktuellen Internet Explorer lässt sich laut Secunia.com ein Sicherheitsmechanismus vom Service Pack 2 für Windows XP aushebeln, um eine bösartige Programmdatei als HTML-Datei zu tarnen. So können Nutzer dazu gebracht werden, ausführbare Programmdateien zu laden, obwohl sie dahinter unverdächtige HTML-Daten vermuten. Spezielle Sicherheitsfunktionen im Service Pack 2 sollten derartige Möglichkeiten eigentlich unmöglich machen.

Microsoft musste Patch abermals aktualisieren, weil Programmdateien fehlten. Bereits zwei Mal musste Microsoft das Security Bulletin zum Patch-Day vom November 2004 überarbeiten und den betreffenden Patch innerhalb einer Woche abermals korrigieren. Nutzer vom ISA-Server 2000 mit Service Pack 1 müssen daher nochmals ran und den aktualisierten Patch installieren, weil die ersten Versionen nicht alle notwendigen Programmdateien enthielten und die Einsatzfähigkeit der Software beeinträchtigen konnten, wie Microsoft erst eine Woche nach dem Patch-Day bemerkte.

Zweiter Bericht zu Biometrie und Ausweispapieren vorgelegt. Der Ausschuss für Bildung, Forschung und Technikfolgenabschätzung hat seinen zweiten Sachstandsbericht zum Thema "Biometrie und Ausweisdokumente - Technik, Leistungsfähigkeit, politische Rahmenbedingungen und rechtliche Ausgestaltung" vorgelegt. Je nachdem welche Verfahren zur biometrischen Authentifizierung genutzt werden, kommen auf den Steuerzahler Kosten von bis zu 700 Millionen Euro für die Erstausstellung entsprechender Papiere zu.

Ein Angebot mangelhaft, nur Deutsche Bank erhält "sehr gut". Immer öfter versuchen Internetbetrüger, mit gefälschten E-Mails und Webseiten an Daten von Online-Kunden zu kommen. Insbesondere auf Nutzer von Online-Banking haben sie es abgesehen. Wie gut die Banken ihre Kunden beim Schutz vor solchen Phishing-Attacken unterstützen, hat das Fraunhofer-Institut für Sichere Informationstechnologie SIT in einer unabhängigen, nicht repräsentativen Studie überprüft.

Aktuelle Skype-Version behebt Sicherheitsloch. In der Windows-Version der Voice-over-IP-Software (VoIP-Software) Skype wurde ein Sicherheitsloch entdeckt, das es einem Angreifer gestattet, schadhaften Programmcode auf ein fremdes System zu schleusen. Er muss sein Opfer lediglich dazu bringen, eine entsprechend präparierte Webseite zu besuchen.

Speicher vom kostenlosen E-Mail-Postfach wird auf 250 MByte erweitert. Yahoo hat sein E-Mail-Angebot überarbeitet und beginnt mit der Einführung von DomainKeys zum Schutz vor Spam. Die Grundidee bei DomainKeys ist es - wie bei Sender-ID oder SPF -, zu verhindern, dass E-Mails unter gefälschten E-Mail-Adressen verschickt werden, dazu wird aber eine kryptographische Adress-Authentifizierung genutzt.

Whitepaper gibt Handlungsempfehlungen für ISPs und Betreiber von Mailing-Listen. Auf ungewollte Nebeneffekte, die der Kampf gegen Spam nach sich zieht, weist die Electronic Frontier Foundation (EFF) in ihrem Whitepaper "Noncommercial Email Lists: Collateral Damage in the Fight Against Spam" hin. Nach Ansicht der EFF behindern Anti-Spam-Maßnahmen oft die Kommunikation über nicht kommerzielle E-Mail-Listen.

Nutzer vom Internet Explorer wollen kein Tabbed-Browsing. Kurz nach der Veröffentlichung des Open-Source-Browsers Firefox 1.0 veranstaltete Microsoft im australischen Sydney eine Sicherheitsveranstaltung, bei der unter anderem die Sicherheit vom Internet Explorer ein Thema war. Microsoft meinte bei der Gelegenheit, dass der Internet Explorer nicht weniger sicher als andere Browser sei. Auch der Funktionsumfang vom Internet Explorer wurde bei der Gelegenheit thematisiert.

Nutzer können eigene Rechte unerlaubt ausweiten. Der Sicherheitsexperte Paul Starzetz hat wieder einmal einige Sicherheitslücken im Linux-Kernel entdeckt. Fehler im ELF-Binary-Loader erlauben es demnach Angreifern, die über ein Benutzerkonto auf einem verwundbaren System verfügen, die eigenen Rechte auszuweiten.

Deutschsprachiger Patch für ISA-Server 2000 wurde aktualisiert. Wie Microsoft mitteilt, enthielt der vor zwei Tagen bereit gestellte Patch für den ISA-Server 2000 einen Fehler, der allerdings nur die deutschsprachige Version des Patches betrifft. Die erste Version des Patches ließ sich nur auf dem ISA-Server 2000 mit Service Pack 2 installieren, obwohl es auch mit Service Pack 1 möglich sein sollte. Dieser Fehler wurde nun durch einen aktualisierten Patch behoben.

Liberale DNS-Implementierungen sind laut NISCC anfällig. Das britische National Infrastructure Security Coordination Center (NISCC) warnt vor einigen Schwachstellen im Domain Name System (DNS), die von den DNS-Eexperten Roy Arends und Jakob Schlyter entdeckt wurden. Durch sehr freizügige Implementierungen des Protokolls könnten entsprechende Geräte aus dem Tritt gebracht werden.

Golem.de im Gespräch mit Opera-CEO Jon S. von Tetzchner über den Browser-Markt. Seit Jahren schafft es das kleine norwegische Unternehmen Opera einen kommerziell erfolgreichen Browser anzubieten. Mit Firefox gerät der Browser-Markt langsam wieder in Bewegung und auch Opera zeigt sich über die Erfolge des Open-Source-Browsers erfreut. Im Interview mit Golem.de spricht Opera-CEO Jon S. von Tetzchner über Microsoft, Firefox und die Möglichkeiten, Opera als Open Source anzubieten. In einem zweiten Teil des Gesprächs, der am Donnerstag den 11. November 2004 folgt, spricht von Tetzchner über den Browser-Markt auf Handys und anderen mobilen Endgeräten sowie der Zukunft von Web-Standards und Browsern.

Patch für Microsofts ISA- und Proxy-Server erschienen. An Microsofts Patch-Day für den November 2004 lässt Microsoft - wie erwartet - das Anfang November 2004 entdeckte I-FRAME-Sicherheitsloch im Internet Explorer unberücksichtigt. Seit dem gestrigen 9. November 2004 verbreitet sich ein neuer MyDoom-Wurm über das Sicherheitsloch im Internet Explorer. Somit wird von Microsoft an diesem Patch-Day nur ein Update für den ISA- und Proxy-Server angeboten, der eine Spoofing-Sicherheitslücke schließt.

IFRAME-Sicherheitsloch schleust Wurm-Code automatisch ein. Das Anfang September 2004 entdeckte IFRAME-Sicherheitsloch im Internet Explorer wird mittlerweile bereits von zwei Ablegern des MyDoom-Wurms ausgenutzt, um darüber andere Systeme zu infizieren. Auf einem anfälligen System muss ein Opfer nur zum Öffnen eines Links gebracht werden, was den Wurm dann über den Internet Explorer in das System schleust.

Eudora 6.2 mit vielen, kleinen Verbesserungen. Mit einem Phishing-Schutz steht der E-Mail-Client Eudora ab sofort in der Version 6.2 für die Plattformen Windows und MacOS X zum Download bereit. Damit soll dem Vorgaukeln vertrauenswürdiger URLs ein Ende bereitet werden. Neben weiteren Verbesserungen bietet Eudora als weitere Neuerung die Unterstützung von Emoticons, die nun per E-Mail versendet und empfangen werden können.

Firefox 1.0 mit Pop-Up-Blocker, Tabbed-Browsing und RSS-Reader. Wie geplant wurde der Open-Source-Browser Firefox 1.0 von den Mozilla-Entwicklern pünktlich am 9. November 2004 kostenlos zum Download bereitgestellt. Der Browser soll vor allem Microsofts Internet Explorer Marktanteile abluchsen, weshalb die Software auf Sicherheit, Geschwindigkeit und geringen Ressourcen-Verbrauch hin optimiert wurde. Mit speziellen Importfiltern wird der Wechsel von anderen Browsern zu Firefox stark erleichtert, während Funktionen wie Pop-Up-Blocker, Tabbed-Browsing oder RSS-Reader für entsprechenden Surf-Komfort sorgen.

80 Tagessätze und 10.000 Euro Vertragsstrafe für "Wiederholungstäter". Die Kanzlei Waldorf geht im Auftrag einiger Plattenfirmen gegen Anbieter von Software vor, die das Umgehen von Kopierschutzmaßnahmen erlaubt. Nun melden die Phonoverbände in diesem Zusammenhang einen besonderen Erfolg, hatte ein 39-jähriger Mann aus Paderborn doch eine entsprechende Software angeboten, obwohl er zuvor eine entsprechende Unterlassungserklärung abgegeben hatte.

Auch Sammel-Updates für MacOS X 10.3 erhältlich. Apple bietet ein Update auf MacOS X 10.3.6 für alle Systeme mit MacOS X 10.3 und neuer an, das verschiedene Probleme beheben und das Betriebssystem insgesamt stabiler machen soll. Der Patch umfasst zudem alle bislang einzeln erhältlichen Sicherheits-Updates. Das Update-Paket steht in einer Version für die Desktop-Version und in einer Server-Ausführung bereit.

Phishing-Angriff manipuliert Host-Dateien. Vor kurzem wurde eine neuartige Phishing-Variante im Internet entdeckt, die keine der bislang bekannten Mechanismen verwendet und arglose Nutzer auf nachgemachte Bank-Webseiten schleust, um darüber Login und Kennwort der betreffenden Kunden auszuspionieren. Diese Beobachtung machten die Sicherheitsspezialisten von MessageLabs in den vergangenen Tagen, allerdings wurden entsprechende Phishing-E-Mails nur in Brasilien entdeckt.

Vorabinformation soll bessere Planbarkeit bringen. Microsoft will sicherheitsinteressierten Kunden nun bereits vor dem monatlichen Patch-Day über neu erscheinende Sicherheits-Patches informieren. So sollen jeden Donnerstag vor einem Patch-Day Vorabinfos dazu veröffentlicht werden, welche Produkte mit einem Patch bedacht werden und wie gefährlich die dadurch geschlossenen Sicherheitslücken sind.

Microsoft will keine Updates mehr für raubkopierte Windows-Versionen anbieten. Bereits seit Mitte September 2004 probiert Microsoft auf den US-Download-Seiten ein Verfahren aus, das Programm-Updates künftig nur noch für lizenzierte Windows-Versionen anbieten wird. Gegenüber der Wirtschaftswoche gab Microsoft-Vorstandschef Steve Ballmer dazu nun erstmals einen offiziellen Kommentar aus Redmond ab.