Security

Programmausführung außerhalb der Sandbox möglich. Macromedia bietet ab sofort ein Sicherheits-Update für den Flash-Player für die Windows-Plattform an, das eine kritische Sicherheitslücke in der Software behebt. Über ein Sicherherheitsleck in der Sandbox erhält ein Angreifer Zugang über einen anderen Rechner und kann darauf Programmcode ausführen.

E-Mail-Gateway-Lösung für den Virenschutz. Das Linux-Produktportfolio von F-Secure wird nun um drei neue Produkte erweitert: F-Secure Anti-Virus for Firewalls 6.10, F- Secure Anti-Virus for Linux Servers 4.50 und F-Secure Policy Manager for Linux. Diese neuen Produkte sollen Virenschutz für Linux-Server und E-Mail-Gateways sowie plattformübergreifende Administrationsfähigkeiten bieten.

Lassen sich Werbe-CDs bald als CD-R nutzen? Die Optical Disc Corporation (ODC) hat Anfang Februar mit der CDR-ROM ein modifiziertes CD-Format vorgestellt, eine Kombination von CD-ROM und CD-R. Die 12-cm-Scheiben besitzen sowohl einen beschreibbaren als auch einen nicht-beschreibbaren Bereich.

Symantec bringt DeepSight Alert Service und DeepSight Threat Management System. Symantec bietet mit DeepSight Alert Service 4.0 und DeepSight Threat Management System 4.0 für den Unternehmensbereich zwei neue Frühwarnsysteme für Internet-Angriffe an. Der DeepSight Alert Service informiert IT-Administratoren über neu entdeckte Sicherheitslücken sowie mögliche Angriffsszenarien und schlägt entsprechende Schutzmaßnahmen vor. Das Deepsight Threat Management System informiert zudem über weltweit aktive Angriffe und über notwendige Schritte zur Absicherung. Damit sollen sich Kosten für das Unternehmensnetzwerk senken lassen.

Über 30 gefährliche Sicherheitslecks im Internet Explorer im Jahr 2002 entdeckt. Der halbjährlich erscheinende Internet Security Threat Report von Symantec, einem Anbieter von Sicherheitslösungen für den IT-Bereich, berichtet über eine deutliche Zunahme und eine höhere Gefährdung der entdeckten Sicherheitslöcher in Microsofts Web-Browser Internet Explorer im vergangenen Jahr. Besonders die explosionsartige Verbreitung einiger Internet-Würmer wurde so erst möglich.

60 Prozent aller bekannten Sicherheitslücken sind leicht auszunutzen. Der halbjährlich erscheinende Internet Security Threat Report des Sicherheits-Unternehmens Symantec spricht sich dafür aus, Sicherheitslücken in Programmen trotz der dadurch verursachten Risiken aufzudecken. Ansonsten bestehe die große Gefahr, dass erfahrene Angreifer geheim gehaltene Sicherheitslecks ausnutzen und so enormen Schaden anrichten können, weil sich die Opfer in Ermangelung der notwendigen Informationen nicht schützen können.

PC-Spiel kommt Ende 2003. Bereits Mitte 2000 veröffentlichte Sierra mit Ground Control ein optisch und spielerisch imposantes Echtzeit-Strategiespiel. Im Rahmen einer Pressevorführung präsentierte Vivendi Universal nun erstmals den Nachfolger, der Ende 2003 erscheinen soll.

Hilfe-Funktion erlaubt Angreifern die Ausführung von Programmcode. Wie Microsoft in einem aktuellen Security Bulletin berichtet, weist die Hilfefunktion in Windows Millennium ein schwerwiegendes Sicherheitsloch auf, worüber Angreifer beliebigen Programmcode ausführen können. Einen entsprechenden Patch bietet Microsoft über die Windows-Update-Funktion an.

Übernahme von Gauntlet trägt Früchte. Secure Computing hat die Freigabe des Sidewinder G2 Enterprise Manager angekündigt. Diese Security Applicance für Unternehmen bietet ein zentrales Policy Management und das Speichern von Audit-Logs und Konfigurations-Backups für Hunderte verteilter Sidewinder-G2-Firewalls.

Software von Audible Magic ermöglicht Kontrolle von Dateien. Die Netzwerke von Universitäten sind seit Jahren einer der Hauptgründe für florierende Tauschbörsen - kostenlose Breitbandzugänge machen den Down- und Upload von Musik- und Filmdateien problemlos möglich. In den USA formiert sich nun Widerstand - mit einer Kontroll-Software will man möglichen Urheberrechtsverletzungen vorbeugen.

Neue Version und Patch bereits erhältlich. Die freie SSL-Implementierung OpenSSL enthält eine Sicherheitslücke, die es Angreifern ermöglicht, Usernamen und Passwörter auszuspionieren. Sowohl Patches als auch neue Versionen von OpenSSL, die das Problem beheben, sind bereits erschienen.

Sicheres WLAN mit Smartcardunterstütztung. Um weltweit einheitliche Standards für den Zugriff auf WLANs mittels Smart Cards zu realsieren, hat sich eine aus mehreren Unternehmen gebildete Initiative gebildet, die sich selbst WLAN Smart Card Consortium nennt.

Kritische Sicherheitslücke in PHPs CGI-Modul. Die PHP-Group hat ein Update ihrer freien Scriptsprache veröffentlicht, die eine kritische Sicherheitslücke in der CGI-Anbindung behebt. Andere Änderungen enthält die Version 4.3.1 nicht.

Administrator-Rechte für Windows XP ohne Abfrage eines Kennwortes. Wie die Website briansbuzz.com berichtet, verhilft eine Windows-2000-Boot-CD zu einem Administrator-Zugang zu einem Rechner mit Windows XP, ohne dass man das entsprechende Kennwort wissen muss. Dazu muss der Rechner lediglich mit Hilfe einer Windows-2000-CD gestartet werden.

Lizenz für unbegrenzte Anwenderzahl kostet rund 695 Euro. Mir seiner neuen Client-Server-Lösung für Instant Messaging will Ipswitch vor allem Unternehmen ansprechen. Dazu bietet der Ipswitch Instant Messenger (IIM) Sicherheistfunktionen wie eine 168-Bit-end-to-end-3DES-Verschlüsselung, ein detailliertes Kommunikations-Protokoll, die Möglichkeit zur Einschränkung von IP-Adressen sowie die Überprüfung der User-Identität.

Update über die Aktualisierungs-Funktion des Betriebssystems erhältlich. Apple bietet ab sofort das Update auf MacOS X 10.2.4 von MacOS X 10.2.3 auch in deutscher Sprache zum Download an. Die aktuelle Version bringt Verbesserungen im Finder sowie in den Druckfunktionen, umgeht Fehler bei Netzwerk-Angelegenheiten und behebt einen empfindlichen Programmfehler in der Mail-Applikation.

Neues Papier gibt Anfänger-Tipps zum Schutz vor Spam. Ein neues "Anti Spam White Paper" hat der Verband der deutschen Internetwirtschaft, eco Electronic Commerce Forum e.V., jetzt veröffentlicht, das hauptsächlich unerfahrenen Internet-Nutzern Tipps gegen ungewollte Werbe-E-Mails geben soll. Zudem wies eco erneut auf die eigenen Aktivitäten im europaweiten Kampf gegen unerwünschte Werbemails hin.

Innenministerium bittet Bevölkerung um weitere Beteiligung. Das Bundesinnenministerium hat heute im Rahmen der Initiative BundOnline 2005 das Dokument "SAGA - Standards und Architekturen für eGovernment-Anwendungen" in der Version 1.1 veröffentlicht. SAGA ("Standards und Architekturen für eGovernment-Anwendungen") soll die Standardisierung von E-Goverment-Anwendungen vorantreiben und enthält in der jüngsten Version auch Ergebnisse aus einem offenen Forum.

Agentur zur Erhöhung der Netz- und Informationssicherheit vorgeschlagen. Die Europäische Kommission hat die Gründung einer europäischen Agentur für Netz- und Informationssicherheit vorgeschlagen. Die Agentur soll als Fachzentrum dienen, bei dem sowohl die Mitgliedstaaten als auch die EU-Organe Rat in Fragen der Netzsicherheit einholen können.

Offenbar rund 1.000 wortgleiche Abmahnungen verschickt. Derzeit rollt offenbar einmal mehr eine Welle von Massenabmahnungen durchs Land. Diese richten sich gegen Webseiten, die auf Glücksspiele verweisen, welche in Deutschland nicht erlaubt sind.

Sammel-Patch macht Zugriff auf anmeldepflichtige Webseiten unmöglich. Wie Microsoft in einem aktuellen Knowledge-Base-Artikel berichtet, benötigt der am 6. Februar erschienene Sammel-Patch für den Internet Explorer einen Patch. Ohne diesen Patch können beim Internet Explorer 6.0 Probleme beim Zugriff auf anmeldepflichtige Webseiten auftreten.

Digitizer weist Probleme bei der Erkennung auf. Nach dem Audio-Patch für den Tungsten T von Anfang Februar veröffentlicht Palm nun einen weiteren Patch, der Unzulänglichkeiten im Gerät beheben soll. Dieses Mal dreht sich alles um den Digitizer, der die Display-Steuerung übernimmt.

Integrierte Lösung für Symantec-Host- und Netzwerk-Intrusion-Detection-Systeme. Symantec stellt den ManHunt Smart Agent für Symantec-Host- und Netzwerk-IDS vor. Darüber hinaus sind die ManHunt Smart Agents auch für Produkte von Drittanbietern verfügbar. Mit der neuen Sicherheitslösung von Symantec sollen Unternehmen ihre host- und netzwerkbasierten Intrusion-Detection-Systeme über eine zentrale Konsole administrieren.

Unternehmenslösung D-Fence erhöht Sicherheit von NT-Systemen. Das deutsche Software-Haus Symax bietet die Sicherheits-Software D-Fence Value ab sofort auch in einer kostenlosen Version für bis zu drei Clients als Download für Windows NT 4.0, 2000 und XP an. Die für kleine und mittlere Unternehmen gedachte Software integriert eine spezielle Sicherheitsebene in alle NT-basierten Betriebssysteme, über welche die Programmausführung gesteuert werden kann. So sollen Schäden durch Viren, Würmer oder Trojaner sowie Anwenderfehler oder Datendiebstahl umgangen werden.

Disput zwischen Epic Games und PivX Solutions. Nachdem das amerikanische Unternehmen PivX Solutions eine Sicherheitslücke in der von Epic Games entwickelten Unreal-Engine festgestellt hat, scheint ein Streit zwischen den beiden Unternehmen über die Veröffentlichung dieser Probleme entbrannt zu sein. Laut diversen Berichten plante Epic Games vorübergehend sogar, PivX auf Grund der Veröffentlichung der Probleme zu verklagen.

Verbindung zum AIM-Netzwerk kann ohne Patch zusammenbrechen. Kurz nach dem Auftreten einiger Schwierigkeiten bei Nutzung des Instant Messengers Trillian als AIM-Client, bieten die Entwickler bereits einen passenden Patch. Dieser Patch steht sowohl für die kostenlose als auch die kostenpflichtige Version von Trillian bereit und unterstützt nun auch ICQ2Go.

Sicherheitsloch betrifft Geräte xda von O2 und mda von T-Mobile. Wie die Website teltarif.de berichtet, weisen alle Geräte mit der WindowsCE-Version Pocket PC 2002 Phone Edition ein empfindliches Sicherheitsleck auf. Demnach legt das Betriebssystem die PIN der SIM-Karte unverschlüsselt im Klartext in der Registry-Datenbank ab. Bei einem Diebstahl oder anderweitigem Verlust des Geräts können Unbefugte sich so ohne Aufwand im Handy-Netz des Betroffenen anmelden und auf deren Kosten telefonieren.

Zwei PowerPC-G4-Prozessoren mit 1,33 GHz in 1U-Rack-Design. Apple hat heute eine neue Version der Server-Lösung Xserve im 1U-Rack-Design vorgestellt. Die neuen Server warten mit Dual-1,33-GHz-PowerPC-G4-Prozessoren, bis zu 2 GByte Double-Data-Rate-(DDR-)Arbeitsspeicher bei 333 MHz und einer internen Festplattenspeicherkapazität ("hot pluggable") von bis zu 720 GB pro Server-Unit auf.

Sicherheitslücke erlaubt die Ausführung von Programmen mit höheren Rechten. Wie Microsoft in einem aktualisierten Security Bulletin berichtet, musste ein Patch für Windows NT 4.0 aktualisiert werden, weil der Mitte Dezember 2002 veröffentlichte Patch offenbar nicht die gewünschte Wirkung zeigt. Die anderen Bugfixes für Windows 2000 und XP sind davon nicht betroffen.

Referenzdesign bindet DECT-Telefone per VoIP ein. Philips hat mit seinem drahtlosen Breitband-Residential-Gateway-Referenzdesign eine Lösung vorgestellt, die die Kommunikationsstandards 802.11b (WLAN) und DECT (Digital Enhanced Cordless Telecommunications) vereint. Das Referenzdesign soll es Herstellern von Breitband-Routern und Gateways erlauben, ihre Kunden mit sicherer Funkdatenkommunikation und kabellosem VoIP (Voice over IP) über eine einzige Breitbandverbindung zu versorgen.

Patch bringt bessere Audio-Qualität und Musikwiedergabe im Hintergrund. Ein soeben veröffentlichter Audio-Patch für den Tungsten T soll die Audio-Fähigkeiten des PalmOS-PDAs korrigieren und die eigentlich erwartete Qualität liefern. Durch einen Fehler im Tungsten T gibt das Gerät ohne den Patch Musikdaten nur in einer Radio-ähnlichen Qualität aus.

Angreifer können Programmcode ausführen oder System zum Absturz bringen. Windows XP verwendet den Windows Redirector für den Zugriff auf Dateien, egal ob diese lokal auf einer lokalen Festplatte oder auf einem Netzlaufwerk liegen. In dieser Komponente entdeckte Microsoft eine empfindliche Sicherheitslücke, die ein bereitgestellter Patch beseitigen soll.

Sammel-Patch behebt neue Sicherheitslecks im Cross-Domain Security Model. Microsoft bietet ab sofort einen weiteren Sammel-Patch für den Internet Explorer der Versionen 5.x, 5.5x und 6.x für die Windows-Plattform an. Neben bisher bekannten Sicherheitslecks behebt der Patch auch zwei bisher nicht beseitigte Sicherheitslücken, die im Cross-Domain Security Model des Browsers stecken.

Studie zur Rechner- und Netzwerksicherheit im Hochschulbereich. Die Rechner- und Netzwerksicherheit ist nach einer Untersuchung der Hochschule Niederrhein (HN) ein heikles Thema an Deutschlands Hochschulen. Der Studie zufolge weist jeder zweite Rechner Sicherheitslöcher auf, über 50 Prozent der Mitarbeiter haben nur ungenügende Kenntnisse hinsichtlich Rechner- und Netzwerksicherheit.

Eklat um die Art der Bekanntmachung der Sicherheitslöcher. Einen Tag nachdem das israelische Sicherheitsunternehmen GreyMagic über zahlreiche Sicherheitslücken in den JavaScript-Funktionen der Windows-Version von Opera 7.0 berichtet hat, bieten die Norweger eine korrigierte Version zum Download an.

Wurm brachte in 3 Minuten das Netz zum Wanken. Der am letzten Januar-Wochenende ausgebrochene Wurm SQL-Slammer alias Sapphire gilt als der sich am schnellsten verbreitende Wurm bislang. Einer Analyse der CIADA (Cooperative Association for Internet Data Analysis) zufolge hatte der Wurm in nur 10 Minuten rund 90 Prozent aller verwundbaren Systeme infiziert. Zu Beginn des Ausbruch verdoppelte sich seine Ausbreitung alle 8,5 Sekunden.

Opera reagiert einen Tag später; Deaktivieren von JavaScript umgeht Schäden. Die israelische Sicherheitsfirma GreyMagic berichtet über mehrere JavaScript-Sicherheitslecks in dem Windows-Browser Opera 7, die Opera einen Tag später mit einer neuen Version bereinigt hat. Einige der Sicherheitslöcher wurden bereits in den Beta-Versionen entdeckt und an Opera Software weitergeleitet.

Bis auf die Java VM entspricht das SP1a dem SP1. Microsoft überarbeitete das im September 2002 veröffentlichte Service Pack 1 (SP1) für Windows XP leicht und stellt dies nun als Service Pack 1a (SP1a) zum Download bereit. Das Service Pack 1a enthält keine Java VM mehr, die noch im Service Pack 1 enthalten war - weitere Änderungen gibt es nicht.

Datenrettung, elektronische Beweissicherung und IT-Software als Geschäftszweck. Seit dem 29. Januar 2003 firmiert das Böblinger Datenrettungsunternehmen Ontrack Data Recovery GmbH unter dem Namen Kroll Ontrack GmbH. Die Umfirmierung findet im Zuge des Zusammenschlusses mit dem Sicherheitsunternehmen Kroll Inc. im August 2002 statt.

Ein neues Produkt ohne und zwei mit WLAN-Unterstützung angesagt. ZyXEL Deutschland erweitert seine Firewall-Serie ZyWALL um zwei Modelle mit und eines ohne WLAN-Unterstützung (IEEE802.11b). Während die "ZyWALL 2" ohne und die "ZyWALL 2WE" mit integriertem WLAN-Access-Point je zwei VPN-Verbindungen unterstützen, lässt sich die "ZyWALL 10W" für bis zu zehn VPN-Verbindungen um eine WLAN-PC-Card erweitern und damit zum Access-Point machen.

BSI will Bürger für IT-Sicherheit sensibilisieren. Unter der Internetadresse www.bsi-fuer-buerger.de bietet das Bundesamt für Sicherheit in der Informationstechnik (BSI) seit heute Informationen rund um die IT-Sicherheit an. Das Angebot richtet sich dabei an eher unerfahrene IT-Anwender - vom Schüler bis zum Senioren.

Verizon will sich mit allen Mittel gegen Richterspruch zur Wehr setzen. Verizon wehrt sich gegen die Entscheidung eines US-Bezirksrichters, der Verizon dazu verpflichtet hatte, den Namen eines Kunden an die Recording Industry Association of America (RIAA) herauszugeben. Entsprechende rechtliche Schritte habe man eingeleitet, so das Unternehmen.

Mehr Sicherheit für persönliche Daten in Passport. Die Datenschutzgruppe der EU hat am 29. Januar ein Arbeitspapier zu Online-Authentifizierungsdiensten angenommen. Neben einigen allgemeinen Aussagen und bestimmten Leitlinien für alle bereits bestehenden und künftigen Online-Authentifizierungssysteme enthält das Papier zwei Fallstudien zu den derzeit bekanntesten Systemen dieser Art: dem .NET Passport-System von Microsoft und dem Liberty-Alliance-Projekt.