Security

Erstes Update für DirectX 9 behebt Fehler. Nachdem Microsoft im Dezember 2002 die Version 9.0 der DirectX-API veröffentlichte, gibt es nun das erste Update. DirectX 9.0a steht ab sofort zum Download für Windows 98/ME und Windows 2000/XP zur Verfügung.

Opera 6.06b bereinigt Sicherheitslücke bei langen Dateinamen. Opera bietet ab sofort ein Sicherheits-Update für Opera 6.x zum Download an. Mit Opera 6.06b wird ein Sicherheitsleck bei der Nutzung langer Dateinamen während eines Downloads behoben.

Tipps zur Umgehung von Kopierschutz-Sperren. Mittlerweile versieht fast jedes Plattenlabel seine Audio-CDs mit einem Kopierschutz. Solche normwidrigen "Un-CDs", die sich in vielen Playern nicht abspielen lassen, sind oft nicht einmal hinreichend gekennzeichnet. Eines sind sie aber auf keinen Fall: Audio-CD-konform. Die c't startet jetzt eine Online-Datenbank, um Informationen über Musik-CDs mit Abspielsperren zu sammeln.

Technologie ermöglicht auch Integration von Informationen. Laut einem Bericht des Online-Magazins Cnet hat das amerikanische Unternehmen SunnComm Technologies eine neue Kopierschutztechnologie lizenziert, die direkt in Musikstücke integriert wird. Selbst wenn man digitale Songs auf ein analoges Medium überspielt oder Lieder aus dem Radio aufnimmt, soll der Schutz erhalten bleiben.

Systeme mit Service Pack 2 für Windows 2000 anfällig für Schwierigkeiten. In einem NTBugtraq-Artikel berichtet Russ Cooper über einige Probleme bei der Installation des Anfang dieser Woche (18. März 2003) erschienenen Patches für Windows 2000. So soll es Schwierigkeiten auf manchen Systemen geben, die bislang nur mit dem Service Pack 2 von Windows 2000 ausgerüstet sind. Hier soll die Einspielung des Service Packs 3 für Windows 2000 Abhilfe schaffen.

100-MBit/s-Firewall und 50-MBit/s-VPN-Durchsatz. WatchGuard hat mit der Firebox V60L ein neues Gerät der Firewall/VPN-Familie Firebox Vclass angekündigt. Die Firebox V60L basiert auf der ASIC-Architektur von WatchGuard und liefert eine 100-MBit/s-Firewall-Performance sowie 50 MBit/s 3DES VPN-Durchsatz in einem Ein-Höheneinheit-Gerät.

CDT-Studie deckt auf, wie Spam-Versender an E-Mail-Adressen gelangen. Eine Studie des Center for Democracy and Technology (CDT) erläutert, über welche Wege Spam-Versender E-Mail-Adressen sammeln. Eine besonders hohe Spam-Gefährdung besteht demnach, wenn E-Mail-Adressen auf offiziell erreichbaren Webseiten erscheinen, gefolgt vom Schreiben in Newsgroups oder auf Forenseiten. Die Leute von CDT geben zudem Hinweise, wie man die Spam-Flut verhindern oder zumindest verringern kann.

Active-Scripting-Leck erlaubt die Ausführung von Programmcode. In einem aktuellen Security Bulletin berichtet Microsoft über eine Sicherheitslücke der Scripting Engine von Active Scripting, die als Bestandteil des Internet Explorers in zahlreichen Windows-Versionen zum Einsatz kommt. Das Sicherheitsloch erlaubt einem Angreifer die Ausführung beliebigen Programmcodes. Microsoft stuft das Sicherheitsrisiko dieses Programmfehlers als kritisch ein.

IBM im Kreuzfeuer der Kritik. Unter dem Motto "TCPA - Whom do we have to trust today?" wurden im Rahmen des CCCeBIT-Treffens Forderungen des Chaos Computer Clubs in Bezug auf "trusted computing" an die IBM-Entwickler übergeben. Der CCC möchte damit in eine Diskussion über Sinn und Zweck von Trusted-computing-Konzepten und speziell des kommenden TCPA-Systems einsteigen.

Patch für die von Microsoft als kritisch eingestufte Sicherheitslücke erhältlich. In der WebDAV-Implementierung von Windows 2000 steckt ein Sicherheitsleck, worüber ein Angreifer auf einen damit verbundenen Internet Information Server (IIS) 5.0 zugreifen kann. Die Sicherheitslücke erlaubt die Ausführung beliebigen Programmcodes auf dem Server, so dass ein Angreifer weitreichende Kontrolle über das System erlangt. Microsoft bietet mittlerweile einen entsprechenden Patch zur Abhilfe an; das Sicherheitsrisiko durch den Programmfehler stuft Microsoft als kritisch ein.

Neue Version Samba 2.2.8 erschienen. Im Hauptmodul von Samba, smbd, wurde jetzt eine Sicherheitslücke entdeckt, die es einem externen Angreifer erlaubt, Super-User-Recht (Root-Rechte) auf einem entsprechenden Server zu erlangen. Das Problem existiert in allen Samba-Versionen von 2.0.x bis einschließlich 2.2.7a.

VirusScan Enterprise 7.0 und ePolicy Orchestrator. Network Associates bringt mit VirusScan Enterprise 7.0 und dem ePolicy Orchestrator 3.0 (ePO) neue Produkte für den Unternehmensbereich. VirusScan Enterprise 7.0 ist eine Anti-Virenlösung, während ePO eine zentrale Management-Konsole für die Verwaltung von Antivirus-Policys in Unternehmensnetzen darstellt.

Worm_CODE RED.F frisst sich durchs Netz. Antiviren-Forscher haben vor dem Wurm CODE RED.F gewarnt, der ähnlich wie andere Varianten von CodeRed eine durch einen Buffer-Overflow verursachte Verwundbarkeit des Microsoft IIS (Internet Information Server) ausnutzt. Dies kann einem Angreifer erweiterte Rechte über das befallene System verschaffen. Der Wurm hinterlässt auf einem infizierten Web-Server ein Backdoor-Programm.

Kriminalitätsbekämpfung auf eidgenössische Art. Die große Kammer des Schweizer Parlaments hat mit 124 gegen 27 Stimmen ein Verbot von den bislang in der Schweiz anonym kaufbaren Prepaid-Handy-SIM-Karten beschlossen. Die bisherige Praxis erlaubte es, entsprechend aktivierte Karten an jedem Kiosk kaufen zu können, ohne dass man dabei seinen Namen und seine Adresse angeben musste.

Neue Technologie soll Sicherheitslücke in Unternehmensnetzen schließen. Die webwasher AG stellt auf der CeBIT 2003 eine Lösung vor, die die Filterung von SSL-verschlüsseltem Web-Verkehr ermöglicht. Damit will das Unternehmen die "zurzeit größte Sicherheitslücke in den Netzen von Unternehmen und Behörden" schließen.

Bundesweite Komplettlösungen für VPN und VoIP. Telefónica Deutschland will bundesweit Lösungen im Bereich Access, Hosting, Sicherheitslösungen, MultiProtocol-Label-Switching-VPNs und Telefonlösungen auf IP-Basis für jede Unternehmensgröße anbieten. Das Netzwerk sei als erstes in Europa von Cisco zertifiziert worden und komplett Voice-over-IP-fähig.

Keine neuen Funktionen für den Linux-Browser. Ab sofort bietet Opera die Linux-Version des norwegischen Browsers in der Version 6.12 zum Download an. Damit sollen einige Programmfehler behoben werden. Neue Funktionen bietet die aktuelle Version nicht.

Verkäufer-Daten unsicher gelagert. Nach Angaben von Axel Gronen, der eine informative Seite über Wortfilter bei eBay unterhält, können durch eine Sicherheitslücke beim Online-Auktionsveranstalter eBay hinterlegte Kontodaten von Verkäufern von Unbefugten eingesehen werden.

Für Entry-Level-Server-Hersteller und Endkunden. Sony hat die Erweiterung des AIT-Produktportfolios (Advanced Intelligent Tape) angekündigt und zwei neue Bandlaufwerke mit ATAPI-Schnittstelle vorgestellt. Mit den neuen Laufwerken sollen Hersteller von Servern der Einstiegsklasse und Endkunden ihre Daten sichern können. Im letzten Jahr wurden bereits AIT-1-Laufwerke mit ATAPI-Schnittstelle vorgestellt.

Abgleich eingehender Post mit Blacklists wie ORDB und Spamhaus. Das Softwarehaus GFI hat die Veröffentlichung einer speziellen Freeware-Version von GFI MailEssentials for Exchange/SMTP 8 bekannt gegeben. Mit der kostenfreien Software und ihrer DNS Blacklist-Unterstützung können eingehende E-Mails bereits auf Server-Ebene als Spam klassifiziert werden. Erst nach dieser Überprüfung wird die elektronische Post an die Benutzer weitergeleitet.

Programmausführung außerhalb der Sandbox möglich. Macromedia bietet ab sofort ein Sicherheits-Update für den Flash-Player für die Windows-Plattform an, das eine kritische Sicherheitslücke in der Software behebt. Über ein Sicherherheitsleck in der Sandbox erhält ein Angreifer Zugang über einen anderen Rechner und kann darauf Programmcode ausführen.

E-Mail-Gateway-Lösung für den Virenschutz. Das Linux-Produktportfolio von F-Secure wird nun um drei neue Produkte erweitert: F-Secure Anti-Virus for Firewalls 6.10, F- Secure Anti-Virus for Linux Servers 4.50 und F-Secure Policy Manager for Linux. Diese neuen Produkte sollen Virenschutz für Linux-Server und E-Mail-Gateways sowie plattformübergreifende Administrationsfähigkeiten bieten.

Update behebt zahlreiche Programmfehler in Dreamweaver MX. Zusammen mit der Einführung von Macromedia Contribute ist nun endlich auch das lang ersehnte Update für die deutsche Version von Dreamweaver MX erhältlich, das in der ersten Final-Version noch zahlreiche Bugs besaß. Die Bugfix-Sammlung ist für registrierte Kunden ab sofort kostenlos erhältlich.

Spezielle E-Mail ermöglicht Root-Rechte auf verwundbaren Systemen. Internet Security Systems (ISS) hat eine Sicherheitslücke im Sendmail Mail Transfer Agent (MTA) entdeckt, dem noch immer am weitesten verbreiteten MTA mit einem geschätzten Marktanteil zwischen 50 Prozent und 75 Prozent. Durch einen Buffer-Overflow ist es möglich, auf einem verwundbaren System Root-Rechte zu erlangen.

Faszinierendes und forderndes PC-Spiel von Ubi Soft. Um wenig Spiele wurde in letzter Zeit bereits vor dem Erscheinen ein derartiger Wirbel veranstaltet wie um das Stealth-Action-Game Splinter Cell. Nachdem der Titel bereits seit Ende letzten Jahres für die Xbox erhältlich ist und dort bereits jetzt zu den bestverkauften Spielen überhaupt zählt, darf man nun auch am PC in die Rolle des Geheimagenten Sam Fischer schlüpfen.

Lassen sich Werbe-CDs bald als CD-R nutzen? Die Optical Disc Corporation (ODC) hat Anfang Februar mit der CDR-ROM ein modifiziertes CD-Format vorgestellt, eine Kombination von CD-ROM und CD-R. Die 12-cm-Scheiben besitzen sowohl einen beschreibbaren als auch einen nicht-beschreibbaren Bereich.

Symantec bringt DeepSight Alert Service und DeepSight Threat Management System. Symantec bietet mit DeepSight Alert Service 4.0 und DeepSight Threat Management System 4.0 für den Unternehmensbereich zwei neue Frühwarnsysteme für Internet-Angriffe an. Der DeepSight Alert Service informiert IT-Administratoren über neu entdeckte Sicherheitslücken sowie mögliche Angriffsszenarien und schlägt entsprechende Schutzmaßnahmen vor. Das Deepsight Threat Management System informiert zudem über weltweit aktive Angriffe und über notwendige Schritte zur Absicherung. Damit sollen sich Kosten für das Unternehmensnetzwerk senken lassen.

Über 30 gefährliche Sicherheitslecks im Internet Explorer im Jahr 2002 entdeckt. Der halbjährlich erscheinende Internet Security Threat Report von Symantec, einem Anbieter von Sicherheitslösungen für den IT-Bereich, berichtet über eine deutliche Zunahme und eine höhere Gefährdung der entdeckten Sicherheitslöcher in Microsofts Web-Browser Internet Explorer im vergangenen Jahr. Besonders die explosionsartige Verbreitung einiger Internet-Würmer wurde so erst möglich.

60 Prozent aller bekannten Sicherheitslücken sind leicht auszunutzen. Der halbjährlich erscheinende Internet Security Threat Report des Sicherheits-Unternehmens Symantec spricht sich dafür aus, Sicherheitslücken in Programmen trotz der dadurch verursachten Risiken aufzudecken. Ansonsten bestehe die große Gefahr, dass erfahrene Angreifer geheim gehaltene Sicherheitslecks ausnutzen und so enormen Schaden anrichten können, weil sich die Opfer in Ermangelung der notwendigen Informationen nicht schützen können.

PC-Spiel kommt Ende 2003. Bereits Mitte 2000 veröffentlichte Sierra mit Ground Control ein optisch und spielerisch imposantes Echtzeit-Strategiespiel. Im Rahmen einer Pressevorführung präsentierte Vivendi Universal nun erstmals den Nachfolger, der Ende 2003 erscheinen soll.

Hilfe-Funktion erlaubt Angreifern die Ausführung von Programmcode. Wie Microsoft in einem aktuellen Security Bulletin berichtet, weist die Hilfefunktion in Windows Millennium ein schwerwiegendes Sicherheitsloch auf, worüber Angreifer beliebigen Programmcode ausführen können. Einen entsprechenden Patch bietet Microsoft über die Windows-Update-Funktion an.

Opera 7.02 mit höherer Stabilität und einigen Optimierungen. Opera bietet die Windows-Version des Browser Opera 7 ab sofort in der Version 7.02 als Download an. Die neue Version bringt nur wenige Verbesserungen und keine Neuerungen. Allerdings wird damit auch gleich ein neu entdecktes aber eher unkritisches Sicherheitleck behoben.

Site-Betreiber von Assoziations-Blaster halten Abmahnung für unbegründet. Wie Alvar Freude und Dragan Espenschied, die Entwickler und Betreiber des Assoziations-Blaster, berichten, erhielten sie eine Abmahnung der Deutschen Bahn, wonach angeblich ein Link auf den umstrittenen Text "Kleiner Leitfaden zur Behinderung von Bahntransporten aller Art" auf dem Angebot zu finden ist. In einer Unterlassungserklärung fordert die Deutsche Bahn die Entfernung des Links; bei Zuwiderhandlung droht eine Vertragsstrafe von 10.000 Euro.

Lovgate.C beantwortet E-Mails im Eingangs-Ordner von Outlook/ Outlook Express. Nach Angaben zahlreicher Anbieter von Antiviren-Lösungen verbreitet sich der neu entdeckte Wurm Lovgate.C rasant im Internet. Der Schädling legt auf dem System einen Backdoor-Trojaner ab, um so Systeminformationen der betreffenden Nutzer zu sammeln und einem Hacker Zugriff auf das System zu ermöglichen.

Übernahme von Gauntlet trägt Früchte. Secure Computing hat die Freigabe des Sidewinder G2 Enterprise Manager angekündigt. Diese Security Applicance für Unternehmen bietet ein zentrales Policy Management und das Speichern von Audit-Logs und Konfigurations-Backups für Hunderte verteilter Sidewinder-G2-Firewalls.

Software von Audible Magic ermöglicht Kontrolle von Dateien. Die Netzwerke von Universitäten sind seit Jahren einer der Hauptgründe für florierende Tauschbörsen - kostenlose Breitbandzugänge machen den Down- und Upload von Musik- und Filmdateien problemlos möglich. In den USA formiert sich nun Widerstand - mit einer Kontroll-Software will man möglichen Urheberrechtsverletzungen vorbeugen.

Neue Version und Patch bereits erhältlich. Die freie SSL-Implementierung OpenSSL enthält eine Sicherheitslücke, die es Angreifern ermöglicht, Usernamen und Passwörter auszuspionieren. Sowohl Patches als auch neue Versionen von OpenSSL, die das Problem beheben, sind bereits erschienen.

Sicheres WLAN mit Smartcardunterstütztung. Um weltweit einheitliche Standards für den Zugriff auf WLANs mittels Smart Cards zu realsieren, hat sich eine aus mehreren Unternehmen gebildete Initiative gebildet, die sich selbst WLAN Smart Card Consortium nennt.

Kritische Sicherheitslücke in PHPs CGI-Modul. Die PHP-Group hat ein Update ihrer freien Scriptsprache veröffentlicht, die eine kritische Sicherheitslücke in der CGI-Anbindung behebt. Andere Änderungen enthält die Version 4.3.1 nicht.

Administrator-Rechte für Windows XP ohne Abfrage eines Kennwortes. Wie die Website briansbuzz.com berichtet, verhilft eine Windows-2000-Boot-CD zu einem Administrator-Zugang zu einem Rechner mit Windows XP, ohne dass man das entsprechende Kennwort wissen muss. Dazu muss der Rechner lediglich mit Hilfe einer Windows-2000-CD gestartet werden.

Lizenz für unbegrenzte Anwenderzahl kostet rund 695 Euro. Mir seiner neuen Client-Server-Lösung für Instant Messaging will Ipswitch vor allem Unternehmen ansprechen. Dazu bietet der Ipswitch Instant Messenger (IIM) Sicherheistfunktionen wie eine 168-Bit-end-to-end-3DES-Verschlüsselung, ein detailliertes Kommunikations-Protokoll, die Möglichkeit zur Einschränkung von IP-Adressen sowie die Überprüfung der User-Identität.

Update über die Aktualisierungs-Funktion des Betriebssystems erhältlich. Apple bietet ab sofort das Update auf MacOS X 10.2.4 von MacOS X 10.2.3 auch in deutscher Sprache zum Download an. Die aktuelle Version bringt Verbesserungen im Finder sowie in den Druckfunktionen, umgeht Fehler bei Netzwerk-Angelegenheiten und behebt einen empfindlichen Programmfehler in der Mail-Applikation.

Neues Papier gibt Anfänger-Tipps zum Schutz vor Spam. Ein neues "Anti Spam White Paper" hat der Verband der deutschen Internetwirtschaft, eco Electronic Commerce Forum e.V., jetzt veröffentlicht, das hauptsächlich unerfahrenen Internet-Nutzern Tipps gegen ungewollte Werbe-E-Mails geben soll. Zudem wies eco erneut auf die eigenen Aktivitäten im europaweiten Kampf gegen unerwünschte Werbemails hin.