Security

Verbreitung über das Outlook-Adressbuch und die Kontakte im MSN-Messenger. Nach langer Zeit treibt eine weitere Variante des MyLife-Wurms ihr Unwesen: Der Wurm W32.Mylife.M@mm löscht und überschreibt nach der Aktivierung zahlreiche Daten auf den angeschlossenen Laufwerken und vermehrt sich via E-Mail, indem er sich an alle Adressen versendet, die er im Outlook-Adressbuch und den Kontakten im MSN Messenger findet.

Fortbewegungssystem des Bandwurms kopiert. Einen wurmförmigen Roboter zur Früherkennung von Darmkrebs wollen Forscher in die Tiefen des menschlichen Verdauungstraktes schicken, schreibt der Spiegel in seiner neuesten Ausgabe. "Emil" (für endoskopische Mikrokapsel-Lokomotion) heißt der Prototyp, den Arianna Menciassi mit Kollegen am Centre for Applied Research in Microengineering im italienischen Pisa entwickelt hat. Das Gerät verwendet zur Fortbewegung und Fixierung Prinzipien eines Parasiten - des Bandwurms.

Fehlerhafte Programmkomponente Bestandteil verschiedener Software-Produkte. Wie Microsoft in einem aktuellen Security Bulletin berichtet, enthalten die Programmkomponenten Office Web Components 2000 und 2002 drei kritische Sicherheitslöcher. Diese Komponenten sind Bestandteil zahlreicher Microsoft-Produkte, darunter auch Office XP, wofür erst gestern das Service Pack 2 erschienen ist, das den aktuellen Patch bereits enthalten soll.

Update aktualisiert OpenSSL und Security. Apple bietet innerhalb kurzer Zeit ein weiteres Sicherheits-Update für MacOS X an, das neue Versionen von OpenSSL und Security enthält, die nun einen Angriff von außen abwehren sollen. Der Patch eignet sich für zahlreiche Sprachen von MacOS X 10.1.5.

Umstellung auf längere Schlüssel als erster Ausweg. Sowohl durch Verwendung längerer Schlüssel als auch durch Entwicklung neuer Verschlüsselungsverfahren soll die Vertraulichkeit des Datenaustauschs über das Internet auch weiterhin gewährleistet bleiben. Mit diesem Hinweis hat der Trierer Informatik-Professor Christoph Meinel auf einen Bericht in der Frankfurter Allgemeinen Sonntagszeitung reagiert. Danach soll angeblich ein "Chaos" ausbrechen, falls es dem US-Mathematiker Daniel J. Bernstein gelingt, mit seiner geplanten neuen Rechenmaschine das Verschlüsselungssystem RSA zu knacken.

Metacrawler.de-Anonymisier-Service bereits abgemahnt. Eine Patentanmeldung (Nummer DE10053802A1) bedroht den Betrieb von Anonymisier-Proxys. Gegenstand des Patentes ist laut Anmelder u.a. "ein Verfahren zum Schutz der Privatsphäre sowie verschiedene Verfahren zur Erhöhung des Komforts der Suche im Internet." Es wurden bereits Abmahnungen mit Lizenzgebührforderung an Anbieter von Diensten für anonymes Surfen verschickt, z.B. an Metacrawler.de.

Deutsches SP2 soll Sicherheit und Stabilität des Office-Pakets erhöhen. In den USA stellte Microsoft gestern das Service Pack 2 für Office XP offiziell zum Download bereit, nachdem ein Download-Link seit einigen Tagen durchs Netz geisterte und kürzlich wieder deaktiviert wurde. Neben der englischsprachigen Version steht nun auch offiziell eine deutsche Fassung zum Download bereit.

Angreifer können beliebige Dateien über die Windows-Hilfe löschen. In Windows XP ersetzte Microsoft die bisherige Hilfefunktion des Betriebssystems durch ein so genanntes Hilfe- und Supportcenter. Wie die Mailingliste Bugtraq mitteilt, besitzt dies eine Sicherheitslücke, die es Angreifern erlaubt, beliebige Dateien auf einem fremden System zu löschen, sofern Name und Position der Datei bekannt sind.

Gesetze zum "Digital Rights Management" als Gefahr für Wissenschaft und Technik? Die Internet Society (ISOC) hat sich in einer öffentlichen Mitteilung vehement gegen technikreglementierende Gesetze ausgesprochen, die lediglich die wirtschaftlichen Interessen bestimmter Inhaber von geistigem Eigentum auf Kosten größerer Teile der Gesellschaft schützen. Die weltweiten Diskussionen um so genannte "Digital Rights Management"-(DRM-)Systeme illustrieren das Ergebnis von gesetzlichen Technikreglementierungen: Eine Welt, in der jede digitale Medien-Technik entweder verboten oder gesetzlich vorgeschrieben ist. Der Effekt dieser Gesetze sei es, speziellen und insbesondere innovationsfeindlichen Interessensgruppen Veto-Macht über neue Technologien zu gewähren.

Problem mit OpenSSL in Opera 6.03 bereinigt. Nachdem Opera am 13. August eine fehlerbereinigte Version des Windows-Browsers veröffentlicht hat, folgt nun die Linux-Version, um die Sicherheitslücke in OpenSSL vom vergangenen Monat zu bereinigen. Ferner hat Opera noch einige Bugs beseitigt.

Gericht spricht Palm von Patentverletzung frei. Wie Palm mitteilte, wurde das Unternehmen am 12. August 2002 von einer Patentanklage freigesprochen. Im Februar 2000 hatte die amerikanische Firma E-Pass Technologies Klage gegen den PDA-Hersteller eingereicht und behauptet, Palm hätte ein Patent des Unternehmens widerrechtlich verwendet. Ein kalifornisches Bezirksgericht hat Palm nun von dem Vorwurf freigesprochen.

Sicherheitsloch im Network Connection Manager (NCM). Microsoft berichtet in einem aktuellen Security Bulletin über ein kritisches Sicherheitsloch in Windows 2000. Demzufolge steckt ein Fehler im Network Connection Manager (NCM) von Windows 2000, worüber ein Angreifer Zugang zum System erlangen und Code mit vollen Systemrechten ausführen kann. Ein bereitgestellter Patch soll das Problem beheben.

Patch behebt neu entdecktes Sicherheitsloch. Microsoft stellt einen Sammel-Patch für den SQL-Server der Versionen 7.0 sowie 2000 bereit, der alle bislang entdeckten Bugs beseitigen und eine neue Sicherheitslücke schließen soll. Durch die neue Lücke lassen sich so genannte "extended stored procedures" von jedem Nutzer mit Administratorrechten ausführen. Microsoft stuft das Risiko als moderat ein.

Microsoft argumentiert mit vorgezogenen Argumenten, statt einen Patch anzubieten. Vor wenigen Tagen wurde bekannt, dass sowohl der Internet Explorer als auch der Open-Source-Browser Konqueror eine Sicherheitslücke beim Aufruf von SSL-Webseiten aufweisen. Beide Browser prüfen SSL-Zertifikate nur unzureichend. Während für Konqueror sofort ein Patch zum Schließen der Sicherheitslücke erschien, will Microsoft das Problem ein paar Tage später klein reden.

Software-Portierung zum Festpreis. Hewlett-Packard (HP) hat jetzt nach der Fusion mit Compaq seine Linux-Strategie erweitert und bei der Gelegenheit auch sein Portfolio an Linux-Produkten und -Dienstleistungen überarbeitet.

Alte Version erlaubt Ausführung beliebiger Programme. Macromedia musste seinen Flash Player 6 für Windows aktualisieren, um zwei Sicherheitslöcher zu stopfen, wovon eines als kritisch zu betrachten ist. Denn damit kann ein Angreifer beliebige Programme auf dem betroffenen System ausführen.

Aktueller Browser behebt Sicherheitsleck in OpenSSL. Die Ende Juli entdeckte Sicherheitslücke in OpenSSL betrifft auch den Web-Browser Opera, der nun in einer fehlerbereinigten Version zumindest für die Windows-Plattform erhältlich ist. Außerdem wurden weitere Bugs beseitigt; Neuerungen bietet diese Version nicht.

Browser prüfen SSL-Zertifikate nur unzureichend. Sowohl der Internet Explorer als auch der Linux-Browser Konqueror weisen eine Sicherheitslücke beim Aufruf von SSL-Seiten auf, wie Beiträge auf der Bugtraq-Mailingliste berichten. Angreifer können einem Surfer so die sichere Verbindung zu einer bestimmten Webseite vorgaukeln, die aber so nicht existiert.

Studie zum Weltmarkt für chipbasierte Fingerabdrucksysteme. Nach einer Studie kommen im Segment Fingerabdruckerkennung derzeit verstärkt chipbasierte Systeme auf den Markt und treten in Wettbewerb mit den bisher eingesetzten optischen Sensoren. Vor allem tragbare Geräte wie Mobiltelefone und Laptops sollen mit den Fingerabdruckchips ausgerüstet werden. Entsprechend positiv bewertet die Unternehmensberatung Frost & Sullivan das Marktgeschehen. Wurden im Jahr 2001 weltweit gerade einmal 5,1 Millionen US-Dollar Umsatz erzielt, so können die Anbieter im Jahr 2006 mit mehr als 424 Millionen US-Dollar rechnen.

Firmware-Version 2.70 soll mehr Sicherheit und Funktionen bieten. Die aus der insolventen Hardwareschmiede ELSA ausgegliederte Netzwerksparte wird wie bekannt in der Lancom Systems GmbH weitergeführt. Nachdem diese schon ankündigte, auch bestehende ELSA-Netzwerkhardware aus der Lancom-Serie weiter unterstützen zu wollen, gibt es nun ein erstes Firmware-Update für LANCOM- und ELSA-Router.

Bereinigte Version ohne Lücke schon lange erhältlich. Die Sicherheitsfirma GreyMagic Software berichtet über eine Sicherheitslücke in der Google Toolbar für den Internet Explorer, wodurch ein Angreifer lokale Dateien auslesen oder sogar Programme ausführen kann. Die betroffenen Versionen der Google Toolbar dürften kaum noch in Benutzung sein, weil sich die Software selbstständig aktualisiert und bereits bei Version 1.1.60 angelangt ist.

Neue Version von Apache 2 erschienen. Die neue Version des Webservers Apache 2, Apache 2.0.40, behebt eine Sicherheitslücke, die auf Windows-, OS2- und Netware-Systemen auftreten kann. Zudem bietet die neue Version aber auch einige Verbesserungen und neue Funktionen.

Guck mal wer da spricht: Videotelefonie im Netz. Videotelefonie übers Internet ist nicht nur preiswert, sondern hat mit aktueller PC-Software auch einen brauchbaren Qualitätsstandard erreicht. Außerdem macht es einfach Spaß, seinen Gesprächspartner zu sehen, berichtet das Computermagazin c't in der aktuellen Ausgabe 17/02.

Aufpreispflichtige Features gegen Dialerbetrug. Die Deutsche Telekom stellt ihren Kunden mit analogem Netz oder mit T-ISDN-Mehrgeräteanschluss ab sofort ein Sicherheitspaket zum Monatspreis von 1,99 Euro zur Verfügung. Die individuelle Einstellung der Sperrmoglichkeiten kann der Kunde selbst von seinem Telefon PIN-geschützt vornehmen. So sind zum Beispiel ohne Wissen des Anschlussinhabers keine Telefonate mehr möglich oder bestimmte Verbindungen ausgeschlossen. Mit dem Sicherheitspaket soll man sich durch diverse Filterfunktionen auch gegen Dialer-Programme schützen können.

Europaweiter Wettbewerbsnachteil abgewendet? Der Deutsche Multimedia Verband (dmmv) e.V. begrüßt den Beschluss des Europäischen Rates zu Gunsten eines Opt-Out-Prinzips beim Setzen von Cookies. Der in der Branche befürchtete Wettbewerbsnachteil sei somit ausgeblieben, kommentierte der dmmv das Ergebnis.

Beliebige Applikationen können mit höheren Nutzerrechten ausgeführt werden. Der freiberufliche Sicherheitsberater Chris Paget erläutert in einem umfangreichen Schriftstück, dass das Messaging-System in den Windows-APIs Angreifern erlaubt, die eigenen Rechte zu erweitern und so Zugriff auf Systembereiche zu erlangen, die für normale Anwender tabu sind. Microsoft stuft dies jedoch nicht als Sicherheitslücke ein, weil man dazu direkten Zugriff zu einem entsprechenden PC besitzen muss.

Sicherheitsbedürfnis stärker als Bedenken von Datenschützern. Die Sicherung von Gebäuden und öffentlichen Plätzen soll zukünftig eine immer größere Rolle spielen, und so wird auch der Markt für CCTV-Systeme (closed circuit television systems) wachsen. Einer Studie von Frost und Sullivan zufolge soll der Weltmarkt jährliche Wachstumsraten von 12,7 Prozent ausweisen.

Patch aktualisiert Apache, OpenSSH und OpenSSL. Nachdem Apple bereits Anfang Juli ein Sicherheits-Update für MacOS X 10.1.5 angeboten hat, folgt nun ein weiterer Patch, der zum Großteil die gleichen Applikationen adressiert.

Meldungen aus England sorgen für Verunsicherung bei der Polizei. Die Gewerkschaft der Polizei (GdP) hat Bedenken gegen die geplante flächendeckende Einführung des TETRA-Digitalfunks für die Polizei geäußert. Vor der Einführung müsste eine eingehende Prüfung möglicher gesundheitsgefährdender Einflüsse dieser Technik auf die Nutzer vorgenommen werden: Anzeichen auf Gesundheitsrisiken hätten sich beim Einsatz in Großbritannien gezeigt.

Wurm W32.Chir.B@mm nutzt altes Sicherheitsleck bei der Anzeige von E-Mails. In einem aktuellen Security Alert warnt Microsoft erstmals vor einem E-Mail-Wurm, der erneut eine lange bekannte Sicherheitslücke im Internet Explorer ausnutzt. Microsoft bietet schon lange einen Patch an, aber immer wieder tauchen neue E-Mail-Würmer auf, die diese Lücke ausnutzen und darauf setzen, dass viele Anwender solche Patches nicht einspielen.

Das Service Pack (SP) 3 umfasst auch alle vorherigen Service Packs. Seit zwei Tagen geistern Download-Adressen vom Service Pack (SP) 3 für Windows 2000 durch das Internet. Nun hat Microsoft das Patch-Paket offiziell zum Download bereitgestellt. Der Patch soll zahlreiche Sicherheitslücken und Fehler beheben, bietet aber auch einige "Neuerungen", wie etwa ein automatisiertes Update. Das SP3 kann auf jedes beliebige System mit Windows 2000 aufgespielt werden.

Abmahnung wegen E-Mail-Spam-Möglichkeit durch Absenderfälschung. Über die Domain von Joschka Fischer "joschka.de" wird für den Spitzenkandidaten der Grünen geworben. Man hat hier unter anderem die Möglichkeit, eine elektronische Postkarte in Form einer E-Mail an Freunde und Bekannte zu versenden. Die Aktion wurde nun durch den Rechtsanwalt Günter Frhr. v. Gravenreuth mit einer einstweiligen Verfügung "bedacht".

Unverschlüsselter Zugang ab 14. August nur noch optional möglich. Web.de will die Sicherheit seines FreeMail-Dienstes künftig erhöhen, indem man den sicheren Zugang mit SSL (Secure Socket Layer) zum Standard macht. Heute steht der verschlüsselte Zugang nur optional zur Verfügung.

Neue Version 0.9.6e soll Probleme beheben. In einem Security Bulletin warnen die Entwickler der freien SSL-Implementierung OpenSSL gleich vor vier Sicherheitslücken in OpenSSL, die sich aus der Ferne ausnutzen lassen. Betroffen sind alle OpenSSL-Versionen bis 0.9.6d bzw. 0.9.7-beta2.

"Peer to Peer Piracy Prevention Act" soll Industrie den Gegenangriff ermöglichen. Vier US-amerikanische Kongressabgeordnete, darunter auch der DMCA-Befürworter Howard L. Berman, haben eine Gesetzesvorlage veröffentlicht, mit der Peer-to-Peer-Raubkopiernetzwerke bekämpft werden sollen. Der "Peer to Peer Piracy Prevention Act" getaufte Gesetzesvorschlag soll der Industrie die Möglichkeit geben, sich auch mit normalerweise verbotenen technischen Mitteln aktiv gegen Raubkopierer zu wehren - so soll das gezielte Angriffe auf Peer-to-Peer-Netzwerke bzw. deren Teilnehmer erlaubt werden.

Microsoft muss Patch aktualisieren, weil Daten fehlten. Wie Microsoft in einem aktualisierten Security Bulletin berichtet, musste ein Sammel-Patch für den Windows Media Player aktualisiert werden. Der alte Sammel-Patch vom 26. Juni 2002 enthielt nicht alle notwendigen Daten, so dass alle Anwender des Windows Media Player der Versionen 6.4, 7.1 sowie des Windows Media Player für Windows XP den aktualisierten Patch aufspielen sollten.

Bugfixes stopfen insgesamt sechs Sicherheitslecks im SQL-Server 2000. Microsoft veröffentlichte zwei Security Bulletins, in denen sechs neu entdeckte Sicherheitslücken für den SQL-Server 2000 beschrieben werden. Drei der Sicherheitslöcher bewertet Microsoft nur als moderates und sogar geringes Risiko, während die übrigen drei Lücken als kritisch eingestuft werden. Für alle Lecks bietet Microsoft ab sofort passende Patches an.

Japanisches Unternehmen will Sicherheit von Webservern auf einfache Art erhöhen. Das japanische Unternehmen Scarabs hat ein neues Konzept zum Schutz von Webservern oder Intranets entwickelt: Ein Festplattenprototyp erlaubt den Anschluss von zwei Rechnern gleichzeitig: Während der eine Kontrolle über den Schreib-Lese-Kopf hat, kann der andere nur per Lese-Kopf zugreifen - laut Scarabs ein effektiver Schutz vor Eindringlingen, die Websites verunstalten, der zudem vergleichsweise günstig sein soll.

Service Pack enthält alle bisher erschienenen Patches. Microsoft bietet ab sofort das Service Pack 3 für Exchange 2000 zum Download an. Neben der englischsprachigen Version steht auch bereits eine deutsche Fassung bereit.

VirusScan Online und Personal Firewall mit neuer Oberfläche. McAfee.com hat eine Reihe neuer Veränderungen an seinen Sicherheitslösungen vorgenommen. VirusScan Online und Personal Firewall bieten jetzt einen erweiterten Service und eine neue grafische Bedienoberfläche.

PHP 4.2.2 enthält Patch für POST-Sicherheitslücke. Die Entwickler der Scriptsprache PHP haben jetzt über eine Sicherheitslücke in PHP informiert und zugleich mit PHP 4.2.2 eine neue Version vorgelegt, die Abhilfe schafft. Mit speziellen POST-Daten sollen sich IA32-Server zum Absturz bringen lassen. Bei anderen Architekturen bestünde unter Umständen sogar die Möglichkeit, Code auf fremden Servern auszuführen.

Neuer Rufnummernfilter soll unerwünschte Verbindungen verhindern. Die neue Version der AVM-Sicherheitssoftware ISDNWatch soll PC-Nutzer jetzt besser vor bösen Überraschungen schützen. Durch eine detaillierte Rufnummernüberwachung und individuelle Filterfunktionen soll die PC-Kommunikation sicherer werden. Zusammen mit neuen CAPI-Treibern bietet ISDNWatch auch Schutz vor 0190-Dialern.

Radeon 9000/9000 Pro, Radeon 9500 und Radeon 9700 kommen im August/September. ATI hat heute gleich vier neue Grafikchips bzw. Grafikkarten angekündigt, die teils bestehende Produkte ersetzen oder diese ergänzen. Während Radeon 8500 LE und Radeon 8500 durch ihren Nachfolger Radeon 9000 respektive Radeon 9000 Pro ersetzt werden, wird die Radeon 9700 das neue Flaggschiff von ATIs Consumer-Grafikkartenlinie, von dem Ende des Jahres in Form der Radeon 9500 noch eine günstigere Version erscheinen wird.