Security

Frethem-Wurm versendet sich über eigene SMTP-Engine. Wie zahlreiche Hersteller von Antiviren-Software warnen, verbreitet sich erneut ein Wurm, der eine alte Sicherheitslücke im Internet Explorer für seine Dienste ausnutzt. Immerhin ändert der Frethem-Wurm nicht ständig seine Betreffzeile oder den Nachrichtentext, wie es andere E-Mail-Würmer in jüngster Zeit vormachten.

Nur Patch für MacOS X 10.1.x erhältlich. Ein Patch für das Apple-Betriebssystem MacOS X 10.1.x behebt eine Sicherheitslücke im Modul der Software-Aktualisierung. Über das Sicherheitsleck ist es Angreifern möglich, beliebige Software auf einem betreffenden System zu installieren.

Outlook-Plugin in PGP erlaubt beliebige Programmausführung. Network Associates bietet einen Patch an, der ein Sicherheitsloch im Outlook-PlugIn der Verschlüsselungssoftware PGP 7.x behebt, das jetzt bekannt geworden ist. Mit einer präparierten E-Mail kann die Sicherheitslücke im PGP-Plugin dazu genutzt werden, beliebigen Code auf dem entsprechendem System auszuführen, was der Patch wieder bereinigt.

Microsoft stellt Patches für jüngst entdeckte Sicherheitslücken bereit. Microsoft veröffentlichte zwei Patches für den SQL-Server 2000 sowie einen Patch für den SQL-Server 7.0. Für die 2000er Version des SQL-Servers gibt es einen Sammel-Patch, der alle bisherigen und drei neue Sicherheitslöcher stopfen soll, und noch einen weiteren Patch, der auch für den SQL-Server 7.0 gilt. Alle neuen Sicherheitslücken stuft Microsoft als moderat ein.

Nur kostenlos in Verbindung mit dem Kauf anderer Steganos-Produkte erhältlich. Der Software-Hersteller Steganos bietet ab sofort einen Schutz gegen die Gefahr durch selbstinstallierende Dialer an. Der Steganos AntiDialer soll dabei vor unerwünschten 0190-Einwahlen bewahren helfen.

Über 87 Prozent der Bürger wollen E-Government. Nach Ansicht der Initiative D21 müssen die Beteiligungsmöglichkeiten für Wirtschaft und Bürger auf den Internet-Seiten der Verwaltungen verstärkt werden. Zahlreiche Behörden haben in den letzten drei Jahren Fortschritte in der Darstellung und Erledigung von Verwaltungsvorgängen erreicht. Nun müsse es das Ziel sein, mehr Bürger zu erreichen. Voraussetzungen hierfür sei, dass Verwaltungsvorgänge im Internet vollständig erledigt werden können, alle Bürger Internet-Zugang haben und sich das Internet zum Bürgerforum weiterentwickelt, so die Initative D21.

Informationssicherheit für das Top-Management nur ein "lästiges Übel"? Für fast ein Drittel der deutschen Top-Manager gilt IT-Sicherheit immer noch als "lästiges Übel": In einer aktuellen KES/KPMG-Sicherheitsstudie bescheinigen die befragten IT-Profis ihrer Führungsriege fehlendes Bewusstsein und ungenügende Kenntnisse in Sachen Informationssicherheit.

Gang zum Supreme Court in DVD-Kopierschutz-Streit nicht angetreten. Die Betreiber des US-amerikanischen Hackerszene-Magazins 2600 sehen sich trotz Beistandes durch die US-Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) gezwungen, den bereits seit zweieinhalb Jahren andauernden Kampf gegen das Veröffentlichungsverbot der DVD-Entschlüsselungs-Software DeCSS einzustellen.

Alle Patches bereits in deutscher Sprache verfügbar. Apple veröffentlichte jüngst drei Updates für die Mac-Welt, die unter anderem eine Sicherheitslücke in Apache stopfen und eine aktualisierte Carbon-Bibiliothek für MacOS 8.6 und 9.x anbieten. Das dritte Update ist speziell für iMac-Besitzer mit einer ganz bestimmten Version von MacOS X 10.1.5 gedacht.

Update steht als "DirectX 8.1b Redist Install"-Paket zur Verfügung. Microsoft hat seiner Windows-Multimedia-Schnittstelle DirectX 8.1 ein Bugfix angedeihen lassen, das einige Fehler in Direct3D und DirectShow beseitigen soll. Zwar ist das für Software- und Hardware-Hersteller zur Weitergabe an ihre Endkunden gedachte "DirectX-8.1b-Redistribution-Paket" noch nicht auf den offiziellen DirectX-Seiten verlinkt, befindet sich jedoch bereits auf dem Download-Server.

Patch behebt drei neue Sicherheitslücken im Windows Media Player. Ein neuer Sammel-Patch von Microsoft behebt drei Sicherheitslücken im Windows Media Player der Versionen 6.4, 7.1 und dem Windows Media Player für Windows XP. Außerdem soll der Patch alle bislang veröffentlichten Patches enthalten.

Javaunterstützung, Webbrowser und VPN Client für Palm OS. Die Palm-Tochter PalmSource hat mehrere Partnerschaften mit Unternehmen geschlossen, die dem PalmOS neue Funktionen und Applikationen bescheren sollen, die vor allem für den Unternehmenseinsatz wichtig sind.

Patches für gefährliche Sicherheitslücke in OpenSSH erschienen. Am Dienstag warnte Theo de Raadt vor einer Sicherheitslücke in OpenSSH in den Versionen 2.9.9 bis 3.3. Mittlerweile sind Details sowie Patches hierzu erschienen. Mit OpenSSH liegt zudem eine neue OpenSSH-Version vor, welche die Sicherheitslücke ebenfalls behebt.

Ericsson koordiniert EU-Projekt für ambulante Gesundheitsüberwachung. Bereits am 1. Mai 2002 startete das EU-Projekt "MobiHealth", in dessen Rahmen per Mobilfunk fernablesbare Sensoren die ständige Überwachung von lebenswichtigen Körperfunktionen erleichtern und Patienten mehr Bewegungsfreiheit und vor allem Sicherheit bieten sollen. Das von der Europäischen Kommission mit knapp fünf Millionen Euro geförderte Projekt umfasst 14 europäische Partner und wird von Ericsson Deutschland koordiniert.

Entwickler wollen Details am Freitag zusammen mit Gegenmitteln veröffentlichen. Laut Theo de Raadt, einem der Lead Developer für OpenBSD und OpenSSH, existiert eine Sicherheitslücke in OpenSSH, die es Angreifern erlaubt, "Root-Rechte" auf entfernten Systemen zu erlangen. Konkrete Details nennt de Raadt in seiner E-Mail an diverse Websites und Mailinglisten nicht, um so Missbrauch vorzubeugen.

Lässt sich nicht auf illegale Installationen anwenden. Acht Monate nach der Markteinführung von Windows XP am 25. Oktober 2001 bereitet Microsoft das erste Service Pack (SP1) für das neue Betriebssystem vor. Das SP1, das auch in deutscher Sprache verfügbar sein wird, ist voraussichtlich ab Ende Sommer 2002 erhältlich. Es lässt sich nach Angaben von Microsoft nicht auf illegale Windowsinstallationen anwenden.

Neue Software auch für ältere WLAN Access Points. Apple hat mit der AirPort-Software 2.0.4 ein Update für seine AirPort-Basisstationen herausgebracht, mit denen einfache WLANs aufgebaut werden können. Das Softwareupgrade soll nun PPTP (Point to Point Tunneling) beinhalten, womit man Virtual-Private-Network-Verbindungen nun auch mit der Apple-Hardware zu Windowsrechnern erstellen kann.

Der Wurm Yaha.E übertrumpft in der Gerissenheit den Wurm Klez.H. Wie zahlreiche Antiviren-Hersteller warnen, verbreitet sich der Wurm Yaha.E rasant im Internet und nutzt die gleiche Sicherheitslücke im Internet Explorer wie der Wurm Klez.H zur automatischen Ausführung des Wurms. Außerdem durchsucht der Yaha-Wurm lokale Dateien nach E-Mail-Adressen und deaktiviert laufende Virenscanner. Immerhin bleibt als kleiner Trost, dass Yaha.E die Absenderadressen der E-Mails nicht fälscht, so dass befallene Anwender darüber informiert werden können.

Update auf neue Apache-Version wird dringend empfohlen. Die am Dienstag bekannt gewordene Sicherheitslücke im Apache WebServer erweist sich als gefährlicher als zunächst eingeschätzt. Anders als zunächst vermutet lässt sich auch auf 64-Bit- und 32-Bit-Unix-Plattformen beliebiger Code ausführen. Zunächst war man davon ausgegangen, dass diese Plattformen dadurch "lediglich" für Denial-of-Service-Attacken anfällig werden.

Patches stopfen vier neue und zahlreiche ältere Sicherheitslöcher. Microsoft stellt zwei Sammel-Patches für die Textverarbeitung Word 2002 und die Tabellenkalkulation Exel 2002 zum Download bereit. Damit sollen zahlreiche Sicherheitslöcher in den entsprechenden Applikationen behoben werden. Auch für Excel 2000 steht ein Patch bereit, der allerdings nur für englischsprachige Sprachversionen gilt.

Thematisches Netzwerk für den interdisziplinären Austausch. Der kalte Blick von Überwachungskameras wird langsam aber sicher zum Alltagsphänomen. Wer und was sich hinter ihm verbirgt, welchem Zweck die Überwachung dient und was mit den Aufnahmen geschieht, entzieht sich jedoch weitgehend der Kenntnis der Beobachteten. Über den tatsächlichen Nutzen und die Wirkungen von Videoüberwachung liegen bislang wenig Erkenntnisse vor.

Nutzer können Spam-Mails mit Hilfe von P2P-Netzwerk bekämpfen. Das US-Unternehmen Cloudmark bietet ab sofort neben Vipul's Razor für die Linux-Plattform mit SpamNet auch eine Erweiterung für das PIM- und E-Mail-Programm Outlook von Microsoft an, um systematisch Spam-Mail auszusortieren. Den Erfolg dahinter soll die Zusammenarbeit der Nutzer in einem P2P-Netzwerk bringen. Das Unternehmen will solche Erweiterungen auch für andere E-Mail-Clients auf Windows-Systemen anbieten, ohne jedoch nähere Details zu nennen.

Webserver Apache 1.3.26 und Apache 2.0.39 erschienen. Das Apache HTTP Server Project hat mit Apache 1.3.26 und Apache 2.0.39 zwei neue Versionen des freien Webservers veröffentlicht, die vor allem eine gestern bekannt gewordene Sicherheitslücke beheben. Zudem enthalten die neuen Versionen einige weitere Bug Fixes.

Celeron-basierter Heimserver als DSL-Internet-Gateway. Toshiba plant eine Reihe von drahtlos miteinander vernetzbaren digitalen Unterhaltungselektronik-Geräten, welche die Computer Systems Group des Herstellers als ihre Zukunft des digitalen Heims versteht. Das erste und zugleich zentrale Produkt ist das "Magnia SG20 Wireless Media Center", ein leicht zu verwaltender Heim-Server zum Aufbau eines drahtlosen Heimnetzes.

Verband: "Anbietern soll Geld aus der Tasche gezogen werden". Der Verband der deutschen Internetwirtschaft, eco Electronic Commerce Forum e.V. (Köln), hat mehrere Hinweise darauf erhalten, dass derzeit eine Abmahnwelle gegen Webseitenbetreiber im Gange ist, die keinen Jugendschutzbeauftragten ihm Rahmen ihres Angebotes namentlich benennen. Bereits vor knapp zwei Wochen hatte das Adultwebmaster Network berichtet, dass die Krefelder Anwaltskanzlei Pils und Neuber im Namen ihrer Mandantin, Reckless-Media GmbH, eine Serienabmahnung gegen Erotikwebmaster gestartet hat, die auf ihren Webseiten keinen Jugendschutzbeauftragten benannt haben.

Buffer-Overflow erlaubt das Ausführen von beliebigem Code. Der weit verbreitete Web-Server Apache enthält eine Sicherheitslücke, die es unter bestimmten Umständen erlaubt, beliebigen Code auf einem verwundbaren Rechner auszuführen. Betroffen sind sowohl Apache 1.3.x als auch Apache 2.x auf allen Plattformen.

BSI beauftragt Darmstädter Informatiker mit Prozessorentwicklung. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn hat Prof. Johannes Buchmann und Prof. Sorin Huss von der Technischen Universität Darmstadt mit der Entwicklung eines Kryptoprozessors für Systeme der Hochgeschwindigkeitsverschlüsselung beauftragt. Ziel des Projekts sind Prozessoren, die das Verschlüsseln von Daten in kürzester Zeit und dabei absolut sicher leisten.

Intel stellt neue Server-Bausteine für Systemintegratoren vor. Intel kündigt jetzt ein Dutzend neuer Server-Bausteine, so genannte Building Blocks, an, darunter Serverboards, Serverchassis, RAID Controller sowie Server Management Software, die Intel OEM-Systemanbietern und Produktintegratoren anbieten will. Einige dieser Server-Plattformen basieren auf dem Intel-Xeon-Prozessor und dem neuen Intel-E7500-Chipsatz.

Patch löscht Nimda-Wurm aus den betroffenen Dateien. Wie Microsoft eingestehen musste, wurde die koreanische Version von Visual Studio .NET versehentlich mit Nimda-verseuchten Dateien ausgeliefert. Der Internet-Wurm steckt in den komprimierten Hilfe-Dateien des Application Center Test (ACT) von Visual Studio .NET. Microsoft bietet einen Patch, der den Wurm aus der Entwicklungsumgebung entfernt.

Bugfix für den Internet Explorer lässt noch auf sich warten. Vor knapp zwei Wochen wurde eine Sicherheitslücke im Internet Explorer entdeckt, die bei der Verwendung des integrierten Gopher-Clients auftreten kann. Wie Microsoft mitteilte, sind auch der Proxy Server 2.0 und der ISA Server 2000 davon betroffen und bietet immerhin dafür passende Patches an. Das Sicherheitsleck im Internet Explorer bleibt hingegen weiterhin offen.

Wie Unternehmen Spam eindämmen können. Die richtige Konfiguration des Mailservers sowie Beschwerden beim Provider sind die wirksamsten Sofortmaßnahmen gegen unerwünschte Werbemails. Dass Gesetze die Spam-Flut eindämmen ist eher unwahrscheinlich, schreibt das iX Magazin in seiner aktuellen Ausgabe 7/2002 und gibt Tipps gegen lästige Mails.

Protest der östereichischen Internet Service Provider. In einem kurzfristig eingebrachten Abänderungsantrag zum Reorganisationsbegleitgesetz, wodurch auch das Militärbefugnisgesetz in Österreich geändert wird, wurden im Parlament von der Regierungsmehrheit gegen die Stimmen der Opposition die Befugnisse der militärischen Organe und Dienststellen beträchtlich erweitert, so die ISPA (Internet Service Providers Austria).

Technikstudie ohne akute Bedrohung. Die Viren-Labors von Herstellern von Antiviren-Software entdeckten einen absolut harmlosen Virus, der erstmals JPEG-Bilddateien infiziert, aber nicht in der Lage ist, von sich aus ein System zu befallen. Im Grunde ist dieser Virus systembedingt funktionsuntüchtig, weil er sich ausschließlich auf einem bereits infizierten System aktivieren kann.

Zukunftsweisendes Application Service Providing (ASP). Der Application-Service-Providing-Markt ist totgesagt. Doch Totgesagte leben länger. Und Anwendungen zum Mieten setzen sich langsam durch.

Windows NT 4.0, 2000, XP, SQL-Server 2000 und IIS 4.0 sowie 5.0 betroffen. Mit einem Schlag informierte Microsoft jetzt über drei aktuelle Sicherheitslücken in verschiedenen Microsoft-Produkten. Die Sicherheitslöcher betreffen Windows NT 4.0, 2000, XP, den SQL-Server 2000 sowie den Internet Information Server (IIS) 4.0 und 5.0. Zwei Lecks werden von Microsoft als moderate Gefahr eingestuft, während die dritte Lücke in Windows NT 4.0, 2000 und XP als kritisch eingeordnet wird. Für alle drei Sicherheitslöcher bietet Microsoft passende Patches an.

European Digital Rights will Privatsphäre und Freiheiten der Bürger schützen. Am 8. Juni 2002 haben zehn Organisationen aus sieben Ländern mit der European Digital Rights (EDRi) eine internationale Bürgerrechtsorganisation für das Internet gegründet. Ziel der EDRi ist es, die Rechte der Menschen in Europa im digitalen Zeitalter der Informations- und Kommunikationstechnologie zu verteidigen. Ihren Sitz soll die EDRi in Brüssel haben.

Enge Zusammenarbeit von Wirtschaft und Staat angestrebt. Nachdem die Deutsche Post am 23. Mai 2002 ihren Ausstieg aus dem Markt für digitale Signaturen ankündigte, forderte unter anderem das Fraunhofer Institut für Telematik, dass der Staat das Thema Sicherheitsinfrastruktur im Internet nicht ausschließlich kommerziellen Anbietern überlassen dürfe. Anlässlich der Signaturtage 2002 in Berlin strebt die Bundesregierung nun ein "Bündnis für elektronische Signaturen" mit Wirtschaft und den öffentlichen Verwaltungen der Länder und Gemeinden an.

Windows Update fragt jetzt Produkt-ID von Windows 2000 ab und speichert GUID. Microsoft überarbeitete das Windows-Update und überprüft ab sofort auch Windows 2000 auf gültige Produkt-IDs. Wer jetzt die Update-Funktion in Windows 2000 aufruft, erhält die neue Version automatisch auf den Rechner geladen. Dabei übermittelt Microsoft auch neue Datenschutzrichtlinien, die einschneidende Neuerungen bringen.

Erster Patch von Anfang Mai brachte nicht die erhoffte Wirkung. Wie Microsoft in einem aktualisierten Security Bulletin mitteilt, muss der MSN Chat Client erneut durch einen Patch aktualisiert werden, weil der Anfang Mai bereitgestellte Fix nicht alle Risiken beseitigt. Der MSN Chat Client, der auch im MSN Messenger und im Exchange Instant Messenger steckt, besitzt ein Sicherheitsloch, das es Angreifern ermöglicht, beliebigen Programmcode auszuführen.

Das Rastern von Schriften kann zum Einfrieren des X-Servers führen. Laut einer Meldung des RUS-CERT (Rechenzentrum der Universität Stuttgart) kann das Rastern von Schriften zum Einfrieren der grafischen Unix-Oberfläche, des X-Servers, führen. Unter bestimmten Voraussetzungen kann es zu X-Server- oder gar Systemabstürzen kommen.

Personalausweise mit Mikrocontroller. Infineon wird Mikrocontroller-Chips für den neuen Chipkarten-Ausweis liefern, der ab Juli 2003 in Hongkong ausgegeben wird. Die Chipkarte mit der Bezeichnung "Smart Identity Card System" (SMARTICS) ersetzt die bisher verwendeten, plastiklaminierten Personalausweise mit Foto. Pflicht ist der Personalausweis in Hongkong für die rund 6,8 Millionen Einwohner, die älter als elf Jahre sind.

Aufruf von ftp-Seiten kann gefährliche JavaScript-Befehle ausführen. Wie auf der Mailingliste Bugtraq berichtet wird, besitzen mindestens die Versionen 5.5 und 6.0 des Internet Explorer ein Sicherheitsleck bei ftp-Seiten. Dies kann dazu führen, dass gefährlicher JavaScript-Code auf dem betreffenden Computer ausgeführt wird. Einen Patch gibt es bislang nicht, aber ein Workaround wird angeboten.

Microsoft bietet Patch gegen das Problem an. Wie Microsoft in einem aktuellen Security Bulletin mitteilt, steckt ein Sicherheitsleck in ASP.NET, das es Angreifern erlaubt, beliebigen Programmcode auszuführen sowie den Server durch DoS-Attacken in die Knie zu zwingen. Microsoft bietet bereits einen passenden Patch an.