Sicherheitslücke

Der Angriff auf das texanische Wasserwerk in der vergangenen Woche sei ein Kinderspiel gewesen, sagt der Eindringling. Er habe das Steuerungssystem mit einer Software aufgespürt. Das Passwort hatte nur drei Stellen.

Motorola verteilt das Update auf Android 2.3.4 alias Gingerbread für das Atrix in Deutschland. Aber zunächst gibt es das Gingerbread-Update nur für die Smartphones, die bei Vodafone gekauft wurden. Wann die übrigen Atrix-Kunden ein Update erhalten, ist nicht klar.

Microsoft hat für vier Windows-Sicherheitslücken vier Patches veröffentlicht. Einer der Fehler wird von Microsoft als gefährlich eingestuft, weil Angreifer darüber beliebigen Code einschleusen und ausführen können.

Wer Java auf seinem Mac benutzt, sollte ein Update machen. Eine neue Version beseitigt zahlreiche gefährliche Sicherheitslücken in der Laufzeitumgebung.

Sicherheitsexperte Charlie Miller hat eine Sicherheitslücke bei iOS-Apps entdeckt, die es ermöglicht, harmlose Anwendungen nachträglich zu Schadsoftware zu machen. Die Demo-App wurde mittlerweile entfernt, Miller wurde der Entwicklerzugang entzogen.

Tausende Patientendaten aus Schleswig-Holstein lagen monatelang oder sogar jahrelang frei zugänglich auf den Servern des IT-Dienstleisters Rebus. Schuld seien ein organisatorisches Chaos und der Einsatz einer handgestrickten Lösung, deren Sicherheit nie überprüft wurde.

Schnellerer Start, effizienterer Umgang mit Speicher, neue HTML5-Funktionen und striktere Regeln für Erweiterungen zum Schutz von Nutzern, das sind die wesentlichen Neuerungen in Firefox 8.

Update Touch & Travel von der Deutschen Bahn ist offline genommen worden. Die Bankdaten der Nutzer hatten bei der Neuanmeldung offengelegen.

Apple hat einem Bericht von AllthingsD zufolge Fehler in iOS 5 entdeckt, die für die kurzen Akkulaufzeiten des neuen iPhone 4S verantwortlich sein sollen. Entwickler können bereits ein Update testen.

Einer Gruppe von Forschern ist es gelungen, eine Sicherheitslücke in Skype dazu auszunutzen, die IP-Adressen von Nutzern zu bestimmen und deren Ortswechsel zu beobachten. Das Verfahren kann auch dazu eingesetzt werden, Filesharing-Aktivitäten zu beobachten.

Forscher der Ruhr-Universität Bochum konnten sich in Accounts der Amazon Web Services hacken, um Images anzulegen und zu löschen. Auch der Amazon-Shop sei für Cross-Site-Scripting-Angriffe anfällig gewesen.

HTC hat damit begonnen, ein Update auf Android 2.3.5 für das Desire S zu verteilen. Mit dem Update gibt es auch Verbesserungen für HTCs Sense 3.0.

Die Codesperre des iPad 2 mit iOS 5 lässt sich mit Hilfe des Smart Covers oder eines anderen magnetischen Objektes umgehen. Einen Vollzugriff gibt es damit nicht, aber ein paar Möglichkeiten, im Tablet herumzuschnüffeln oder Anwendungen zu löschen.

Ein Informatikstudent hat eine neue Methode zur Webcam-Spionage über den Flash Player gefunden. Adobe will die von Feross Aboukhadijeh entdeckte Sicherheitslücke noch in dieser Woche schließen.

Opera Software hat die Version 11.52 von Opera veröffentlicht. Mit dem Update wird eine SVG-Sicherheitslücke im Browser beseitigt, um die es einige Aufregung gab.

Update Die Beta der Sprachsteuerung von Siri hat ein Sicherheitsproblem, das vielen Anwendern noch nicht bewusst ist. Apples iOS 5 hat auch an anderer Stelle ein Sicherheitsproblem. Das Benachrichtigungszentrum erlaubt Rückrufe ohne Eingabe eines Codes.

Bei einem Einbruch in die Server von WineHQ haben Angreifer Zugangsdaten für den Zugriff auf Bugzilla und Appdb gestohlen. Zwar sind die entwendeten Passwörter verschlüsselt, dennoch werden die Administratoren sie für alle Accounts zurücksetzen.

Zum Oktober-Patchday beseitigt Microsoft kritische Sicherheitslücken im .Net-Framework, in Microsoft Silverlight und im Internet Explorer. Zudem schließt der heute Nacht veröffentlichte Patch sechs weitere Sicherheitslücken.

Der gehackte Webhoster Hetzner Online hatte die Administratoren- und Kundenpasswörter lange Zeit nicht verschlüsselt abgelegt. Der mittlerweile bekannte Eindringling konnte die Daten aus einem früheren Angriff nutzen, um sich trotz verbesserter Sicherheit Zugang zu den Kundendaten zu verschaffen.

Mit den bereits erhältlichen Updates auf 3.4.3 und 3.3.4 werden unter anderem kritische Sicherheitslücken im Büropaket Libreoffice geschlossen. Das hat das Libreoffice-Team jetzt bekanntgegeben.

Kurz nach dem Erscheinen von Firefox 7 hat Mozilla eine Betaversion von Firefox 8 für Windows, Linux, Mac OS X und Android veröffentlicht, die neue Funktionen und ein verändertes User Interface enthält.

Die Webseite Mysql.com ist vorübergehend mit Schadsoftware infiziert worden. Besucher der Seite wurden auf eine weitere Webseite umgeleitet, die wiederum versuchte, über Schwachstellen im Browser Malware auf die Rechner des Opfers zu installieren.

Ein Zeroday-Exploit hat Adobe zum Handeln gezwungen - kurzerhand wurden Updates für Windows, Mac OS, Linux, Solaris und Android veröffentlicht. Sie schließen eine Cross-Site-Scripting-Schwachstelle, die zum Stehlen von Zugangsdaten genutzt werden kann.

Adobe will im Laufe des heutigen Tages ein Update für den Flash Player veröffentlichen. Damit soll unter anderem eine Sicherheitslücke geschlossen werden, die Cross-Site-Scripting-Angriffe erlaubt.

Diginotar hat einen Insolvenzantrag gestellt. Dem niederländischen Sicherheitsunternehmen war es zuvor untersagt worden, neue elektronische Signaturen auszustellen.

Die beiden Sicherheitsforscher Juliano Rizzo und Thai Duong wollen Ende der Woche auf der Ekoparty Security Conference einen Angriff auf SSL/TLS vorstellen, mit dem sich die verschlüsselte Kommunikation mit Webseiten abhören lässt.

Google hat seinen Browser Chrome 14 in einer stabilen Version veröffentlicht. Größte Neuerungen sind die Integration des Native Client, mit dem sich nativer Code im Browser ausführen lässt, die Unterstützung des neuen Web Audio API und eine bessere Integration in Mac OS X 10.7 alias Lion.

Das niederländische Unternehmen Diginotar darf künftig auch keine elektronischen Signaturen mehr ausstellen. Bisher ausgestellte Signaturen werden ungültig.

Neben Microsoft muss auch Adobe Sicherheitslücken schließen. In allen noch unterstützten PDF-Programmen gibt es Schwachstellen, die für das System gefährlich werden können. Die Sicherheitsupdates sind aber teils nicht bis zum Ende durchdacht.

Microsoft hat mehrere Patches veröffentlicht, die insgesamt 15 Sicherheitslücken in Microsoft-Produkten schließen sollen. Betroffen ist insbesondere Excel für Windows und Mac OS X. Auch für Windows und diverse Serverprodukte müssen Updates installiert werden.

Ein weiteres Update verbessert das Vorgehen gegen einen Angriff auf den Apache-Webserver über Byte-Ranges-Header. Das Update für den 2.0-Entwicklungszweig soll im September erscheinen.

Die Vasco-Tochter Diginotar hat das Vertrauen einer weiteren Firma verloren. Nun patcht auch Apple die Root-Zertifikate aus seinen Betriebssystemen, allerdings nur bei Lion und Snow Leopard.

Der kommende Patchday von Microsoft wird 15 Sicherheitslücken schließen, die Windows, Office und die Serverversionen der beiden Programmfamilien betreffen.

Ein weiterer großer Softwarehersteller wirft die Diginotar-Root-Zertifikate aus seinem Programm. Das heißt aber nicht, dass die Adobe-Programme das sofort umsetzen. Bestenfalls vergehen zwischen 30 und 90 Tagen, bis das Update ankommt.

Die Auswirkungen der gehackten Diginotar-Zertifikate sind vor allem in den Niederlanden zu spüren: Dort raten Innenminister und Gerichte, zu Papier und Stift, Fax und Post zu greifen.

Microsoft hat Patches für sämtliche Windows-Versionen veröffentlicht, die die Root-Zertifikate von Diginotar entfernen. Etliche große Linux-Distributionen stellen entsprechende Updates bereit. Ein Patch für Mac OS X ist noch nicht verfügbar.

Rund 250 Zertifikate sperren die Entwickler von Google Browser Chrome in Reaktion auf das gefälschte SSL-Zertifikat von Diginotar. Das Ausmaß des Sicherheitsproblems könnte also deutlich größer sein als bisher angenommen.

Angreifer haben Admin-Rechte für den Hauptserver der Webseite Kernel.org erlangt. Über die Seite wird unter anderem der Quellcode von Linux verteilt. Allerdings wurde wohl kein Code verändert.

Wikileaks hat begonnen, eine verschlüsselte Datei über Bittorrent zu verteilen. Offenbar handelt es sich um den gesamten Bestand der Botschaftsdepeschen. Wikileaks ruft dazu auf, zu votieren, ob die Dateien veröffentlicht werden sollen. Die Depeschen kursieren wohl bereits unverschlüsselt im Netz.

Der Streit zwischen Wikileaks-Aktivist Julian Assange und Openleaks-Gründer Daniel Domscheit-Berg ist noch lange nicht beendet. Assange beschuldigt Domscheit-Berg über seinen Anwalt, Urheber des jüngsten Datenlecks bei Wikileaks zu sein.

Der Opera-Browser hat ein Update erhalten und unterstützt eine neue Sonderfunktion von Mac OS 10.7. Mit Opera 11.51 werden zwei Sicherheitslücken und etliche Programmfehler korrigiert. Insgesamt soll der Browser damit stabiler als bisher funktionieren.

Die jüngst bekanntgewordene Sicherheitslücke im Apache-Web-Server ist geschlossen worden. Updates mit entsprechenden Bugfixes stehen zum Download bereit. Allerdings ist das Problem nicht ganz behoben, denn der Fehler betrifft auch das darunterliegende Protokoll.