Sicherheitslücke

Sicherheitslücken, die das Bewusstsein verändern sollen. Frank Rieger und Ron vom Chaos Computer Club (CCC) haben einen Ausblick auf die Sicherheitsprobleme in der Informationstechnik gegeben. Sie sehen das Ende des Virenscanners nahen.

Aktuelle Version beseitigt Sicherheitslücken. Mit Thunderbird 2.0.0.19 werden mehrere Sicherheitslücken in dem E-Mail-Client beseitigt. Damit zieht der E-Mail-Client mit dem Browser Firefox gleich, für den das Sicherheitsupdate bereits seit zwei Wochen verfügbar ist.

Letztes Update für Firefox 2, aktueller Firefox 2 ohne Phishingfilter. Mit Sicherheitspatches für Firefox 2 und 3, SeaMonkey sowie Camino werden eine Reihe von Sicherheitslücken in den Browsern beseitigt. Einige der Sicherheitslecks lassen sich zum Ausführen von Schadcode missbrauchen. Das letzte Firefox-2-Update besitzt keinen Phishing-Filter mehr.

Microsoft will kritisches Sicherheitloch am 17. Dezember 2008 stopfen. Eigentlich steht das nächste Sicherheitsupdate bei Microsoft erst im Januar 2009 auf dem Plan, doch eine kritische Sicherheitslücke im Internet Explorer, die bereits aktiv ausgenutzt wird, zwingt Microsoft zum Handeln außer der Reihe.

Opera 9.63 beseitigt insgesamt sieben Sicherheitslücken. Mit dem Erscheinen von Opera 9.63 werden sieben verschiedene Sicherheitslecks in dem Browser korrigiert. Vier der Sicherheitslöcher gelten als gefährlich, weil Angreifer darüber beliebigen Programmcode ausführen können.

MacOS X 10.5.6 enthält die Sicherheitsupdates bereits. Apple beseitigt mit mehreren Updatepaketen verschiedene, teils schwerwiegende Sicherheitsprobleme in MacOS 10.4 alias Tiger und 10.5 alias Leopard. Betroffen sind etwa Adobes Flashplayer und wichtige Systemkomponenten im Betriebssystem, die mit ihren Schwachstellen andere Anwendungen unsicher machen.

Wurden die bei der LBB abhanden gekommenen Daten doch missbraucht? Die der Berliner Landesbank LBB abhanden gekommenen Kreditkartendaten könnten doch missbraucht worden sein, berichtet die Frankfurter Rundschau. LBB und der Finanzdienstleister Atos Worldline hätten schon vor dem Datenskandal gewarnt, dass ihre Kreditkarten missbraucht worden seien.

Angriffe auf Microsofts Browser durch harmlose Webseiten. Microsofts Internet Explorer ist erneut Ziel eines Angriffs. Derzeit sind vor allem Nutzer in China betroffen, aber ein Überschwappen nach Europa ist möglich. Einen Patch gibt es nicht und so ist das Nutzen eines anderen Browsers derzeit die beste Möglichkeit, die Lücke im Browser zu vermeiden.

Trotz Patchday noch keine Fehlerkorrektur erschienen. Zeitgleich mit dem diesmonatigen Patchday warnt Microsoft vor einer offenen Sicherheitslücke im WordPad Text Converter. Das Sicherheitsloch wird bereits ausgenutzt, aber einen Patch gibt es noch nicht. Es ist fraglich, ob das Sicherheitsloch noch dieses Jahr beseitigt wird.

25 kritische Sicherheitslöcher erlauben Ausführung von Schadcode. Zum Jahresende beseitigt Microsoft noch einmal insgesamt 28 Sicherheitslücken in seinen Produkten. Davon werden 25 Sicherheitslöcher als gefährlich eingestuft, weil darüber beliebiger Schadcode ausgeführt werden kann. Neben Windows sind davon der Internet Explorer, Word, Outlook, Excel sowie der Windows Media Player betroffen.

Trend Micro legt Zahlen zu Schadensursachen für 2008 vor. Die meisten Computerschädlinge laden sich Nutzer selbst herunter, berichten die Forscher des Sicherheitsspezialisten Trend Micro. Sicherheitslücken in Software spielten hingegen 2008 nur eine untergeordnete Rolle.

Workaround für Fehler bei magic_quotes_gpc. Nachdem am Montag PHP 5.2.7 wegen eines kritischen Fehlers zurückgezogen wurde, haben die Entwickler der freien Scriptsprache nun die Version 5.2.8 mit einer entsprechenden Korrektur veröffentlicht.

Dritte Alpha von PHP 5.3 veröffentlicht. Die in der letzten Woche veröffentlichte Version 5.2.7 der Scriptsprache PHP ist am Wochenende wegen eines schwerwiegenden Fehlers zurückgezogen worden. Kurz zuvor erschien zudem eine dritte Alphaversion von PHP 5.3.

Letztes Update für Mitte Dezember 2008 angekündigt. Im letzten Update für den Firefox-Browser 2.0 wird die Anti-Phishing-Funktion nicht mehr enthalten sein. Der Schutz wird entfernt, da Firefox 2 eine Version des Safe-Browsing-Protokolls nutzt, die von Anbieter Google nicht länger unterstützt wird.

Fehler in Windows, im Internet Explorer und in Office. Summa Summarum acht Sicherheitspatches will Microsoft am letzten Patchday dieses Jahres veröffentlichen. Drei Softwarekorrekturen behandeln Fehler in Windows, eine weitere kümmert sich um den Internet Explorer und vier Patches beseitigen Sicherheitslöcher in Office.

Einrichtung von Rufumleitungen über Internet nicht mehr möglich. Die Deutsche Telekom kann ihre Kunden nicht vor Hackern schützen, die ungewollte, teure Rufumleitungen ins Ausland einrichten. Der von immer neuen Enthüllungen um Datenlecks betroffene Konzern musste einen Dienst nun abschalten.

Diesmal sind Festnetz- und DSL-Kunden die Opfer. Nach einem neuerlichen Bericht über ein Datenleck bei der Deutschen Telekom hat der Bundesdatenschutzbeauftragte die Große Koalition zum Handeln aufgefordert. Es sei höchste Zeit, "die Bürger endlich wirksam zu schützen", sagte Peter Schaar.

Windows-Patch auf vielen Systemen noch nicht eingespielt. Microsoft warnt vor einem Wurm, der sich seit kurzem über eine Sicherheitslücke in Windows verbreitet. Seit Mitte Oktober 2008 steht ein Patch bereit, der aber noch nicht auf allen Systemen installiert wurde. Windows-Nutzer sind aufgerufen, den Patch zügig zu installieren.

Vorwurf: Angreifer erhalten Zugriff auf E-Mails von Google Mail. Dem Besitzer der Domain MakeUseOf.com wurde diese Anfang November 2008 gekapert. Das war möglich, weil Unbefugte Zugriff auf die Anmeldedaten des Domainverwalters erhielten. Das soll durch ein Sicherheitsleck in Google Mail passiert sein. Google bestreitet die Existenz einer solchen Sicherheitslücke.

Google schließt Sicherheitslücke in seinem Browser. Mit Chrome 0.4.154.25 steht eine neue Betaversion von Googles Browser zum Download bereit. Wesentliche Neuerung ist die neu eingeführte Bookmarkverwaltung, die Chrome bislang fehlte. Zudem schließt Google eine Sicherheitslücke.

Bislang kein Sicherheitspatch erschienen. Im TCP/IP-Stack von Windows Vista wurde ein Sicherheitsloch entdeckt, das zu einem Absturz des Systems führt. Im schlimmsten Fall könnte darüber ein Unbefugter vollen Zugriff auf das System erlangen. Einen Patch gibt es bislang nicht.

Firefox-Sicherheitslücken bei Thunderbird nicht als kritisch eingestuft. Eine Woche nach Veröffentlichung des Sicherheitsupdates Firefox 3.0.4 hat Mozilla auch den E-Mail-Client Thunderbird aktualisiert. Dieser steht nun in der Version 2.0.0.18 zum Download bereit.

Unter den 55 Betroffenen sind 22 Betriebsräte. Die Spitzelaffäre der Deutschen Telekom könnte noch weit größere Ausmaße annehmen als bislang bekannt. Bei den Bemühungen, die firmeninternen Quellen eines Journalisten auszuspähen, sind offenbar alle Dämme gebrochen. Sogar die Kinder zweier Aufsichtsräte des Unternehmens gerieten ins Visier.

Recht auf freie gewerkschaftliche Betätigung angegriffen. Der vermutlich von der Deutschen Telekom bespitzelte Gewerkschaftschef Frank Bsirske hat die Praktiken des Bonner Konzerns als unerträglich bezeichnet. "Dass unsere Vertreter in Tarifverhandlungen Managern gegenüber sitzen, die möglicherweise Aufträge erteilt haben könnten, deren Telefonverkehr auszuwerten und zu protokollieren, ist einfach unerträglich."

Ein Teil der nun geschlossenen Sicherheitslecks ist seit Monaten bekannt. Safari 3.2 steht ab sofort zum Download bereit und beseitigt insgesamt acht als gefährlich eingestufte Sicherheitslücken. Angreifer können sie zur Ausführung von Schadcode missbrauchen. Ein Großteil der Fehler ist bereits seit Monaten bekannt, wird aber erst jetzt korrigiert.

Auch Updates für Firefox 2.x und SeaMonkey veröffentlicht. Für Firefox 3, Firefox 2 und SeaMonkey 1.1 stehen neue Versionen zum Download bereit, um eine Reihe von Sicherheitslücken zu beseitigen. Viele der nun geschlossenen Sicherheitslöcher werden als gefährlich eingestuft, weil sich darüber schadhafter Programmcode einschleusen und ausführen lässt.

Zwei von vier Sicherheitslücken erlauben Codeausführung. Am November-Patchday beseitigt Microsoft mit zwei Patches insgesamt vier Sicherheitslücken. Sie betreffen die Windows-Plattform sowie die Office-Produkte und können teilweise zur Ausführung von Schadcode missbraucht werden.

Korrigierte Firmware wird bereits verteilt. Durch einen Fehler versteht das Android-Smartphone G1 beliebige Tastatureingaben als direkten Befehl und führt ihn mit maximalen Rechten aus. Wird etwa "reboot" eingetippt, führt das zu einem sofortigen Neustart des Geräts. In einer korrigierten Firmware soll dieser Fehler beseitigt sein.

Ein Windows-Patch beseitigt auch Fehler in Microsofts Office-Paket. Am 11. November 2008 steht planmäßig der nächste Patchday von Microsoft an. Mit zwei Patches sollen dann als gefährlich eingestufte Sicherheitslücken in Windows geschlossen werden. Einer der Patches gilt auch für Microsofts Office-Paket und über alle zu schließenden Fehler können Angreifer Schadcode ausführen.

Neue Version vom Flash-Player 9 schließt sechs Sicherheitslecks. Insgesamt sechs Sicherheitslücken beseitigt Adobe mit einem Update für den Flash-Player 9. Keines der nun geschlossenen Sicherheitslöcher kann zur Ausführung von Schadcode missbraucht werden. Anwender sind dennoch aufgerufen, das Update möglichst bald einzuspielen.

Patch beseitigt zum Teil als gefährlich eingestufte Sicherheitslecks. Im Adobe Reader 8.x sowie in Acrobat 8.x wurden insgesamt acht Sicherheitslöcher gefunden. Mit einem Patch sollen diese Fehler nun korrigiert werden. Einige der Sicherheitslücken können auch zur Ausführung von Programmcode missbraucht werden.

Microsoft veröffentlicht Sicherheitsbericht für das erste Halbjahr 2008. Microsoft hat einen Sicherheitsbericht für das erste Halbjahr 2008 herausgebracht. Danach ist die Zahl an Sicherheitslücken gesunken, der Anteil der kritischen jedoch gestiegen. Zuwachs verzeichnet auch die Schadsoftware: Gegenüber dem zweiten Halbjahr 2007 stieg sie um fast die Hälfte. Die meisten infizierten Computer stehen in unterentwickelten Ländern. Deutschlands Rechner sind weitgehend gesund.

Kubuntu mit KDE 4.1 als Standardoberfläche. Canonical hat die Version 8.10 der Linux-Distribution Ubuntu veröffentlicht - pünktlich im halbjährigen Rhythmus. Auf dem Server bietet es neue Funktionen wie ein Programm zum Erstellen virtueller Maschinen. Auch die Desktop-Edition hat Canonical nicht unangetastet gelassen: Der neue Network-Manager etwa hilft, UMTS-Verbindungen komfortabel einzurichten.

Gefährliches Sicherheitsloch erlaubt Ausführung von Programmcode. Der norwegische Browser Opera wurde in der Version 9.62 veröffentlicht, um zwei Sicherheitslöcher zu schließen. Einer der Sicherheitslücken wird von Opera als sehr gefährlich eingestuft, weil Angreifer darüber beliebigen Programmcode ausführen können.

Weitere Beschäftigte der Abteilung beurlaubt. Die Deutsche Telekom zieht nach mehreren Datenskandalen in der Sicherheitsabteilung ihrer Mobilfunksparte T-Mobile Konsequenzen. Ein Mitarbeiter, der illegal Daten gesammelt haben soll, wurde mit seinem Büronachbarn, seinem Vorgesetzten und dem Leiter der Sicherheitsabteilung beurlaubt.

Homebrew Channel Beta 9 läuft auch mit Firmware vom 23. Oktober 2008. Hacker nutzen eine neu entdeckte Sicherheitslücke in der Wii-Firmware, um den inoffiziellen Homebrew Channel wieder auf die Wii-Bedienoberfläche zu installieren. Wii-Konsolen mit den letzten beiden Firmwareversionen können nach Einspielen des Hacks ebenfalls selbstgeschriebene Software ("Homebrew") starten.

"Menschenverachtende Denkweise in vielen oberen Konzernetagen". Der Negativpreis BigBrotherAward geht 2008 unter anderem an die Deutschen Telekom. Die Bespitzelung von Telekom-Aufsichtsräten und Journalisten bezeichnete die Jury aus Datenschützern und Menschenrechtlern, als "rücksichtsloses Hinweggehen über geltende Gesetze und die Rechte ihrer Mitarbeiter, Kunden und über sie berichtenden Journalisten." Damit werde "beispielhaft vorgeführt, welch menschenverachtende Denkweise sich in vielen oberen Konzernetagen breit gemacht" habe.

Angreifer können mit einem RPC-Aufruf die Kontrolle übernehmen. Eine kritische Sicherheitslücke in Windows erlaubt es Angreifern über einen speziellen RPC-Aufruf beliebigen Code auszuführen, ohne dass die Angreifer sich dazu authentifizieren müssen. Die Sicherheitslücke könnte Würmern den Weg ebnen, so Microsoft, und veröffentlicht außer der Reihe einen Patch.

Kritische Sicherheitslücke in Windows 2000, XP und Server 2003. Microsoft warnt vor einer kritischen Sicherheitslücke in Windows und wird dazu am heutigen Donnerstag einen wichtigen Sicherheitspatch für Windows veröffentlichen. Der Patch erscheint außerhalb der Reihe, denn für gewöhnlich fasst Microsoft seine Patches einmal im Monat am Patchday zusammen.

Neue Kommandozeilenoptionen für Windows. Opera hat einige Fehler in seinem Browser Opera 9.6 korrigiert und dabei auch einige kleinere Sicherheitslücken gestopft. Unter Windows bringt die neue Version zwei neue Kommandozeilenoptionen mit.

Clemens bittet Großkunden ins Rechenzentrum. Nach einer Kette von Datenskandalen bei der Deutschen Telekom reagieren nun die Kunden der Business-Sparte T-Systems nervös. T-Systems-Chef Reinhard Clemens hat seine 400 wichtigsten Kunden für Mitte November 2008 geladen, um die Wogen zu glätten.

Adressen zu anonymen Chiffre-Anzeigen offengelegt. Bei Anzeigenblättern des WBV Wochenblatt Verlags, der zum Medienkonzern Axel Springer gehört, waren im Monat September 2008 über Wochen persönliche Daten von Anzeigenkunden über das Internet zugänglich. Über die Google-Suchmaschine konnten Namen, Anschrift, Handynummer und Kontodaten für anonyme Chiffre-Anzeigen, beispielsweise aus der Rubrik "Heiraten und Bekanntschaften", gelesen werden.

Critical Patch Update für Oktober 2008 veröffentlicht. Oracles Patchpaket für den Oktober 2008 enthält 36 Updates. Betroffen sind Produkte quer durch das Angebot von Oracle. Auch ein Patch für einen kritischen Fehler im Weblogic-Server ist enthalten.