Sicherheitslücke

Microsoft veröffentlicht Sicherheitsbericht für das erste Halbjahr 2008. Microsoft hat einen Sicherheitsbericht für das erste Halbjahr 2008 herausgebracht. Danach ist die Zahl an Sicherheitslücken gesunken, der Anteil der kritischen jedoch gestiegen. Zuwachs verzeichnet auch die Schadsoftware: Gegenüber dem zweiten Halbjahr 2007 stieg sie um fast die Hälfte. Die meisten infizierten Computer stehen in unterentwickelten Ländern. Deutschlands Rechner sind weitgehend gesund.

Kubuntu mit KDE 4.1 als Standardoberfläche. Canonical hat die Version 8.10 der Linux-Distribution Ubuntu veröffentlicht - pünktlich im halbjährigen Rhythmus. Auf dem Server bietet es neue Funktionen wie ein Programm zum Erstellen virtueller Maschinen. Auch die Desktop-Edition hat Canonical nicht unangetastet gelassen: Der neue Network-Manager etwa hilft, UMTS-Verbindungen komfortabel einzurichten.

"Menschenverachtende Denkweise in vielen oberen Konzernetagen". Der Negativpreis BigBrotherAward geht 2008 unter anderem an die Deutschen Telekom. Die Bespitzelung von Telekom-Aufsichtsräten und Journalisten bezeichnete die Jury aus Datenschützern und Menschenrechtlern, als "rücksichtsloses Hinweggehen über geltende Gesetze und die Rechte ihrer Mitarbeiter, Kunden und über sie berichtenden Journalisten." Damit werde "beispielhaft vorgeführt, welch menschenverachtende Denkweise sich in vielen oberen Konzernetagen breit gemacht" habe.

Angreifer können mit einem RPC-Aufruf die Kontrolle übernehmen. Eine kritische Sicherheitslücke in Windows erlaubt es Angreifern über einen speziellen RPC-Aufruf beliebigen Code auszuführen, ohne dass die Angreifer sich dazu authentifizieren müssen. Die Sicherheitslücke könnte Würmern den Weg ebnen, so Microsoft, und veröffentlicht außer der Reihe einen Patch.

Kritische Sicherheitslücke in Windows 2000, XP und Server 2003. Microsoft warnt vor einer kritischen Sicherheitslücke in Windows und wird dazu am heutigen Donnerstag einen wichtigen Sicherheitspatch für Windows veröffentlichen. Der Patch erscheint außerhalb der Reihe, denn für gewöhnlich fasst Microsoft seine Patches einmal im Monat am Patchday zusammen.

Neue Kommandozeilenoptionen für Windows. Opera hat einige Fehler in seinem Browser Opera 9.6 korrigiert und dabei auch einige kleinere Sicherheitslücken gestopft. Unter Windows bringt die neue Version zwei neue Kommandozeilenoptionen mit.

Clemens bittet Großkunden ins Rechenzentrum. Nach einer Kette von Datenskandalen bei der Deutschen Telekom reagieren nun die Kunden der Business-Sparte T-Systems nervös. T-Systems-Chef Reinhard Clemens hat seine 400 wichtigsten Kunden für Mitte November 2008 geladen, um die Wogen zu glätten.

Adressen zu anonymen Chiffre-Anzeigen offengelegt. Bei Anzeigenblättern des WBV Wochenblatt Verlags, der zum Medienkonzern Axel Springer gehört, waren im Monat September 2008 über Wochen persönliche Daten von Anzeigenkunden über das Internet zugänglich. Über die Google-Suchmaschine konnten Namen, Anschrift, Handynummer und Kontodaten für anonyme Chiffre-Anzeigen, beispielsweise aus der Rubrik "Heiraten und Bekanntschaften", gelesen werden.

Staatsanwalt kommt noch vor dem Datenschützer. Am gestrigen Montag, dem 13. Oktober 2008, hat die Staatsanwaltschaft Köln die Geschäfts- und Privaträume des Erotikanbieters Tobias Huch durchsucht. Huch sollte als Zeuge in den Ermittlungen um die Entwendung von 17 Millionen Kundendatensätzen bei T-Mobile vernommen werden, muss nun aber vorerst auf einige PCs verzichten.

Konzern soll Kunden Entschädigung zahlen. Politiker fordern personelle Konsequenzen vom Unternehmensvorstand der Deutschen Telekom, nachdem ein neues Sicherheitsleck bekannt geworden war. Bis vor kurzem konnten die Daten von mehr als 30 Millionen T-Mobile-Kunden abgerufen und manipuliert werden.

Daten von Millionen T-Mobile-Kunden waren manipulierbar. Kurz nach dem Bekanntwerden des Diebstahls von über 17 Millionen Kundendaten bei dem Mobilfunkbetreiber T-Mobile ist eine weitere gefährliche Sicherheitslücke aufgetaucht. So konnten bis vor kurzem die Daten von über 30 Millionen T-Mobile-Kunden inklusive deren Bankdaten von überall abgerufen und sogar manipuliert werden. Dazu genügten einige wenige Benutzerangaben und ein einfaches Passwort, berichtet der Spiegel. Die Telekom will die Lücke nun geschlossen haben.

Patch beseitigt fünf als gefährlich eingestufte Sicherheitslöcher. Apple hat mit dem Security Update 2008-007 ein umfangreiches Patchpaket für MacOS X veröffentlicht, mit dem zahlreiche Sicherheitslecks geschlossen werden. Fünf Sicherheitslücken gelten als gefährlich, weil sie zum Ausführen von Schadcode missbraucht werden können. Die Updates gibt es für MacOS X 10.4.11 sowie 10.5.5.

Vier Patches schließen gefährliche Sicherheitslücken. Im Oktober 2008 will Microsoft summa summarum elf Patches veröffentlichen. Vier dieser Updates beseitigen als gefährlich eingestufte Sicherheitslöcher in Windows, im Internet Explorer und in Excel. Weitere sechs Patches korrigieren als wichtig klassifizierte Sicherheitslücken und ein Update kümmert sich nochmals um Microsoft Office.

Codesperre lässt sich mit einem Trick umgehen. Das iPhone mit aktueller Firmware weist ein Sicherheitsleck auf. Selbst wenn das Mobiltelefon so eingestellt ist, dass Kurzmitteilungen nicht im Volltext auf dem Startbildschirm angezeigt werden, kann dies umgangen werden. Ein Angreifer muss hierfür aber Zugriff auf das iPhone haben.

Erotikunternehmer hatte 17 Millionen T-Mobile-Kundendaten auf seinem Computer. Im Skandal um den Diebstahl von 17 Millionen T-Mobile-Kundendaten ist der rheinland-pfälzische Landesdatenschützer aktiv geworden. Behördenvertreter besuchten am 8. Oktober 2008 den Erotikunternehmer Tobias Huch in Mainz, der seit zwei Jahren im Besitz der kompletten Datenbank sein will.

Adobe hat den Fehler bereits korrigiert. Durch ein Sicherheitsleck im Flash-Player war es einem Angreifer möglich, eine angeschlossene Webcam sowie ein Mikrofon zu benutzen. Dadurch konnten vertrauliche Informationen gesammelt werden. Adobe hat mittlerweile reagiert und den Fehler korrigiert.

Browser mit Feed-Vorschau und verbessertem E-Mail-Client. Ab sofort steht Opera 9.6 in der Finalversion für die Allgemeinheit und für alle Plattformen als Download bereit. Neben der Feed-Vorschau bringt die neue Version Verbesserungen an der Synchronisationsfunktion sowie am integrierten E-Mail-Client. Einem Downloadportal hatte Opera die Windowsfassung der Finalversion bereits 24 Stunden vor der offiziellen Vorstellung zur Verfügung gestellt.

"Skype-to-Skype Kommunikation absolut sicher und vertraulich". Die eBay-Tochter Skype gibt ihrem Joint-Venture-Partner Tom Online die alleinige Schuld im laufenden Abhörskandal in China. Der Mehrheitseigner halte sich nicht an die Absprachen, nach denen verbotene Begriffe in Instant Messaging ausgefiltert und gelöscht, nicht aber abgespeichert und Dritten zur Verfügung gestellt werden dürften.

Namen von 26.000 Studenten zeitweise zugänglich. Durch ein Leck in einem LDAP-Server an der Universität Göttingen waren zeitweise die Namen von 26.000 Studenten abrufbar. Nach Angaben der Universität ist das Sicherheitsleck inzwischen geschlossen.

Konzern räumt Sicherheitslücke in Plattform Cosma ein. Bei der Deutschen Telekom wurden Kundendaten offenbar längere Zeit nicht ausreichend gesichert, was den Diebstahl begünstigt hat. Das Unternehmen hat nun eine "Sicherheitslücke" bestätigt, die aber seit langem geschlossen sei.

Nur zwei Sicherheitslücken als gefährlich klassifiziert. Kurz nach der Veröffentlichung von Firefox 2.0.0.17 ist auch ein Sicherheitsupdate für den E-Mail-Client Thunderbird erschienen. Eines der sieben Sicherheitslücken in Thunderbird 2 betrifft Firefox 2 nicht, alle übrigen Fehler sind in beiden Produkten identisch.

Insgesamt vier gefährliche Sicherheitslücken stecken in Firefox 2. Parallel zum Erscheinen von Firefox 3.0.2 wurde auch die Vorversion des Browsers aktualisiert. Firefox 2.0.0.17 beseitigt insgesamt neun Sicherheitslücken und bringt eine überarbeitete Rendering Engine, die auch in den neuen Versionen von SeaMonkey und Camino zum Einsatz kommt.

Update beseitigt zahlreiche Fehler und unterstützt mehr Sprachen. Mozilla veröffentlicht mit Firefox 3.0.2 ein Sicherheitsupdate für den freien Browser, der dank weiterer Fehlerkorrekturen auch stabiler laufen soll.

Apple schließt zum Teil kritische Sicherheitslücken. Zusammen mit einigen Sicherheitsupdates für MacOS X 10.4 hat Apple eine neue Version seines Betriebssystems MacOS X 10.5 alias Leopard veröffentlicht. Damit werden einige zum Teil kritische Sicherheitslücken geschlossen.

Jeder Programmwechsel verursacht ein Bildschirmfoto. Wie jetzt bekannt wurde, speichert das iPhone 3G bei jedem Programmwechsel den gesamten Bildschirminhalt. Diese Screenshots werden zwar unmittelbar danach wieder gelöscht, allerdings lassen sich diese Daten restaurieren, warnt der iPhone-Experte Jonathan Zdziarski. Dadurch könnten vertrauliche Daten in falsche Hände gelangen.

Acht gefährliche Sicherheitslecks entdeckt. Apple hat QuickTime 7.5.5 für Windows und MacOS X veröffentlicht, um insgesamt neun Sicherheitslecks zu beseitigen. Alle neun Sicherheitslöcher stecken in der Windows-Ausführung von QuickTime, während die Mac-Variante nur von fünf Fehlern betroffen ist. Acht der Sicherheitslecks können zum Ausführen von Schadcode missbraucht werden.

Alle Pakete wurden neu signiert. Das Fedora-Projekt hat sämtliche Pakete neu signiert, so dass die Anwender nun einen zweistufigen Updateprozess beginnen können. Im August 2008 wurde ein Einbruch in Fedora-Server bekannt, woraufhin die Infrastruktur neu aufgesetzt wurde.

Sicherheitsloch in Windows weiterhin offen. Wie angekündigt, hat Microsoft vier Sicherheitspatches in diesem Monat veröffentlicht, die als gefährlich eingestufte Sicherheitslücken beseitigen sollen. Allen acht Sicherheitslecks ist gemein, dass Angreifer darüber beliebigen Programmcode ausführen können. Ein bekanntes Sicherheitsloch in Windows ist weiterhin offen.

Schwächen der Funktion mt_rand() gefährden auch andere PHP-Applikationen. Stefan Esser hat eine Sicherheitslücke in der Blogsoftware Wordpress entdeckt, die die Entwickler mit der neuen Version 2.6.2 schließen. Gefährdet sind in erster Linie Blogs, die eine offene Registrierung anbieten.

Adressdatenbank "Cosma" angeblich schlecht gesichert. Ein früherer Callcenter-Beschäftigter soll versucht haben, die Deutsche Telekom um 10.000 Euro zu erpressen. Ihm sei es gelungen, in die interne Telekom-Plattform Cosma einzudringen und Kundendaten zu stehlen, meldet der Focus.

Vier Patches für den 9. September 2008 geplant. Insgesamt vier Sicherheitspatches will Microsoft am diesmonatigen Patchday veröffentlichen. Damit sollen gefährliche Sicherheitslücken in Windows, im Internet Explorer, im Windows Media Player und im Office-Paket beseitigt werden. Angreifer können diese Fehler ausnutzen, um schadhaften Programmcode auszuführen.

Update für alle Nutzer empfohlen. Der freie Datei- und Druckserver Samba ist in der Version 3.2.3 erschienen, die einen Fehler beseitigt, durch den Nutzer ihre Rechte ausweiten konnten. Das Update wird allen Samba-Administratoren empfohlen.

Open-Source-Software soll auch DNS-Exploits vorbeugen. Forscher der Carnegie Mellon Universität haben eine Erweiterung für den Firefox-Browser entwickelt, die den Anwender vor sogenannten Man-in-the-Middle-Attacken schützt. "Perspectives" überprüft dazu, ob der Schlüssel der Gegenseite korrekt ist. So wissen Nutzer auch, ob sie einer Verbindung vertrauen können, wenn der Server ein selbst signiertes Zertifikat verwendet.

Auch Red Hat betroffen. In einige Fedora-Server wurde eingebrochen. Nach den abgeschlossenen Untersuchungen könne aber ausgeschlossen werden, dass Pakete manipuliert wurden, so das Projekt. Und auch in Server des maßgeblich hinter Fedora stehenden Linux-Anbieters Red Hat drangen Angreifer ein.

Neue Version beseitigt sieben Sicherheitslücken. Mit einem Update auf Opera 9.52 werden insgesamt sieben Sicherheitslöcher in dem Browser beseitigt. Eines davon wird als gefährlich klassifiziert, weil Angreifer darüber aus der Ferne beliebigen Programmcode ausführen können. Außerdem korrigiert die neue Version einige Programmfehler, um die Zuverlässigkeit der Software zu verbessern. Neue Funktionen bringt Opera 9.52 nicht.

Ermittlungsergebnisse nur mangelhaft dokumentiert. Das US Government Accountability Office (GAO) rügt in einem redigierten Bericht die mangelhafte Dokumentation der Ergebnisse von Ermittlern einer DHS-Behörde. Diese hatten Mängel bei Sicherheitskontrollen auf US-Flughäfen aufgedeckt, ihre Ergebnisse aber nicht ausreichend dokumentiert.

Angreifer können beliebigen Schadcode ausführen. In der Windows-Komponente NSlookup.exe wurde ein gefährliches Sicherheitsloch entdeckt, das bereits aktiv ausgenutzt wird. Microsoft hat noch keinen Patch zur Abhilfe veröffentlicht und untersucht das Problem noch.

Joomla 1.5.6 beseitigt Sicherheitslücke. Eine kritische Sicherheitslücke im CMS Joomla gefährdet damit realisierte Webseiten und wird bereits aktiv ausgenutzt. Angreifer können unter nicht seltenen Umständen das Passwort des Administrators ändern und so Kontrolle über das CMS erlangen.

Angreifer können Schadcode einschleusen und ausführen. Aus den 12 geplanten Sicherheitspatches für Windows und Microsofts Office-Paket wurden nur noch 11. In einem Update für den Windows Media Player wurde in letzter Sekunde noch ein Fehler gefunden, so dass dieses nicht erschienen ist. Allein in Microsofts Office-Produkten wurden 14 Sicherheitslücken geschlossen, 5 Fehler gibt es im Internet Explorer und weitere 6 Sicherheitslecks stecken im Betriebssystem von Microsoft.

Neue Version nutzt Gecko 1.8.1.16. Der Webbrowser Camino für MacOS X steht in der Version 1.6.3 als Download bereit und beseitigt verschiedene Sicherheitslecks. Weitere Neuerungen bringt dieses Update nicht.

Insgesamt erscheinen am 12. August 2008 zwölf Sicherheitspatches. Für den Patchday im August 2008 sind insgesamt zwölf Updates geplant. Sieben Patches sind für die Windows-Plattform geplant, wovon drei Updates gefährliche Sicherheitslecks beseitigen. Von den fünf Office-Patches kümmern sich vier um ebenfalls als gefährlich eingestufte Sicherheitslöcher.

PHP 4.4.9 beseitigt Sicherheitslücken. Mit PHP 4.4.8 erschien eigentlich die letzte Version von PHP 4 - eigentlich, denn die PHP-Entwickler gaben nun die Version 4.4.9 frei.

Detaillierte Angaben zu Sicherheitslücken vor dem Patch-Day. Vor dem allmonatlichen Patch-Day will Microsoft ausgewählten Partnern ab Oktober 2008 mehr Details zu geschlossenen Sicherheitslecks bereitstellen. Damit sollen etwa Unternehmenskunden besser entscheiden können, wie dringlich eine Patch-Einspielung ist.