News Archiv 1. Quartal 2007

Schlagzeilen * Details

Schlagzeilen:


zur Übersicht

Details:



30.03.2007 - Sicherheitslücken in Microsoft Programmen und Firefox

Gestern haben wir bereits über eine neue Schwachstelle in mehreren Microsoft Programmen geschrieben. Heute bestätigte Microsoft die Probleme, weitete die Liste der betroffenen Software aus, und brachte damit einen Stein ins Rollen. Aufgrund der vielen Änderungen gegenüber den gestrigen Informationen, haben wir den Artikel von gestern gelöscht.

Animierte Cursor Dateien sind wieder einmal der Schrecken eines jeden Microsoft Betriebssystems. Die Dateien mit der Endung '.ani' haben bereits 2005 ein Update heraufbeschworen, dass jedoch aus heutiger Sicht das Problem nicht vollständig löste. Somit sind alle Windows Versionen, sowie auch die E-Mail Programme Outlook und Outlook Express (mit Ausnahme von Outlook 2007) von der Sicherheitslücke betroffen. Der Sicherheitsdienstleister 'Determina' geht gar davon aus, dass auch in Firefox ein ähnliches Problem schlummert.

Lösungen in Form von Updates gibt es bislang für keines der genannten Programme. In Outlook soll es aber ausreichen, die Ansicht von E-Mails auf 'Nur-Text' umzustellen. Bei Outlook Express bringt diese Einstellung (entgegen gestrigen Meldungen) leider nichts. Trotzdem muss sich der Anwender nicht mit den Lücken abfinden, den Alternativen stehen bereit. Anstelle des Internet Explorer von Microsoft verwendet man am besten Opera 9.10, und statt Outlook Express empfiehlt sich Mozilla Thunderbird.

Quelle: 'Microsoft bestätigt kritische Sicherheitslücke' auf Heise Online

Download: Mozilla Thunderbird 1.5.0.10 Windows, Deutsch » 6,1MB

zur Übersicht

29.03.2007 - OpenOffice 2.2 schließt Sicherheitslücken und bringt Neuerungen

Wie letzte Woche angekündigt, steht nun die Version 2.2 von OpenOffice zum Download bereit. Die wichtigste Neuerung besteht in den behobenen Sicherheitslücken, die zuletzt entdeckt wurden. Aber die Entwickler haben auch wieder eine Reihe neuer Funktionen eingebaut, die mitunter sehr nützlich sind.

Das OpenOffice.org Team nennt als erstes die neue 'Kerning' Funktion, die ein 'wesentlich professionelleres Schriftbild' ergeben soll. Immer wieder für Neuerungen gut ist der PDF-Export, der abermals erweitert wurde, und nun u.a. PDF Formulare erstellen kann. Auf Windows Vista soll sich die Software besser in das 'Look & Feel' einfügen, indem u.a. der neue 'Datei Öffnen Dialog' Verwendung findet. Der Datenaustausch zwischen Microsoft Excel und OpenOffice.org Calc wurde verbessert. Das Datenbankmodul (Base) hat einige Verbesserungen erfahren. In Impress, dem Präsentationsmodul, wurde die Handhabung von versteckten Folien intuitiver gestaltet.

Von der deutschen Presseerklärung verschwiegen, aber deshalb nicht uninteressant, ist der ausgebaute 'Extension-Manager' (Erweiterungs-Manager). Er bietet nun die Möglichkeit installierte Erweiterungen per Mausklick upzudaten (falls der Hersteller der Erweiterung das vorgesehen hat), außerdem können heruntergeladene Erweiterungen (dateien mit der Endung 'oxt') nun einfach per Doppelklick installiert werden. Die Entwickler haben zudem bekannt gegeben, dass neue 'Minor-Releases' (also 2.3, 2.4 usw.) nun halbjährlich statt vierteljährlich erscheinen. Statt dessen soll es bei dringenden Problemen so genannte 'Micro-Releases' geben, die dann als 2.2.1, 2.2.2 usw. ausgewiesen werden. So kann man auf eventuelle Sicherheitslöcher noch rascher reagieren.

Alles in allem etliche Verbesserungen, die für sich ein Update schon lohnenswert machen können. Wer auf der sicheren Seite sein möchte, hat eh keine Wahl. Wir empfehlen jedenfalls allen Anwendern von OpenOffice, möglichst rasch auf die neue Version zu aktualisieren.

Download: OpenOffice.org 2.2, andere Betriebssysteme, Deutsch

Quelle: 'Pressemitteilung zu OpenOffice.org 2.2' auf OpenOffice.org

zur Übersicht

25.03.2007 - FTP Sicherheitslücke auch in Opera und Konqueror

Die kürzlich in Firefox 2.0.0.3 bzw. 1.5.0.11 behobene Sicherheitslücke, dass mittels manipuliertem FTP Server ein Auskundschaften der eigenen Netzwerkstruktur möglich ist, soll sich auch in aktuellen Opera und Konqueror Versionen befinden. Die Behauptung von 'bindshell.net' wurde von Opera bisher weder bestätigt noch widerlegt, die Konqueror Entwickler diskutieren noch über die Tragweite der Lücke.

Wie schon zuletzt bei der Meldung zu Firefox geschrieben, ist diese Lücke für den durchschnittlichen Anwender harmlos. Nur Firmen oder Einrichtungen mit einem eigenen internen Netzwerk, für das hohe Sicherheitsrichtlinien gelten, sollten sich Gedanken darüber machen. Wenn hier Opera zum Einsatz kommt, kann man sich relativ einfach behelfen, indem man in den Optionen (EXTRAS > EINSTELLUNGEN > ERWEITERT > PROGRAMME), das FTP Protokoll mit einem separaten FTP-Programm verknüpft.

Quelle: 'FTP-Umleitungen auch in Opera und Konqueror möglich' auf Heise Online

zur Übersicht

22.03.2007 - Sicherheitslücken in OpenOffice

Gleich 3 Sicherheitslücken auf einmal, im Gegensatz zu den Microsoft Programmen, hat es das bei OpenOffice bisher noch nie gegeben. Leider ist immer irgendwann das erste Mal, und nun trifft es eben auch OpenOffice. Die Probleme liegen allesamt beim öffnen von fremden Dateien, die, wenn entsprechend manipuliert, Viren auf den verwendeten PC einschleusen können.

Zumindest für Windows liegt im Moment keine Lösung vor, manche Linux Distributoren haben die Fehler aber in Ihren Paketen bereits behoben, sodass es keine Schwierigkeit mit entsprechenden Updates für die Windows Versionen geben dürfte. Die Probleme sind zudem wohl die Erklärung, warum OpenOffice 2.2 noch nicht erschienen ist. Wir warten eigentlich schon seit letzter Woche auf diese neue Version, aber aufgrund der Fehler wurde sie jetzt wahrscheinlich etwas verschoben. Wir gehen aber weiterhin davon aus, dass der Download schon bald verfügbar ist.

Bis es so weit ist, gilt dieselbe Empfehlung wie für Microsoft Office. Finger weg von fremden Office Dateien, oder zumindest erhöhtes Misstrauen. Letzteres sollte aber auch bei 'sicherer Software' an der Tagesordnung stehen.

Quelle: 'Mehrere Lücken in OpenOffice' auf Heise Online

zur Übersicht

21.03.2007 - Wieder Ärger mit ActiveX (Internet Explorer) Plugins!

Wieder einmal sorgen Plugins für den Internet Explorer (egal welche Version) für massive Sicherheitslücken. Dieses mal ist es die Software von 'Interactual', die es Angreifern im Internet ermöglicht, den heimischen PC mit Viren zu infizieren, oder ihn komplett zu übernehmen.

Der InterActual Player und CinePlayer sind auf vielen Video-DVD's enthalten, und fordern den Anwender auf sie zu installieren, sobald man die DVD einlegt. Kaum sind besagte Player installiert, hat sich auch besagtes Plugin im Internet Explorer eingenistet. Dementsprechend kann wohl kaum ein Anwender sicher sagen, ob das Plugin nicht vielleicht auch bei ihm vorhanden ist.

Eine Deinstallation des Plugins ist nicht vorgesehen, und ein Update vom Hersteller noch nicht verfügbar. Der Entdecker der Lücke schreibt in seinem Report, dass das so genannte 'KillBit' gesetzt werden solle. Dieses Verfahren ist jedoch kaum einem normalen Anwender zuzumuten, weshalb einmal mehr der einzige gangbare Weg ist, sich um eine sichere Alternative zum Internet Explorer umzusehen. An der Stelle können wir nur einmal mehr auf Opera hinweisen, dessen Sicherheitsbilanz so rein ist, wie die keines anderen Herstellers. Aber auch Firefox Liebhaber können sich um einiges sicherer fühlen, als Internet Explorer Benutzer.

Quelle: 'Interactual-ActiveX ermöglicht Systemeinbruch' auf Heise Online

zur Übersicht

21.03.2007 - Update für Firefox behebt Sicherheitslücke

Das Update auf Version 2.0.3 (bzw. 1.5.0.11) von Firefox behebt eine neue Sicherheitslücke. Es handelt sich dabei nicht um die in der vorhergehenden Meldung beschriebene, sondern um ein Problem mit der FTP-Funktion des Browsers. Da das E-Mail Programm Thunderbird kein FTP verwendet, steht hier auch kein Update an.

Mozilla stuft das Risiko der Lücke selbst als gering ein, eine Einschätzung, der wir zustimmen können. Insofern ist für die meisten Anwender keine Eile beim Einspielen des Updates geboten. Nur bei Firmennetzwerken in denen besonders hohe Sicherheitskriterien gelten, sollte man rasch updaten, da die Lücke das Ausspionieren der internen Netzwerkstruktur ermöglicht.

Wie üblich geht das Update am einfachsten über die eingebaute Update-Funktion (HILFE > FIREFOX AKTUALISIEREN), wir verweisen aber im Anschluss auch weiterhin auf die vollständigen Downloads.

Quelle: Beschreibung der Sicherheitslücke von Mozilla (Englisch)

Download: Mozilla Firefox 2.0.0.3, Windows, Deutsch » 5,6MB

Download: Mozilla Firefox 2.0.0.3 für andere Betriebssysteme oder Sprachen

Info: Release Notes zu Firefox 2.0.0.3 (Englisch)

zur Übersicht

12.03.2007 - Neue Firefox Sicherheitslücke

Michael Zalewski, der in den vergangenen Wochen etliche Sicherheitslücken in Browsern gefunden hat, ist wieder auf eine solche gestoßen. Er hat herausgefunden, dass sich über 'leere Seiten' (about:blank) in allen aktuellen Versionen des Mozilla Browsers Firefox diverse Manipulationen durchführen lassen. Das ermöglicht es, dem Anwender täuschend echt nachgemachte Webseiten zu präsentieren. Für den Anwender ist es dann beinahe unmöglich festzustellen, ob er sich tatsächlich bei (z.B.) seiner Bank einloggt, oder bei einer nachgemachten Seite, die die Daten sofort an Betrüger übermittelt.

Wir haben Zalewski's Demonstrationsseiten auch mit anderen Browsern geprüft, und glauben, dass andere Browser zumindest Ansatzweise denselben Fehler beinhalten. Sowohl Opera 9.10 als auch Internet Explorer 7.0 (IE7) ermöglichen die Manipulation der 'about:blank' Seite. Allerdings müsste der Anwender hier erst mal die standardmäßig aktivierten Popupblocker überwinden, was vor allem beim störrischen Internet Explorer nicht leicht ist, und selbst dann bieten beide Browser keine guten Möglichkeiten für Fälscher, weshalb diese Lücken bis auf Weiteres zu vernachlässigen sind.

Anwender von Firefox haben drei Möglichkeiten sich vor dieser Lücke zu schützen: Komplettes abschalten von Javascript, Verwendung der Erweiterung NoScript (ermöglicht Javascript auf bestimmte Seiten einzugrenzen) oder zu Opera wechseln.

Quelle: 'Spoofing-Schwachstelle in Firefox' auf Heise Online

Download: NoScript Erweiterung für Firefox

zur Übersicht

07.03.2007 - Sicherheitsrisiko Quicktime

Ende Jänner haben wir bereits auf einen Fehler in der Quicktime Software von Apple hingewiesen, der unserer Meinung nach ausgenützt werden kann, um den Computer mit Viren zu infizieren. Wir haben damals geraten, Quicktime wenn möglich zu deinstallieren, was allerdings auch die iTunes Software in Mitleidenschaft zieht (funktioniert ohne Quicktime nicht).

Die Freude war daher groß, als Apple gestern gleich 8 Sicherheitsupdates für Quicktime bereit stellte, darunter auch eines für eine Lücke bei der Verarbeitung von PICT Dateien. Da der Problemfall aus dem Jänner ebenfalls eine PICT Datei ist, waren wir guter Hoffnung, dass das Problem nun gelöst sei. Doch leider, nach wie vor stürzt der Player bzw. der Browser ab, und öffnet unserer Einschätzung nach, Tür und Tor für enthaltene Viren.

Trotz der vielen Updates bleibt daher für den auf Sicherheit bedachten Anwender zur Zeit nur eins übrig - Quicktime deinstallieren! Wer ohne Quicktime nicht auskommt, sollte aber zumindest die aktuellste Version verwenden.

Quelle: 'Apple schließt acht kritische Lücken in QuickTime' auf Heise Online

Quelle: Quicktime: Eine Lücke geschlossen, die Nächste schon da!

zur Übersicht

02.03.2007 - Gefährliche Notebook Akkus: IBM/Lenovo tauscht wieder

Bevor wir uns einem neuen Problem bei IBM Notebooks zuwenden, nochmal der Hinweis an alle Notebook Besitzer, sich auf der Webseite seines Herstellers zu informieren, ob sein Gerät nicht von einem Umtausch betroffen ist. Die Aktionen gehen nämlich langsam zu Ende, und wer sich zu spät meldet, hat Pech gehabt. Praktisch alle Hersteller mussten wegen Brand/Explosionsgefahr gegen Ende des letzten Jahres Akku-Rückruf-Aktionen starten.

IBM/Lenovo sieht sich jetzt mit einem neuen Problem konfrontiert, welches wiederum zu Brandgefahr führen kann. Anders als zuletzt, als Akku-Lieferant Sony für den Schaden geradestehen musste, soll dieses Mal ein Designfehler von IBM selbst der Auslöser sein. Jedenfalls ruft IBM/Lenovo wieder etliche Akkus zurück, die sich anhand folgender Teilenummer identifizieren lassen: FRU P/N 92P1131.

Die entsprechende IBM Website informiert über Details zu dieser und der vorhergegangenen Rückrufaktion, und bietet gegebenenfalls auch gleich den Austausch des Akkus an.

Info: IBM/Lenovo's Infoseite zu den Akku-Rückrufaktionen

Quelle: 'Lenovo ruft 208.000 ThinkPad-Akkus zurück' auf Heise Online

zur Übersicht

02.03.2007 - Update für Mozilla Thunderbird nun verfügbar

Es hat fast eine Woche länger gedauert, als ursprünglich gedacht, aber nun hat Mozilla auch für das E-Mail Programm Thunderbird die letzten Sicherheitskorrekturen veröffentlicht. Nach Installation des Updates, steht der Zäher der nicht behobenen Sicherheitslücken (lt. Secunia) bei Thunderbird wieder auf Null. Im Vergleich dazu: Microsoft Outlook Express 6 werden 7 nicht behobene Schwachstellen attestiert.

Wie üblich empfehlen wir Thunderbird Anwendern, das Update rasch zu installieren. Am schnellsten geht dies wie üblich über die eingebaute Update-Funktion (HILFE > THUNDERBIRD AKTUALISIEREN), wir verweisen aber im Anschluss auch weiterhin auf die vollständigen Downloads.

Download: Mozilla Thunderbird 1.5.0.10, Windows, Deutsch » 6,1MB

Download: Mozilla Thunderbird 1.5.0.10 für andere Betriebssysteme oder Sprachen

Info: Release Notes zu Thunderbird 1.5.0.10 (Englisch)

zur Übersicht

26.02.2007 - Zwei Sicherheitslücken in Office 2007

Office 2007 ist noch kein Monat auf dem Markt, schon wurden 2 Sicherheitslücken darin gefunden, von denen zumindest die Lücke in Word 2007 bereits aktiv ausgenutzt wird. Bei der kürzlich in Publisher 2007 gefundenen Lücke dürfte das auch nicht lange auf sich warten lassen.

Neben dem gewohnt schlechten Bild bei der Sicherheit, kommt Microsoft aber mit noch einer Funktion von Office 2007 in Verruf. Die neue Online Hilfe verwendet Daten und Protokolle der Anwender, um die eigene Funktion zu optimieren. Nun streiten Anwender mit dem Hersteller, ob dabei nicht eventuell ein bisschen zu viele Informationen der Anwender an Microsoft übermittelt werden.

Wer ein sicheres, nicht nach Hause telefonierendes, und obendrein noch kostenloses Office Paket bevorzugt, findet in OpenOffice.org einen perfekten Kompagnon.

Quelle: 'Zweite ungepatchte Lücke in Office 2007' auf Heise Online

Download: OpenOffice.org 2.1

zur Übersicht

25.02.2007 - (Fast) Alle Sicherheitslücken in Mozilla Firefox behoben

Gestern hat Mozilla neue Versionen von Firefox veröffentlicht, welche die zuletzt entdeckten Sicherheitslücken schließen. Eine Lücke blieb jedoch unbehandelt. Zudem fehlen noch neue Versionen von Thunderbird, über die wir an dieser Stelle eigentlich ebenfalls berichten wollten. Diese dürften aber in den nächsten Tagen fertig sein.

Bei Firefox besteht nach wie vor das Problem, dass 'Bookmarklets' sich mitunter wie normale Lesezeichen anlegen lassen. Details zu dem Problem siehe 'Firefox lässt sich Bookmarklets unterschieben'. Darüber hinaus nennt Secunia noch ein paar weitere Sicherheitslücken die nicht behoben sind, die aber auch nicht als 'kritisch' eingestuft werden. Wie üblich gilt daher, wer den sichersten Browser verwenden will, muss zur aktuellen Opera Version greifen.

Anwender einer Firefox 1.5 Version sollte langsam über ein Upgrade auf 2.0.0.2 nachdenken. Wer schon eine 2.0er Version verwendet, kann die Sicherheitskorrekturen über die eingebaute Update Funktion beziehen. Natürlich stehen unten auch wieder die Download-Adressen der kompletten Installationspakete.

Info: Firefox lässt sich Bookmarklets unterschieben

Download: Mozilla Firefox 2.0.0.2, Windows, Deutsch » 5,6MB

Download: Mozilla Firefox 2.0.0.2 für andere Betriebssysteme oder Sprachen

Info: Release Notes zu Firefox 2.0.0.2 (Englisch)

zur Übersicht

25.02.2007 - eBay Benutzer weiterhin von Vladuz verunsichert

Das letzte mal als wir von dem Hacker 'Vladuz' berichteten, war nicht klar ob er sich tatsächlich administrativen Zugang zum eBay Netzwerk verschafft hatte, oder 'nur' die Zugangsdaten eines eBay Mitarbeiters 'gephist' (Phishing = Passwort Fischen) hat.

Nun ist Vladuz zurück, und dass er nun unter eigenem Namen bei eBay auftritt beweist, dass er sich tatsächlich weitreichende Rechte im eBay Netzwerk verschafft hat. Vladuz selbst kann man wohl getrost als 'Aufdecker' bezeichnen, von ihm dürfte daher keine direkte Gefahr ausgehen. Aber es zeigt doch, wie schlecht eBay mit Sicherheitslücken in seinem System umgeht. Oberstes Prinzip ist nämlich bei eBay: Totschweigen!

Aufgrund der unsicheren Situation bei eBay, haben bereits einige Benutzer Ihre Accounts aufgelassen. Denn solange eBay nicht massiv an der Verbesserung der Sicherheit arbeitet, betrachten viele das Risiko als zu hoch. Denn der finanzielle Schaden kann im schlimmsten Fall beträchtlich sein. Letztendlich muss aber jeder selber einschätzen, wie hoch man das Risiko bei eBay einstuft, und ob man es tragen möchte. Nur Benutzern, die sich einmal einen eBay Account geholt haben, diesen aber effektiv nicht benutzen, raten wir auf jeden Fall diesen aufzulassen.

Quelle: 'Vladuz ärgert eBay weiter' auf Heise Online

zur Übersicht

22.02.2007 - Windows Vista Software Kompatibilitätsliste

Windows Vista hat sich in einigen Belangen gegenüber seinem Vorgänger Windows XP stark weiterentwickelt. Das führt aber auch oftmals dazu, dass lieb gewonnene Programme unter Vista nicht mehr funktionieren. Microsoft hat daher kürzlich eine Liste vorgestellt, die Software enthält, die mit dem neuen Betriebssystem kompatibel ist. Leider ist diese Liste nicht sehr umfassend, und daher kaum von großem Nutzen.

Die Anwender der Website ieXbeta haben aber eine eigene, wesentlich umfangreichere Liste erstellt, die auch weiterhin gepflegt wird. Dort stehen nicht nur funktionierende Programme, sondern auch solche, die nicht funktionieren. Bei Anwendungen die etwas Handarbeit erfordern, sind teilweise auch Anleitungen zu finden, wie man das Programm richtig installiert.

Für Anwender von Windows XP raten wir noch von einem frühen Upgrade auf Vista ab, sofern nicht gute Gründe dafür vorliegen. Wer noch Windows 2000 einsetzt, und einen Wechsel in Betracht zieht, sollte allerdings nicht mehr zu XP, sondern gleich zu Vista greifen. Allerdings dürfte das in den meisten Fällen auch die Anschaffung eines neuen PCs mit sich ziehen, die ohnehin fast ausschließlich mit Vista geliefert werden.

Quelle: ieXbeta Windows Vista Software Kompatibilitätsliste (Englisch)

zur Übersicht

22.02.2007 - Firefox lässt sich Bookmarklets unterschieben

Michael Zalewski hat eine neue Sicherheitslücke im Firefox Webbrowser demonstriert. Es ist ihm gelungen eine Webseite so mit einem Bookmarklet auszustatten, dass es von Firefox wie ein normales Lesezeichen behandelt wird. Der Anwender kann also ein derart präpariertes Bookmarklet nicht von einem gewöhnlichen Lesezeichen unterscheiden, und begibt sich dadurch unbewusst in Gefahr.

Für seine Demonstration erschuf Zalewski auch gleich ein reales Bedrohungsmodell. Betrachtet der Anwender die Google Webseite, und verwendet dann das untergeschobene Bookmarklet, liest dieses das von Google geschriebene Cookie aus, und präsentiert die Daten dem Anwender. Ein 'echtes böses' Bookmarklet hätte die Daten, welche auch Zugangsdaten für das Gmail E-Mail Konto enthalten kann, gleich an die 'Cybermafia' senden können.

Quelle: 'Firefox führt JavaScript in normalen Bookmarks aus' auf Heise Online

zur Übersicht

22.02.2007 - Info über Bookmarklets

Die oben beschriebene Lücke in Firefox hat uns dazu veranlasst, einmal aufzuklären, was denn Bookmarklets eigentlich sind, und wieso sie potenziell gefährlich sind. Diese Informationen gelten für alle Anwender, ganz egal, welche Software zum Surfen im Internet verwendet wird.

Quelle: Gefahren von Bookmarklets

zur Übersicht

22.02.2007 - Google behebt Sicherheitslücke in Desktop Suche

Google Desktop ist eines dieser Programme, für die wir einfach keine Empfehlung geben können, oder wollen. Grund dafür ist die bedenkliche Lage, wenn es um die Datensicherheit bzw. Datenschutz geht. Vor allem die standardmäßige Speicherung der Suchindizes auf Google Servern seit Version 4 der Software, hat hohe Wellen geschlagen. Was damals mit eben diesen Daten gelungen ist, nämlich Sie unberechtigt auszulesen, ist nun wieder geschehen, und noch viel mehr.

Die Firma Watchfire hat demonstriert, wie man über Google Desktop an die Daten des Benutzers gelangen, und sogar den kompletten PC übernehmen kann. Google hat zum Glück bereits reagiert, und stellt aktualisierte Versionen der Software bereit, die den Fehler nicht mehr beinhalten sollen. Da aber designbedingt bei der Google Desktop Suchmaschine die Daten immer übers Internet übertragen werden, empfehlen wir generell auf diese zu verzichten. Wer das nicht kann oder will, sollte darauf Achten nur die allerneueste Version zu verwenden.

Quelle: 'Kritische Lücke in Google Desktop geschlossen' auf Heise Online

zur Übersicht

17.02.2007 - Sicherheitsrisiko Heim-Router

Heim-Router, egal ob für DSL- oder Kabel-Anschlüsse, stehen heutzutage in vielen Haushalten. Damit kann die ganze Familie mit demselben Internetzugang im Internet surfen, oder auch Dateien zwischen den Heimrechnern austauschen. Symantec verweist jetzt auf eine Studie, wonach es möglich ist, die meisten der am Markt erhältlichen Heim-Router umzukonfigurieren, und so das Netzwerk für weitere Angriffe zu öffnen.

Dabei macht man sich zunutze, dass die meisten Anwender schon froh sind, wenn das Gerät überhaupt funktioniert, und auf eine adäquate Absicherung verzichtet wird. Vor allem ändern immer noch sehr viele Benutzer das Standard Passwort für die Router-Konfiguration nicht. Zwar erlauben ordentliche Geräte eine Konfiguration von 'außen' nicht, aber über die in der Studie beschriebenen Techniken ist das auch nicht nötig, da der Angriff über einen Rechner im eigenen Netz gelenkt wird.

Das Szenario ist zwar bislang nur eine Studie, aber wenn so etwas erst mal bekannt ist, dürfte es nicht lange dauern, bis entsprechende Angriffe auch in freier Wildbahn durchgeführt werden. Der gewissenhafte Anwender kann sich jedoch verhältnismäßig leicht schützen, indem man das Konfigurationspasswort ändert, was im zugehörigen Handbuch beschrieben sein sollte. Natürlich gelten wie immer die allgemeinen Passwort-Regeln: Um so länger, desto besser. Vornamen, Kosenamen usw. sollte man sich tunlichst verkneifen, zudem sollte das Passwort aus mindestens 6 Zeichen bestehen, darunter wenn möglich Ziffern, Groß- und Kleinbuchstaben.

Quelle: 'Gefahr für Heim-Router' auf Heise Online

zur Übersicht

15.02.2007 - Microsoft behebt viele Sicherheitslücken, aber nicht alle

Es hat lange gedauert, aber im Rahmen des monatlichen 'Tag der Updates' (orig: Patchday) hat Microsoft die Sicherheitslücken in seinen Programmen wieder halbwegs geschlossen. Halbwegs deshalb, weil zwar die zuletzt genannten Probleme in Word und Excel behoben wurden, die Computer Mafia im Gegenzug aber bereits eine neue Sicherheitslücke in Word (2000 & 2002[XP]) aus dem Hut gezaubert hat.

Natürlich wurden nicht nur die Office Programme überarbeitet, auch Windows selbst, der Internet Explorer und andere Komponenten erhielten Sicherheitskorrekturen. Und so empfehlen wir wie jedes Monat, die Updates so rasch wie möglich zu installieren, sofern dies der Dienst 'Automatisches Update' nicht bereits erledigt hat. Dazu dient wie üblich die 'Microsoft Update' Website.

Allerdings sollte man sich wegen der vielen Updates nicht in trügerische Sicherheit wähnen. Der Internet Explorer ist nach wie vor keine sichere Software, wie man den vielen Meldungen hier entnehmen kann, deshalb empfiehlt es sich weiterhin, sicherere Alternativen wie Opera einzusetzen. Und auch wenn viele (aber nicht alle) Fehler in den Office Programmen behoben wurden, so bedeutet es nicht, dass man jegliche Vorsicht beim öffnen fremder Dateien über Bord werfen sollte. Eine gesunde Portion Misstrauen gegenüber unverlangt zugesendeten, oder von Webseiten heruntergeladenen, Dateien ist immer noch ein wichtiger Eckpfeiler für die Computersicherheit.

Download: Updates für Windows & Office über 'Microsoft Update' (Nur mit Internet Explorer)

Quelle: Microsoft Security Bulletin Februar

Quelle: Beschreibung der neuen Word Sicherheitslücke von Secunia (Englisch)

zur Übersicht

15.02.2007 - Benutzerdaten in Firefox sind doppelt gefährdet

Bereits letzten November haben wir berichtet, dass der Passwort Manager von Firefox selbstständig Benutzerdaten preisgeben kann, nun hat Michael Zalewski eine neue Sicherheitslücke bei der Verarbeitung von Frames gefunden, die ebenfalls für den Datendiebstahl genutzt werden kann. Den beiden Bugreports bei Mozilla kann man entnehmen, dass beide Probleme mit Version 2.0.2 des Browsers behoben werden, wann genau die neue Ausgabe veröffentlicht wird, steht aber noch nicht fest.

Grundsätzlich empfehlen wir Opera als Standardbrowser zu verwenden, da die Software aus Norwegen zurzeit keine offenen Sicherheitslücken beinhaltet. Wer nicht von Firefox abrücken möchte, sollte zumindest den Passwortmanager abschalten, und in die Konfigurationsdatei folgende Zeile eingeben:

user_pref("capability.policy.default.Location.hostname.set", "noAccess");

Quelle: 'Cross-Site-Scripting-Lücke in Firefox' auf Heise Online

Quelle: Firefox hilft Passwort Dieben

zur Übersicht

03.02.2007 - Sicherheit von Microsoft Office wie Schweizer Käse

Langsam kommt man mit dem zählen der Sicherheitslücken in Microsoft Office nicht mehr hinterher. Vor wenigen Tagen erst hatte Symantec von einer weiteren Sicherheitslücke in der Textverarbeitung Word berichtet. Sollte Microsoft die Schwachstelle bestätigen, was bisher noch nicht geschehen ist, wäre es die fünfte bekannte Sicherheitslücke in dem Schreibprogramm.

Bestätigt hat Microsoft dafür eine neue Gefahrenquelle in der Tabellenkalkulation Excel. Wie üblich reicht das öffnen eines entsprechenden Tabellendokumentes aus, um den PC mit Viren oder anderer Schafsoftware zu infizieren. Betroffen sind Excel 2000, Excel 2002 (Office XP), Excel 2003 sowie die letzte Ausgabe für Mac OS.

Für keine der genannten Sicherheitslücken liegen derzeit Programmupdates vor. Abhilfe liegt daher weiterhin hauptsächlich darin, alternative Office Pakete zu verwenden, wie z.B. OpenOffice.org. Egal welche Software man verwendet, eine gesunde Portion Misstrauen sollte man jeder Datei entgegenbringen, die einem unverlangt per E-Mail zugesendet wird, oder die man von einer Website herunterlädt.

Quelle: 'Zero-Day-Lücke auch in Excel' auf Heise Online

zur Übersicht

03.02.2007 - Apple's iTunes mag Windows (Vista) nicht

Apple hat den Verkaufsstart von Windows Vista völlig verschlafen. Anders ist es nicht erklärbar, dass die Software iTunes so viele Probleme verursacht, wenn man diese unter dem neuen Windows Betriebssystem verwenden möchte. Apple rät daher allen seinen Anwendern mit einem Umstieg auf Vista noch ein 'paar Wochen' zu warten, dann werde man eine kompatible Software anbieten können.

Blöd nur, dass Apple dabei ignoriert, dass man iTunes zurzeit unter keinem Windows System nutzen kann. Zumindest wenn man unserer Empfehlung nachkommt, und Quicktime (in dem sich immer noch eine schwer wiegende Sicherheitslücke befindet) deinstalliert. Unterm Strich heißt es bei Apple daher: Bitte warten!

Quelle: 'iPod und iTunes machen mit Windows Vista Probleme' auf Heise Online

Quelle: 'Quicktime: Eine Lücke geschlossen, die Nächste schon da!'

zur Übersicht

03.02.2007 - Adobe und Windows Vista

Adobe hat rechtzeitig zum Start von Windows Vista sein Versprechen eingelöst, und für die erst kürzlich vorgestellten Programme Photoshop Elements 5.0 und Premiere Elements 3.0 Windows Vista kompatible Updates veröffentlicht. Doch wer genau schaut, sieht, dass diese Vista Kompatibilität nur zur Hälfte gilt, denn die 64Bit Version ist ausgenommen.

Zwar dürften ohnehin etliche bestehende Anwendungen mit Windows Vista, und da vor allem mit der 64Bit Version, nicht klarkommen, aber, dass ausgerechnet brandneue Programme von Adobe diesen Pool noch vergrößern, ist doch bedauerlich. Auch wenn die Mehrzahl der verkauften Fertig-PCs noch mit einem 32Bit Windows Vista ausgeliefert werden dürften, die Zukunft ist ganz klar 64Bit.

Quelle: 'News Downloads' auf der Adobe Website (Englisch)

Download: Adobe Photoshop Elements 5.0.2 Update, Deutsch » 32,7MB

Download: Adobe Premiere Elements 3.0.2 Update, Deutsch » 12,4MB

zur Übersicht

01.02.2007 - Der gesprochene Virus

Eine der neuen Funktionen in Windows Vista ist die eingebaute Sprachsteuerung, mit der man dem Betriebssystem diverse Befehle erteilen kann. In gewisser Weise, funktioniert die Erkennung wohl 'zu gut', denn wie George Ou bewiesen hat, lassen sich auch über die PC-Lautsprecher derartige Befehle erteilen.

Microsoft hat das Problem bereits bestätigt, betont aber zugleich, dass das Risiko eingeschränkt ist, weil über Sprache die UAC (User Account Controll - eine der neuen Sicherheitsfunktionen von Windows Vista) nicht umgangen werden kann. Solange jemand vor dem Computer sitzt, dürften merkwürdige Befehle aus den Lautsprechern ohnehin rasch auffallen. In dem Fall, oder wenn man den PC unbeaufsichtigt lässt, sollte man die Lautsprecher abschalten. Wer, wie wohl der Großteil der Vista Anwender, auf die Sprachsteuerung verzichten kann, sollte diese von vornherein über die Systemsteuerung deaktivieren.

Quelle: 'Sprechende Sicherheitslücke in Vista' auf Heise Online

zur Übersicht

01.02.2007 - Kaspersky bietet Windows Vista kompatibles Update

Der russische Anti-Virus Software Hersteller Kaspersky, hat seiner aktuelle Produktlinie 'Anti-Virus 6.0' und 'Internet Security 6.0' ein Windows Vista kompatibles Update spendiert. Die neue Version 6.0.2 der beiden Produkte, läuft sowohl unter der 32Bit, als auch 64Bit Version des neuesten Windows Betriebssystems.

Bis die, erst vor wenigen Tagen fertiggestellte, neue Version im Laden zu haben ist, dürften aber noch einige Wochen vergehen. Daher ist für Windows Vista Besitzer das Pflicht, was mit Windows XP nur eine Empfehlung ist: Der Download der aktuellsten Produktversion von der Kaspersky Website. Aus der beim Händler gekauften DVD-Hülle oder Kartonverpackung, verwendet man letztendlich nur den Aktivierungscode.

Für Anwender unter Windows 2000 und XP, wo Kaspersky 6.0.1 bereits installiert ist, lohnt sich ein Update dagegen kaum. Wenn alles problemlos läuft, sollte man es dabei belassen.

Quelle: 'Kaspersky Lab goes Vista' auf Kaspersky.com (Deutsch)

zur Übersicht

01.02.2007 - Erfolgreiche Attacke auf eBay?

Bisher war es ja üblich, den eBay Benutzern ihre Zugangsdaten über Phising (Passwort Fischen) Angriffe abzuluchsen. Glaubt man den Ausführungen eines Hackers mit dem Pseudonym 'Vladuz', hat er sich statt dessen direkt bei eBay eingehackt, und dort mit den Firmeneigenen Programme die Daten einiger Benutzer, samt Passwörtern ausgelesen. Als Beweis hat er einen Screenshot (Bildschirmkopie) veröffentlicht, auf dem einige der Benutzerdaten abgebildet waren.

Dass die veröffentlichten Daten echt sind, gilt als bestätigt, wie 'Vladuz' an diese Daten kam, ist bisher aber nicht bekannt. Aber ganz egal, ob er über Sicherheitslücken im System von eBay Zugriff auf die Daten kam, oder sich Zugangsdaten eines Mitarbeiters 'besorgte', fest steht, dass die Benutzerdaten bei eBay bei weitem nicht so sorgfältig gesichert sind, wie es eigentlich der Fall sein sollte.

Der Anwender ist in diesem Fall aber machtlos. Man kann sich selbst noch so gut absichern, wenn der Anbieter schlampig arbeitet, kann man sich nicht dagegen wehren. Wer sich einmal einen eBay Account angelegt hat, diesen aber nicht (mehr) verwendet, sollte diesen lieber wieder löschen. Wer auf eBay nicht verzichten möchte, sollte die mit diesem Zugang durchgeführten Transaktionen regelmäßig beobachten, und dubiose Aktionen sofort an eBay melden. Bei konkretem Betrugsverdacht, kann auch ein Gang zur Polizei sinnvoll sein.

UPDATE:
Jetzt der Grund für das Fragezeichen in der Überschrift. Wie nicht anders zu erwarten, dementiert eBay den Angriff. Dennoch erklärte das Unternehmen den Fall zu überprüfen. Somit steht Aussage gegen Aussage. Wie auch immer die Wahrheit aussieht, die oben genannten Sicherheitstipps gelten auf jeden Fall.

Quelle: 'Angeblicher eBay-Hack sorgt für Unruhe' auf Heise Online

Quelle: 'eBay dementiert Attacke auf Kundendaten' auf Heise Online

zur Übersicht

31.01.2007 - Der Staat geht seinen Bürgern an die Wäsche

Unter dem Deckmantel der Terrorabwehr wurde, und wird die Privatsphäre zunehmend zur Illusion. Was in den USA mit Flugdatenübermittlung und Fingerabdruck Kontrolle begann, hat sich seither in zahlreichen Ländern auf ähnlich Art und Weise fortgesetzt. In Deutschland gibt es biometrische Reisepässe, die viel mehr persönliche Daten preisgeben, als einem Lieb ist, und dazu muss man dank RFID den Pass noch nicht mal herzeigen. Zur Aufklärung von Mordfällen werden schon mal hunderte Speichelproben genommen, die selbstverständlich auch nach Abschluss des Falles archiviert werden. Immerhin protestiert, wenn auch vergeblich, haben letztes Jahr die E-Mail Provider Deutschlands gegen die staatlich verordnete Funktion zum Mitlesen der E-Mails. Freilich nur, weil es Ihnen viel Geld gekostet hat, nicht weil damit der Staat Zugang zu allen E-Mails bekommt. Und die Hersteller von Überwachungskameras leben zurzeit auch so gut wie nie. Immer mehr öffentliche Plätze, werden vom elektronischen Auge überwacht. Alles zum Wohl der Bürger versteht sich...

England könnte nun das erste Land werden, das dabei noch einen Schritt weitergeht, und den Bürgern auch unter die Wäsche schaut. Was sich nach einem Aprilscherz, oder einem Supermann Comic anhört, ist (leider) bittere Realität, wenn man dem Bericht (samt Bildern) der englischen Tageszeitung 'The SUN' glauben schenkt. Die Technik soll sogar schon so ausgereift sein, dass man sie unsichtbar in jeder Straßenlaterne verstecken könnte. Öffentliche Plätze in England, würden dann relativ schnell zur unfreiwilligen FKK-Zone. Bei einer dermaßen ausgedehnten Überwachung, dürfte es dann nur eine Frage der Zeit sein, bis die 'staatlich geförderten Softpornos' in den diversen Video Tauschbörsen landen.

Auf die möglichen gesundheitlichen Folgen einer dermaßen großflächigen Funkbestrahlung, geht die 'Sun' leider nicht ein. Aber Angesichts der Streits um die Belastung durch Handymasten, sind derartige Diskussionen wohl auch nicht weit entfernt, und auf jeden Fall berechtigt. Andererseits eröffnen sich auch neue Geschäftsfelder. Wie wär's mit einem persönlichen elektronischen Anti-Durchblick-Störgerät, oder soll's doch lieber die Unterwäsche mit eingewobenen Bleifasern sein?

Schön zu sehen, dass sich George Orwell mit seiner düsteren Vision des totalen Überwachungsstaates, welche er in dem Roman '1984' festgehalten hat, geirrt hat. Das Problem daran ist, das er sich womöglich nur beim Datum um ein paar Jahre vertan hat...

Quelle: 'Hüllenlose Überwachung' auf Heise Online

Quelle: 'You are undie surveillance' auf 'The SUN' (Mit Bildern, Englisch)

Info: Wikepedia Eintrag zum Roman '1984'

zur Übersicht

26.01.2007 - Noch eine Sicherheitslücke in Microsoft Word

Microsoft hat bisher noch nicht einmal die teils mehr als 6 Wochen alten Sicherheitslücken in seinem Textverarbeitungsprogramm behoben, da steht schon die Nächste vor der Tür. Wieder einmal nutzen Internet Kriminelle diese Lücken in Word, um Anwender mit manipulierten Dokumenten Viren und andere Schadsoftware unterzujubeln. Abhilfe bietet wie üblich die Verwendung von alternativen Programmen, wie sie z.B. OpenOffice.org kostenlos anbietet.

Egal welche Software man verwendet, unverlangt zugesendeten, oder von Webseiten heruntergeladenen Dateien, sollte man immer misstrauisch gegenüberstehen. Ein guter und regelmäßig aktualisierter Virenscanner ist zwar Pflicht, aber niemals ein hundertprozentiger Schutz.

Quelle: 'Vierte ungepatchte Lücke in Word' auf Heise Online

zur Übersicht

26.01.2007 - Quicktime: Eine Lücke geschlossen, die Nächste schon da!

Die Multimedia Software Quicktime, die auch bei jeder Installation der Apple Software iTunes auf die Festplatte gelangt, ist weiterhin mit empfindlichen Sicherheitslücken gespickt. Zwar hat Apple auf die Anfangs Jänner veröffentlichte Lücke bei der Verarbeitung von RTSP Videostreams mittlerweile reagiert, und ein entsprechendes Update zur Verfügung gestellt, doch kaum war das verfügbar, wurde die nächste, ebenso schwer wiegende, Lücke bekannt. Diesmal patzt die Software bei der Verarbeitung von manipulierten Bildern.

Da der Entdecker der Lücke sich praktisch nur mit Apple Rechnern befasst hat, haben wir unsere eigenen Tests angestellt. Wir können die Lücke definitiv auch für Windows bestätigen. Die Suche nach einer Notlösung war indes erfolglos, da sich immer ein Weg fand, diese auszuhebeln. Insofern bleibt unsere Empfehlung, Quicktime vorübergehend zu deinstallieren, weiterhin aufrecht. Andernfalls kann das bloße aufrufen einer Website zu einer Vireninfektion führen. Nutzer der Software iTunes schauen aber so lange ebenfalls in die Röhre, da das Programm ohne Quicktime nicht funktioniert.

Anwender die die Software 'Quicktime Alternative' benutzen, müssen wir enttäuschen. Da diese Software dieselben Dateien wie da Original verwendet, ist davon auszugehen, dass dieselben Lücken vorhanden sind. Zudem ist die Software unserer Einschätzung nach nicht völlig legal.

Quelle: 'Apple: Ein Update und zwei neue Lücken' auf Heise Online

zur Übersicht

26.01.2007 - Musiksoftware + Internet Explorer = Gefahr

Wieder einmal macht ein ActiveX Plugin für den Internet Explorer den PC der Anwender unsicher. Diesmal stammt die Software aus dem Hause NCTsoft. Bitte weiter lesen, auch wenn der Name erst mal nichts sagt, denn die Software wird auch von etlichen anderen Programmen eingesetzt. Die Lücke ermöglicht jedenfalls wieder einmal die Infektion des Computers mit Viren und Co.

Der Sicherheitsdienstleister Secunia hat recherchiert, welche Programme das verwundbare Plugin verwenden, und die Liste ist lang, ohne Anspruch auf Vollständigkeit zu erheben:

Altdo Software, Cool Audio, NextLevel Systems, MP3-WAV-Converter, McFunSoft, RecordNRip, Easy Ringtone Maker, Absolute Software, Xrlly Software, DanDans Digital Media, Power Audio Editor, Mystik Media, Cheetah CD/DVD Burner, Virtual CD, Joshua Software, Audio Edit Magic, Roemer Software, MP3 Normalizer, Sienzo Digital Music Mentor und Softdiv Software.

Bislang ist kein Update erhältlich, welches das Problem löst. Bei der Masse an Programmen die diese Datei verwenden, ist eine vertrauenswürdige Korrektur ohnehin schwierig, da die nächste Programminstallation womöglich wieder Neue durch ältere Dateien ersetzt. Probleme dieser Art sind es letztendlich, die uns unsere immer währende Empfehlung ständig wiederholen lassen: Verzichten Sie auf den Internet Explorer, wo es nur geht, und verwenden Sie statt dessen sicherere Alternativen, wie Opera.

Quelle: 'Sicherheitsleck in ActiveX-Modul für Musiksoftware' auf Heise Online

zur Übersicht

26.01.2007 - Microsoft Windows: Ablaufdatum siehe unten

Nichts hält ewig, schon gar nicht in der schnelllebigen EDV-Branche. Aber zumindest das zurzeit am häufigsten eingesetzte Betriebssystem der Welt, hat von seinem Hersteller Microsoft gerade eine Fristverlängerung erhalten. Eigentlich sollte Windows XP Home und Media Center Edition bereits in 2 Jahren keine Sicherheitsupdates mehr erhalten.

Diesen Zeitplan hat Microsoft nun geändert. Die genannten Versionen sollen dieselbe Sicherheitsupdate-Politik erfahren, wie es für die Professionell Varianten angedacht ist. Das bedeutet, dass auch die 'kleinen' Ausgaben noch bis 2011 Sicherheitsupdates über die Automatik Funktion, bzw. die Microsoft Update Website beziehen können. Danach kann man Sicherheitskorrekturen nur mehr einzeln und von Hand von der Microsoft Website herunterladen, was für die allermeisten Endverbraucher aber eher nicht zumutbar ist. Wenn wir die, doch etwas komplizierten, Informationen von Microsoft richtig interpretieren, und sich das geschriebene nicht wieder all zu rasch ändert, bedeutet das, dass spätestens in 4 Jahren der Umstieg auf Windows Vista oder ein alternatives modernes Betriebssystem fällig wird.

Für Besitzer von Windows 2000 kommt das alles schon deutlich früher. Hier dürften die Quellen für automatische Sicherheitsupdates bereits im Juni dieses Jahres versiegen. Hier sollte man sich also schon mal langsam Gedanken über eine passende Nachfolgelösung machen.

Quelle: 'Extended Support nun auch für Windows XP Home [..]' auf Heise Online

Quelle: Microsoft Produktlebenszyklus Informationen

zur Übersicht

21.01.2007 - IZArc Packprogramm weiterhin mit Sicherheitsmängeln

Bis vor etwas mehr als einem Jahr, war IZArc unsere Empfehlung, was kostenlose Packprogramme angeht. Dann haben wir in dem Programm Sicherheitslücken gefunden, und unsere Empfehlung umgehend zurückgezogen. Mehrere Anfragen beim Programmierer des Programms ergaben keine Antwort, und auch die Probleme wurden nicht behoben. Vor kurzem ist nun eine neue Version erschienen (3.7), und wieder wurden die Sicherheitsmängel nicht behoben. Allen Anwendern, die das Programm (in welcher Version auch immer) noch verwenden, sei deshalb die umgehende Deinstallation ans Herz gelegt.

Sichere Alternativen gibt es durchaus. Wer häufig Dateien komprimieren muss, und bereits ist etwas Geld in ein möglichst komfortables Programm zu investieren, findet in 'Power Archiver' den perfekten Kompagnon. Wer kein Geld ausgeben will oder kann, sollte zu '7-Zip' greifen. Das Programm ist zwar nicht ganz so komfortabel, beherrscht aber die gängigsten Packer Formate, und ist ebenfalls nicht von bekannten Sicherheitslücken betroffen.

Info: Bestätigung der IZArc Sicherheitslücke von Secunia (Englisch)

Info: Website von Power Archiver

zur Übersicht

18.01.2007 - Neue Sicherheitslücke in Java Software

Noch im Dezember hatten wir berichtet, dass für die Java-Software von SUN gemeldete Sicherheitslücken, immer nur Versionen betreffen, der bereits 2 neuere Ausgaben gefolgt sind. Kaum geschrieben, schon nicht mehr aktuell, könnte man meinen. Eine neue Sicherheitslücke bei der Verarbeitung von GIF Bildern, ist auch in Version 5.0 Update 9 zu finden, womit nur mehr die allerneueste Ausgabe 5.0 Update 10 frei von bekannten Sicherheitslücken ist.

Auch für die nächste Java Generation, die Ausgabe 6 gibt es keine bekannten Sicherheitslücken, wir raten aber im Moment noch zu der Version 5, weil diese in der Regel besser mit Browsern und Websites harmoniert.

Wie üblich muss man alte Java Versionen deinstallieren, wenn man neuere Versionen einspielt. Nur so kann sichergestellt werden, dass die veraltete und unsichere Version nicht mehr zum Einsatz kommt.

Quelle: 'Suns Java Virtual Machine lässt sich Code aus GIFs unterjubeln' auf Heise Online

Download: Aktuelle Java Runtime 5.0, Andere Betriebssysteme

zur Übersicht

18.01.2007 - Österreicher missachten Sicherheit beim Online Banking

Wie Heise Online berichtet, belegt eine Studie der Bank Austria Creditanstalt, dass viele Österreicher ungenügende Sicherheitsmaßnahmen beim Online Banking ergreifen. Der Studie sei zu entnehmen, dass fast 30% der Anwender keinen Virenscanner einsetzen, fast die Hälfte verwendet keine Firewall, und Betriebssystem Updates machen gerade einmal 29%. Alle drei Maßnahmen sollten aber, vor allem für Computer, auf denen Online Banking durchgeführt wird, absolute Grundvoraussetzung sein!

Die Bank gibt auch ein paar Zahlen an. So sagt man, dass in 80% der Fälle die Beute zurück überwiesen werden konnte. 20% haben demnach die Folgen Ihrer Fahrlässigkeit dort gespürt, wo es besonders schmerzt - im Portmonee. Im Jahr 2006 seien aufgrund betrügerischer Aktivitäten zudem über 450 Konten gesperrt worden. Alles Zahlen, die eindeutig belegen, dass die Österreicher in puncto Online Banking noch viel Lernbedarf haben.

Aus eigener Erfahrung gesprochen, haben aber auch die Banken selber Nachholbedarf. Nach wie vor hört man bei der Frage nach iTAN: "Was ist das?", oder "Wir verifizieren das gerade". Die empfohlenen Browser sind zum Teil alles andere als sicher, und die sicheren Browser werden manchmal ausgesperrt oder zumindest nicht vollständig unterstützt. Die Kunden sollten von der Bank ausreichend über die Gefahren informiert werden, aber das geschieht entweder gar nicht oder ungenügend. Aber wie auch, wenn die Bankangestellten selber meistens das nötige Wissen nicht aufbringen.

Quelle: 'Blindes Vertrauen in Online-Banking in Österreich' auf Heise Online

zur Übersicht

12.01.2007 - Microsoft bleibt Sicherheitsupdates weiterhin schuldig

Microsoft hat am vergangenen Dienstag zwar 4 Sicherheitsupdates für seine Produkte veröffentlicht, darunter auch 3 die kritische Lücken schließen sollen, bleibt aber weiterhin mindestens ebenso viele wichtige Updates im Rückstand. So bleiben die 3 Sicherheitslücken im Office Paket schon im zweiten Monat ohne adäquate Korrektur. Auch ein Fehler im Internet Explorer (alle Versionen) bleibt bestehen.

Unterm Strich muss man leider sagen, dass in den Microsoft Produkten zurzeit mal wieder alle Türen für Kriminelle offen stehen. Im Detail heißt das wie üblich: Finger weg vom Microsoft Internet Explorer (egal ob Version 6 oder 7). Und zugesendete oder von Webseiten heruntergeladene Office Dateien, sollte man nach wie vor nicht mit den Microsoft Office Programmen öffnen, sondern lieber auf die kostenlose Alternative in Form von OpenOffice vertrauen.

Nichts desto trotz empfehlen wir allen Anwendern die angebotenen Updates rasch zu installieren, falls dies nicht bereits von dem Dienst 'Automatisches Update' erledigt wurde.

Quelle: 'Nach dem Januar-Patchday ist vor dem Patchday' auf Heise Online

Download: Updates für Windows & Office über 'Microsoft Update' (Nur mit Internet Explorer)

zur Übersicht

10.01.2007 - Adobe Reader 7.0.9 schließt Sicherheitslücken

Nachdem bisher Anwender des Adobe Reader 7 auf die neue Version 8 umsteigen mussten, um von allen bekannten Sicherheitslücken gefeit zu sein, bietet der Hersteller nun auch eine neue Version aus der 7er Reihe, bei der die aktuellen Probleme behoben wurden. Den meisten Anwendern, die aus genannten Gründen bereits Version 8 installiert haben, dürfte diese neue Ausgabe aus der 7er Reihe herzlich egal sein, aber manche Anwender klagen beim Reader 8 über Kompatibilitätsprobleme. Für diesen Personenkreis kommt die bereinigte 7er Version wie gerufen.

Wer bereits Adobe Reader 8 verwendet, und keine Probleme damit hat, sollte auf jeden Fall dabei bleiben. Wer aus welchen Gründen auch immer bei Adobe Reader 7 bleiben will/muss, findet unten den Link zum kompletten Download. Natürlich kann man auch über 'HILFE > NACH UPDATES SUCHEN' das automatische Update starten.

Quelle: Adobe Reader 7.0.9, Windows, Deutsch » 23MB

zur Übersicht

09.01.2007 - Lücke in Notebooks und PCs von Acer (UPDATE)

Der Hersteller Acer installierte bis vor kurzem auf allen ausgelieferten Computern eine Datei, welche eigentlich schon seit Jahren nicht mehr genutzt wird. Das allein wäre schon traurig, aber nicht weiter schlimm. Blöd nur, dass besagte überflüssige Datei es nun erlaubt, den kompletten Computer einfach zu übernehmen, oder auch 'nur' mit Viren zuzupflastern.

Und natürlich spielt wieder einmal Microsoft's Internet Explorer eine Rolle, bzw. dessen extrem unsicheres ActiveX-Plugin-System. Heise Security hat bereits eine Website fertiggestellt, die beim Besuch mit Acer Computern und dem Internet Explorer den Windows Taschenrechner startet. Das funktioniert mit allen Versionen des Internet Explorers, auch wenn die neueste Inkarnation (Version 7) immerhin eine Warnung ausgibt.

Acer Kunden mit guten PC Kenntnissen sollten die gefährliche Datei auf jeden Fall entsorgen. Die nötigen Details liefert der Heise Online Artikel. Wer sich den Vorgang nicht zutraut, sollte auf jeden Fall zum surfen nur alternative Browser einsetzen, wie z.B. Opera. Letztere Empfehlung gilt, aufgrund der zahlreichen Sicherheitslücken im Internet Explorer (alle Versionen), ohnehin allgemein.

UPDATE:
Acer stellt mittlerweile ein entsprechendes Update parat (siehe Link unten). Einen gut sichtbaren Hinweis zu dem Problem, oder auch nur eine Beschreibung des Downloads, hält der Hersteller aber offenbar für unnötig.

Quelle: 'Gefährliche Hintertür in Acer-Notebooks' auf Heise Online

Info: Heise Security's Demo Seite für Acer Sicherheitslücke (Nicht mehr verfügbar)

Download: Sicherheitsupdate für vorinstallierte Acer Software

zur Übersicht

09.01.2007 - Sicherheitslücke in (fast) allen PDF Betrachtern

Genau genommen steckt der Fehler im PDF-Format selbst, wie der Artikel auf Heise Online im Detail verrät. Für Anwender dürfte dagegen nur eines wichtig sein: Bis auf den Adobe Reader 8, lassen sich wahrscheinlich alle PDF-Anzeige-Programme per manipulierten PDF Dokumenten Schadcode (Viren) unterschieben.

Nur Adobe, der Erfinder des PDF Formates selbst, hat diese Schwachstelle wohl schon einige Zeit erkannt, und in der aktuellen Ausgabe des Adobe Readers Vorkehrungen getroffen, welche die Folgen des Fehlers unterbinden. Bleibt nur zu hoffen, dass die Serie der Schwachstellen in PDF Programmen nun endlich einmal abreißt, denn die Anwender wollen PDF Dokumente erstellen oder betrachten, und nicht ständig die dazu nötigen Programme aktualisieren.

Quelle: 'Designfehler im PDF-Format gefährdet PC-Sicherheit' auf Heise Online

Download: Adobe Reader 8, Windows, Deutsch » 22,5 MB

Download: Adobe Reader 8, andere Sprachen und Betriebssysteme

zur Übersicht

06.01.2007 - Sicherheitslücke im VLC Media Player behoben

Die Programmierer des VLC Media Player haben wie erwartet schnell reagiert, und bereits am 4.12.2007 eine neue Version herausgegeben, die die Sicherheitslücke behebt, über die wir am Tag zuvor erst berichtet hatten. Wir empfehlen allen Anwender des VLC Media Player, egal ob dieser so gut wie nie oder täglich verwendet wird, das Update so bald wie möglich zu installieren.

Von Apple gibt es dagegen wie befürchtet noch kein Update für die, einen Tag vor dem VLC Media Player gemeldeten, Sicherheitslücken im Quicktime Player. Zum Glück kann aber der VLC Media Player diese Quicktime Filme meist problemlos abspielen.

Quelle: Newsmeldung der VLC Media Player Website (Englisch)

Download: VLC Media Player v0.8.6.a, Windows, Mehrsprachig » 9.1MB

Download: VLC Media Player v0.8.6.a, andere Betriebssysteme

zur Übersicht

06.01.2007 - Opera 9.10 behebt zwei Sicherheitslücken

Wir haben ja bereits am 19.12.2006 über die neuen Funktionen in der damals neuen Version 9.10 des Opera Webbrowsers berichtet. Heute veröffentlichten die Norweger von Opera Software, dass diese Version auch zwei Sicherheitslücken geschlossen hat. Die Lücken gelten als schwer ausnützbar, bieten aber theoretisch die Möglichkeit darüber den PC mit Viren zu infizieren, egal ob Windows oder Linux als Betriebssystem zum Einsatz kommt. Daher empfehlen wir jetzt allen Opera Anwendern, die noch mit einer früheren Version arbeiten, möglichst rasch auf die neueste Fassung des Browsers umzusteigen.

Dass Opera erst einige Zeit nach der Veröffentlichung der Software auf die darin behobenen Sicherheitslücken hinweist, gilt in der Branche als durchaus gerechtfertigt, da es den Anwendern der Software Zeit gibt die Updates einzuspielen, bevor Kriminelle Informationen erhalten, wie diese auszunutzen sind. Leider halten sich nicht alle Entdecker von Sicherheitslücken an diesen Grundsatz, wie die aktuellen Probleme mit dem Quicktime und VLC Media Player auf traurige Art und Weise demonstrieren.

Quelle: 'Opera stopfte heimlich Sicherheitslücke' auf Heise Online

Download: Opera 9.10, alle Betriebssysteme

zur Übersicht

06.01.2007 - Sicherheitslücke in Wechselwirkung mit Microsoft Internet Explorer

Heise Online berichtet von einer neuen (möglichen) Sicherheitslücke im Internet Explorer 6 und 7. Bei genauerer Betrachtung stellt sich jedoch heraus, dass eigentlich die XML-Bibliothek von Microsoft in Version 3 die Schwachstelle enthält, und die beiden Internet Explorer Versionen 'nur' darüber stolpern. Wie auch immer, diesmal gibt es von Microsoft selbst eine Lösung für das Problem.

Da besagter Fehler nur in dem Programm MSXML Version 3 enthalten ist, genügt es eben diese zu deinstallieren (über Systemsteuerung > Software), und dann die aktuelle Ausgabe des Programms, nämlich Version 6, zu installieren. Wer sich eine Deinstallation der alten Fassung nicht zutraut, kann sich den Schritt notfalls auch sparen, der Internet Explorer sollte eigentlich immer die neueste Fassung des XML Programms verwenden. Nach der Installation sollte man gleich der 'Microsoft Update Website' einen Besuch abstatten, denn für MSXML Version 6 stehen bereits 2 Sicherheitsupdates parat.

Alternative Browser wie Opera oder Firefox verwenden die betroffenen Dateien von Microsoft selbst nicht. Aber andere Programme könnten durchaus davon Gebrauch machen, deshalb empfiehlt sich das Update auch für Anwender, die den Internet Explorer nicht einsetzen.

Quelle: 'Konkurrierende Ereignisse werfen Internet Explorer aus der Bahn' auf Heise Online

Download: Microsoft Core XML Services (MSXML) 6.0 » 1,5MB

Download: Microsoft Sicherheitsupdates über 'Microsoft Update' (nur mit Internet Explorer)

zur Übersicht

05.01.2007 - Zwei Sicherheitslücken in FileZilla FTP Programm

Vom beliebten kostenlosen FTP-Programm FileZilla wurde die neue Version 2.2.30a herausgegeben, die vor allem 2 Sicherheitslücken behebt. Ohne das Update ist es theoretisch möglich, während eines Datentransfers den PC des Anwenders mit Viren zu infizieren.

Wir raten allen Anwendern von FileZilla vor der nächsten Benutzung des Programms, das Update herunterzuladen und zu installieren.

Quelle: Release Notes zu 2.2.30a vom FileZilla Team (Englisch)

Download: Filezilla v2.2.30a, Windows, Deutsch » 3,5MB

zur Übersicht

04.01.2007 - Weitere Sicherheitslücken im Adobe Reader 7

Vor einem Monat berichteten wir über eine Sicherheitslücke im Adobe Reader 7, die sich in Kombination mit dem Internet Explorer von Microsoft dazu ausnützen lies, um PCs mit Viren zu infizieren. Nun haben Experten weitere Mängel gefunden, die sich dieses Mal aber in allen Browsern ausnützen lassen sollen. Getestet wurde das jedoch nur für Microsoft Internet Explorer, und Mozilla Firefox.

Aufgrund des hohen Risikos, empfehlen wir allen Anwendern auf Version 8 des Adobe Reader upzudaten. Für diese Fassung sind zurzeit keine Sicherheitslücken bekannt.

Quelle: 'Lücken im Adobes Reader-Plug-in' auf Heise Online

Download: Adobe Reader 8, Windows, Deutsch » 22,5 MB

Download: Adobe Reader 8, andere Sprachen und Betriebssysteme

zur Übersicht

04.01.2007 - OpenOffice 2.1 wird zum Sicherheitsupdate

Als vor ca. 2 Wochen OpenOffice 2.1 fertiggestellt wurde, haben wir mangels besonderer Neuerungen auf einen Hinweis darauf verzichtet. Das hat sich nun geändert, denn wie jetzt bekannt wurde, schließt Version 2.1 auch eine Sicherheitslücke. So befand sich in allen Versionen davor ein Problem bei der Verarbeitung von WMF Bildern, die im Extremfall ausgenützt werden kann, um den PC mit Viren zu infizieren, sofern man entsprechend präparierte Dateien mit OpenOffice öffnet.

WMF Bilder sind seit Anfang letztes Jahr bekannt dafür, als Träger von Viren dienen zu können. Damals hat Microsoft mit einiger Verspätung ein Update für Windows herausgebracht, das einige Probleme behoben hatte. Wir vermuten, dass heute noch viele Programme im Umlauf sind, die sich von WMF Bildern Viren unterschieben lassen, vor allem Programme, die gar nicht mehr, oder nur selten weiterentwickelt werden.

Das OpenOffice Projekt hat bisher keine genauen Details über die Sicherheitslücke veröffentlicht, um Kriminellen nicht in die Hände zu spielen. Wir vermute aber, dass die Lücke nicht für die seit einem Jahr bekannten manipulierten WMF Bilder anfällig ist, sondern nur gegen neuere 'Mutationen'. Andernfalls hätten die sehr sicherheitsbewussten Entwickler des Office Paketes wohl früher reagiert.

Wir empfehlen daher allen Anwendern von OpenOffice auf die neueste Version upzudaten.

Quelle: 'OpenOffice führt Schadcode in WMF-Bildern aus' auf Heise Online

Download: OpenOffice.org 2.1, andere Betriebssysteme, Deutsch

zur Übersicht

03.01.2007 - Neue Phishing Tricks überlisten Schutzsoftware

Dass Computersicherheit ein Hase & Igel Spiel ist, dürfte sich mittlerweile auch zu unerfahrenen Anwendern durchgesprochen haben. Kaum finden Sicherheitsexperten einen Weg vor einer Gefahr halbwegs zuverlässig zu schützen, finden die 'Bösen Buben' neue Wege um an die Computer, und damit vertrauliche Daten, der Anwender zu gelangen.

Die neueste Masche, die auf sogenannten Phishing Websites (Phishing = Passwort Fischen) eingesetzt wird, verwendet Flash. Diese Methode ist zwar wesentlich aufwendiger zu programmieren, als eine konventionelle Website, jedoch können aktuelle Schutzfunktionen in Flash programmierte 'Fallen' gar nicht erkennen, während dies bei den herkömmlichen Methoden zumindest Ansatzweise funktioniert. Erkennen kann man solche Flash Webseiten nur, indem man einmal mit der rechten Maustaste in eines der Eingabefelder klickt. Öffnet sich hier ein Hinweis auf das Flash Plugin, sollte man keine sensiblen Daten eingeben.

Hält man sich jedoch kompromisslos an unsere Empfehlung, laufen auch solche Versuche ins Leere: Öffnen Sie Webseiten, in die Sie sensible Daten eingeben müssen, NIEMALS über Links (Verknüpfungen) in E-Mails oder Webseiten, sondern geben sie die Adresse (z.B. www.meinebank.at) immer von Hand ein. Lesezeichen (der Internet Explorer nennt sie 'Favoriten') im Browser sollten Sie dafür ebenfalls nur dann verwenden, wenn Sie sicherstellen können, dass niemand die Möglichkeit hat, sie zu manipulieren.

Quelle: 'Phishen mit Phlash' auf Heise Online

zur Übersicht

03.01.2007 - Sicherheitslücke im VLC Media Player

Nachdem wir gestern erst von der Schwachstelle in Quicktime, der Multimedia Software von Apple, berichtet hatten, ist heute der VLC Media Player dran. Auch hier kann ein Programmfehler ausgenützt werden, um Windows oder Macintosh Computer mit Viren zu infizieren, allerdings macht es der VLC Media Player dem Eindringling nicht ganz so einfach wie Quicktime.

Die VLC Entwickler testen bereits eine neue Version, die den Fehler nicht enthält. Bis diese erhältlich ist (wir erwarten das Update bald), sollte man den VLC Media Player, genau wie Quicktime, am besten deinstallieren. Den Player einfach nur 'nicht zu benutzen' bringt nichts, denn Webseiten können den Player unter Umständen automatisch starten.

Quelle: 'Loch im VLC Media Player' auf Heise Online

zur Übersicht

03.01.2007 - Firefox 2.0.0.1 vergisst Lesezeichen und anderes

In die letzte deutschsprachige Version des Webbrowsers Firefox hat sich ein Fehler eingeschlichen, der verhindert, dass irgendwelche Benutzereinstellungen gespeichert werden, auch nicht so triviale Sachen wie z.B. die Lesezeichen. Genauer gesagt, wird bei der Installation des Programmes der Profilordner von Firefox nicht mit Schreibrechten ausgestattet.

Erfahrene Anwender können die Schreibrechte einfach über den Windows Explorer hinzufügen. Wer sich das nicht zutraut, sollte einfach Version 2.0.0.1 deinstallieren, und die Vorversion 2.0 installieren. Das bei der 'alten' Version angebotene Onlineupdate auf Version 2.0.0.1 sollte man unbedingt annehmen, es verändert die Schreibrechte für den Profilordner nicht, stopft aber einige Sicherheitslücken. Wer keine Einschränkungen bei der Arbeit mit Firefox bemerkt, braucht natürlich auch keine Maßnahmen ergreifen, denn 'gefährlich' ist das Problem nicht.

Quelle: 'Profil-Probleme [..] von Firefox 2.0.0.1' auf Heise Online

Download: Mozilla Firefox 2.0, Windows, Deutsch » 5,6MB

zur Übersicht

02.01.2007 - Sicherheitslücke in Quicktime

Die Multimedia Software Quicktime beinhaltet ein Sicherheitsloch, das sich ausnützen lässt, um sowohl Windows PCs als auch Macintosh Systeme mit Viren zu infizieren. Der Hersteller Apple hat bisher noch kein Update parat, deshalb besteht derzeit die einzige sinnvolle Möglichkeit sich zu schützen darin, Quicktime zu deinstallieren. Unerwünschte Folgeerscheinung ist jedoch, dass manche in Webseiten eingebundene Multimediainhalte nicht mehr angezeigt werden. Außerdem funktioniert die iTunes Software von Apple nicht ohne Quicktime, sodass auch diese Software nicht genutzt werden kann.

Bleibt nur zu hoffen, dass Apple möglichst bald eine fehlerbereinigte Fassung herausbringen wird. Allerdings dürfte der Hersteller dieses Monat noch mehr zu tun bekommen, denn der Entdecker der Sicherheitslücke hat bereits zu einem 'Monat der Apple Sicherheitslücken' aufgerufen, und möchte im Zuge der Aktion noch weitere Lücken offenbaren.

Quelle: 'Month of Apple Bugs startet mit kritscher Quicktime-Lücke' auf Heise Online

zur Übersicht

 

Wir empfehlen:

LibreOffice Logo

Opera Logo

Thunderbird Logo

Kaspersky Logo

c't Logo

Diese Website ist kompatibel zu:

W3C XHTML

Das CSS Logo des W3C