News Archiv 3. Quartal 2007

Schlagzeilen * Details

Schlagzeilen:


zur Übersicht

Details:



28.09.2007 - E-Mail Diebstahl bei Google Mail

Dass Google sich bei seinem E-Mail Angebot 'Google Mail' vorbehält, den Inhalt der privaten Mails für Werbezwecke zu analysieren, ist eigentlich schon Grund genug, um diesen Internet Monopolist nicht nur bei der Suchmaschine einen weiten Bogen zu machen. Nach Datenschutzproblemen in seinen Desktop Suchmaschinen, und der erst kürzlich in der Bilder Verwaltung Picasa bekannt gewordenen Schwachstelle, stehen nun die 'Google Mail' Nutzer im Regen. So können Websites die E-Mails eines 'Google Mail' Nutzers kopieren, wenn dieser gleichzeitig bei seinem E-Mail Konto angemeldet ist.

Update:
Google hat das Problem lt. Aussage des Entdeckers heute Vormittag behoben.

Quelle: 'Nachrichtenklau in Google Mail' auf Heise Online

Quelle: 'Google GMail E-mail Hijack Technique' von GNUCITIZEN (Englisch)

zur Übersicht

28.09.2007 - Gefahr durch Ask.com Toolbar

Die Internet Explorer Toolbar des Suchmaschinen Anbieters 'Ask.com' beinhaltet eine Sicherheitslücke, die es ermöglicht, bei Besuch einer entsprechenden Website, den Computer mit Viren zu infizieren. Ein Update liegt bisher nicht vor. Die Toolbar kann über den Punkt 'Software' in der 'Systemsteuerung' deinstalliert werden. Da eine Deinstallation nicht sicherstellt, dass die gefährliche Datei tatsächlich gelöscht wurde, können wir unsere permanente Empfehlung, den Internet Explorer generell nicht zu verwenden, nur wiederholen.

Die Toolbar wird übrigens von einigen kostenlosen Programmen installiert, um über dieses Werbeangebot doch etwas Geld in die Kassen zu spülen. Dass aber auch Nero bei seinem ohnehin für teures Geld verkauften Brennprogramm zu dieser Zusatzeinnahme greift, ist schon bedenklich. Dass das Ganze auch noch als Bonus angepriesen wird, schlägt dem Fass den Boden aus. Die Zahl der Anwender die tatsächlich Nutzen aus so einer Toolbar ziehen können, liegt wohl eher unter zwei Prozent. Bei der Installation von Programmen sollte man daher immer aufpassen, was da so alles vorausgewählt ist, und unnötige Sachen ausschließen.

Quelle: 'Kritische Lücke in Toolbar des Suchdienstes Ask.com' auf Heise Online

zur Übersicht

28.09.2007 - Schwere Sicherheitslücke in AOL Instant Messenger (AIM)

AOL's Instant Messenge Software lässt sich sehr leicht dazu missbrauchen, um über manipulierte Nachrichten die Computer der Empfänger zu infizieren. Ein Sicherheitsupdate steht noch nicht parat. Einzige Lösung für das Problem besteht deshalb in der Deinstallation der Software. Als Ersatz für AIM kann dann der Multiprotokoll Messenger Pidgin (ehemals Gaim) verwendet werden, der nicht nur mit AIM, sondern auch mit den meisten anderen Messenger Programmen kommunizieren kann.

Quelle: 'Unfreiwillige Fernwartung durch AIM' auf Heise Online

Download: aktuelle Pidgin Version

zur Übersicht

28.09.2007 - Datenklau durch Google's Picasa

In der praktischen Bilderverwaltung Picasa wurde ein gravierender Mangel gefunden. Über einen simplen präparierten Link in einer Webseite, können sämtliche in Picasa verwalteten Bilder gestohlen werden.

Ein Update für Picasa soll in Arbeit sein, ist aber bisher nicht verfügbar. Disziplinierte Anwender die Opera oder Firefox benutzen, bekommen in der Standardkonfiguration eine Warnung präsentiert, wenn der Link angeklickt wird. In Microsofts Internet Explorer startet die Aktion dagegen ohne Vorwarnung. Mit dem folgenden Link können Sie überprüfen, ob Ihr Browser Picasa startet. Wer den Internet Explorer verwendet (wir raten dringend davon ab) oder eine simple Warnung als zu geringe Hürde empfindet, der sollte Picasa vorübergehend deinstallieren.

» Picasa starten «

Quelle: 'Bilderklau durch Schwachstelle in Googles Picasa' auf Heise Online

zur Übersicht

28.09.2007 - Excel 2007 kann nicht richtig multiplizieren

Microsofts 2007er Ausgabe seines Office Paketes ist im Vergleich zu seinen Vorgängern bisher zwar halbwegs sicher, dafür hapert es aber mit den Grundrechenarten in der Tabellenkalkulation Excel 2007. So berechnet das Programm z.B. folgendes: 850x77,1=100.000. Das ist zwar eine schöne runde Zahl, aber leider völlig falsch. Das korrekte Ergebnis wäre 65.535. Excel liegt also nicht ein bisschen, sondern meilenweit daneben.

Da es bisher noch kein Update gibt, bleibt Anwendern von Excel 2007 zurzeit nur die Option, Multiplikationen in Excel mit dem Taschenrechner nochmal zu überprüfen, oder vorübergehend zum kostenlosen OpenOffice zu greifen. Begonnene Tabellen muss man aber in Excel 2007 zuerst im alten XLS-Format abspeichern, weil die neuen Office-2007-Dateiformate beherrscht noch kein Programm, außer eben Office 2007.

Quelle: 'Excel 2007 verrechnet sich beim Multiplizieren' auf Heise Online

zur Übersicht

21.09.2007 - Firefox: Eine Lücke weniger, ein Problem dazu

Mozilla hat Version 2.0.0.7 seines Browsers Firefox veröffentlicht. Darin wurde die Sicherheitslücke geschlossen, die in Kombination mit Quicktime zur Infektion des Computers führen kann. Wir empfehlen allen Firefox Anwendern, das Update zu installieren.

Kurze Zeit danach wurde eine neue Sicherheitslücke in der Software bekannt. Diesmal kann der Fehler keine Infektion des Computers zur Folge haben, aber immerhin eine Datenschutzverletzung. Auch wenn sich viele Anwender um Datenschutz nicht kümmern, Firefox Anwender, die, virtuell gesehen, nicht gerne ständig mit Namensschild auf der Stirn herumlaufen wollen, sollten die folgende Funktion in Firefox einstellen:

Unter 'Einstellungen > Erweitert > Verschlüsselung > Zertifikate' die Option 'Jedes mal nachfragen' aktivieren.

Daraufhin muss ein Anwender per Mausklick bestätigen, wenn ein Server ein Client-Zertifikat überprüfen möchte. Das entspricht dann übrigens dem Ablauf, der bei Opera und Konqueror Standard ist. Microsofts Internet Explorer ist ebenfalls nicht betroffen, hier ist die Funktion schlicht und ergreifend nicht vorhanden.

Quelle: 'Firefox 2.0.0.7 schließt QuickTime-Lücke' auf Heise Online

Quelle: 'Benutzer-Tracking mit SSL-Zertifikaten in Firefox' auf Heise Online

Download: Mozilla Firefox 2.0.0.7, Windows, Deutsch » 5,6MB

Download: Mozilla Firefox 2.0.0.7 für andere Betriebssysteme oder Sprachen

Info: Release Notes zu Firefox 2.0.0.7 (Englisch)

zur Übersicht

21.09.2007 - ServicePack 3 für Office 2003 schließt nicht alle Sicherheitslücken

Microsoft hat mit der Ankündigung des Service Pack 3 für Office 2003 bei Anwendern die Hoffnung geschürt, dass damit endlich alle bekannten Sicherheitslücken behoben werden. Tatsächlich hat Microsoft viel für die Sicherheit dieses Office Paketes getan, aber alle Lücken zu beheben, ist offenbar zu viel verlangt.

Nach wie vor listet der unabhängige Sicherheitsdienstleister 'Secunia' 5 nicht behobene Sicherheitslücken auf. Teilweise sind diese schon seit Herbst letzten Jahres bekannt. Wenn Microsoft es ein Jahr nach bekannt werden einer Sicherheitslücke, nicht einmal mit einem ServicePack schafft dieses zu beheben, ist zu befürchten, dass diese gar nicht mehr behoben wird. Nichts desto Trotz empfehlen wir allen Anwendern von MS Office 2003, das dritte ServicePack zu installieren. Fremde Dokumente sollte man aber weiterhin zuerst mit OpenOffice überprüfen.

Quelle: Liste der Sicherheitslücken in MS Office 2003 von Secunia (Englisch)

Download: Service Pack 3 für Microsoft Office 2003

zur Übersicht

21.09.2007 - OpenOffice.org 2.3 schließt Sicherheitslücke und bringt Neues

Version 2.3 des kostenlosen Office Paketes OpenOffice.org behebt einen Fehler bei der Verarbeitung von manipulierten TIFF Bildern. Dokumente, die solche Bilder enthalten, können ältere Versionen zum Absturz bringen. Auch eine Infektion des Computers soll möglich gewesen sein. Aufgrund dieser Korrektur empfehlen wir allen OpenOffice Anwendern ein Upgrade auf die neue Version.

Aber es wurde nicht nur eine Sicherheitslücke geschlossen, sondern auch einige sichtbare Verbesserungen vorgenommen. Das auffälligste dürfte wohl die zentrierte Dokumentenansicht im Textverarbeitungsmodul 'Writer' sein. Vor allem Besitzer von Breitbild Monitoren werden sich freuen, dass das Dokument jetzt nicht mehr am linken Monitor-Rand klebt. Freunde von bunten Diagrammen in Tabellen werden sich über den überarbeiteten Diagramm-Assistenten freuen, der es wesentlich erleichtert gut aussehende Diagramme zu erstellen. Weitere Neuerungen verrät die Pressemitteilung von OpenOffice.org.

Quelle: 'OpenOffice 2.3 dichtet Sicherheitsleck ab' auf Heise Online

Quelle: 'OpenOffice 2.3 mit neuem Chart-Modul' auf Heise Online

Quelle: 'OpenOffice.org Pressemitteilung vom 17.09.2007' auf Heise Online

Download: OpenOffice.org 2.3, andere Betriebssysteme, Deutsch

zur Übersicht

21.09.2007 - Passwörter für Second-Life sind unsicher

Mit einfachsten Mitteln lassen sich die Zugangsdaten zu Second-Life, dem virtuellen zweiten Leben, ausspähen. Ein Klick auf einen Link in einer präparierten Website, oder einem E-Mail, und schon wandern Benutzername und Passwort an Fremde.

Hersteller 'Linden Lab' hat deshalb vor kurzem die Version 1.18.2.1 der Second-Life Zugangssoftware veröffentlicht, die den Fehler nicht mehr enthalten soll.

Quelle: 'Sicherheitslücke in Second-Life-Client' auf Heise Online

Quelle: 'Second Life 1.18.2 is released' auf secondlife.com (Englisch)

Download: Aktuelle Second-Life Zugangssoftware

zur Übersicht

21.09.2007 - Sicherheitslücken in VMware Virtualisierungssoftware

VMware, Hersteller von diversen Virtualisierungs-Software-Produkten, hat mehrere Sicherheitsupdates bereitgestellt, um Probleme im aktuellen Produkt Portfolie zu beheben. Anwender die diese Software einsetzen, sollten auf der VMware Homepage nach Aktualisierungen für Ihr Produkt suchen.

Quelle: 'VMware schließt Lücken in zahlreichen Produkten' auf Heise Online

Download: VMware Updates auf der Herstellerwebsite

zur Übersicht

15.09.2007 - Quicktime gefährdet Firefox Anwender

Anwender des Firefox Internet Browsers stehen einer Bedrohung durch einen Fehler in dem Multimedia Plugin Quicktime gegenüber. Scheinbar nur in dieser Kombination äußert sich eine Sicherheitslücke in Quicktime, wodurch der Computer mit Viren infiziert werden kann.

Da bisher kein Update für Quicktime zur Verfügung steht, bleibt Anwendern nur übrig, sich entweder von Quicktime, oder Firefox vorübergehend zu trennen. Während für Quicktime keine sichere Alternative zur Verfügung steht, bietet sich auf Browser Seite natürlich Opera an.

Übrigens erwähnen die Entdecker der Lücke auch explizit die Software 'Quicktime Alternative' als unsicher. Das ist nett, wäre aber eigentlich überflüssig. Die mittlerweile verbotene Software ist eine gehackte Version des Originals, und hat als solche immer dieselben Fehler wie das zugrunde liegende Original. Da es die Software offiziell nicht mehr gibt, können wir von deren Einsatz nur dringend abraten.

Quelle: 'QuickTime reißt Sicherheitsleck in Firefox auf' auf Heise Online

zur Übersicht

15.09.2007 - Unsicheres ActiveX Modul von HP

Keine Woche ohne neue Meldungen über Sicherheitslücken in Plugins für den Internet Explorer. Diesmal hat es wieder Computer Hersteller HP getroffen. Das beanstandete Modul wird wohl unter anderem mit verschiedenen Druckertreibern von HP ausgeliefert. Ein Update steht bis dato nicht zur Verfügung. Doch selbst wenn, aufgrund der unüberschaubar hohen Zahl von unsicheren ActiveX Plugins, empfehlen wir einmal mehr die Abschaltung von ActiveX in der Internetzone des Internet Explorers. Wie das geht, verrät unsere Anleitung 'Internet Explorer abriegeln'.

Quelle: 'Sicherheitsleck in HP-ActiveX-Modul' auf Heise Online

Artikel: Internet Explorer abriegeln

zur Übersicht

15.09.2007 - Auch PayPal in Sicherheitslücken bei eBay verwickelt

In die Affaire um die kürzlich gemeldete Sicherheitslücke bei eBay, ist auch deren Schwesterunternehmen PayPal involviert. Erst die ungenügend gesicherte Kommunikation zwischen den beiden Parteien ermöglicht es den Angreifern, die Benutzerdaten zu stehlen, und zu missbrauchen. In Foren wird darüber hinaus gemunkelt, dass eBay die Sicherheitslücke nur deshalb so schnell auf sich genommen hat, um eben die Aufmerksamkeit von PayPal fernzuhalten. Den PayPal hat seit einiger Zeit eine europäische Banklizenz, und unterliegt als solche eigentlich wesentlich strengeren Sicherheitsbestimmungen als der Mutterkonzern eBay.

Auch wenn 'falle-internet.de' in der Vergangenheitsform über die Sicherheitslücken schreibt, es finden sich in keinem Text die magischen Worte 'die Sicherheitslücke wurde behoben'. Allerdings sollten sich eBay Anwender davon ohnehin nicht beeinflussen lassen. Selbst wenn irgendwann mal eine deutliche Entwarnung kommt, eBay ist und bleibt unsicher. Benutzer, die ohne das Online-Auktionshaus nicht auskommen (wollen), sollten die Sicherheitsbestimmungen von eBay sorgfältig beachten. Die Schadenssummen die bei 'falle-internet.de' allein für eBay beschrieben werden, sind astronomisch.

Quelle: 'Ursache für eBay-Datenleck war Lücke bei PayPal' auf Heise Online

Quelle: 'falle-internet.de' - Informationen rund um Sicherheitsmängel bei eBay

zur Übersicht

15.09.2007 - Sicherheitslücken in MPlayer und Media Player Classic

Die beiden Media Player 'Media Player Classic' und 'MPlayer' beinhalten Sicherheitslücken bei der Verarbeitung von manipulierten AVI Dateien. Durch abspielen derartiger Videoclips kann der PC mit Viren infiziert werden.

Das 'Mplayer' Team hat ein Update in Vorbereitung, bisher ist es aber nicht als Download erhältlich. Solange das so bleibt, sollte man keine heruntergeladenen oder zugesendeten AVI-Dateien mit dem Player abspielen.

Rund um den 'Media Player Classic', kurz MPC, ist es leider schon relativ lange still. Vor einiger Zeit haben wir über eine Lücke bei der Verarbeitung von FLI Dateien berichtet. Diese Lücke wurde, wie das AVI-Problem, bis heute nicht behoben. Es liegen auch keine Stellungnahmen des Entwicklers vor. Anders als in 'MPLayer', können die Probleme im MPC aber umgangen werden. Wie man den MPC vor FLI Dateien schützt, haben wir zuletzt schon beschrieben (siehe Info über FLC Sicherheitslücken in Media Player Classic). AVI Dateien kann man weiterhin mit dem MPC abspielen, man muss nur in den Optionen bei 'Interne Filter' den Haken vor 'AVI' entfernen, um MPC dazu zu bringen Funktionen des Betriebssystems zu verwenden, anstatt der fehlerhaften Eigenen.

Wer beide Media Player zur Sicherheit entfernen möchte, kann danach als Ersatz zum VLC Media Player greifen. Der universelle Media Player spielt fast alle Formate ab, und wird im Falle von Sicherheitslücken sehr schnell aktualisiert.

Quelle: 'Codeschmuggel durch avi-Dateien in Media Player Classic und Mplayer' auf Heise Online

Info: Info über FLC Sicherheitslücken in Media Player Classic

Download: VLC Media Player

zur Übersicht

12.09.2007 - Aldi/Hofer verkauft Notebook mit Virus

Das kürzlich bei Aldi verkaufte Medion Notebook MD96290, wurde mit einem Virus ausgeliefert. Es handelt sich dabei um einen uralten Virus aus dem Jahr 1994, der zum Glück keine nennenswerten Schäden anrichtet. Nichts desto trotz muss die Schadsoftware weg, doch der mitgelieferte Virenscanner ist dazu nicht in der Lage. Medion hat mittlerweile eine Anleitung zum entfernen des Virus in seine Support Datenbank gestellt.

Ein gutes Licht wirft diese Aktion wohl nicht auf die Firma. Ob die betroffenen Notebooks auch in österreichischen Hofer Filialen verkauft wurden, ist unklar. Wer dort ein solches Gerät erworben hat, sollte aber auf jeden Fall einen kompletten Viren Scan ausführen.

Quelle: 'Wichtige Produktinformation zum Notebook MD 96290' von Medion

Quelle: 'Aldi-Notebook mit Virus an Bord' auf Heise Online

zur Übersicht

12.09.2007 - Wieder Sicherheitsprobleme bei eBay

Ende Februar hatten wir zuletzt über Sicherheitslücken in eBay berichtet. Während der Hacker 'Vladuz' damals aber nur die Schwachstellen aufzeigen wollte, selbst aber keine bösen Absichten verfolgte, ist das dieses mal anders.

Die Sicherheitslücken wurden umfassend ausgenutzt, um an Zugangsdaten zu eBay zu gelangen. Außerdem wurden Bietern von Auktionen, die kurz vor Ende noch überboten wurden, eine Sofortkauf Möglichkeit angeboten. Das überwiesene Geld strömte jedoch in die Kassen der Computer Kriminellen, und nicht in die des ahnungslosen Verkäufers.

Wir können nur einmal mehr versuchen die Leute darüber zu informieren, dass man eBay nicht auf die leichte Schulter nehmen sollte. Wer einmal aus Neugier einen Account angelegt hat, diesen seither aber gar nicht mehr genutzt hat, sollte diesen schließen. Wer eBay verwendet, sollte deren Sicherheitshinweise genau beachten. Das Passwort für den eBay Account sollte regelmäßig geändert werden, und niemals auf Seiten eingegeben werden, die auch nur den geringsten Verdacht aufkommen lassen.

Quelle: 'Betrüger lesen eBay-Kundendatenbank aus' auf Heise Online

zur Übersicht

12.09.2007 - Sicherheitslücke in Visual Basic 6

Programmierer, die noch mit der Entwicklungsumgebung 'Visual Basic 6' arbeiten, sollten am besten keine fremden Projektdateien mehr öffnen. Diese lasen sich nämlich so manipulieren, dass darüber Viren in das System eingeschleust werden können.

Ein Sicherheitsupdate ist bisher nicht verfügbar. Es ist auch unklar, ob überhaupt noch eines entwickelt wird, denn der gewöhnliche Support für dieses Produkt ist 2005 bereits abgelaufen, und der erweiterte Support endet in wenigen Monaten. Entwickler, die sofort wieder ein vertrauenswürdiges System benötigen, sollten sich daher schon mal um einen Ersatz für die veraltete Software umsehen.

Quelle: 'Sicherheitsleck in Visual Basic 6' auf Heise Online

zur Übersicht

12.09.2007 - Mehrere Erfolgsmeldungen rund um OpenOffice.org

Der Computerpionier IBM beteiligt sich ab sofort offiziell an der Weiterentwicklung der freien Büro Software 'OpenOffice.org'. Die Programmierer der Firma haben dabei schon einige Erfahrung mit OpenOffice, denn IBM verwendet intern schon seit Jahren eine eigens angepasste Fassung. Ab jetzt fließen die Entwicklungen IBM's wieder zurück ins OpenOffice Projekt. SUN Microsystems, das OpenOffice ins Leben gerufen, und bisher die größte Zahl der Entwickler zur Verfügung gestellt haben, bekommt damit einen kompetenten Partner, der OpenOffice vor allem im Geschäftsumfeld stark vorantreiben könnte. Immerhin ist IBM's 'Lotus Notes' nach wie vor in großen Firmen weit verbreitet.

Das ist die dritte gute Nachricht für OpenOffice.org in den letzten Tagen. Erst vor kurzem wurde der Antrag von Microsoft, seine neuen Dokumenten Formate als ISO Standard anzuerkennen abgeschmettert. OpenDocument bleibt somit erst mal alleiniger ISO Standard für den Dokumentenaustausch. Außerdem wurde OpenOffice in Deutschland endlich als Bürosuite für den ECDL (Europäischer Computerführerschein) anerkannt, und auch in Österreich bieten einige Institute mittlerweile OpenOffice als Grundlage für den ECDL an. Eltern und Schulen können jetzt also sehr viel Geld durch OpenOffice sparen, und dennoch für den ECDL vorbereiten.

Quelle: 'IBM tritt OpenOffice-Community offiziell bei' auf Heise Online

Quelle: 'Microsofts OpenXML verpasst (vorerst) Befürwortung als ISO-Standard' auf Heise Online

Quelle: ECDL bezogene Pressemitteilung von OpenOffice.org

zur Übersicht

07.09.2007 - Sicherheitslücke in iTunes Software

In Apples Onlineshop- und Multimedia-Software 'iTunes' wurde ein gravierender Sicherheitsmangel entdeckt. Über manipulierte Musikdateien ist es möglich, den Computer zu infizieren. Der Hersteller hat bereits eine neue Version zum Download bereitgestellt, die das Problem behebt.

Wir empfehlen allen Anwendern, die 'iTunes' wirklich nutzen, das Update zu installieren. Anwendern die 'iTunes' zwar installiert haben (siehe Systemsteuerung > Software) das Programm aber gar nicht verwenden, empfehlen wir dieses zu deinstallieren. Eine Empfehlung, die natürlich für jedwede Software gilt, denn Programme, die man nicht verwendet, sollten am besten gar nicht erst installiert, bzw. wieder deinstalliert werden. Nicht vorhandene Software hat garantiert null Sicherheitslücken.

An dieser Stelle muss Kritik an dem Programm 'Apple Software Update' angebracht werden. Zwar ist die Software grundsätzlich sauber programmiert (im Gegensatz zu vielen anderen Update Programmen), aber andererseits wird es von Apple dazu verwendet, um allen Anwendern 'iTunes' aufs Auge zu drücken. Denn auch wenn 'iTunes' nicht installiert ist, das Update Programm will dieses immer 'aktualisieren'. Mit unachtsamen Klicks dürften sich damit schon etliche Anwender 'iTunes' an Board geholt haben, ohne dies eigentlich zu wünschen.

Quelle: 'Apple schließt kritische Lücke in iTunes' auf Heise Online

Download: Aktuelle Apple iTunes Software

zur Übersicht

30.08.2007 - Wieder Sicherheitsloch in Yahoo Messenger

Nachdem Yahoo erst vor kurzem eine neue Version seines Instant Messengers herausgeben musste, um damit erste Sicherheitslücken zu beheben, trifft dies jetzt erneut zu. Auch die zweite Lücke innerhalb kurzer Zeit ermöglicht es, den Computer zu infizieren.

Alle Anwender die die Software installiert haben (ob sie verwendet wird, spielt keine Rolle) sollten sich unbedingt bei Yahoo die neueste Version herunterladen und installieren. Die Software einfach zu deinstallieren kann, muss aber nicht zwangsweise eine Lösung sein, da bei Deinstallationen oftmals Dateien zurückbleiben.

Quelle: 'Weiteres Yahoo-Messenger-Update' auf Heise Online

Download: Aktuelle Version des Yahoo Messengers

zur Übersicht

30.08.2007 - Update für Vista verbessert Spiele Kompatibilität

Nachdem Microsoft vor einigen Wochen bereits einmal 2 wichtige Updates für Windows Vista veröffentlichte, ohne groß Aufmerksamkeit darauf zu lenken, erschien nun ein weiteres Update, dass Probleme mit manchen 3D Spielen beheben soll.

Die folgenden Spiele können Probleme verursachen, wenn sie auf Windows Vista gespielt werden: Battlefield 2, Battlefield 2142, Civilization IV, Company of Heroes, Half-Life 2, Lord of the Rings: The Battle for Middle Earth II, Supreme Commander und Tom Clancy's Rainbow Six Vegas.

Wir raten allen Vista Anwendern das Update nur zu installieren, wenn tatsächlich aufwendige 3D Spiele gespielt werden. Wer nicht spielt, oder auch so keine Probleme hat, sollte das Update ignorieren. Im Service Pack 1 für Windows Vista wird ohnehin eine vollständig getestete Version dieses, und anderer wichtiger Updates enthalten sein.

Quelle: 'Vista-Patch behebt 3D-Probleme' auf Heise Online

Download: Update für Windows Vista (KB940105) 32 Bit

Download: Update für Windows Vista (KB940105) 64 Bit

zur Übersicht

26.08.2007 - Zwei Sicherheitslücken in Sophos Anti-Virus

Der auf Unternehmenslösungen spezialisierte Anbieter von Anti-Viren-Lösungen musste kürzlich zwei Schwachstellen beheben, die zumindest zu einem Ausfall des Virenschutzes, möglicherweise aber auch zu einer direkten Infektion führen kann. Administratoren von Systemen mit Sophos Virenschutz sollten die neuesten Updates vom Hersteller installieren.

Quelle: 'Zwei Lücken in Sophos Anti-Virus gestopft' auf Heise Online

Quelle: Sicherheitsmeldung von Sophos (Englisch)

zur Übersicht

26.08.2007 - Sicherheitslücke in Media Player Classic

In der 'Media Player Classic' genannte Alternative zum Windows Media Player, wurde kürzlich ein Softwarefehler entdeckt, der es ermöglicht den Computer zu infizieren, wenn man manipulierte 'FLIC' Dateien abspielt. Videos dieses Formates tragen die Dateiendung *.fli, *.flc oder *.flic.

Ein Sicherheitsupdate ist bis dato nicht verfügbar. Alle Anwender die Media Player Classic (kurz MPC) benutzen, sollten unter ANSICHT > OPTIONEN > FORMATE kontrollieren, ob MPC mit den oben genannten Dateien verknüpft ist, und diese Verbindung gegebenenfalls aufheben.

Unverlangt zugesendete Videoclips in diesen Formaten sollte man, zumindest die nächste Zeit, ungesehen löschen, auch wenn der Absender auf den ersten Blick vertrauenswürdig aussieht.

Quelle: 'Media Player Classic patzt bei FLI-Dateien'

zur Übersicht

23.08.2007 - Sicherheitslücke in Trend-Micro Anti-Virus-Lösungen

In den aktuellen Sicherheitslösungen des Herstellers Trend-Micro findet sich ein Fehler, der zur Infektion des Computers führen kann. Betroffen sind die Programme 'PC-cillin Internet Security 2007, 'Anti-Spyware 3.5' und 'ServerProtect 5.58'. Für alle 3 Anwendungen stehen Updates bereit, die allerdings von Hand eingespielt werden müssen. Zumindest erwähnt Trend-Micro in seiner Fehlerbeschreibung kein automatisches Update für diese Sicherheitslücken.

Zu sehr in Sicherheit sollte man sich aber auch mit installierten Updates nicht fühlen. Der Trend-Micro Virenscanner hat sich beim letzten Test der Fachzeitschrift c't einmal mehr nicht mit Ruhm bekleckert. Mit Kaspersky Anti-Virus ist man wesentlich sicherer, und das auch noch zu einem günstigeren Preis.

Quelle: 'Mehrere Sicherheitslücken in Trend-Micro-Produkten' auf Heise Online

Download: Sicherheitsupdates für PC-cillin Internet Security 2007 und 'Anti-Spyware 3.5'

Download: Security Patch 4 für Trend-Micro Server Protect 5.58

zur Übersicht

19.08.2007 - Nächstes unsicheres Internet Explorer Plugin stammt von IBM/Lenovo

Das zweite unsichere ActiveX Plugin für den Internet Explorer in dieser Woche (insgesamt sind es zu viele um den Überblick zu behalten) stammt von IBM / Lenovo. Auf Notebooks und PCs dieser Hersteller findet man die vorinstallierte Systemverwaltungs-Software 'Automated Solutions'. Diese installiert 2 unsichere ActiveX Plugins in den Internet Explorer, die es Angreifern ermöglichen das System zu infizieren, wenn man mit diesem Browser im Internet surft.

Der Hersteller hat bereits reagiert, und bietet ein Update für die Schwachstelle an. Möglicherweise wird das Update auch von der IBM / Lenovo eigenen Update Software angeboten und installiert. Konkrete Informationen liegen uns dazu nicht vor, ein Versuch kann aber nicht schaden. Falls nicht, finden Sie nachfolgend einen Link zu dem Update.

Download: IBM / Lenovo Automated Solutions Sicherheitsupdate

Quelle: 'Automated Solutions von IBM/Lenovo reißen Sicherheitsleck auf' auf Heise Online

zur Übersicht

19.08.2007 - Opera 9.23 behebt Javascript Sicherheitslücke

Opera hat kürzlich eine neue Version des gleichnamigen Webbrowsers veröffentlicht. Wichtigste Neuerung ist eine behobene Sicherheitslücke bei der Verarbeitung von Javascript. Generell wurde die Stabilität in Verbindung mit Javascript verbessert. Und auch die Schnellwahl Funktion hat ein paar Verbesserungen erhalten. Wegen der behobenen, kritischen Sicherheitslücke, empfehlen wir allen Opera Anwendern ein möglichst rasches Update.

Download: Opera 9.23, alle Betriebssysteme

Quelle: Opera 9.23 Release Notes (in Englisch)

zur Übersicht

19.08.2007 - Die 'versteckten' Microsoft Updates

Eigentlich möchte man meinen, dass über die eingebauten Update Funktionen alle relevanten Updates automatisch installiert werden, oder man zumindest darauf hingewiesen wird. Doch manche Updates hält Microsoft wohl nicht für wichtig genug, um sie all seinen Kunden aufs Auge zu drücken. Das ist immer dann Schade, wenn diese Updates sehr wohl ärgerliche Probleme lösen könnten.

Für Windows Vista hat Microsoft vor einiger Zeit 2 Updates fertiggestellt, die eine ganze Reihe kleinerer Probleme in dem neuen Betriebssystem beheben sollen. Bis heute werden sie aber nicht über 'Windows Update' angeboten. Wer regelmäßig über kleinere Pannen in Vista stolpert, der sollte sich die Updates 938194 und 938979 genauer ansehen.

Ein anderes kürzlich veröffentlichtes Update (932596) richtet sich an die 64Bit Versionen von XP, Server 2003 und Vista. Genauer gesagt wurde eine Kernfunktion (PatchGuard) der Betriebssysteme überarbeitet. Das soll die Stabilität, Leistung sowie Zuverlässigkeit verbessern.

Da keine Sicherheitsprobleme durch die Updates behoben werden, besteht kein zwingender Grund sich eines der Updates zu installieren. Wer es dennoch tut, sei es um Probleme zu lösen, oder die Leistung zu verbessern, sollte zuvor auf jeden Fall eine Sicherheitskopie der Daten, und wenn möglich auch des Systems erstellen.

Info: Microsoft Update für Vista - 938194

Info: Microsoft Update für Vista - 938979

Info: Microsoft Update für 64Bit Windows Systeme - 932596 (Englisch)

zur Übersicht

19.08.2007 - Nokia ruft 46 Millionen Handy Akkus zurück!

Wegen Überhitzungsgefahr muss der, auf dem europäischen Handy Markt führende, Anbieter massenhaft Akkus ersetzen. Die Akkus können sich sehr stark erwärmen, und sich dabei verformen. Nokia weist zwar nachdrücklich darauf hin, dass es ''keine ernsthaften Personen- oder Sachschäden'' gegeben hat, aber ein gutes Gefühl vermittelt so eine Information wohl dennoch nicht. Nokia Kunden können sich auf der unten angeführten Website informieren.

Info: Nokia Informationsseite zum Akkurückruf

Quelle: Nokia warnt vor Überhitzungsgefahr bei 46 Millionen Handy-Akkus

zur Übersicht

19.08.2007 - Internet Explorer verrät Passwörter

Dass der Internet Explorer grundsätzlich keine sichere Software ist, dass beweisen die regelmäßigen Schlagzeilen über Sicherheitslücken in eben dieser Software. Meistens geht es dabei aber um ActiveX Plugins von Drittanbietern, für die man Microsoft nur indirekt verantwortlich machen kann. Aber abgesehen davon, dass Microsoft sich selbst ActiveX eingebrockt hat, baut der Hersteller immer wieder zusätzliche Sicherheitslücken in seine Software ein.

Oftmals sind es dabei Funktionen, die grundsätzlich gut gemeint, aber nicht zu Ende gedacht wurden. So auch bei der neuen Schwachstelle, die Zugangsdaten zu FTP Servern verrät. Speichert man HTML Seiten von einem FTP Server mit dem Internet Explorer, schreibt dieser die dazu benützten Zugangsdaten, also Benutzername und Passwort, in die heruntergeladenen Webseiten. Lädt ein Webmaster so eine Datei im Anschluss wieder auf den Server, stehen die Zugangsdaten für die ganze Welt klar lesbar im Quelltext dieser Webseite. Folgender Eintrag wird dabei von der Software erzeugt:

<!-- saved from url=(0042)ftp://name:password@adresse/test.html -->

Gewissenhafte Webmaster sollten daher die verwalteten Websites einmal durchschauen, ob im Quelltext nicht vielleicht irgendwo Zugangsdaten gespeichert wurden. In Zukunft sollte man dann nur noch alternative FTP Programme, wie z.B. FileZilla verwenden.

Quelle: 'Internet Explorer verrät FTP-Zugangsdaten' auf Heise Online

Download: Filezilla v2.2.32, Windows, Deutsch » 3,3MB

zur Übersicht

19.08.2007 - Update Tag bei Microsoft

Vergangenen Dienstag hat Microsoft, wie jeden Monat, einen ganzen Schwall Sicherheitsupdates für seine Produkte veröffentlicht. Neue Updates gibt es für den Internet Explorer, Office und natürlich Windows selbst.

Leider hat es Microsoft wieder nicht geschafft, die seit Anfang des Jahres offenen Sicherheitslücken in seinen Office Paketen (alle außer Office 2007) zu beheben. Hier empfehlen wir deshalb weiterhin, unverlangt zugesendete oder von fremden Webseiten heruntergeladene Dokumente (wenn überhaupt) erst mit OpenOffice zu begutachten, bevor man sie gegebenenfalls mit MS Office weiterbearbeitet.

Wer die Funktion 'Automatisches Update' aktiviert hat, sollte die Updates bereits eingespielt bekommen haben. Wer ein manuelles Update bevorzugt, oder einfach sichergehen will, dass alle verfügbaren Updates installiert wurden, kann dafür die 'Microsoft Update' Website benutzen.

Download: Updates für Windows & Office über 'Microsoft Update' (Nur mit Internet Explorer)

Quelle: Microsoft Security Bulletin für Juli

Quelle: Secunia (Englisch; für weiter bestehende Sicherheitslücken in MS Office)

zur Übersicht

13.08.2007 - Und wieder ein unsicheres Internet Explorer Plugin

Das erste unsichere ActiveX Plugin dieser Woche, insgesamt sind es zu viele um die Übersicht darüber zu behalten, kommt von der Firma Live Picture. Das Plugin selbst nennt sich FlashPix, und ist im Lieferumfang von mehreren, meist älteren, Software Paketen enthalten. Ob es die Firma überhaupt noch gibt, ist unklar. Die Website ist jedenfalls nicht mehr zu erreichen. Auf ein Update wartet man deshalb besser nicht.

Der einzig sinnvolle Ausweg aus dem Internet Explorer Dilemma ist die Deaktivierung von ActiveX in der Internetzone des Internet Explorers. Wie das geht, und welche Nebeneffekte das hat, erklärt unser Artikel 'Internet Explorer abriegeln'.

Quelle: 'Pufferüberlauf in FlashPix-ActiveX' auf Heise Online

Artikel: Internet Explorer abriegeln

zur Übersicht

07.08.2007 - Das nächste gefährliche Internet Explorer Plugin

Die lange Liste der unsicheren ActiveX Plugins für den Internet Explorer, wurde soeben wieder um eine Lücke hochgezählt. Einmal mehr stammt das betroffene Plugin von Microsoft selbst, genauer gesagt aus der Entwicklungsumgebung Visual Studio 6. Wie üblich, erlaubt der Fehler das ausführen fremden Codes, und damit die Infektion des PCs.

Wie gehabt beschreibt Microsoft, wie man das sogenannte Killbit setzen kann, und wie üblich raten wir von dieser Vorgehensweise ab, da kein Mensch die Übersicht über die dutzende Killbits behalten kann, die man mittlerweile schon setzen müsste, um all die unsicheren Plugins vom Internet Explorer auszuschließen. Statt dessen empfehlen wir ActiveX für die Internetzone zu deaktivieren, und sichere Browser wie Opera zu verwenden. Unsere Anleitung 'Internet Explorer abriegeln' erklärt die nötigen Einstellungen Schritt für Schritt.

Quelle: 'Sicherheitslücke in Visual-Studio-ActiveX' auf Heise Online

Artikel: Internet Explorer abriegeln

zur Übersicht

01.08.2007 - URI Sicherheitsupdate für Thunderbird

Wie gestern schon angekündigt, haben die Mozilla Entwickler nun auch in das E-Mail Programm Thunderbird eine vorübergehende Lösung gegen URI Angriffe eingebaut. Wir empfehlen allen Thunderbird Anwendern deshalb, auf Version 2.0.0.6 upzudaten. Am einfachsten geht dies wie üblich über die im HILFE-Menü eingebaute Updatefunktion. Natürlich folgen im Anschluss aber auch die Links zu den vollständigen Installationsdateien.

Download: Mozilla Thunderbird 2.0.0.6, Windows, Deutsch » 6,4MB

Download: Mozilla Thunderbird (andere Sprachen und Betriebssysteme)

Quelle: Release Notes zu Thunderbird 2.0.0.6 (Englisch)

zur Übersicht

31.07.2007 - URI Sicherheitslücken in Skype, Miranda und anderen

Nach Trillian, wo der Fehler inzwischen behoben ist, wurden URI Sicherheitslücken nun auch in den Programmen Skype, Miranda und anderen gefunden. Mozilla hat Firefox gerade erst mit Version 2.0.0.6 abgedichtet, das E-Mail Programm Thunderbird soll in Kürze die entsprechenden Neuerungen erhalten.

Bedauerlich ist, dass Microsoft weiterhin jede Schuld von sich weist, und jeder Programm Hersteller sein eigenes Süppchen kochen muss, um die URI-Problematik in den Griff zu bekommen. Viel einfacher wäre es, wenn Microsoft an zentraler Stelle eingreift, und die Verarbeitung von URIs durch Windows absichert. Das dies möglich ist beweist Windows Vista, wo die URI-Angriffe nicht funktionieren.

Als Anwender kann man zurzeit nur die Augen offen halten, und auf Programm Updates warten. Achten sollte man vor allem auf Links, die mit den Kürzeln 'mailto', 'news', 'snews, 'nnt' und 'telnet' beginnen. Das Anklicken derartiger Links sollte man sich zurzeit eher verkneifen, solange man nicht weiß, ob das benutze Programm diese Links richtig interpretiert (wie z.B. Opera). Ganz egal ob man mit einem Browser, einem E-Mail Programm, einer Textverarbeitung oder anderen Programmen arbeitet, alles was Links darstellen kann, könnte in irgendeiner Art und Weise betroffen sein.

Quelle: 'Auch Skype von angeblicher "Firefox-Lücke" betroffen' auf Heise Online

zur Übersicht

31.07.2007 - Sicherheitsupdate für Firefox, zweiter Versuch

Die Mozilla Entwickler haben nach nur wenigen Tagen bereits die nächste Firefox Version fertiggestellt. Ausgabe 2.0.0.6 soll wie schon die Vorversion, Sicherheitslücken bei der Verarbeitung von URI's beheben. Die Lösung der Vorversion hielt den Angriffen der Sicherheitsexperten nicht lange stand.

Diesmal betont Mozilla gleich selbst, dass die nun eingebaute Variante wohl nicht die endgültige Lösung ist, sie aber genug Zeit verschaffen soll, um eine saubere Schutzfunktion zu programmieren. Wir sind gespannt, wer schneller ist. Anwender von Firefox sollten aber auf jeden Fall auf die neue Version updaten. Sie ist auf jeden Fall sicherere als 2.0.0.5 oder gar 2.0.0.4.

Download: Mozilla Firefox 2.0.0.6, Windows, Deutsch » 5,6MB

Download: Mozilla Firefox 2.0.0.6 für andere Betriebssysteme oder Sprachen

Info: Release Notes zu Firefox 2.0.0.6 (Englisch)

zur Übersicht

28.07.2007 - URI Sicherheitslücke in Firefox doch nicht behoben

Laut Mozilla sollte die Version 2.0.0.5 von Firefox eigentlich die Sicherheitslücke bei der Verarbeitung von URI's beheben. Wie mehrere Sicherheitsdienstleister nun aber demonstriert haben, ist die Schwachstelle nicht völlig ausgemerzt. Nach wie vor ist es also möglich, über präparierte Links Firefox PCs zu infizieren.

Die einfachste Abhilfe für Firefox Anwender besteht darin, vorübergehend (oder gerne auch auf Dauer) auf Opera 9.22 auszuweichen. Erfahrene Firefox Anwender finden in dem verlinkten Heise Online Artikel Anweisungen, wie man die Probleme provisorisch umgehen kann.

Quelle: 'Neue Erkenntnisse zur Firefox-Lücke' auf Heise Online

zur Übersicht

28.07.2007 - Sicherheitslücken in Norman Antivirus

In den Antivirus Produkten des Herstellers 'Norman' (nicht zu verwechseln mit dem [nicht empfehlenswerten] Norton Antivirus), wurden mehrere Sicherheitslücken entdeckt, die es Angreifern ermöglichen den Computer erfolgreich anzugreifen. Bis dato hat der Hersteller keine Sicherheitsupdates fertiggestellt, weshalb man den Scanner vorübergehend gegen eine vertrauenswürdigere Software ersetzen sollte. Das könnte z.B. Kaspersky Antivirus 7.0 sein, das es als 30 Tage Testversion gibt.

Quelle: 'Sicherheitslöcher in Antivirus-Produkten von Norman' auf Heise Online

zur Übersicht

20.07.2007 - Neue Trillian Version schließt URI Sicherheitslücke

Für die kürzlich gemeldete Sicherheitslücke im Multiprotokoll-Instant-Messenger 'Trillian' hat der Hersteller nun ein Sicherheitsupdate in Form einer neuen Version veröffentlicht. Wir empfehlen allen Anwendern dieser Software, die neue Version zu installieren. Laut Herstellerangaben gibt es eine eingebaute Updatefunktion, die diese Aufgabe ebenfalls erfüllen kann.

Download: Trillian v3.1.7.0 auf der Herstellerwebsite

zur Übersicht

20.07.2007 - Gefährliche Notebook Akkus: Toshiba ruft wieder zurück!

Toshiba startet die bereits vierte Akku-Rückruf-Aktion innerhalb eines Jahres. Wieder einmal können Akkus beim Laden und Entladen Feuer fangen, und damit gefährliche Verletzungen, bzw. schwere Folgeschäden hervorrufen. Diesmal sind lt. Hersteller Akkus aus den Notebook Serien Tecra A7, Satellite A100 und Satellite Pro A100 betroffen. Besitzer eines solchen Notebooks sollten umgehend auf der dafür eingerichteten Website nachschauen, ob die Seriennummer des Akkus von der Rückholaktion betroffen ist, und sich gegebenenfalls beim nächsten Toshiba Service Partner melden.

Info: Toshibas Akku Rückruf Website

Quelle: 'Toshiba will 5100 Notebook-Akkus austauschen' auf Heise Online

zur Übersicht

20.07.2007 - Firefox Passwort Manager bleibt unsicher

Bereits letztes Jahr haben wir über ein Problem des Firefox Passwort Managers berichtet. Die Eigenart des Firefox Passwortmanagers, Passwörter vollautomatisch auf Webseiten einzusetzen, lässt sich nach wie vor dazu nutzen, um automatisiert an eben solche Passwörter zu gelangen. Zwar haben die Mozilla Entwickler seit dem letzten Jahr einige Verbesserungen angebracht, aber diese lassen sich leicht umgehen, wie Heise Security soeben bewiesen hat.

Somit können wir die an alle Firefox Anwender gerichtete Empfehlung vom letzten Jahr nur wiederholen: Finger weg vom Firefox Passwort Manager! Warum die Firefox Entwickler in diesem Fall Komfort über Sicherheit stellen, ist uns ein Rätsel. Opera, und selbst der an sich nicht unbedingt sichere Internet Explorer, haben ihre Passwort Manager deutlich sicherer integriert.

Quelle: 'Löchriger Firefox Passwort Manager' auf Heise Online

zur Übersicht

20.07.2007 - Thunderbird 2.0.0.5 behebt Sicherheitslücken

Wie die Schwestersoftware Firefox vor einigen Tagen, behebt nun auch Thunderbird 2.0.0.5 die kürzlich bekannt gewordenen Sicherheitslücken. Sowohl Firefox als auch Thunderbird liegen somit wieder in derselben Version, eben 2.0.0.5, vor. Neben den Sicherheitskorrekturen wurden auch eine Reihe kleinerer funktionaler Fehler behoben. Das, vor allem aber die Sicherheitskorrekturen, lassen uns ein rasches Update für Thunderbird Nutzer empfehlenswert scheinen. Am einfachsten funktioniert das Update über die eingebaute Updatefunktion, die sich im Hilfe Menü befindet.

Thunderbird Anwender, die noch die 1.5er Serie verwenden, kommen bislang noch nicht in den Genuss dieses Sicherheitsupdates. Zwar wird die alte Serie noch bis Oktober fortgeführt, aber die Prioritäten liegen klar bei der aktuellen Fassung. Anwender, die auf Nummer sicher gehen wollen, sollten daher zur 2.0er Reihe wechseln. Über kurz oder lang führt daran ohnehin kein Weg vorbei.

Download: Mozilla Thunderbird 2.0.0.5, Windows, Deutsch » 6,4MB

Download: Mozilla Thunderbird (andere Sprachen und Betriebssysteme)

Quelle: Release Notes zu Thunderbird 2.0.0.5 (Englisch)

zur Übersicht

20.07.2007 - Opera 9.22 behebt theoretische Phising Schwachstelle

Wir haben vor kurzem über mehrere Schwachstellen in den gängigen Browsern berichtet. Darunter war auch eine Schwachstelle, über die Opera Benutzer theoretisch in die Irre geführt werden können. Bei unseren Tests konnten wir den Fehler zwar nicht reproduzieren, dennoch hat Opera Software nun eine neue Version des Browsers veröffentlicht, die das Problem zuverlässig in allen möglichen Konfigurationen abstellt.

Zusätzlich zur Sicherheit, haben die Entwickler auch weitere Verbesserungen angebracht. So wurde vor allem die Bittorrent Funktion stabiler und schneller gemacht. Auch die Plugin-Schnittstelle wurde überarbeitet, um mit dem neuen Microsoft Silverlight Plugin zusammenzuarbeiten. Auch die Kompatibilität zu Vista soll weiter verbessert worden sein.

Download: Opera 9.22, alle Betriebssysteme

Quelle: Opera 9.22 Release Notes (in Englisch)

zur Übersicht

18.07.2007 - Firefox Sicherheitslücken behoben

Mozilla hat auf die kürzlich entdeckten Sicherheitsprobleme (wir haben berichtet) reagiert, und stellt mit Version 2.0.0.5 eine fehlerbereinigte Fassung zur Verfügung. Wir empfehlen allen Firefox Anwendern, das Update rasch zu installieren. Am einfachsten geht das über die eingebaute Update Funktion, auf die Sie über das Hilfemenü zugreifen können. Wie üblich bieten wir aber auch einen Link zur kompletten Installationsdatei an.

Download: Mozilla Firefox 2.0.0.5, Windows, Deutsch » 5,6MB

Download: Mozilla Firefox 2.0.0.5 für andere Betriebssysteme oder Sprachen

Info: Release Notes zu Firefox 2.0.0.5 (Englisch)

zur Übersicht

17.07.2007 - Sicherheitslücke in Trillian Instant Messenger

Vor einem Monat erst, hatten wir zuletzt über Sicherheitslücken in dem Multiprotokoll Messenger 'Trillian' berichtet. Nun wurde die nächste Schwachstelle in der Software (Version 3.1.6.0 und früher) gefunden, über die man Windows Computer mit Schädlingen infizieren kann. Dabei muss das Programm noch nicht mal gestartet sein, denn der Aufruf erfolgt über eine Webseite aus jedem beliebigen Browser heraus.

Die Entdecker der Lücke sind dieselben, die kürzlich das Problem mit der Kombination Internet Explorer und Firefox 2 gefunden haben. Ihrer Angabe nach, sollen sich mit ähnlichen Methoden noch eine ganze Reihe weiterer Programme überlisten lassen, es stehen also vermutlich heiße Wochen bevor.

Erfahrenere Anwender finden auf der Heise Online Website Informationen, wie das Problem umgangen werden kann. Normale Anwender behelfen sich am einfachsten, indem man Trillian deinstalliert, solange der Hersteller keine fehlerbereinigte Version veröffentlicht hat.

Quelle: 'Trillian führt eingeschleusten Code aus' auf Heise Online

zur Übersicht

17.07.2007 - Video DVDs installieren gefährliches ActiveX Plugin

Erst vor kurzem haben wir über Musik CDs berichtet, die ein ActiveX Plugin in den Internet Explorer installieren, um spezielle Bereiche auf der Homepage des CD Künstlers zugänglich zu machen. Etwas Ähnliches gibt es bei Video DVDs schon seit Jahren, weshalb es nur eine Frage der Zeit war, bis auch in diesen Programmen Schwachstellen gefunden werden.

So nun geschehen mit Programmen der Hersteller Interactual und Cineplayer. Beide installieren Plugins, die dem Internet Explorer Zugang zu geschlossenen Website Bereichen gewähren sollen. Das tun sie zwar auch, darüber hinaus gewähren sie aber auch Schädlingen freuen Zugang zum Heimcomputer. Da sich gekaufte Video-DVDs nun mal nicht aktualisieren lassen, hat es auch wenig Sinn die betroffene Software zu suchen und zu löschen. Updates, die das Problem von Grund auf beheben, gibt es ebenso wenig.

Die Lösung ist einmal mehr der Verzicht auf den Internet Explorer, wie wir ihn schon so oft empfohlen haben. Unsere Anleitung 'Internet Explorer abriegeln' zeigt, wie man sich der ständigen Gefahr der ActiveX Plugins dauerhaft entziehen kann.

Quelle: 'Schwachstellen in Interactual-ActiveX' auf Heise Online

Artikel: Internet Explorer abriegeln

zur Übersicht

17.07.2007 - Sicherheitslücken in allen Browsern(?)

Michael Zalewski, der Mann, der schon zahlreiche Schwachstellen im Internet Explorer und Firefox entdeckt hat, hat wieder zugeschlagen. Diesmal will er zu den beiden genannten Browsern, auch noch eine Schwachstelle in Opera und Konqueror entdeckt haben. Während wir die Lücken im Internet Explorer und Firefox nachvollziehen und Bestätigen können, ist uns das mit Opera 9.21 nicht gelungen. Konqueror ist für Windows nicht verfügbar, weshalb wir uns einen Test erspart haben.

Da es für den Internet Explorer und Firefox keine Sicherheitsupdates gibt, die Demonstration aber mit Opera versagt hat, empfehlen wir einmal mehr zu Opera zu greifen. Ohnehin will kaum jemand, der dem norwegischen Browser einmal eine Chance gegeben hat, danach noch etwas anderes benutzen.

Quelle: 'Spoofing-Lücken in Webbrowsern' auf Heise Online

zur Übersicht

17.07.2007 - Quicktime 7.2 mit mehr Sicherheit und Vollbildmodus

Mittlerweile sind Sicherheitslücken in dem Multimedia Player und Browser Plugin Quicktime ja schon keine Besonderheit mehr. Allein dieses Jahr musste Hersteller Apple mehrere Sicherheitslücken schließen, was meistens schnell ging, mitunter aber auch ganz schön lange dauerte. Version 7.2 schließt nun abermals Sicherheitslücken, weshalb wir allen Anwendern die Quicktime installiert haben, auch zu einem raschen Update raten.

Aber diesmal hat Apple nicht nur Fehler beseitigt, sondern auch die wahrscheinlich störendste Beschränkung der kostenlosen Version aufgehoben. Vielleicht als Entschuldigung für die häufigen Sicherheitsprobleme, darf nun jedermann Videos im Vollbildmodus anschauen. Außerdem soll der H264 Codec verbessert worden sein. Damit dürfte selbst für Sicherheitsmuffel ein Anreiz geschaffen worden sein, auf die neueste Version aufzurüsten.

Quelle: 'QuickTime 7.2 dichtet Sicherheitslecks ab' auf Heise Online

Download: Quicktime v7.2.0.240 von Apple (nur installieren wenn benötigt)

zur Übersicht

17.07.2007 - Java 6 Update 2 behebt Sicherheitslücken

Vor 2 Wochen hat Sun Microsystems das zweite Update für Java 6 veröffentlicht. Nun wurde auch bekannt gemacht, was sich jeder ohnehin denken konnte: Die neue Version behebt ein paar Sicherheitslücken. Um sich davor zu schützen, empfehlen wir allen Anwendern, die Java 6.0 bzw. 6.0u1 installiert haben, alle alten Versionen zu deinstallieren, und Java 6.0 Update 2 zu installieren. Wer noch mit Java 5 arbeitet, der sollte Update 12 installiert haben, um auf Nummer sicher gehen zu können.

Quelle: 'Details zu geschlossenen Java-Lücken' auf Heise Online

zur Übersicht

17.07.2007 - Internet Explorer + Firefox 2 = Sicherheitslücke

Anwender, die Mozilla Firefox 2 installiert haben, hauptsächlich aber mit dem Internet Explorer surfen (wovon wir dringend abraten), sehen sich einer neuen Gefahr ausgesetzt. So reicht in dem Fall das betrachten einer manipulierten Website aus, um mit Hilfe von Firefox den Computer mit Schädlingen zu infizieren. Wer die besagte Website hingegen direkt mit Firefox aufsucht, setzt sich keinem Risiko aus.

Da noch nicht mal geklärt ist, ob man die Schuld für diesen Fehler Mozilla oder Microsoft zuschieben soll, gibt es auch noch keine Sicherheitsupdates. Profis können anhand der verlinkten Heise Online Seite eine Lösung herbeiführen. Weniger erfahrenen Anwendern raten wir einmal mehr, auf den Internet Explorer zu verzichten, wo es nur geht. Um allen Problemen mit dem Internet Explorer und den ActiveX Plugins aus dem Weg zu gehen, beachten Sie bitte unsere Anleitung 'Internet Explorer abriegeln'.

Quelle: 'Lücke durch parallele Installation von Firefox 2 und Internet Explorer' auf Heise Online

Artikel: Internet Explorer abriegeln

zur Übersicht

17.07.2007 - Adobe behebt Sicherheitslücken in Flash und Photoshop

Adobe hat Version 9.0.47.0 des Flash Player herausgegeben. Darin wurde eine kritische Sicherheitslücke behoben. Da Flash auf beinahe allen Computern mit Internet Zugang installiert ist, empfehlen wir das Update unbedingt einzuspielen.

Auch für die vor einiger Zeit gemeldete Schwachstelle in Photoshop CS2 und CS3, die sich durch manipulierte Bitmap Bilder ausnützen lässt, hat der Hersteller nun reagiert, und entsprechende Updates veröffentlicht. Wer mit einem der Programme nicht nur eigene, sondern auch Bilder aus weniger vertrauenswürdigen Quellen bearbeitet, sollte das Update auf jeden Fall einspielen. Am besten erledigt man das über die eingebaute Update Funktion im Hilfemenü. Administratoren entnehmen alternative Updatemöglichkeiten dem Security Advisory von Adobe.

Quelle: 'Updates für Adobe Flash Player und Photoshop' auf Heise Online

Quelle: 'Photoshop CS2 and CS3 updates to address security vulnerabilities' auf Adobe.com

Download: Flash Player v9.0.47, Windows, alle Browser (außer Internet Explorer)

Download: Flash Player v9.0.47, Windows, Internet Explorer (und IE basierte Browser)

Info: Diese Seite zeigt die Version Ihres aktuell installierten Flashplayer Plugins

zur Übersicht

17.07.2007 - Microsoft behebt einmal mehr nicht alle Sicherheitslücken

Der Software Gigant hat letzte Woche etliche Sicherheitsupdates veröffentlicht. Diese beheben mehrere Probleme in verschiedenen Microsoft Programmen und Betriebssystemen. Die meisten Sicherheitslücken sind von kritischer Natur, weshalb wir ein rasches Einspielen der Updates über die 'Microsoft Update' Website empfehlen, sofern das 'automatische Update' das nicht bereits erledigt hat.

Auch wenn Microsoft lange ausstehende Updates für Excel nun endlich ausgeliefert hat, so verbleiben in den Office Paketen immer noch ein paar gravierende Sicherheitslücken. Vor allem ein Fehler in Powerpoint, dessen Erfassung bei Secunia morgen den ersten Geburtstag feiert, setzt Anwender von Microsoft Office XP und 2003 nach wie vor erhöhtem Risiko aus. Eine andere Schwachstelle in Office 2003 rührt gar aus dem Jahr 2005.

Wie üblich empfehlen wir daher, unverlangt zugesendete, oder von fremden Webseiten heruntergeladene, Dokumente grundsätzlich zu misstrauen, und diese wenn überhaupt erst mit einem alternativen Office Paket, wie OpenOffice.org, zu betrachten. Was den Internet Explorer angeht, sehen Sie bitte die passenden Meldungen des heutigen Tages.

Download: Updates für Windows & Office über 'Microsoft Update' (Nur mit Internet Explorer)

Quelle: Microsoft Security Bulletin für Juli

Quelle: Secunia (Englisch; für weiter bestehende Sicherheitslücken in MS Office)

zur Übersicht

07.07.2007 - Neue 'The Gimp' Version behebt Sicherheitslücke

Wieder einmal beweist das Gimp Entwicklerteam, wie schnell es auf Sicherheitslücken reagiert. Vor 4 Tagen hat der Sicherheitsdienstleister Secunia über Schwachstellen im PSD-Import-Filter der freien Bildbearbeitung informiert. Gestern war bereits eine neue Version als Download erhältlich.

Auch wenn die Gefahr eher gering ist, dass Gimp Anwender über entsprechend manipulierte PSD Dateien stolpern, empfehlen wir allen Anwendern bald auf die neue Version upzudaten.

Quelle: 'Lücke in Bildbearbeitungsoftware Gimp' auf Heise Online

zur Übersicht

04.07.2007 - Unsicheres ActiveX Plugin von HP

Die ohnehin schon ellenlange Liste der unsicheren ActiveX Plugins für den Internet Explorer, ist wieder um einen Eintrag reicher. Diesmal ist es PC Hersteller HP, der durch unsichere Programmierung, einen Virenangriff auf den PC ermöglicht. Im Vergleich zu anderen Herstellern, hat HP aber immerhin eine fehlerbereinigte Version am Start.

Das Grundproblem mit ActivX Plugins besteht aber auch hier: Ist das Plugin installiert oder nicht? Was der Profi mit etwas Recherche beantworten kann, wird der Laie nie erfahren. Aber nur wo das fehlerhafte Plugin vorhanden ist, sollte man die bereinigte Version installieren.

Daher wiederholen wir wieder unsere schon zuletzt geäußerte Empfehlung, die Verwendung von ActiveX ganz abzuschalten (siehe 'Internet Explorer abriegeln'), und alternative Browser wie Opera zu verwenden.

Artikel: Internet Explorer abriegeln

Quelle: 'HP-ActiveX ermöglicht Rechnerkaperung' auf Heise Online

zur Übersicht

 

Wir empfehlen:

LibreOffice Logo

Opera Logo

Thunderbird Logo

Kaspersky Logo

c't Logo

Diese Website ist kompatibel zu:

W3C XHTML

Das CSS Logo des W3C