Deutsch Polnisches Forum

Microsoft nimmt sich diesen Monat 25 Sicherheitslücken vor
Am 13. April 2010 will Microsoft insgesamt 25 Sicherheitslücken in Windows und Office schließen und wird dazu elf Sicherheitspatches veröffentlichen. Neun Updates wird es für die Windows-Plattform geben und zwei Updates erhält Microsofts Office-Software.

---> Golem IT-News vom 08.04.2010

Microsoft will endlich VBScript-Lücke im Internet Explorer schließen
Mit elf Updates will Microsoft am kommenden Dienstag 25 Sicherheitslücken schließen, darunter auch endlich die rund sechs Wochen alte VBScript-Lücke im Internet Explorer sowie die seit November 2009 bekannte DoS-Schwachstelle im SMB-Client von Windows 7 und Server 2008. Daneben sollen die Updates weitere Lücken in Windows - 2000 bis Server 2008, Office (Publisher und Visio) und dem Exchange Server (2000 bis 2010) beseitigen. Fünf der elf Updates hat Microsoft oberste Priorität eingeräumt, da sie kritische Lücken schließen sollen.

---> Heise - Security vom 09.04.2010

Adobe führt automatisches Update für Reader ein
Wie bereits Anfang Januar angekündigt, will Adobe mit dem am kommenden Dienstag geplanten Sicherheits-Update für Adobe Reader und Acrobat (9.3.2 und 8.2.2 für Windows) die automatische Update-Funktion aktivieren. Anwender sollen dann die Möglichkeit haben, den Reader so zu konfigurieren, dass er verfügbare Updates ohne Nachfrage herunterlädt und installiert (Silent Update).

---> Heise - Security vom 09.04.2010

Verfassungsgericht: "Massenklage" gegen Vorratsdatenspeicherung war unnötig
Das Bundesverfassungsgericht hat im Zusammenhang mit seinem Grundsatzurteil zur Vorratsspeicherung von Telekommunikationsdaten erklärt, dass es der Sammelbeschwerde von insgesamt knapp 35.000 Bürgern gegen die Überwachungsmaßnahme nicht bedurft hätte. Die Einreichung der Vollmachten acht repräsentativ ausgewählter Erstbeschwerdeführer durch den bevollmächtigten Rechtsanwalt Meinhard Starostik hätte ausgereicht, geht aus einem jetzt vom Arbeitskreis Vorratsdatenspeicherung (AK Vorrat) veröffentlichten einstimmigen Beschluss der Karlsruher Richter vom 22. März hervor.

---> Heise - Online vom 09.04.2010

Java-Exploit startet lokale Windows-Anwendungen
Tavis Ormandy hat eine Sicherheitslücke im Java Deployment Toolkit (JDT) unter Windows aufgedeckt, durch die präparierte Webseiten beliebige Anwendungen auf einem Windows-PC starten können. Möglich wäre beispielsweise, per FTP einen Trojaner nachzuladen und zu starten. JDT ist seit Java 6 Update 10 im Lieferumfang von Java enthalten und soll Entwicklern das Verteilen von Anwendungen erleichtern. Laut Ormandy beruht das Problem auf der ungenügenden Filterung von URLs, durch die sich beliebige Parameter an das zugrunde liegende Java Web Start (JWS) übergeben lassen. JWS selbst kann über das Java Network Launching Protocol (JNLP) externe Java-Anwendungen nachladen und in der VM ausführen.

---> Heise - Online vom 09.04.2010

Experte warnt vor weitreichenden Folgen durch ACTA
Der kanadische Rechtsprofressor Michael Geist tut sich seit einiger Zeit als Experte für das Anti-Counterfeiting Trade Agreement (ACTA) hervor, das sich offiziell gegen Produktfälschungen und Urheberrechtsverletzungen richten soll. Für ihn ist es kein Handelsabkommen, sondern ein Abkommen zum Geistigen Eigentum. Auch andere von den Verhandlungspartnern lange beschworene Wahrheiten zog Geist bei einer Anhörung in Brüssel Anfang der Woche in Zweifel. Er glaubt, dass Parlamentarier ACTA, wenn es einmal verhandelt ist, nicht mehr stoppen können.

---> Heise - Online vom 09.04.2010

Lücke in aktueller Java-Version bringt Anwender in Gefahr
Oracle stuft laut Entdecker die Lücke als nicht kritisch ein

Oracles, vormals Suns Java Runtime Environment ist für Angriffe anfällig. Ein Angreifer kann beliebige Dateien ausführen. Betroffen sind sowohl Windows-Installationen mit dem Internet Explorer als auch Firefox.

Tavis Ormandy hat auf der Full-Disclusure-Mailingliste Details zu einer offenen Sicherheitslücke im Java Deployment Toolkit veröffentlicht. Das Deployment Toolkit ist eine Komponente von Java für Entwickler, besonders einfach Anwendungen beim Endanwender zu starten und zu installieren. Über manipulierte Links lässt sich allerdings mehr einschleusen, als ursprünglich vorgesehen war. Da die URLs nicht ausreichend überprüft werden, ist es möglich, weitere Argumente etwa an Java Web Start zu übergeben. Java Web Start bietet dann genug Möglichkeiten, um Code auszuführen, der nicht im Sinne des Endanwenders ist.

---> Golem IT-News vom 10.04.2010

Parteiübergreifendes Bündnis gegen Facebook-Pläne
Ein von den Grünen initiiertes Bündnis will mit Aktionen Druck auf Facebook ausüben, damit das Social Network Profildaten der Nutzer nicht ungefragt weitergibt. Eine eigens in dem Social Network gegründete Gruppe will erreichen, dass das Netzwerk hohe Datenschutz-Standards entwickelt, die weltweit in Facebook Gültigkeit haben.

---> Heise - Online vom 10.04.2010

Chinesischer Provider "entführt" kurzzeitig Teile des Internets
Der kleinere chinesische Internet-Provider IDC China hat sich Berichten zufolge durch einen Konfigurationsfehler eines BGP-Routers kurzzeitig für das Routing zu rund 37.000 IP-Netzen zuständig erklärt. Über das Border-Gateway-Protocol signalisieren sich Router, für welche Netze (autonome Systeme, AS) sie zuständig sind und welche anderen Netze sie erreichen können.

---> Heise - Online vom 12.04.2010

Aufruf für demokratische Kontrolle über Anti-Piraterie-Abkommen ACTA
Die Teilnehmer der Konferenz PublicACTA im neuseeländischen Wellington haben am Samstag eine Erklärung verabschiedet, in der sie für das Anti-Piraterie-Abkommen ACTA die Wahrung von Grundwerten des Zusammenlebens im Netz und demokratische Kontrolle fordern. Auch fordern sie nationale Schrankenregelungen und internationale Vorschriften im Urheberrecht. Die Wellington Declaration steht den Internetnutzern zum Mitunterzeichnen bereit und soll den Teilnehmern der nächsten ACTA-Verhandlungsrunde, die kommende Woche in Neuseeland beginnt, übergeben werden. Die Erklärung wird auch vom deutschen Arbeitskreis Grundrechte, informationelle Selbstbestimmung und Datenschutz (AK Daten) unterstützt.

---> Heise - Online vom 11.04.2010

Ex-Innenminister hält "Elena" für verfassungswidrig
Der ehemalige Bundesinnenminister Gerhart Baum (FDP) hält laut einer Vorabmeldung des Nachrichtenmagazins Der Spiegel das im Januar angelaufene Verfahren für elektronische Entgeltnachweise (Elena), bei dem Arbeitgeber jeden Monat umfangreiche Informationen über ihre Beschäftigten an die Deutsche Rentenversicherung melden müssen, für verfassungswidrig. "Für mich verstößt Elena gegen die informationelle Selbstbestimmung, das Verfahren enthält eindeutig verfassungswidrige Elemente", sagte Baum dem Blatt. Die beim Bundesverfassungsgericht eingelegte Verfassungsbeschwerde gegen die neue Datensammlung halte er deshalb für "erfolgversprechend".

---> Heise - Online vom 11.04.2010

Trojaner droht mit Gerichtsverfahren
Von einem besonders dreisten Trojaner (respektive Ransomware) berichten mehrere Antivirenhersteller: Er gaukelt dem Windows-Anwender einen Antipiraterie-Scanner auf dem System vor, der urheberrechtlich geschützte Dateien (vulgo Torrent-Dateien) auf dem Rechner entdeckt haben will. Dazu öffnet sich ein großes Fenster, das die Dateien auflistet und zugleich auch noch mögliche rechtliche Konsequenzen des Fundes für den Anwender erläutert. Der Trojaner gelangt in Zusammenhang mit Scareware-Seiten auf den Rechner, wobei das Opfer die Datei aber vermutlich selbst herunterlädt und installiert.

---> Heise - Online vom 13.04.2010

Microsofts April-Patchday mit 11 Updates
Mit fünf kritischen, fünf wichtigen und einem als mittel eingestuften Update beseitigt turnusmäßig Microsoft Sicherheitslücken in Windows, MS-Office und Exchange. Die prominenteste davon ist die "F1-Lücke" in der VBScript-Engine, für die bereits Exploits im Netz kursieren.

---> Heise - Online vom 13.04.2010

Java-Lücke: Spiel mir das Lied vom Trojaner
Erste Webseiten versuchen die seit Ende der vorigen Woche bekannte Lücke in Java Web Start auszunutzen, um die Windows-PCs von Besuchern zu infizieren, berichtet der Antivirenhersteller AVG in seinem Blog. Zu den Seiten soll unter anderem die populäre Plattform songlyrics.com gehören, auf der sich die Texte aktueller Lieder herunterladen lassen. Offenbar haben Kriminelle die Webseite gehackt und Code eingebettet, der den Schadcode von einem russischen Webserver nachlädt.

---> Heise - Online vom 15.04.2010

Lieber Angreifer jagen als Sicherheitslücken schließen
Facebooks Sicherheitschef Max Kelly verdiente einst seine Brötchen als Computer-Forensiker beim amerikanischen FBI. Seit 2005 ist er der Chief Security Officer (CSO) von Facebook, dem größten sozialen Netzwerk überhaupt. Die riesige Mitgliederzahl ist gleichzeitig Kellys größtes Problem: Facebook ist für Cyber-Kriminelle so interessant, dass jede erdenkliche Attacke oder Web-Plage früher oder später auch auf Kellys Tisch landet.

---> Heise - Online vom 15.04.2010

Clickjacking 2.0 mit Drag&Drop
Der britische IT-Sicherheitsexperte Paul Stone hat auf der Hackerkonferenz Black Hat eine neue Generation sogenannter Clickjacking-Attacken demonstriert. Beim Clickjacking schiebt eine manipulierte Webseite beispielsweise einen durchsichtigen iFrame unter den Mauszeiger. Im Glauben, etwas auf der angezeigten Seite anzuklicken, klickt der Anwender jedoch auf Elemente in einem durchsichtigen iFrame einer anderen Seite, beispielsweise Buttons in Oberflächen auf anderen Webseiten.

---> Heise - Online vom 15.04.2010

Deutschland und USA verknüpfen biometrische Grenzkontroll-Programme
Während Bundeskanzlerin Angela Merkel derzeit in Kalifornien weilt und sich dort unter anderem für die Traumfabrik Hollywood und San Francisco interessiert, widmet sich das deutsche Innenministerium an der Ostküste sicherheitspolitischen Fragen: In Washington unterzeichneten der Staatssekretär im Bundesinnenministerium (BMI), Klaus-Dieter Fritsche, und Deputy Secretary Jane Holl Lute vom U.S. Department of Homeland Security (DHS) am Mittwoch eine Absichtserklärung zur Verknüpfung von Grenzkontroll-Programmen beider Länder, die es biometrisch registrierten und sicherheitsüberprüften Personen erlauben, Identitätskontrollen bei Grenzübertritten an Flughäfen schneller zu durchlaufen.

---> Heise - Online vom 15.04.2010

EU-Datenschützer warnt vor Sicherheitsrisiken beim "E-Abfall"
Der Europäische Datenschutzbeauftragte Peter Hustinx fordert, dass der Datenschutz bei der geplanten Neufassung der Richtlinie über Elektro- und Elektronik-Altgeräte (WEEE) berücksichtigt wird. Zwar werde damit löblicherweise mehr Umweltschutz angestrebt, die Risiken, die sich aus ungeeigneter Beseitigung, Wiederverwendung oder Recycling für den Datenschutz ergeben, würden aber in den Diskussionen im Europäischen Parlament und im Rat nicht beachtet. Das geht aus seiner heute veröffentlichten Stellungnahme hervor.

---> Heise - Online vom 15.04.2010

Kriminelle versuchen ungepatchte Reader-Lücke auszunutzen
Mehreren Berichten von Antivirenherstellern zufolge versuchen Kriminelle, die seit rund zwei Wochen bekannte und bislang ungepatchte Schwachstelle in Adobes Reader auszunutzen, um Windows-PCs zu infizieren. Unter den Schädlingen findet sich auch der als besonders gefährlich eingestufte Bot ZeuS.

---> Heise - Online vom 16.04.2010

Scareware: Nocebo- statt Placebo-Effekt
Der Nocebo-Effekt beschreibt die gegenteilige Wirkung des Placebo-Effekts: Obwohl die Pille keinen Wirkstoff enthält, reagiert der Patient mit einer Gesundheitsverschlechterung. Ähnlich stuft Google in seiner kommenden Studie "The Nocebo Effect on the Web: An Analysis of Fake Anti-Virus Distribution" die Wirkung sogenannter Scareware ein: Tut zwar nichts, führt aber trotzdem zu einer Verschlechterung des Zustands des PCs (oder des Anwenders). Google will die Studie erstmals auf der Usenix-Konferenz "Workshop on Large-Scale Exploits and Emergent Threats" Ende April präsentieren.

---> Heise - Online vom 16.04.2010

Fahndungsdatenbank SIS II "erfolgreich" getestet - trotz gegenläufiger Expertenmeinung
Die zweite Ausbaustufe des Schengener Informationssystems (SIS II) nimmt Gestalt an, obwohl nicht völlig klar ist, ob die umfangreiche Fahndungsdatenbank überhaupt im täglichen Einsatz zufriedenstellend läuft. Im vergangenen Jahr wurde vom Rat der Europäischen Union beschlossen, dass SIS II vor dem eigentlichen Einsatz zwei Testläufe absolvieren soll, von denen mindestens einer erfolgreich abgeschlossen werden muss. Nachdem sich die Meilenstein-Testläufe um ein halbes Jahr verzögerten, scheiterte der erste Test am 21. und 24. Januar 2010. Daraufhin wurde das Zeitfenster für das Testprogramm erneut verlängert und eine Expertenrunde eingesetzt, welche die SIS-II-Probleme evaluieren sollte. Der erste Test wurde schließlich für "nicht aussagekräftig" erklärt, weil nicht klar gewesen sei, ob die technischen Probleme dem Auftragnehmer (Steria Mummert und Hewlett Packard) anzulasten sind. Die Klärung der ausstehenden Fragen war Sache der Expertenrunde.

---> Heise - Online vom 16.04.2010

ACTA wird öffentlich
Lange wurde über das geplante internationale Anti-Piraterie-Abkommens ACTA (Anti-Counterfeiting Trade Agreement) hinter verschlossenen Türen verhandelt, jetzt soll der aktuelle Verhandlungstext nun doch öffentlich gemacht werden. Mitte kommender Woche soll es soweit sein, teilte der Schweizer Delegationsleiter Jürg Herren auf Anfrage von heise online mit. In Neuseelands Hauptstadt Wellington tagten in dieser Woche die Partner des umstrittenen Abkommens zum insgesamt achten Mal seit 2008.

---> Heise - Online vom 16.04.2010