Versteckter Administrator-Zugang auf D-Link-Routern
Nach Angaben der Webseite SourceSec Security Research sind zahlreiche - möglicherweise sogar alle - seit 2006 angebotenen Router der Firma D-Link von einer fehlerhaften Implementierung des Home Network Administration Protocol (HNAP) betroffen. Dies können lokale und externe Angreifer ausnutzen, um Zugriff auf die Netzwerkeinstellungen zu erhalten.
15.01.2010 19:16
heise Security
BSI warnt vor Nutzung des Internet Explorer
Als Reaktion auf eine Sicherheitslücke in mehreren Versionen des Internet Explorer (IE) hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) am Freitag empfohlen, den Microsoft-Browser vorerst nicht zu nutzen, sondern bis zum Vorliegen eines Patches auf einen alternativen Browser umzusteigen...
heise.de
Angriffe auf Google und Co. durch bislang unbekannte Lücke im Internet Explorer
Ersten Analysen des Antivirenherstellers McAfee zufolge nutzten die vermutlich chinesischen Angreifer bei ihrem Einbruch eine bislang unbekannte Sicherheitslücke im Internet Explorer aus. Die Lücke findet sich in den Versionen 6, 7 und 8 und lässt sich missbrauchen, um über eine manipulierte Webseite Code in einen Windows-Rechner zu schleusen und zu starten. Die Angreifer nutzten dies, um einen Trojaner-Downloader in den angegriffenen Rechner zu schleusen. Der lud wiederum über eine SSL-gesicherte Verbindung weitere Module von einem Server nach, unter anderem eine Backdoor, mit der die Angreifer aus der Ferne Zugriff auf den Rechner hatten. Die Links zu den präparierten Webseiten wurden wohl an ausgesuchte Mitarbeiter in den jeweiligen Firmen per Mail gesendet.
---> Heise - Online vom 15.01.2010
Exploit für IE-Sicherheitslücke jetzt öffentlich
Für das Sicherheitsloch im Internet Explorer, mit dem offenbar der konzertierte Angriff mit dem Codenamen "Aurora" auf Google und Dutzende weitere amerikanische Firmen ablief, ist in mehreren Mailinglisten Exploit-Code aufgetaucht. Das Metasploit-Team hat den Exploit bereits reproduziert ein entsprechendes Modul in sein Exploit-Framework eingebaut. Mitarbeiter des Antivirenherstellers McAfee haben im Firmenblog bestätigt, dass es sich bei dem bekannt gewordenen Exploit um den handele, den sie als Ursache für die groß angelegte Attacke ausgemacht haben.
Lücke im Internet Explorer: Gute und schlechte Nachrichten
US-Medienberichten zufolge will Microsoft noch in dieser Woche einen Emergency Patch veröffentlichen, der die für Angriffe auf Unternehmen wie Google ausgenutzte Lücke im Internet Explorer schließen soll. Derzeit führen die Redmonder noch eine Qualitätssicherung des Patches durch.
Clickjacking-Problem in Browsern bleibt bestehen
Eine neue Demo zeigt, dass Browser-Hersteller immer noch keinen wirksamen Schutz vor sogenannten Clickjacking-Angriffen gefunden haben. Beim Clickjacking schiebt eine manipulierte Webseite beispielsweise einen durchsichtigen iFrame unter den Mauszeiger. Im Glauben, etwas auf der angezeigten Seite anzuklicken, klickt der Anwender jedoch auf Elemente in einem durchsichtigen iFrame einer anderen Seite, beispielsweise Buttons in Weboberflächen.
---> Heise - Online vom 19.01.2010
Zäher Datenschutz-Dialog zwischen Bürgerrechtlern und Innenminister
Bürgerrechtler und Netzaktivisten haben verhalten auf ein Gespräch über "Datenschutz und Datensicherheit im Internet" bei Bundesinnenminister Thomas de Maiziere (CDU) am gestrigen Montag in Berlin reagiert. "Es ist eine Enttäuschung, dass der Minister aus der gesamten Diskussion und den vielen Verbesserungsvorschlägen offenbar keinerlei gesetzliche Konsequenzen ziehen will", erklärte Patrick Breyer vom Arbeitskreis Vorratsdatenspeicherung im Anschluss an das Treffen. Dabei sei der Gesetzgeber dringend gefordert, "die Durchsetzung des Datenschutzes zu verbessern und das Datenschutzniveau zu erhöhen, soll es nicht nahezu wöchentlich zu weiteren Persönlichkeitsverletzungen kommen".
---> Heise - Online vom 19.01.2010
PIN-Prüfung bei EC- und Kreditkarten unsicherer als angenommen
Einige Kreditkarten sollen nicht nur eine gültige, sondern bis zu neun gültige PINs haben, behauptet das ARD-Magazin Plusminus. Damit steige das Sicherheitsrisiko an, dass ein Angreifer mit Durchprobieren die richtige PIN eingebe. Schuld soll die verwendete Verschlüsselung sein, die zu mehreren gültigen PINs führe.
Datenaustausch mit den USA, Australien und Japan
Auf dem EU-Innenminister-Stammtisch in Toledo werden zahlreiche Vorhaben im Rahmen der europäischen inneren Sicherheit verhandelt
Mit Beginn des Jahres hat Spanien turnusgemäß die EU-Präsidentschaft übernommen. Auf der Agenda stehen die innenpolitische Umsetzung des Lissabon-Vertrages, ein Aktionsplan für das "Stockholmer Programm" und die Entwicklung einer "Strategie für die innere Sicherheit". Indes tütet die zuständige Kommission für Inneres und Justiz Abkommen mit den USA und Australien zum Austausch von Zahlungsverkehrsdaten und Fluggastdaten ein. In Spanien formiert sich ein Protestbündnis.
Original von Ola
15.01.2010 19:16
heise Security
BSI warnt vor Nutzung des Internet Explorer
Als Reaktion auf eine Sicherheitslücke in mehreren Versionen des Internet Explorer (IE) hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) am Freitag empfohlen, den Microsoft-Browser vorerst nicht zu nutzen, sondern bis zum Vorliegen eines Patches auf einen alternativen Browser umzusteigen...
Ab heute gibt es einen Patch welcher die Sicherheitslücke schließen soll.
Wie angekündigt, hat Microsoft ein außerplanmäßiges Sicherheits-Update für den Internet Explorer veröffentlicht. Insgesamt schließt der Patch acht kritische Lücken in dem Browser. Eine von ihnen ist die Schwachstelle, die kürzlich chinesische Hacker bei ihren Angriffen auf Google und andere US-Unternehmen ausgenutzt haben. Laut Unternehmensmitteilung dichtet das Update auch die Lücken in anderen Microsoft-Programmen ab.
Hallo liebe Leute,
ich kann nur wärmstens jedem Windows- und IE-Nutzer empfehlen, den von Microsoft zur Verfügung gestellten Patch einzuspielen und zu installieren. Diese Problematik hat in meiner Firma drei Tage lang für einen Wirble gesorgt, den man sich kaum vorstellen kann. In vielen Unternehmen muss der Internet Explorer genutzt wreden, da mit diesem Werkezeug webapplizierte Verfahren durchgeführt und aktualisiert werden. Das war von Montag bis Mittwoch bei fast 30.000 Behördenmitarbeitern in Norddeutschland so ziemlich unmöglich.
Die Gefahren konnten zwar minimiert werden, indem entsprechende (sichere) Sites in den sogenannten Policies freigeschaltet und Sicherheitseinstellungen derart restriktiv angepasst wurden, ein uneingeschränktes Arbeiten war jedoch nicht mehr möglich. Diese Woche war mit Sicherheit eine sehr teure Woche, da massenhaft Überstunden und Mehrarbeit generiert wurden.
Auch von mir noch einmal die entsprechenden Links zu dieser Thematik:
Gezielte Angriffe auf Unternehmen gehen weiter
Die Lücke im Internet Explorer, die bei den Angriffen auf Google benutzt wurde, ist zwar derzeit in aller Munde, doch Ungemach droht auch weiterhin aus anderer Richtung: präparierte PDF-Dokumente. Adobe hat zwar letzte Woche ein Update für seinen kostenlosen Reader veröffentlicht, doch offenbar setzen Kriminelle und Spione weiterhin darauf, dass noch nicht alle Anwender und Firmen die Updates installiert haben.
---> Heise Security vom 19.01.2010
Der Notfall-Patch für den Internet Explorer
Bei dem Notfall-Update für den Internet Explorer handelt es sich um einen Sammel-Patch, der insgesamt gleich acht verschiedene Sicherheitslücken entschärfen soll. Die sicherlich wichtigste ist der Fehler in der Speicherverwaltung, der für gezielte Einbrüche bei Firmen wie Google ausgenutzt wurde und zu dem passender Exploit-Code auch bereits im Internet kursiert.
---> Heise Online vom 21.01.2010
Microsoft Security Bulletin MS10-002; Kritisch
Das Sicherheitsupdate für alle unterstützten Versionen von Internet Explorer wird als Kritisch eingestuft: Internet Explorer 5.01, Internet Explorer 6, Internet Explorer 6 Service Pack 1, Internet Explorer 7 und Internet Explorer 8 (außer Internet Explorer 6 für unterstützte Editionen von Windows Server 2003). Für Internet Explorer 6 für unterstützte Editionen von Windows Server 2003 wie aufgeführt wird dieses Update als Mittel eingestuft.
Windows-Lücke nach 17 Jahren gefunden
Microsoft hat es dieser Tage nicht leicht. Nach der ungepatchten Lücke im Internet Explorer wurde nun noch eine Lücke in Windows bekannt, durch die Anwender mit eingeschränkten Rechten an System-Rechte gelangen können; und zwar vermutlich auf allen 32-Bit-Windows-Versionen von Windows NT 3.1 bis einschließlich Windows 7. Während die Schwachstelle bei Heimanwendern vermutlich nur eine kleine Rolle spielt, dürften Administratoren in Unternehmensnetzen diese Woche vermutlich ins Schwitzen kommen.
Online-Anmeldung bei USA-Reisen jetzt zwingend
An einer Online-Anmeldung vor ihrem Abflug kommen deutsche USA-Touristen nicht mehr vorbei. Wer ohne Visum in die Vereinigten Staaten einreisen möchte, muss jetzt zwingend am ESTA-Verfahren teilnehmen und den US-Behörden Daten übermitteln. Diese Möglichkeit gab es auf der Website des US-Ministeriums für innere Sicherheit auch bisher schon, und es wurde von Reisenden verlangt, sie zu nutzen. Kamen Touristen trotzdem ohne ESTA-Anmeldung zum Flughafen, hatten die Fluggesellschaften bisher allerdings einen Ermessensspielraum, die Passagiere trotzdem einsteigen zu lassen. Das sei nun nicht mehr möglich, erklärt ein Sprecher des US-Generalkonsulats in Hamburg.
---> Heise Online vom 22.01.2010
Machtpoker in Brüssel um Bankdaten-Transfer in die USA
In Brüssel geht der Machtkampf zwischen den EU-Institutionen um die transatlantische Vereinbarung zur Weitergabe von Bankdaten weiter. So häufen sich im EU-Parlament die Stimmen, die eine Verschiebung des Inkrafttretens des Abkommens zur Auswertung der Überweisungsinformationen des Finanznetzwerks SWIFT (Society for Worldwide Interbank Financial Telecommunication) fordern. "Das ist unsere zentrale Forderung", erklärte Jan Philipp Albrecht, Innen- und Rechtspolitiker der Grünen, gegenüber heise online. Parlamentspräsident Jerzy Buzek habe einen entsprechenden Appell bereits dem Gremium der Regierungsvertreter übermittelt.
---> Heise Online vom 22.01.2010
Lob und Tadel für den elektronischen Personalausweis
Der eID-Funktion des neuen Personalausweises liege "ein intelligentes und datenschutzfreundliches Konzept" zugrunde, lobte der Bundesdatenschutzbeauftragte Peter Schaar in einer Podiumsdiskussion auf dem Chipkarten-Kongress Omnicard. Es erlaube den Bürgern im elektronischen Geschäftsverkehr über das Internet die klare Unterscheidung "zwischen Identifizierung, Authentisierung und Autorisierung". Bei jeder Transaktion könnten sie entscheiden, in welchem Umfang sie personenbezogene Daten über sich preisgeben. Gleichwohl sparte Schaar nicht mit Kritik an dem Projekt, bei dem das Roll-out der Ausweise im Scheckkartenformat vom 1. November an bevorsteht.
Internet Explorer bleibt Sorgenkind
Microsoft kommt mit dem Internet Explorer nicht zur Ruhe: Auf der kommenden Sicherheitskonferenz Black Hat will der Sicherheitsspezialist Jorge Luis Alvarez Medina von Core Security Schwachstellen vorführen, durch die eine präparierte Webseite beliebige Dateien auf einem Windows-PC auslesen kann.
Das Problem soll eigentlich nicht neu sein und darauf beruhen, dass die Einstellungen der Sicherheitszonen im Internet Explorer nicht immer greifen, wenn eine Pfadangabe im Browser im UNC-Format (Uniform Naming Convention, UNC) angeben ist, beispielsweise \\127.0.0.1\pfad\dateiname. Damit kann ein JavaScript aus der Internet Zone unter bestimmten Umständen auf eine lokal abgelegte Datei zugreifen, obwohl das Zonemodell dies verbietet. Details dazu will Medina erst am 3. Februar auf der Black Hat veröffentlichen.
Core Security hat zwei solcher sogenannten Cross-Domain-Schwachstellen bereits 2008 und 2009 an Microsoft gemeldet (hier und hier ), die dafür auch jeweils Updates bereitgestellt haben. Bislang habe Microsoft immer nur an einer Stelle geflickt, ohne jedoch das eigentliche Problem zu behandeln. Es gebe aber weitere Wege, das Zonenmodell auszuhebeln. Laut Medina seien diese Wege sehr schwer zu versperren, da es sich um grundlegende Funktionen des Browsers handele, damit der Browser mit anderen Anwendungen nahtlos zusammenarbeiten kann.
Betroffen sind durch die Bank alle Versionen des Internet Explorer von Version 6 bis 8 auf allen verfügbaren Windows-Versionen - inklusive Windows 7. Microsoft soll über die Probleme informiert sein und mit Core Security bereits an einer Lösung arbeiten. Meldungen über erfolgreiche Angriffe durch diese Lücke gebe es nicht. Vorschläge zum Schutz machen bislang weder Medina noch Microsoft.
Erst vergangene Woche musste Microsoft mit einem Notfall-Patch eine kritische Lücke in seinem Browser schließen, durch die vermutlich chinesische Hacker erfolgreich bei Google, Adobe und anderen US-Unternehmen eindrangen.
Anwender sollten den Einsatz eines alternativen Browsers in Erwägung ziehen. Zur Wahl stehen Firefox, Chrome und Opera. Diese weisen zwar auch immer wieder kritische Sicherheitslücken auf, insbesondere in Firefox beseitigen die Entwickler häufig kritische Fehler, allerdings gab es dafür bislang so gut wie nie Zero-Day-Exploits. Zudem konzentrieren sich Kriminelle weiterhin auf den Internet Explorer als Angriffsziel. Mit dem zunehmenden Marktanteil des Firefox könnte allerdings auch dieser bald verstärkt unter Beschuss stehen.
EFF demonstriert den "Fingerabdruck" des Browsers
Die Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) hat einen Online-Dienst veröffentlicht, mit dem Internet-Nutzer herausfinden können, wie einzigartig ihr Browser ist. Interessant ist das in erster Linie für Surfer, die um Datenschutz und Identifizierbarkeit im Netz besorgt sind – außer über Cookies, Session-ID oder IP-Adresse ermöglicht der Fingerabdruck des Browsers unter Umständen recht zuverlässig, seinen Besitzer zu erkennen.
---> Heise - Online vom 20.01.2010
---> Hier kann man das testen!
Grüße
Frank
Skepsis gegenüber Patientenakten von Google und Microsoft
Experten waren sich bei der zentralen Veranstaltung zum 4. Europäischen Datenschutztag in Berlin am Donnerstag einig, dass die Vorstöße internationaler IT-Größen in die Gesundheitswirtschaft nicht den hiesigen Sicherheitsanforderungen entsprechen. Die Angebote von Google und Microsoft für elektronische Patientenakten "erfüllen nicht die Kriterien, die wir als Ärzte und Datenschützer stellen", erklärte Franz-Joseph Bartmann, Vorsitzender des Ausschusses Telematik der Bundesärztekammer, auf dem Symposium der Datenschutzbeauftragten von Bund und Ländern über "Gesundheitsdaten im Netz" in der Charité.
Regulierer verhängt Bußgelder wegen unerlaubter Telefonwerbung
Die Bundesnetzagentur zieht Callcenter und ihre Auftraggeber wegen unerlaubter Telefonwerbung zur Rechenschaft. Im Dezember 2009 und Januar 2010 habe der Regulierer in neun Verfahren Bußgelder in einer Gesamthöhe von 500.000 Euro verhängt, teilte die Behörde am Freitag in Bonn mit. Damit würden erstmals Verstöße gegen das Verbot der unerlaubten Telefonwerbung und die Missachtung der Rufnummernanzeigepflicht bei Werbeanrufen geahndet. "Das ersichtliche Desinteresse einiger Unternehmen am seit langem gesetzlich bestehenden Verbot unerlaubter Telefonwerbung ist nicht akzeptabel", erklärte Chefregulierer Matthias Kurth.
---> Heise - Online vom 29.01.2010
Gendiagnostikgesetz tritt in Kraft
Arbeitgeber dürfen vom 1. Februar an nur noch in Ausnahmen Gentests von Bewerbern verlangen. Dies sieht das im Frühjahr vom Bundestag beschlossene Gendiagnostikgesetz vor, das am Montag in Kraft tritt. Generell müssen laut dem rechtlichen Normenwerk Erwachsene in Gentests nach gründlicher Beratung ausdrücklich einwilligen. Ferner dürfen Betroffene über die Weitergabe, Aufbewahrung oder Vernichtung ihrer Gendaten bestimmen. Eine Ausnahme gilt für Versicherungen bei hohen Auszahlungssummen. Eine genetische Untersuchung zu medizinischen Zwecken darf laut dem Gesetz nur von einem Arzt vorgenommen werden. Erlaubt die Analyse eine Vorhersage über die eigene Gesundheit oder die eines ungeborenen Kindes, ist eine genetische Beratung verpflichtend.
Analoge Funkkameras können zum Sicherheitsproblem werden
Dass sich herkömmliche Funküberwachungskameras von jedermann abhören lassen, ist für technisch Interessierte eigentlich keine Überraschung. Bemerkenswert ist aber, wo überall man mittlerweile auf kommerziell und privat genutzte Kameras treffen kann. Bei Recherchen stießen der NDR und die ARD-Tagesthemen auf zahlreiche Funkkameras in Tankstellen, Supermärkten und Apotheken zur Überwachung der Kassenbereiche. In allen Fällen ließen sich die Übertragungen der Systeme im 2.4-GHz-Bereich mit einem weniger als 100 Euro kostenden, frei verfügbaren Empfänger aus bis zu einem halben Kilometer Entfernung mitsehen. In vielen Fällen übertrugen die Kameras zusätzlich den Ton, womit sich etwa das Beratungsgespräch zwischen Apotheker und Kunde mitverfolgen ließ.
---> Heise - Security vom 29.01.2010
Datenschutzproblem in Google Toolbar behoben
Google hat ein Update der Internet-Explorer-Version seiner Google Toolbar bereitgestellt, um ein potenzielles Datenschutzproblem zu beheben. Unter bestimmten Umständen sendet die Toolbar nämlich Informationen über besuchte Webseiten an Google weiter, auch wenn man dies nicht möchte. Das Problem tritt aber grundsätzlich nur auf, wenn man bereits bei der Installation der Aktivierung der erweiterten Funktionen "SideWiki" und "PageRanks" zugestimmt hat, die ganz offiziell Daten an Google übertragen.
---> Heise - Security vom 29.01.2010
Internet Service Provider schauen pessimistisch in die Zukunft
Internet Service Provider (ISP) erwarten, dass DDoS-Angriffe auf Dienste, Server und Backbone-Verbindungen in den nächsten zwölf Monaten zu den Hauptproblemen gehören werden. Dies fand der Sicherheitsdienstleister Arbor Networks in einer Umfrage unter 132 weltweit operierenden ISPs zu den größten Bedrohungen ihrer Infrastruktur heraus.
Microsoft bestätigt neue Lücke im Internet Explorer
Microsoft hat die am Dienstag offiziell auf der Sicherheitskonferenz Black Hat DC vorgeführte Sicherheitslücke bestätigt und eine eigene Warnung veröffentlicht. Die Lücke ermöglicht es einer präparierten Webseite, auf beliebige Dateien auf dem PC zuzugreifen und deren Inhalte auszulesen. Dazu muss der Angreifer zwar den konkreten Pfad und den Dateinamen wissen, bei den üblichen Standardinstallationspfaden sind die aber meist bekannt.
Microsoft will 26 Lücken am kommenden Patchday schließen
26 Sicherheitslücken wollen die Redmonder am kommenden Dienstag, dem 9. Februar, in allen unterstützten Windows-Versionen und Office schließen. Dazu gibt es 13 Updates und Bulletins mit Beschreibungen der Bedrohungen, von denen Microsoft fünf als kritisch einstuft. Das Security Response Team von Microsoft empfiehlt Administratoren und Anwendern bereits jetzt, den Bulletins 1, 2, 3 und 6 höchste Priorität einzuräumen und diese bei Verfügbarkeit so schnell wie möglich zu testen und zu installieren.
Infizierte Add-ons auf Download-Seite von Mozilla gefunden
Mozilla hat zwei als experimentell gekennzeichnete Add-ons für den Browser Firefox entdeckt, die gefährliche Schadsoftware enthalten. Version 4.0 von Sothink Web Video Downloader ist demnach mit dem Passwort-Sniffer Win32.LdPinch.gen infiziert, Master Filer mit dem Backdoor-Trojaner Win32.Bifrose. Hat die Schadsoftware nach Installation eines infizierten Browser-Add-ons das Windows-System befallen, genügt es nicht, das Add-on wieder zu deinstallieren, um den PC zu säubern.
Innenminister de Maizičre verhindert Abhörzentrale
Bundesinnenminister Thomas de Maizičre (CDU) hat die Pläne seines Amtsvorgängers Wolfgang Schäuble gestoppt, eine gemeinsame Abhörzentrale von Polizei und Verfassungsschutz einzurichten. Er habe entschieden, dass es in Deutschland "keine Abhörzentrale nach britischem Vorbild" geben werde.
SWIFT-Streit: Druck auf EU-Parlamentarier wächst
Die US-Regierung droht einem Zeitungsbericht zufolge, Gespräche mit der EU über den Transfer von Bankdaten abzubrechen, sollte das EU-Parlament das vom Rat verabschiedete Interims-Abkommen in der kommenden Woche ablehnen. Stattdessen könne über die Weitergabe der vom belgischen Dienstleister SWIFT verwalteten Daten mit den 27 EU-Mitgliedsstaaten direkt verhandelt werden. Das berichtet die Financial Times Deutschland unter Berufung auf einen Brief des amerikanischen EU-Botschafters William Kennard an die Fraktionsvorsitzenden des Parlaments. Abgeordnete sprächen von "Erpressung".
Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!
