JUNI 2010
Sicherheitslücke beim Microsoft Supportcenter
Hilferuf mit fatalen Folgen
Im Hilfe- und Supportcenter von Microsoft fuer die Windows-Versionen XP und Server 2003 ist ein gefaehrliches Leck entdeckt worden. Computerhackern ist es dadurch moeglich, die Kontrolle ueber fremde Systeme zu uebernehmen. Um fuer derartige Angriffe anfaellig zu sein, ist bereits der Besuch einer manipulierten Webseite oder das Oeffnen eines praeparierten E-Mail-Anhangs ausreichend. Microsoft hat bisher noch keinen Patch zur Verfuegung gestellt, allerdings eine Reihe von Schritten zur Beseitigung des Problems vorgeschlagen.
Das Buerger-CERT empfiehlt, diese Massnahmen umgehend umzusetzen. Sie finden eine Anleitung auf der Microsoft-Webseite
[
http://www.microsoft.com/technet/security/advisory/2219475.mspx#ETG].
Sollte es im Anschluss zu Problemen bei der Anzeige von Hilfeseiten kommen, steht Ihnen ein weiteres Reparatur-Werkzeug auf der Microsoft-Webseite
[
http://support.microsoft.com/kb/2219475/de]
zur Verfuegung.
Statusmeldungen bei Facebook
Clickjacking mit Jessica
Statusmeldungen bei Facebook werden aktuell von Computerhackern dazu genutzt, um Nutzer zu ungewollten Aktionen zu bewegen - eine Methode, die auch "Clickjacking" genannt wird. Der Urheber ist ein Wurm, der eine seit mehreren Wochen bekannte Schwachstelle in Facebook ausnutzt. Der Schaedling fuegt Profilen von Facebook-Nutzern eine Zeile hinzu, die auf eine Webseite mit dem Foto der Schauspielerin Jessica Alba und die "101 Hottest Women in the World" verweist. Wer darauf klickt, fuegt die gefaehrliche Statusmeldung auch seinem eigenen Profil hinzu. Wenn Sie die Meldung in Ihrem Facebook-Profil entdecken sollten, so entfernen Sie sie bitte umgehend, damit der Wurm nicht weiter verbreitet wird. Es ist durchaus moeglich, dass mit Hilfe des Schaedlings in Zukunft auch Phishing-Angriffe durchgefuehrt werden.
Schutz vor Schadsoftware, die die Facebook-Luecke ausnutzt, finden Sie auf der Mozilla-Webseite
[
https://addons.mozilla.org/de/firefox/addon/722/].
Weitere Informationen zum sicheren Verhalten in sozialen Netzwerken gibt es auf der BSI-FUER-BUERGER-Seite
[
https://www.bsi-fuer-buerger.de/cln_183/ContentBSIFB/Aktuelles/Brennpunkt/soziale_netzwerke.html].
Alte Luecke in Skype wird fuer Angriff genutzt
Spaetfolgen
Internetkriminelle haben ein gutes Gedaechtnis - manchmal nutzen sie Sicherheitsluecken in Softwareprogrammen, die schon lange geschlossen wurden. Die Hacker rechnen leider zu Recht damit, dass viele Nutzer auf regelmaessige Updates ihrer Programme verzichten und daher auch alte, eigentlich dichte Schleusen noch ein Eindringen ermoeglichen. Von einem aktuellen Beispiel berichtet die Internet-Informationsplattform ZDNet.de [
http://www.zdnet.de]: Die Anbieter der Kommunikationssoftware Skype hatten ein Sicherheitsloch im Oktober 2009 geschlossen. Nun wird genau diese Luecke von Angreifern genutzt, um in fremde Systeme einzudringen.
Das Buerger-CERT empfiehlt generell, alle sicherheitsrelevanten Updates von Betriebssystemen und Software umgehend zu installieren.
Erneut Sicherheitsluecke bei SchuelerVZ
Bei Videos gelinkt
Die Video-Link-Funktion der sozialen Netzwerke SchuelerVZ, StudiVZ und meinVZ weist eine gefaehrliche Sicherheitsluecke auf, wie das IT-Portal gulli.com [
http://www.gulli.com] berichtet. Beim Anzeigen der mittlerweile deaktivierten Videovorschau waere es moeglich gewesen, Schadcode einzuschleusen, Daten auszuspionieren und die Nutzer auf manipulierte Webseiten umzuleiten. Die Betreiber der VZ-Dienste haben die Funktion vorlaeufig vom Netz genommen und wollen demnaechst eine sichere Version zur Verfuegung stellen. Der Hinweis auf die Luecke soll, so berichtet gulli.com, von einem 16-jaehrigen Schueler gekommen sein, der die Betreiber dazu animieren wollte, besser auf die Sicherheit des Netzwerks zu achten.
Hacker stehlen Mailadressen von iPad-Nutzern
Neues Geraet, alte Probleme
Mehr als 100.000 iPads sollen nach Angaben der IT-Zeitschrift Computerwelt [
http://www.computerwelt.at] von einer Gruppe US-amerikanischer Hacker ausspioniert worden sein. Eine mittlerweile geschlossene Sicherheitsluecke beim Telekommunikationskonzern AT&T soll den Hackern eine Eingangsmoeglichkeit geboten haben. Diese Luecke erlaubte es den Angreifern, mithilfe der SIM-Karten-Adressen (auch ICC-ID genannt) der Nutzer, die Email-Adressen zu ermitteln.
Glueck fuer die betroffenen Nutzer: Die Eindringlinge planten keinen Missbrauch, sondern wollten nur auf einen bestehenden Sicherheitsmangel aufmerksam machen. Nach der Veroeffentlichung der Daten in einer Internetplattform meldeten sie die Luecke selbst an AT&T.
Neuer Flash-Player schliesst 32 Sicherheitsluecken
Jetzt wieder sicher
Der Adobe Flash Player steht in der Version 10.1 fuer Windows, Mac OS X und Linux zum Download auf der Hersteller-Webseite [
http://get.adobe.com/de/flashplayer] bereit. Das Softwareunternehmen schliesst damit zahlreiche Sicherheitsluecken, die vor allem zum Einschleusen von Schadcode ueber das Aufrufen von Webseiten genutzt werden koennen.
Wer nicht auf die Version 10.1 wechseln kann, sollte die Player-Version 9.0.277.0 herunterladen. Auch dort sind die Sicherheitsluecken geschlossen.
Mac OS X 10.6.4 schliesst 28 Sicherheitsluecken
Auf Stand gebracht
Auch Apple hat seine Hausaufgaben gemacht: In der Version 10.6.4 des Betriebssystems Mac OS X wurden mehrere Sicherheitsluecken in Anwendungen und Systemfunktionen geschlossen. So erkennt das Betriebssystem nun den Trojaner OSX.HellRTS, der sich als die Fotosoftware iPhoto tarnt. Die neue Mac OS-Version kann im Download-Center
[
http://support.apple.com/downloads/]
von Apple heruntergeladen werden. Nutzern von Mac OS X 10.5.8 Leopard steht das Sicherheitsupdate 2010-004 zur Verfuegung. Die im aktuellen Betriebssystem 10.6.4 enthaltene Flash-Version 10.0.45.2 ist aber in Sachen IT-Sicherheit nicht auf dem aktuellen Stand. Diese kann man von der Hersteller-Webseite
[
http://get.adobe.com/de/flashplayer/]
herunterladen.
Apple beseitigt ueber 60 Schwachstellen in iOS 4
Mobile Sicherheit
Apple hat sein neues mobiles Betriebssystem iOS 4 veroeffentlicht und insgesamt 65 Sicherheitsluecken geschlossen. Die meisten davon betreffen das WebKit, auf dem der Safari Browser basiert. Ueber die Schwachstellen war es Angreifern bislang unter anderem moeglich, mithilfe von praeparierten JPEG-, BMP- oder TIFF-Dateien Schadsoftware auf das iPhone zu schleusen. Ausserdem konnten Drittanbieter auf Nutzerfotos zugreifen oder Geolocation-Daten des Geraets auslesen.
Anwendern wird geraten, die neue iOS-Version zuegig zu installieren. Mehr Infos zu den einzelnen Schwachstellen gibt es auf der Apple-Webseite
[
http://support.apple.com/kb/HT4225].
Das Update steht auf der Apple-Support-Seite
[
http://www.apple.com/iphone/softwareupdate/]
zur Installation bereit.
Update des Browsers Opera schliesst Sicherheitsluecken
Geheime Ursache
Der Softwarehersteller Opera [
http://www.opera.com/browser/] hat das Update 10.54 zum Herunterladen bereitgestellt und empfiehlt allen Nutzern des Opera-Browsers, dieses Update so schnell wie moeglich zu installieren. Denn in der Vorgaengerversion klafften vier Sicherheitsluecken, von denen eine als "extrem gefaehrlich" und eine andere als "hoch gefaehrlich" eingestuft wird. Damit Internetkriminelle diese Luecken nicht ausnutzen, haelt das Unternehmen die Art der Bedrohung so lange geheim, bis moeglichst viele Nutzer das Update installiert haben.
Support fuer Windows 2000 endet
Letzte Hilfe
Fuer alle Betriebssysteme bietet Microsoft fuenf Jahre lang eine umfassende Unterstuetzung bei Sicherheitsluecken an, den so genannten "Mainstream"-Support. Danach werden fuer weitere fuenf Jahre nur noch kritische Sicherheitsluecken mit Updateprogrammen geschlossen ("extended support"). Wie Microsoft
[
http://support.microsoft.com/gp/lifean35]
mitteilt, endet der "extended support" fuer saemtliche Windows-2000-Versionen am 13. Juli 2010. Danach stehen "allen Benutzern von Windows 2000 Professional die Online-Selbsthilfe-Ressourcen zur Verfuegung", wie Microsoft schreibt.
Das Unternehmen empfiehlt allen Nutzern, die noch mit Windows 2000 arbeiten, aus Sicherheitsgruenden auf ein aktuelleres Betriebssystem umzusteigen.
Studie: Kinder und Jugendliche sind sicher im Netz unterwegs
Vorsichtiger als die Eltern
Bei einer Befragung fuer den Norton Online Family Report 2010
[
http://www.symantec.com/content/de/de/about/downloads/PressCenter/Symantec_NOLR2010_Facts_Germany.pdf]
gaben 50 Prozent der Kinder und Jugendlichen an, im Internet vorsichtiger zu sein als ihre Eltern. 72 Prozent halten sich ausserdem an die "Nettiquette" und beschimpfen niemanden online. Auch das Sicherheitsbewusstsein ist hoch: So gaben 76 Prozent der Kinder und Jugendlichen an, ihr Passwort nie weiter zu geben. Aber nur 17 Prozent ueberprueften beispielsweise immer das "s" bei "https" in der URL. Schwachpunkte in Sachen IT-Sicherheit fuer Kinder und Jugendliche sind Computerviren sowie unserioese Nutzer sozialer Netzwerke: Jeweils 32 Prozent geben an, dass sie sich schon einmal einen Computervirus eingefangen haben oder dass eine fremde Person versucht hat, sie als Freund in einem sozialen Netzwerk hinzuzufuegen. Fuer die Studie wurden weltweit ueber 7.000 Erwachsene sowie 2.800 Kinder und Jugendliche im Alter von acht bis 17 Jahren zu ihrem Onlineverhalten befragt.
