''''''''''''''''''''''''''''''''''''''''''''''''''''''' August 2015 '''''''''''''''''''''''''''''''''''''''''''
Apple: Neue Zero-Day-Sicherheitslücke
Gerade hat Apple in OS X ein Sicherheits-Update herausgebracht, das unter anderem eine Lücke schließt, die Angreifern Root-Rechte
einräumt. Kurz darauf zeigt sich eine weitere Lücke, die Angreifern ebenfalls Root-Rechte einräumt. Dank ihr können Angreifer ihre
Rechte ausweiten, ohne dafür ein Passwort eingeben zu müssen.
Als Zero-Day-Lücken werden solche Verwundbarkeiten bezeichnet, die dem Hersteller noch unbekannt sind. Noch ist unklar, wie schnell
Apple ein weiteres Update bereitstellen wird.
Lenovo: Neue Schnüffelsoftware
Der chinesische Computer-Hersteller Lenovo wird einigen unserer Leserinnen und Lesern noch durch den "Superfish" in
Erinnerung sein ("Lenovo: Gefährliche Adware als Feature").
Nun ist auf einigen PCs und Notebooks des Herstellers eine sogenannte "Service Engine" (LSE) entdeckt worden, die Computer
daraufhin überprüfen kann, ob bestimmte Dienste noch laufen, um diese gegebenenfalls wiederherzustellen und Software
nachzuladen. Außerdem verschickt LSE beim ersten Start bei bestehender Internetverbindung Daten wie Ort, Gerätemodell und Zeit.
Die LSE verbirgt sich im BIOS (Basic Input/Output System) und wird mit Starten des Rechners aufgerufen. Dass Lenovo LSE im
BIOS verbarg, deutet darauf hin, dass der Hersteller das Programm vor Virenscannern und Löschversuchen durch Anwender
verbergen wollte. Zudem ist die Verbindung nicht gesichert, die LSE zum Internet aufbaut. Das erleichtert es Kriminellen,
den offenen Kanal auszunutzen, um Schadsoftware aufzuspielen.
Nach Kritik hat Lenovo erklärt, bereits seit Ende Juli LSE nicht mehr auf neuen Computer zu installieren.
Hier finden Sie eine Liste mit betroffenen Geräten. http://news.lenovo.com/article_display. ... le_id=2013
Für Besitzer diverser Laptop Geräte stellt Lenovo ein Werkzeug zur Verfügung, das LSE beendet. http://support.lenovo.com/de/de/downloads/ds104370
Für Desktop-Besitzer gibt es dagegen eine Anleitung (auf Englisch), LTE zu entfernen. https://support.lenovo.com/de/de/produc ... os_desktop
Zudem steht für manche Geräte ein BIOS ohne LSE zur Verfügung.
Android: Googles Patch gegen Stagefright ist fehlerhaft
Als einer der wenigen Hersteller von Android-Geräten hat Google einen Patch gegen die Lücke in der Multimedia-Komponente
Stagefright bereitgestellt. Allerdings ist dieser Flicken selbst lückenhaft und sichert die Geräte nicht zuverlässig. Angreifer
können über manipulierte Videos auf zum Beispiel Webseiten Schadcode auf die Geräte schmuggeln.
Es wird befürchtet, dass das von Google herausgegebene erste Patch bei Benutzern für ein trügerisches Gefühl der
Sicherheit sorgen könnte.
Google ist informiert und arbeitet an einem neuen Sicherheitsupdate, dessen Auslieferung im September zum neu
eingeführten Patchday beginnen soll.
E-Mail: GMX, 1&1 und Web.de hatten Sicherheitsproblem
Wenn Sie sich bis zum 14. August bei den mobilen E-Mail-Portalen von 1&1, Web.de oder GMX eingeloggt haben
und dabei keine Cookies akzeptierten, sollten Sie vorsorglich Ihr Passwort bei dem Dienst erneuern.
Das Problem, das von der deutschen Redaktion von Wired entdeckt wurde, war bis zum 14 August folgendes:
Sie besuchen mit ihrem Smartphone oder Tablet eines der genannten E-Mail-Portale. Ihrem Browser haben Sie die
Annahme von Cookies verweigert. In einer E-Mail finden Sie einen beliebigen Link, dem Sie folgen. Auf dem Server,
der die besuchte Seite bereitstellt, findet sich jetzt in dem Protokoll, dass Sie die Seite besucht haben – nebst Ihrer
sogenannter Session-ID. Die Verwendung der Session-ID erlaubt den Zugang zu Ihrem Postfach.
Sie haben dabei nichts falsch gemacht. Viele erlauben die Annahme von Cookies schon aus Datenschutzbedenken nicht.
Der Link, dem Sie folgten, kann vollkommen harmlos sein. Auch das Führen eines Protokolls auf dem Server der
besuchten Seite ist Routine.
Wenn Sie selbst eine Website betreiben, werden Sie vermutlich Zugriffsstatistiken lesen und daraus erkennen, dass
irgendjemand Ihre Seite fand, nachdem er oder sie bei einer Suchmaschine zum Beispiel "Urlaub" und "Schottland" eingab.
In einem solchen sogenannten Referrer-URL würde in unserem geschilderten Fall die Session-ID für das E-Mail-Konto stehen.
1&1, GMX und Web.de sind Dienste von United Internet. Das Unternehmen hat auf die Lücke reagiert, sodass Sie sich
nunmehr nur noch dann in das Portal einloggen können, wenn Ihr Browser Cookies akzeptiert.
Apple: Sicherheitsupdates für Safari, iOS und OS X
Apple hat ein Update auf iOS 8.4.1 veröffentlicht und schließt damit mehrere, auch sehr schwerwiegende, Sicherheitslücken
der Vorgängerversion.
Ebenso hat OS X Yosemite 10.10 ein Update auf die Version 10.10.5 erhalten. Für die Versionen 10.9.5 und 10.8.5 wurden
Sicherheitsaktualisierungen herausgegeben. Die Updates beheben mehrere, als kritisch einzustufende Sicherheitslücken.
Auch wenn die oben beschriebene Zero-Day-Lücke mit dieser Aktualisierung nicht geschlossen wird, sollten Sie das Update
dennoch installiern.
Neue Versionen des Webbrowsers Safari schließen Sicherheitslücken, die es Angreifern über das Internet ermöglichten,
Sicherheitsmaßnahmen zu umgehen, Schadcode auszuführen, Informationen der Anwender auszuspähen und das System
zum Absturz zu bringen.
Mozilla: Sicherheitsupdate für Firefox
Das BSI empfiehlt ferner die Aktualisierung des Browsers Mozilla Firefox, mit der erhebliche Sicherheitslücken in diesem Programm geschlossen werden.
Microsoft und Adobe: Aktualisierungen nicht nur zum Patchday
Zum August-Patchday hat Adobe neue Patches veröffentlicht, die mehrere Sicherheitslücken in Adobe AIR und im Flash Player schließen.
Die Kollegen aus Redmond haben dagegen gleich diverse Produkte von Microsoft flicken müssen. Betroffen sind unter anderem Windows in den Versionen von Vista bis Windows 10, diverse Office-Programme und der Internet-Explorer.
Nach dem Patchday schließt Microsoft außerdem eine kritische Sicherheitslücke in allen derzeit unterstützten Versionen des Internet Explorers. Die Lücke wird bereits ausgenutzt.
Hacker: Mehr als nur versalzene Kekse
Angriffe auf industrielle Anlagen häufen sich. Das könnte laut eines von Spiegel Online zitierten Experten auch daran liegen, dass IT-Experten wie sie im BSI arbeiten und Produktionsfachleute unterschiedlich vorgehen, wenn diese eine Risikoanalyse erstellen: "Für Produktionstechniker gehörten Fehlfunktionen zum Alltag, bösartige Manipulationen hingegen nicht. Entsprechend löchrig fällt aus IT-Sicht das Schutzkonzept aus." Statt vielleicht einer Tagesproduktion versalzener Kekse gibt es dann in der Keksfabrik den Stillstand.
Der Artikel nennt auch Jeff Moss, unter anderem Gründer der Hackerkonferenzen Black Hat, der eine gesetzliche Meldepflicht für Cyber-Angriffe fordert. In Deutschland ist diese mit dem neuen IT-Sicherheitsgesetz bezogen auf Unternehmen der Kritischen Infrastrukturen bereits umgesetzt. Unter Kritische Infrastrukturen fallen zum Beispiel die Energieversorgung, Telekommunikation und Verkehr.
BSI: Das BSI kommt zur FrOSCon
Freie Software und Open Source - das sind die Themen der FrOSCon. Jedes Jahr im Spätsommer veranstaltet der Fachbereich Informatik der Hochschule Bonn-Rhein-Sieg mit Hilfe der LUUSA und des FrOSCon e.V. ein spannendes Programm mit Vorträgen und Workshops für Besucher aller Altersklassen, die Freie Software nutzen, kennenlernen wollen oder selbst entwickeln. Eine Ausstellung mit Ständen von Open-Source-Projekten und Firmen rundet das Angebot ab.
Beim Social Event am Samstagabend können sich Besucher, Vortragende und HelferInnen austauschen und zusammen feiern. [FrOSCon.de]
Am Messestand des BSI können sich die Besucher über die Projekte des BSI im Bereich Freier Software informieren.
BSI: Bundesregierung lädt zum Tag der offenen Tür
Das Bundesamt für Sicherheit in der Informationstechnik lädt Sie zum Tag der offenen Tür der Bundesregierung ein.
Diskutieren Sie mit uns über sichere mobile Kommunikation, soziale Netzwerke, sicheres Surfen im Internet oder über die sichere Nutzung von Cloud-Diensten. Testen Sie Ihr Internetwissen anhand unseres Fragebogens oder tauschen Sie sich „einfach so“ mit unseren IT-Experten aus.
Das BSI ist am 29. und 30. August 2015 in der Zeit von 10 Uhr bis 18 Uhr mit je einem Stand im Bundesinnenministerium und im Bundespresseamt vertreten.
Gruß
Yilmaz