Aktuelles (IT-Blog von Thomas Murr)

Microsoft Patchday: mehrere Sicherheitsanfälligkeiten beseitigt (10.03.2010)

Mit hoch werden alle betroffenen Lecks von den Redmondern eingestuft. Eine Lücke im Windows Movie Maker sowie acht Lücken in Excel ermöglichen einem Angreifer die Remotecodeausführung (Zugriff von aussen über präparierte Dateien --> Schadcode). Betroffen sind die Plattformen Windows XP (32-bit mit SP2 oder SP3 bzw. 64-bit-Prof. mit SP2), Vista (32-bit mit SP1 oder SP2 bzw. 64-bit mit SP2) und Windows 7 (32- und 64-bit). Die Updates sollten zügig installiert werden! Nähere Infos: Microsoft Security Bulletin Summary für März 2010

Vorratsdatenspeicherung vorerst erledigt (02.03.2010)

Die Sammelklage (bin Mitkläger) gegen die Vorratsdatenspeicherung hat geholfen, denn das Bundesverfassungsgericht entschied, dass das Gesetz zur Vorratsdatenspeicherung gegen die Verfassung verstösst - weil unvereinbar mit dem Telekommunikationsgeheimnis - und deshalb unzulässig ist! Ohne Frage erst einmal ein Erfolg.

Schaut man aber genauer hin, machen die Verfassungsrichter recht konkrete Vorschläge bzw. zeigen die notwendigen Hürden auf, die eine künftiges Gesetz zur Vorratsdatenspeicherung verfassungskonform machen würden. Sprich eine Art Aufbau-Anleitung für den Gesetzgeber wie zur Neuregelung des Gesetzes vorzugehen ist.

Zum Nachlesen des Urteils, siehe diesen Link: Az: 1 BvR 256/08 vom 02.03.2010

--> Artikelübersicht zum Thema

In eigener Sache: Gästebuch PHP-Script fertig (01.03.2010)

Ein weiteres PHP-Script bieten wir ab heute an: GÄSTEBUCH-KOMPLETT
--> ein Gästebuch- und Bewertungs-System (Star-Voting).
Ich verliere hier keine grossen Worte darüber, sehen Sie die Beschreibung auf dieser Seite.

Das System wurde auch in diese Website integriert, so dass Sie nun rege Beiträge schreiben und uns ein Feedback geben können. Der Link zum Gästebuch befindet sich auf jeder Seite oben rechts (unterhalb des Empfehlungs-Links).

Bluescreen nach letztem Microsoft Patch MS10-015 (13.02.2010)

Nicht auf allen Systemen aber auf einigen kommt es, nach Installation des Patches für Virtual DOS (KB977165) von Anfang dieser Woche, zu Startproblemen von Windows-XP, indem sich das System beim Booten aufhängt und einen bluescreen of death zeigt. Bisher hilft nur die Entfernung des entsprechenden Updates, weil noch keine Lösung vorliegt. Aber wie entfernt man den Patch, wenn das Betriebssystem nicht mehr startet? Dazu wie folgt vorgehen:

• Den Computer von der Windows-CD starten (Wiederherstellungskonsole, KEINE Installation), evtl. muss im BIOS zuvor die Startoption für CD/DVD nach oben (vor die Festplatte mit der Systempartition) gerückt werden.
   
• Nach Starten der Wiederherstellungskonsole zum entsprechenden System, muss in das Verzeichnis des Updates gewechselt werden. Der Befehl in der Eingabeaufforderung (Prompt) lautet:
  cd $NtUninstallKB977165$\spuninst
  oder
  CHDIR $NTUinstallKB977165$\spuninst
   
• Jetzt die Deinstallation per Batch starten:
  BATCH spuninst.txt
  und danach eingeben:
  systemroot
   
• Konsole mit exit schliessen
   
• Rechner neu starten (der Bluescreen sollte nicht mehr erscheinen und Windows ordentlich booten)

Microsoft hat den Patch aus dem automatischen Update entfernt, so dass keine automatische Neuinstallation per Windows-Update zu befürchten ist.

In eigener Sache: Angebot Buchführung-Excel-Sheet eingestellt (11.02.2010)

Aufgrund von chronischem Zeitmangel für die Pflege (Steueränderungen) sowie Support* des Excel-Arbeitsblatt “Buchführung leicht gemacht” haben wir das Angebot eingestellt und die Website dazu gelöscht.

*die gestellten Fragen betrafen zu neunzig Prozent das Steuerrecht und wir sind KEINE Steuerberater oder Wirtschaftsprüfer! Für Lizenznehmer übernehmen wir selbstverständlich noch weiterhin den Support in TECHNISCHEN Fragen.

Schadcode über Firefox-Add-ons auf Mozillas Downloadseite (09.02.2010)

Monate- bzw. jahrelang wurden zwei Add-ons für den Web-Browser Firefox auf der Mozilla-Seite angeboten, die schädliche Software enthielten, und laut Mozilla “etwa” 600 mal (Add-on “Master Filer”) zwischen September 2009 und Januar 2010 sowie 4.000 mal (Add-on “V. 4.0 Sothink Web Video Downloader”) zwischen Februar 2008 und Mai 2008 heruntergeladen wurden.

Die Dateien wurden erst am 25.01.2010 bzw. 02.02.2010 entfernt, weshalb man sich fragen muss, wieviel Downloads waren es “etwa” in dem nicht genannten (viel grösseren) Zeitraum von Juni 2008 bis August 2009? Denn beide Dateien enthielten ziemlich fiese Schadsoftware (Passwort-Sniffer Win32.LDPinch.gen und Hintertür-Trojaner Win32.Bifrose).

Der Fall zeigt, dass man sich (auch) nicht auf eigentlich vertrauenswürdige Herstellerseiten verlassen darf, sondern alles, was man heruntergeladen hat, erst einmal selbst auf Viren & Co. zu überprüfen hat. Siehe auch Beitrag vom 22.11.2009: “Firefox-Add-ons als Einfallstor für Schädlinge”.

<update 11.02.2010>
Offenbar handelt es sich laut Mozilla bei der Warnung zum Add-on “Sothink Web Video Downloader” um einen Fehlalarm gleich mehrerer Virenscanner (Ursache unbekannt), d.h. das Add-on ist wieder verfügbar. Beim “Master-Filer”-Add-on gibt es jedoch keine Entwarnung, dieses ist definitiv mit dem Trojnaer Win32.Bifrose infiziert.
</update>

Blippy: ein neuer Dienst, den die Welt nicht braucht (09.02.2010)

Die Lust am Zeigen, die das intime Treiben in Sozialen-Netzwerken (Mitmach-Web) ausmacht bzw. die Motivation dazu ist, hat eine neue Plattform, um sich zu verwirklichen: “Blippy is a fun and easy way to see and discuss the things people are buying...”

Blippy ermöglicht, allen zeigen zu können, was man wann, wo und für wieviel Geld gekauft hat bzw. zu glotzen, was andere wann und wo sowie für wieviel Geld gekauft haben. Es sind nur die Kreditkartendaten oder Zugangsdaten von grossen Einkaufsportalen für den Anmelder anzugeben. Super, oder? Nach Big-Brother im Fernsehen sowie Facebook, MySpace und Co. im Web, ist Blippy die logische Konsequenz. “Schau, ...mein nächster Urlaub klatsch -...die Perlenkette für meine Frau klatsch...”!

Der Nutzen für den Anwender scheint uns höchst fragwürdig aber das ist er auch bei den meisten anderen erfolgreichen Web 2.0-Portalen. Wir sind (gerade deshalb) davon überzeugt, dass dies der nächste Web 2.0-Shooter wird, auch wenn in den zu akzeptierenden Bedingungen von Blippy - wie bei sozialen Netzwerken üblich - u.a. davon die Rede ist, dass alle (auch die persönlichsten) Daten Dritten zur Verfügung gestellt werden können (z.B. für Marketing-Kampagnen). Das “Kleingedruckte” hat aber noch keinen wirklich davon abgehalten der Zeigefreude zu frönen. Das Geschrei wird hernach - wurden die Daten erst einmal (legal!) mit Klarnamen meistbietend verscherbelt - dennoch riesig sein. Hirn 2.0 anstatt Web 2.0 wäre besser gewesen...

Wir wünschen allen Finanz-Exhibitionisten viel Spass mit Blippy :-)

In eigener Sache: Kontakt-/Formmailer-PHP-Script liegt in Version 3.0 vor (05.02.2010)

Unser beliebtes professionelles Kontaktformular (mit Administrationsbereich) wurde überarbeitet und liegt nun in Version 3.0 vor (wie gewohnt mit deutscher wie englischer Sprachdatei zum Umschalten im Backend). Gegenüber Version 2.x ermöglicht 3.0 u.a. bis zu 10 Empfänger (vorher bis zu 5) und die Datumseingabe eines frei zu titulierendes Feldes (im Screenshot mit “Wunschtermin” benannt) per Popup-Kalender:

Siehe nähere Infos auf dieser Seite.

Hinweis für Lizenznehmer vorheriger Versionen 2.x:
Es kann günstig von Version 2.x auf “Edition 3.0 Professional” per Upgrade aktualisiert werden. Die “3.0-Standard-Edition” läuft auch mit der vorhandenen Lizenz ohne Aufpreis!

In eigener Sache: Tell-a-Friend-PHP-Script liegt in Version 3.5 vor (29.01.2010)

Unser beliebtes professionelles Empfehlungsformular (Tell-A-Friend mit Administrationsbereich) für Domains und deren Webseiten wurde überarbeitet und liegt nun in Version 3.5 vor (wie gewohnt mit deutscher wie englischer Sprachdatei zum Umschalten im Backend). Gegenüber Version 3.4 ermöglicht 3.5 den Versand der Empfehlungs-eMail an bis zu zehn Empfänger gleichzeitig (V. 3.4 konnte nur zwei Adressaten auf einen Schlag ansprechen). Der Betreiber gibt im Administrationsbereich vor, wieviel Adressfelder (1-10) im Formular angezeigt werden sollen. Siehe nähere Infos auf dieser Seite.

Hinweis für Lizenznehmer vorheriger Versionen:
Es kann günstig von früheren Versionen per Upgrade aktualisiert werden.

Hintertüren bei eMail-Providern und sozialen Netzwerken (26.01.2010)

Unter dem Mantel der Terrorabwehr geht ja bekanntlich fast alles, was mit der Einschränkung von Bürgerrechten zu tun hat. So wurden auch für die US-Regierung Hintertüren in Internet-Dienste (wie eMail und soziale Netzwerke...) eingebaut. Das Ziel: Terrorismus zu verhindern.

Laut dem bekannten Sicherheitsexperten Bruce Schneier sind es gerade diese Backdoors, die es Kriminellen - und so auch Terroristen - ermöglichen, Spionage zu betreiben. Er berichtete jüngst in einem Kommentar bei CNN, dass u.a. chinesische Hacker (besser Cracker, denn Hacker sind die Guten) über eine solche Regierungs-Hintertür in Googles Gmail eingedrungen sind, um Regimegegner auszuspähen.

Fazit:
Anstatt Terrorabwehr hat man offensichtlich das Gegenteil erreicht - die Terroristen quasi eingeladen... und nebenbei den gläsernen Bürger geschaffen. Weiter so...:-(

In eigener Sache: Newsletter-PHP-Script Demo-Version (19.01.2010)

Seit heute steht eine Demo-Version unseres Newsletter-PHP-Scripts zum Download bereit.

MEHRERE Linux-Distributionen neben Windows auf EINEM Rechner (09.01.2010)

Anscheinend wächst das Interesse an Linux stetig - trotz neuem Windows 7 und geflecktem Leopard oder gestreiftem Tiger -, denn wir bekamen in letzter Zeit einige eMails mit Fragen zur Linux-Installation. Darunter auch einige, die eine parallele Linux-Neu-Installation neben einer bereits installierten Linux-Distribution und einem bereits installierten Windows auf einem Rechner behandeln.

Wir möchten in diesem Zusammenhang auf Beiträge zu diesem Thema verweisen, die bereits seit drei respektive vier Jahren auf unserer Website veröffentlicht sind; nachstehend die Links:

• Installation: Linux-Installation parallel zu Windows mit Bootloader “Grub”
• ==> Verwenden des Bootmanagers von Windows für den Bootmechanismus
   
• Partitionen|Bootloader: Linux-Partitionen und Bootloader
• im speziellen bei Betrieb mehrerer Linux-Distributionen:
  ==> Verwenden eines bereits installierten Bootloaders am Bsp. von “Grub”

Allen Lesern ein gutes, erfolgreiches Jahr 2010! (01.01.2010)

Ihnen wünschen wir ein gesundes und erfolgreiches Jahr sowie Ihren Computersystemen einen virenfreien Betrieb in 2010.

In eigener Sache: Professional PHP-Newsletter-System released (09.12.2009)

Seit gestern beschreiben wir unser komplett neu überarbeitetes professionelles PHP Newsletter-System unter der Subdomain nl.bauser-enterprises.com.

Es werden folgende Lizenzmodelle der Professional-Version angeboten:

• Sponsored-Professional-Version für Familien und Vereine
• Professional-Version für den Einsatz bei Firmen oder Vereinen
• White-Label-Professional-Version für Webmaster und IT-Dienstleister, die das Programm auf Webpräsenzen ihrer eigenen Kunden einsetzen wollen

Siehe auch alle Features der Professional-Version sowie die angebotenen Screenshots.

Firefox-Add-ons als Einfallstor für Schädlinge (22.11.2009)

In einigen verbreiteten Firefox-Erweiterungen finden sich kernige Sicherheitsprobleme, d.h. der Einsatz von sog. Plug-ins oder Add-ons kann die Sicherheit des ganzen Systems in Frage stellen, indem diese zum Einfallstor für Schadcode werden!

Während es Add-ons von professionellen Browser-Entwicklern gibt (als Beispiel für ein sehr sinnvolles Firefox-Add-on wäre “NoScript” zu nennen), finden sich auch zu Hauf Erweiterungen von Hobby-Entwicklern, die sich in Sicherheitsdingen und -fragen leider nicht so gut auskennen.

Diesem Bericht zufolge wird das Problem aktuell unter Sicherheitsexperten diskutiert und anhand von Zero-Day-Exploits in mehreren populären Firefox-Erweiterungen demonstriert (u.a. RSS-Reader bis V. 1.4.2).

Firefox-Anwender sollten ihre Add-on-Gier deshalb zügeln und Erweiterungen nur installieren, wenn der Anbieter absolut vertrauenswürdig ist. Auch sollte eine Dokumentation (Sicherheitsdinge beleuchtet?) vorliegen.

Internet wird heute vierzig Jahre alt (29.10.2009)

Am 29.10.1969 wurde die erste Nachricht zwischen zwei (entfernten) Computern über das neu geborene Arpanet ausgetauscht, indem von einem Rechner der Universität von Kalifornien versucht wurde, sich in einen Computer des Stanford Research Institute einzuloggen, was nach dem zweiten Versuch gelang.

Neben anderen Dingen, die das Internet ausmachen, war dies unumstritten der Grundstein für die heutige digitale Welt, wenn das damals auch noch niemand ahnen konnte. Zurecht sollte heute ein Fläschchen Schampus geöffnet...und mit der restlichen Internet-Gemeinde virtuell auf den 40-jährigen Geburtstag angestossen werden.

Siehe auch: Nähere Infos zur Entstehung des Internets

Windows 7 ist da (22.10.2009)

Seit heute kann´s jeder haben, das neue Windows 7. Im wesentlichen handelt es sich dabei um ein aufgebohrtes Vista (an der Architektur des Systems hat sich so gut wie nichts geändert), sieht man von ein paar Ausnahmen ab. Da wäre als neu im wesentlichen zu nennen:

• neue Taskleiste mit verschiebbaren oder statischen Programmeinträgen, zu denen auch eine Jumplist mit den zuletzt geöffneten Dateien geboten wird
• Heimnetzgruppe zum schnellen Vernetzen von Windows-7-Computern (funktioniert nicht mit Vorgänger-Windows-Versionen)
• Thematisch sortierte Bibliotheken (unabhängig vom Speicherort, d.h. auch das lokale Netzwerk wird indiziert)
• weniger Mausklicks* in der Verwendung von Windows 7 als beim Vorgänger, d.h. weniger (mehrfache) Nachfragen wie “Sind Sie sicher?” oder “Fortfahren?”
• XP-Modus (nur Professional und Ultimate): Dabei handelt es sich um eine virtuelle Maschine mit vorinstalliertem XP mit eigener Lizenz zum Betrieb von Software, welche nur unter XP läuft

*Das Weniger-Nachfragen gegenüber Vista liegt u.a. daran, dass die Benutzerkontensteuerung (bei Auslieferung bzw. Standardinstallation) zu weit heruntergeregelt wurde. Der Schieberegler sollte unbedingt manuell auf die höchste Stufe gestellt werden, um Schädlingen weniger Chancen zu lassen. Es wird dann zwar mehr nachgefragt (weil man ohne Administratorrechte arbeitet) aber es ist immer noch deutlich weniger als beim Vorgänger Vista.

Windows 7 gibt es wie beim Vorgänger in verschiedenen Versionen - wir empfehlen die Professional-Edition, da diese u. E. die meist benötigten Features mitbringt. Es wird jeweils eine 32- wie 64-Bit-Version angeboten (Home-Basic-Edition nur 32-Bit). Wer mehr Arbeitsspeicher (RAM) als 4 GB benötigt oder später nachrüsten will, kommt um 64-Bit nicht herum. Die Treiber- und Softwareversorgung ist zwar aktuell noch für 32-Bit besser aber das ändert sich schnell in der Zukunft, denn das “Designed for Windows 7”-Logo darf sich nur aufkleben, wer beide Varianten bedienen kann. Ferner steigt die Anzahl der angebotenen und gekauften 64-Bit-Prozessoren auf dem Markt stetig.

Unsere Meinung:
Windows 7 bringt keine bahnbrechenden Neuerungen mit, verbessert aber die Innovationen und Funktionen von Vista (und gibt noch ´was drauf) in einem schnelleren und benutzerfreundlicheren System und scheint nun endlich der erwünschte adäquate Nachfolger für das mittlerweile in die Jahre gekommene und ergraute XP zu sein. Wer das in Verruf geratene Vista übersprang, hat nichts verpasst! Für Nachzügler sollte der Anschluss an ein zeitgemässes Windows-Betriebssystem mit Windows 7 gelingen und Spass machen.

Webzensur ist vorerst verschoben und die Vorratsdatenspeicherung modifiziert (16.10.2009)

Die zuständige Koalitionsgruppe von Union und FDP haben sich darauf geeinigt, dass es vorläufig keine Sperrlisten des Bundeskriminalamt (BKA) für Webseiten geben wird. Vielmehr soll die Löschung von kinderpornographischen Inhalten im Web erreicht werden (dies haben wir schon in unserem Beitrag vom 13.02.2009 gefordert, da das Internet eben KEIN rechtsfreier Raum ist, wie oft von diversen Politikern applausheischend behauptet). Nach einem Jahr solle der Erfolg der Massnahme überprüft werden, um “gegebenenfalls weitere Entscheidungen zu treffen” (Zitat Wolfgang Schäuble).

Zur Vorratsdatenspeicherung wurde eine kosmetische “Aussetzung” beschlossen, d.h. die verdachtsunabhängige sechsmonatige Speicherung von Verkehrsdaten durch die Telekommunikationsunternehmen wird bis zu einem Urteil des Bundesverfassungsgerichts (siehe Sammelverfassungsbeschwerde) weiter erfolgen (um angeblich keine EU-Vorgaben zu verletzen), nur der Zugriff auf die Standort- und Verbindungsdaten soll auf schwere Gefahrensituationen beschränkt werden. Von einer wirklichen Aussetzung kann somit nicht die Rede sein und die Gefahren des Datenmissbrauchs bleiben bestehen.

Das Instrument der heimlichen Online-Durchsuchung durch Einsatz des im Volksmunde genannten Bundestrojaners bleibt erhalten. Allerdings soll künftig ein Ermittlungsrichter des Bundesgerichtshofs auf Antrag der Bundesanwaltschaft über den Einsatz entscheiden. Bisher reichte die Entscheidung eines Richters des Amtsgerichts.

Fazit:
-----
Das Ergebnis der Verhandlungen der schwarz-gelben Koalition ist eher mager, fragwürdig und theoretisch.

De facto werden die Web-Sperren vorerst nur verschoben und nicht gestoppt (das Zugangserschwerungsgesetz besteht nach wie vor), wenngleich die Absicht zur Löschung kinderpornographischen Inhalte im Web sehr zu begrüssen ist. Jetzt gilt es, dies mit Nachdruck de jure (eine Absichtserklärung ist zu wenig) durchzusetzen und nicht schon im Vorfeld halbherzig in Frage zu stellen (siehe obiges Zitat von Herrn Schäuble). Zu einer ernstgemeinten Umsetzung der Ziele muss zudem auch fachkundiges (Polizei-)Personal ein- bzw. abgestellt werden; die Polizeigewerkschaften beklagen sich aber über massiven Stellenabbau. Denn sonst erübrigt sich die avisierte Überprüfung in einem Jahr bzw. diese wäre Makulatur. Es ist zu vermuten, dass die Bundesregierung das (dann eigenverschuldete) Versagen der vielversprechenden Massnahme als (schizophrenes) Argument für die erneute Einführung der Internetzensur (auch über den Bereich der Kinderpornographie hinaus) anführen würde. Das scheint nämlich das mutmassliche Ziel von Schäuble und seiner Partei zu sein.

Bei der Vorratsdatenspeicherung und heimlichen Online-Durchsuchung hat sich praktisch nichts geändert. Es wurde lediglich hier und da etwas Makeup angebracht...schade.

Siehe auch Artikelübersicht zu den angesprochenen Themen wie Bundestrojaner & Co..

In eigener Sache: Domain website-search.de steht zum Verkauf (10.10.2009)

Das Angebot “Suchmaschine für die eigene Homepage”, welches über unsere Domain website-search.de vertrieben wurde, haben wir eingestellt. Bestehende Verträge sind nicht von dieser Massnahme betroffen.

Die Domain website-search.de benötigen wir somit nicht mehr und steht deshalb zum Verkauf. Bei Interesse treten Sie bitte mit uns in Kontakt.

USB-3.0-Festplatten kommen (24.09.2009)

Externe Festplatten waren bisher ja schön und gut aber das Problem lag in der Geschwindigkeit der Übertragung von Daten, denn der bisherige USB 2.0 Standard erreichte in der Praxis selten mehr als 288 Mbits/s (36 MBytes/s) und konnte deshalb intern verbaute Festplatten nicht ersetzen.

Das wird in Zukunft mit USB 3.0-Festplatten besser. USB 3.0 erreicht Datentransferraten von brutto 300 MByte/s bis zu 5 Gbit/s. Der Hersteller Freecom hat bereits eine Festplatte (Hard Drive XS 3.0) angekündigt, die in der Praxis Transferraten bis zu 130 MBytes/s erreichen soll, was in etwa der Übertragungsgeschwindigkeit von internen SATA-Harddisks entspricht.

USB 3.0 benötigt allerdings ein sog. Superspeedkabel (5 Anschlüsse mehr als USB 2.0), ist damit aber kompatibel zum Standard High-Speed-USB 2.0 (brutto 480 Mbit/s) sowie Fullspeed-USB 1.1 (brutto 12 Mbit/s) und Lowspeed-1.0 (brutto 1,5 Mbit/s). Für Micro-USB- und Typ-B-Verbinder ist allerdings ein Adapter bzw. Steckeraufsatz erforderlich.

Zum Nachrüsten von USB 3.0 für Desktop-PC sind bereits PCI-Express-Host-Bus-Adapter für rd. 30 Euro im Handel erhältlich. Auch entsprechende ExpressCards für Notebooks kosten ungefähr dasselbe. Sicherlich tauchen in Kürze auch die ersten Controller für PC mit PCIe-Slots auf dem Board-Markt auf.

BSI warnt erneut vor Google-Online-Dienst (15.09.2009)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt in seinem Lagebericht IT-Sicherheit für das 2. Quartal 2009 (PDF-Datei) u.a. vor der neuen Google-Applikation “Wave”, einer webbasierten Kommunikationsplattform, die in Kürze veröffentlicht werden soll. Wie bei den Google-Online-Diensten “Mail”, “Calendar” und “Docs” liegen auch bei Google-Wave die Daten auf Google-Server* und sind so nicht vom Nutzer kontrollierbar (Datenschutzrichtlinien liegen i.d.R. nicht oder nur in rudimentärer Form vor).

*Der Quellcode von “Wave” soll veröffentlicht werden, d.h. jeder Anwender kann dann seinen eigenen Wave-Server betreiben.

Vor dem Hintergrund des Kontrollverlusts von eigenen Daten sowie immer wieder bekannt werdender Sicherheitslücken von (Google-)Anwendungen (siehe Link-Liste folgend), sollte hier mit Vertrauensvorschüssen tunlichst gegeizt werden - vor allem, wenn die Server auch noch im Ausland sitzen, denn dort gelten keine deutschen Gesetze, weshalb die Durchsetzung von Recht im Datenmissbrauchsfall sehr schwierig ausfallen oder gar unmöglich sein kann (ist innerhalb Deutschlands schon ein grosses Problem).

Es gilt deshalb nach wie vor: There´s no place like 127.0.0.1 (localhost), sprich Daten sind auf dem heimischen Rechner bzw. auf eigenen Datenträger am sichersten aufgehoben! Nicht nur in Bezug auf Google ist Vorsicht geboten, sondern auch andere Online-Dienste und Soziale Netzwerke garantieren keinesfalls Datensicherheit, ganz zu schweigen von vorsätzlichem Datenmissbrauch durch die Portale selbst (bekannte Fälle gibt es genug)!
Unser Tipp: Hirn 2.0 sollte im Web 2.0 stets mit an Bord sein!

Siehe auch verwandte Themen-Artikel:

• Sicherheitslücken in Googles Web Browser “Chrome”
• Datenschutz, Google Analytics & Co.
• Realsatire: Google-Gründer warnen vor Gier nach Nutzerdaten
• Google und Krankenakten
• Google-Sicherheitslecks häufen sich
• Google Desktop-Software
• Seite: Google-Hacking

Microsoft schliesst fünf kritische Windows-Lücken (09.09.2009)

Am gestrigen Patchday veröffentlichte Microsoft fünf Patches, die kritische Sicherheitslücken in der Windows-JavaScript-Engine, im Konfigurationsdienst für kabellose Netzwerke (WLAN), in den Bibliotheken zum Windows-Media-Format (WMF), im ActiveX-Control zum Bearbeiten von DHTML-Code sowie im TCP/IP-Stack schliessen.

Die Schwachstelle zum Konfigurationsdienst für WLAN betrifft nur Windows Vista und Server 2008; von der DHTML-Lücke sind diese Windows-Versionen jedoch verschont geblieben. Windows XP bleibt beim Fehler im Netzwerk-Stack aussen vor.

Die Patches sollten zügig installiert werden, da laut Microsoft mit dem baldigen Auftauchen von entsprechenden Exploits zu rechnen ist. Siehe auch Microsoft Security Bulletin Summary for September 2009.

Sicherheitslücke ermöglicht Reboot von Windows 7 und Vista per Remote (08.09.2009)

Über eine Sicherheitsleck im Server-Message-Block-2 (SMB v2)-Protokoll - eine Erweiterung des herkömmlichen SMB - ist es aktuell möglich, Systeme unter Windows Vista und 7 sowie möglicherweise auch Server 2008 über das Netz ohne Authentifizierung neu zu starten. Dazu muss lediglich der Port 445 (darüber läuft der Dienst SMB) des verwundbaren Systems erreichbar sein, was standardmässig der Fall ist (aktivierte Datei und Druckerfreigabe). Es kursiert bereits ein Exploit (in Python geschrieben), der die Lücke implentiert und ausnützt.

Port 445 (TCP wie UDP) sollte neben anderen lokalen Diensteports (z.B. DCOM 135, NetBIOS SSN 139) - auch abgesehen von der aktuellen Lücke - keinesfalls über das Internet erreichbar sein --> dies ist möglich bei aktivierter Datei- und Druckerfreigabe und Direktverbindung mit dem Internet (über Modem, ohne zwischengeschalteten Router oder Proxyserver) oder bei entsprechender Portweiterleitung (Portforwarding) bzw. Aufenthalt in einer DMZ.
Droht gar Ungemach aus dem eigenen LAN, bleibt nur, den SMB-Port 445 (TCP und UDP) und sicherheitshalber noch den NetBIOS-Session-Service-Port 139 (TCP) mittels einer Firewall zu schliessen oder SMB v2 in der Registry zu deaktivieren (siehe Workaround im Fehlerbericht von Microsoft).

Windows 2000 und XP sind nicht betroffen, weil diese nur SMB (und nicht SMB v2) unterstützen.

Nähere Infos gibt´s auf der Seite von Laurent Gaffié, dem Entdecker der Lücke.

<update 09.09.2009>
Laut einer Warnung von Microsoft lässt sich der SMB v2-Fehler sogar zum Einschleusen und Ausführen von (schädlichem) Code missbrauchen (Remote Code Execution). Betroffen sind Windows Vista und Server 2008 (nicht R2) und der Release Candidate von Windows 7 (nicht finale Version).
</update>

Microsoft schliesst 19 Sicherheitslücken (12.08.2009)

Mit der Auslieferung von neun Updates am gestrigen Patchday wurden von Microsoft 19 Sicherheitslecks in verschiedenen Windows-Komponenten (u.a. die ActiveX-Lücke) und -Anwendungen geschlossen. Nähere Details und Hintergrundinformationen siehe Microsoft Security Bulletin Summary for August 2009.

Die Updates sollten zügig eingespielt werden. Nach Installtion, ist ein Reboot des Systems fällig.

zum Archiv24 (12.05.2009-12.08.2009)

Home | Angebot | IT-Forensik | IT-Risiken | WWW | Sicherheit | Tipps | Aktuelles | Kontakt | Links | Newsletter | AGB | Impressum | Sitemap |