Aktuelles (IT-Blog von Thomas Murr)

Ausserplanmässiger Patch schliesst Windows LNK-/PIF-Lücke (02.08.2010)

Seit heute abend steht das ausserplanmässige Update von Microsoft bereit, welches den möglichen Missbrauch von Icons zum Starten eines beliebigen Programms unterbindet. Mit dem Notfall-Patch für die Betriebssysteme Windows XP (SP3) bis Windows 7 sowie Server 2008 R2 hat Microsoft sehr schnell auf diese gefährliche Sicherheitslücke reagiert. Anwender sollten nicht zögern und das Update zügig installieren (z.B. über die automatische Update-Funktion von Windows).

Wer zuvor das Fix-It-Tool von MS als Interimslösung verwendet hat, um sich bis zum Vorliegen des Patches zu schützen, muss dieses rückgängig machen (disable workaround), um alle Icons wieder in ihrem normalen Zustand zu sehen. Dies kann entweder unmittelbar vor oder nach Installation des Patches erfolgen.

Fehler in Windows-Hilfecenter behoben (14.07.2010)

Gestern lieferte Microsoft einen Patch für die kritische Sicherheitslücke im Hilfecenter von Windows XP aus. Das Update sollte zügig installiert werden, da die Lücke bereits über manipulierte Webseiten aktiv ausgenutzt wird, um Schadcode ins System einzuschleusen. Nähere Infos erhalten Sie bei Microsoft.

Ungepatchte Sicherheitslücke in Windows XP und Server 2003 (11.06.2010)

Die neue Lücke betrifft das Hilfe- und Supportcenter von Windows XP (SP 2 und 3) sowie Windows Server 2003 (SP2) und lässt sich von einem Angreifer aus der Ferne zum Einschleusen von Schadcode (Remote Code Execution) ausnutzen. Dazu muss er nur eine Webseite entsprechend manipulieren, die das Opfer dann mit dem Internet-Explorer aufruft.

Aktuell ist von Microsoft noch kein Patch vorhanden, weshalb man sich bis zum Vorliegen desselbigen temporär wie folgt schützen sollte: Den hcp-Handler aus der Registry löschen. Dies kann direkt im Registrierungs-Editor (regedit) oder über eine reg-Importdatei geschehen. Letztere legt man einfach mit einem Texteditor mit folgendem Inhalt an und benennt diese z.b. <delete_hcp.reg> (alternativ können Sie die delete_hcp.reg hier downloaden):

Windows Registry Editor Version 5.00

[-HKEY_CLASSES_ROOT\HCP]

Anschliessend kann die Verarbeitung von Hilfedokumenten mit einem Doppelklick deaktiviert werden und die Lücke lässt sich fortan nicht mehr ausnutzen. Siehe nähere Details im Microsoft Security Advisory (2219475).

Facebook greift private Adressbücher ab (02.06.2010)

Soziale Netzwerke nehmen es nicht so ernst mit dem Datenschutz Ihrer Mitglieder, die den dubiosen Umgang mit ihren Daten ohnehin weitestgehend ignorieren. Aber wenn´s Dritte trifft, die nichts damit zu tun haben, hört der “Spass” eindeutig auf:

Wer ein iPhone besitzt sowie die angebotene, offizielle Facebook-Anwendung geladen hat und auf den Schalter “Synchronisieren” in der Freundesliste tippt, wird überrascht sein, was passiert. Nach einem kurzen Hinweis, den man bestätigen muss, werden ALLE Kontakte (Namen, eMail-Adressen, Telefonnummern) - auch solche, die vielleicht besser niemals nach aussen hätten dringen dürfen (Geheimnummern, private eMail-Adressen...) - aus dem Telefonbuch an Facebook übertragen sowie dort DAUERHAFT GESPEICHERT und unterliegen fortan den dürftigen Facebook-Datenschutzrichtlinien. Die Daten können seltsamerweise nicht mehr gelöscht werden, weder vom iPhone-Besitzer noch von denen, deren Kontakt-Daten dort gespeichert sind. Die Facebook-Betreiber behaupten aber sehr gerne und häufig, man könne immer alle Details des Dienstes kontrollieren.

Im Klartext heisst das: Ein US-Unternehmen speichert (OHNE Löschfunktion) auch Daten von Menschen, die gar nicht Facebook-Mitglied sind und den dubiosen Bedingungen NICHT zugestimmt haben. In den Datenschutzrichtlinien ist zudem kein einziger Hinweis zu finden, der eine Beschreibung zur Verfahrensweise der Speicherung von Handy-Adressbüchern beschreibt.

So werden jetzt Unbeteiligte, die sich mit Hirn 2.0 von sozialen Netzwerken fern gehalten haben, von den Ignoranten mit in den Datenstrudel von Web 2.0 gerissen. Toll :->

Siehe auch Beitrag: Gefahren sozialer Netzwerke

Schwere iPhone-Sicherheits-Lücke in 3G- und 3GS-Systemen (01.06.2010)

Gerade die Fa. Apple vermarktet ihre Produkte gerne als sicher, um nicht zu sagen sicherer als andere, was gänzlicher Unsinn ist und erst jüngst vom Sicherheitsexperten Marc Maiffret kritisiert wurde, da Apple Sicherheitsthemen lange verschlafen habe und diesbzgl. der Konkurrenz schwer hinterherhinke.

Das aktuelle Sicherheitsleck im iPhone untermauert diesen Vorwurf. Laut Apple sind alle Daten auf dem iPhone automatisch mit 256-BIT-AES verschlüsselt. Der Zugang zu den iPhone-Daten ist normalerweise auf Rechner beschränkt, mit welchen das iPhone bereits eine Verbindung aufgebaut hat, d.h. erst dann können die Schlüssel für die Entschlüsselung zwischen Computer und iPhone ausgetauscht werden. Im gesperrten Zustand sollte dagegen keinesfalls eine Übertragung der Schlüssel stattfinden. Auch nicht, nach dem erneuten Anschalten.

Und genau das ist der Fall, wenn das iPhone <update>im entsperrten Zustand</update> ausgeschaltet und beim erneuten Anschalten angesprochen wird. Dann ist es möglich, ein komplettes Backup* des iPhones über eine verbotene bzw. nicht freigegebene Verbindung zu erstellen und in den Besitz von gespeicherten Passwörter (im Klartext!), SMS, Adressbuchdaten u.s.w. zu gelangen. Offenbar ist zum Zeitpunkt der Verbindungsanfrage eine verantwortliche Systemkomponente, welche das verhindern soll, noch nicht betriebsbereit, weshalb das Pairing mit dem FREMDEN Rechner automatisch erfolgt. Und zwar nicht nur unter Mac OS X und Windows*, sondern auch unter (von Apple geschasstem) Linux*.  Der Fehler wurde nämlich ausgerechnet unter einem Linux-Ubuntu-10.04-System durch Zufall von LINX-Mitarbeiter Bernd Marienfeldt entdeckt! :-)

*Während unter Linux nur einige Ordner per auto-mount-Funktion eingebunden werden, ist über Windows der komplette Zugriff möglich, z.B. kann per iTunes ein vollständiges Backup erstellt werden.

Ergo: Hat ein Angreifer physischen Zugriff auf das iPhone (weil z.B. verloren oder geklaut), kommt er somit ohne Probleme bzw. Cracker-Aufwand an die kompletten Daten heran! iPhone ausschalten, anschliessen, einschalten genügt! <update>Die einzige sichere Vorsichtsmassnahme: Das iPhone, vor dem Ausschalten, zu sperren!</update>

Von Apple gibt es bisher keine Stellungnahme zu diesem Leck, obwohl bereits seit dem 17.05.2010 bekannt! Da scheinen die Verantwortlichen aus Cupertino eher kleinlaut, anstatt wie gewohnt vor Selbstbewusstsein strotzend (wie ein Tiger oder [Snow]Leopard :-) zu brüllen. <update>Die Bekanntgabe, dass das Phänomen nur auftritt, wenn das Gerät im entsperrten Zustand ausgeschaltet und wieder angeschaltet wird, ist ausgerechnet dem Linux-Pakete-Entwickler Hector Martin zu verdanken, der das Problem näher untersuchte.</update>
Andere Hersteller stehen jedenfalls zu aufgedeckten Fehlern oder warnen gar selbst, sind bemüht Bugs schnellstmöglich zu beseitigen oder zeigen (temporäre) Workarounds zur Verhinderung einer Ausnutzung auf. Steve Jobs sieht´s wohl einmal mehr anders...eod :->

Nicht zuletzt deshalb: Lassen Sie sich nicht veräppeln und steigen auf ein Smartphone eines anderen Herstellers um (Alternativen gibt es vielzählig), denn dies wird bestimmt nicht die letzte der vielen, schweren (nicht gepatchten) Sicherheitslücken im iPhone sein! Ganz zu schweigen von der zu kritisierenden Unternehmenspolitik, siehe dazu den Beitrag “Wehret den Anfängen. Wendet Euch von Apple ab” auf heise Developer.

Sicherheitsexperten warnten bereits - lange vor Bekanntwerden dieses Sicherheitslecks - vor dem Gebrauch des iPhone in Unternehmens- oder Regierungsumgebungen (denn es gab schon so viele sicherheitsrelevante Auffälligkeiten). Siehe dazu die Website http://www.iphoneinsecurity.com, welche sich dem Thema ausgiebig widmet (um an alle Infos zu kommen, ist aus Sicherheitsgründen eine Registrierung auf der der dortigen Website notwendig).

Last but not least:
Auch zum iPad gibt es leistungsfähigere und dazu noch preiswertere Alternativen, z.B. das “WeTab” eines deutschen Herstellers (soll ab 19.09.2010 lieferbar sein). Das WeTab unterstützt neben den gängigen Formaten auch Flash und ist frei von Gängeleien wie zensierter Apps und bietet Support für native, Java, Linux, Adobe AIR und Android Apps. Für den iPod ist z.B. das Samsung YP-P2 eine sehr gute Alternative.

Kritische Lücke in 64-Bit-Version von Windows 7 und Server 2008 R2 (20.05.2010)

Ist der Aero-Desktop aktiv (unter Windows 7 als Standard eingestellt), kann das System durch einen Angreifer kompromittiert werden. Davor warnt Microsoft in der Security Advisory (2028859) vom 18.05.2010 und beschreibt den Fehler im Canonical Display Driver (CDD). Demnach kann der Besuch einer manipulierten Website mit einem präparierten Bild ausreichen, um Opfer von schädlichem Code zu werden. Die Redmonder arbeiten an einem Patch zur Beseitigung der Lücke.

Bis zum Vorliegen des Updates sollte der Aero-Desktop unter den 64-Bit-Versionen von Windows 7 sowie Windows Server 2008 R2 (wenn dort installiert) wie nachstehend beschrieben deaktiviert werden, da mit dem schnellen Auftauchen entsprechender Exploits zu rechnen ist!

--> Start--> Systemsteuerung --> Darstellung und Anpassung --> Design ändern:
Dort ein Design aus der Kategorie --> “Basicdesign und Design mit hohem Kontrast” auswählen

Sicherheitslücken in Outlook Express sowie Windows Mail geschlossen (12.05.2010)

Microsoft liefert zwei Updates aus, die zum einen kritische Lücken im POP3- sowie IMAP-Protokoll in den eMail-Clients Outlook Express (5.5 und 6) und Windows Mail (Live-Essentials) schliessen. Die Lecks ermöglichen einem Angreifer Schadcode in das System einzubringen sowie mit den Rechten des angemeldeten Anwenders auszuführen, indem durch manipulierte Antworten des Mailservers ein BufferOverflow (Überlauf) provoziert wird. Dazu muss der Angreifer nicht einmal direkten Zugriff auf den wirklichen Mailserver haben, sondern kann sich z.B. per man-in-the-middle-attack dazwischen hängen; auch DNS-Umleitungen der Clients sind über Manipulationen denkbar.

Betroffen sind die Betriebssysteme Windows 7, Vista, XP, Server 2003 sowie Server 2008.

Zum anderen wurde ein Update beigelegt, welches eine VBA-Lücke in Bezug auf ActiveX-Controls schliesst. Dies betrifft Microsoft Office 2007, Office 2003, Office XP sowie die dazugehörigen Entwicklertools Visual Basic for Applications mit Software-Development-Kit.

Die Aktualisierung der Systeme sollte von Anwendern zügig vorgenommen werden.

Nähere Infos: Microsoft Security Bulletin Summary for May 2010

Viel Wirbel um Googles Erfassung von WLAN-Hotspots (24.04.2010)

Die umstrittenen Google-Street-View-Autos erfassen nebenbei im Vorbeifahren die jeweilige SSID (Shared System ID - der WLAN-Netzwerkname) und die MAC-Adresse (einmalige Geräte-Nr.) des Access-Points eines empfangbaren kabellosen Netzwerks. Die Aufregung ist nun gross, weil es sich um personenbezogene Daten (?) handeln könne  und der Kartografie-Export in die USA datenschutzrechtliche Bedenken aufwirft.

Dem ganzen Wirbel kann ich nicht ganz folgen. Wer hat sich denn bisher für WLAN-Scans interessiert ? Z.B. fand die Erfassung von Hotspots bei OpenSource-Projekten zur WLAN-Navigation (z.B. Standortbestimmung mit dem Handy) niemand bedenklich. Jetzt nur, weil es Google ist und das gut ins Datenkraken-Bild passt?

Aus meiner Sicht ist die Diskussion zur Erfassung der WLAN-Daten überflüssig und lenkt von den eigentlichen Skandalen ab, denn Google ist in anderen Gebieten* zu kritisieren, weil dort die Datenschutzprobleme wirklich relevant sind (*siehe Anmerkung und Links im Anschluss an diesen Beitrag)!

Zur technischen Relevanz der erfassten Daten:
Sicherlich ist es möglich, die SSID einer Person zuzuordnen, sofern der DAU dazu seinen Familiennamen (z.B. “mueller”) benutzt. Google hat dann davon Kenntnis, dass “Mueller” ein WLAN-Netzwerk hat( deshalb ist aber noch lange keine Verschlüsselung angetastet). Letztendlich bleibt die Frage:
Na und? Es kann auch jeder ein Telefonbuch aufschlagen und schauen wo “Müller” wohnt, ganz ohne Street-View-Car :-) Von freiwillig veröffentlichten Infos vieler Menschen in Sozialen Netzwerken möchte ich erst gar nicht reden.

Ferner ist der Schutz des eigenen kabellosen Netzwerks vor Erfassung durch Google (und andere) ohne grossen Aufwand möglich, indem (neben anderen Massnahmen) erstens die SSID vom Access-Point nicht öffentlich gesendet wird und zweitens die SSID aus zufällig gewählten Zeichen besteht (und nicht aus Familien- oder Firmennamen o.ä.). Auf unserer Website gibt es eine umfangreiche Aufstellung der notwendigen Sicherheitsmassnahmen zum Betrieb eines WLAN-Netzwerks. Wer die Möglichkeiten nicht nutzt, braucht sich nicht zu wundern...Das Auto schliesst man selbstverständlich ab - also warum nicht auch das eigene (Funk-)Netzwerk?

*Wer sich über die Google-Machenschaften näher informieren will, empfehlen wir das Buch “Die Google-Falle” (Autor Gerald Reischl), die Google-Studie der TU Graz (PDF-Datei 7,08 MB) und den 88-Minuten-Film “Wer hat Angst vor Google” oder den 28-Minuten-Film “Google - Die Macht einer Suchmaschine” (ironischerweise sind beide Filme hosted auf Google-Servern [subdomain: video.google.de] :-)

Fehlerhafte Signatur von McAfee bringt Windows-XP mit SP3 zum Absturz (22.04.2010)

Es ist das gestrige Virensignatur-Update “DAT 5958” des Antivirenscanners von McAfee, welches unter Win XP SP3 die - mit vielen Aufgaben “betraute*” - Systemdatei “SVCHOSTS.exe”* fehlerhaft als Schädling identifiziert und löscht bzw. in Quarantäne verschiebt. Die Folge ist ein automatischer Reboot des Systems nach 30 Sekunden, der dann aufgrund der fehlenden Datei fehlschlägt (Boot-Endlosschleife).

*SVCHOSTS.exe ist ein generischer Prozessname für Dienstgruppierungen, d.h. es laufen darunter mehrere, unterschiedliche DLLs.

Es bleibt nur noch, den PC im Safe Mode (Abgesicherter Modus) hochzufahren und die fehlerhafte Virensignatur-Datei des Virenscanners mit DAT 5959 oder Nachfolger zu ersetzen. Dann muss noch die “SVCHOSTS.exe” aus der Quarantäne oder anderweitigen Sicherung (!) wiederhergestellt oder im Zweifelsfall manuell restauriert werden. Einen Workaround dazu gibt´s von McAfee.

Es sind neben vielen Privatanwendern auch zahlreiche Unternehmen betroffen.

Apples Sicherheitsvorkehrungen? Welche Sicherheitsvorkehrungen? (21.04.2010)

Mehrere Elite-Unis in den USA (u.a. die Princeton University, George Washington University, Cornell University) verbannen das iPad (neuer Tablet-Rechner aus dem Hause Apple), wegen Sicherheitsbedenken und übermässiger Belastung des Netzwerks (siehe Wall-Street-Journal). Auch der Staat Israel denkt über das komplette Verbot des iPad nach und es wurden bereits Geräte am Zoll konfisziert bzw. ein Importverbot* verhängt. Peinlich für Steve Jobs und sein Gefolge...vor allem, nachdem das iPhone als unsicher gebrandmarkt wurde (der Betrieb in Unternehmens- und Regierungsumgebungen wird von Sicherheitsexperten ausdrücklich NICHT empfohlen) und quasi der “Alfasud” (wer das Auto noch kennt) unter den Handys bzw. Smartphones ist.

*Update 26.04.2010: Seit Sonntag (25.04.2010) dürfen wieder einzelne iPads nach Israel eingeführt werden. Allerdings nur mit der Regionseinstellung “Hebräisch (Israel)”.

Während Microsoft mittlerweile, was die Sicherung Ihrer Programme betrifft, mustergültig arbeitet, wird dies im Hause Apple nach wie vor vernachlässigt. Das sagt Marc Maiffret (Sicherheitsberater und - ausgerechnet - Entdecker der Microsoft-Lücken zum “Code-Red”-Wurm in 2001) gegenüber cnet.com. Laut ihm würde es bei Apple viel PR- und Marketinggetöse zum Thema Sicherheit geben aber in Wirklichkeit habe das Unternehmen Sicherheitsthemen lange verschlafen, denn eine wirkliche Sicherheitsarchitektur habe es nicht gegeben. Die Apple-Community sei sich über die Risiken und die Verwundbarkeit der Systeme völlig im Unklaren. Zitat Maiffret: “Apple vermarktet sich gerne als sicherer als der PC und dass Du dich nicht um Viren sorgen musst. Jedesmal, wenn irgendwo ein Hacker-Wettbewerb stattfindet, hat einer innerhalb weniger Stunden eine neue Apple-Schwachstelle gefunden....Die Apple Gemeinde ignoriert die Risiken weitestgehend”.

Die aktuelle US-Universitäts-Situation zeigt, dass es nach wie vor in Cupertino nicht so Ernst mit der Sicherheit genommen wird, denn die gängigen Apple-Produkte (iPad, iPhone, iPod touch..) genügen schlicht nicht den Anforderungen an die Campus-IT (z.B. der George Washington University), genauer das WLAN betreffend. Die Seton Hill University lässt das iPad zwar zu und sogar kostenlos verteilen, verlangt aber gleichzeitig rd. 800 US-$ pro Jahr für den fälligen Ausbau der Netzwerk-Infrastruktur, was die Freude über das Gratisgerät wieder etwas trüben dürfte.

Spätestens dieser Image-Schaden müsste Apple zu einem Angleichen ihrer Produkte an die heutigen (Sicherheits-)Standards veranlassen. Das sollte ein, ohnehin über das gewöhnliche Maß vom Hersteller gegängelter und “App”-zensierter, Apfelanwender erwarten können. Denn was nützt ein schickes aber unsicheres Gerät - gutes Design allein reicht nicht!

Neu: PHP-Scripts in Sponsored-Edition (20.04.2010)

Unsere PHP-Scripts “Gästebuch-KOMPLETT” und “Professional-Newsletter-System” bieten wir seit heute auch in einer Sponsored-Edition zu schwer ermässigten Preisen an.

MS-Patchday: 11 Lücken geschlossen (13.04.2010)

Zum April-Patchday liefert Microsoft 11 Updates aus, die u.a. fünf kritische Sicherheitslecks beseitigen. Es wurde auch die die bekannte  “F1-Lücke” des Internet-Explorers geschlossen. Nähere Infos, siehe Microsoft Security Bulletin Summary for April 2010.

Die Updates sollten von Windows-Anwendern zügig installiert werden, um das Betriebssystem keinen unnötigen Sicherheitsrisiken auszusetzen.

In eigener Sache: Preise für PHP-Scripte ermässigt (06.04.2010)

Wo wird schon ´was billiger? Na bei uns! Z.B. das beliebte Formmailer-PHP-Script (Kontaktformular) kostet nun in der Professional-Edition nur noch EUR 39,90 (anstatt wie bisher 49,90). Dazugekommen ist eine etwas abgespeckte Standard-Edition für EUR 29,90.

Ebenso beträgt der Preis des populären Tell-A-Friend-PHP-Scripts (Empfehlung der Website ) in der Professional-Edition nur noch EUR 39,90 (anstatt wie bisher 49,90). Auch hier kam eine kleinere Standard-Edition für EUR 29,90 hinzu.

Die Trennung in zwei Versionen ist aufgrund der Erfahrungen mit bisherigen Lizenznehmern zustande gekommen und ermöglicht angepasste Preise zu den jeweiligen Bedürfnissen bzw. gewünschten Anforderungen.

Unsere professionellen PHP-Scripte Gästebuch- und Bewertungs-System “KOMPLETT” sowie Newsletter-System können wir in der Professional-Edition*” für EUR 65,-- bzw.
EUR 84,-- anbieten! Ein unschlagbares Angebot für Programme mit solch umfangreichen Möglichkeiten und pfiffigen Features. siehe auch Update vom 20.04.2010

*nur für Privatpersonen und Vereine, Firmen erhalten ausschliesslich die Professional- oder White-Label-Edition


 

<Update 09.04.2010>
Das Counter-Script (Besucherzähler) gibt es sogar umsonst (kostenlos).
</update>

Alle Lizenzen sind einmalig fällig (keine weiteren, wiederkehrenden Lizenzgebühren) und enthalten die zeitlich unbegrenzte Update-Berechtigung, d.h. der Lizenznehmer profitiert von Weiterentwicklungen ohne zusätzliche Kosten...In Verbindung mit dem optionalen Installations-Service zum Festpreis von einmalig EUR 95,-- übernehmen wir sogar die komplette Verantwortung für die einwandfreie Inbetriebnahme der jeweiligen Scripts auf dem gewünschten Webserver respektive Webspace (Webhoster).

Alle Programme können selbstverständlich vor dem Kauf in eigenem Umfeld (Homepage auf eigenem Server bzw. Webspace) getestet werden (keine Katze im Sack :-)

Firefox 3.6.3 schliesst erneut schwerwiegende Sicherheitslücke (03.04.2010)

Dem Update zu Firefox-Release 3.6.2 folgt eine Woche später schon 3.6.3, weil die Vorversionen (nur 3.6.x) das Ausführen von beliebigem (Schad-)Code ermöglichen. Siehe nähere Infos bei Mozilla.

Unser PHP-Script “Gästebuch-KOMPLETT” unterstützt  Import/Export (26.03.2010)

Mit Release 1.6 wird der Export und Import von Einträgen im CSV- oder Text-Format unterstützt.

So ist neben einer Datensicherung (wäre schade, wenn nette Einträge verloren gingen) auch der Import von Einträgen aus anderen Gästebüchern möglich. Z.B. wenn Sie auf unser Gästebuch-System umsteigen aber Ihre bisherigen Einträge beibehalten möchten. Eine detaillierte Hilfeseite unterstützt Sie bei diesem Vorgang oder Sie lassen das uns machen (Option: Installations-Service).

Nähere Infos erhalten Sie auf der Website http://www.gaestebuch-komplett.de

Firefox-Update auf 3.6.2 dringend empfohlen (23.03.2010)

Anwender alternativer Web-Browser dürfen sich nicht sicherer fühlen als User des Internet-Explorers. Wie erst seit gestern (öffentlich) bekannt wurde, klafft im Browser Firefox in Version 3.6 seit Februar eine schwerwiegende Lücke, die es einem Angreifer ermöglicht (über eine präparierte Webseite) die Kontrolle über den Computer zu übernehmen! Siehe nähere Infos bei Mozilla oder Secunia.

Das Leck wurde mit der heute erschienenen Version 3.6.2 geschlossen. Die Aktualisierung sollte von Firefox-Anwendern zügig vorgenommen werden.

Microsoft Patchday: mehrere Sicherheitsanfälligkeiten beseitigt (10.03.2010)

Mit hoch werden alle betroffenen Lecks von den Redmondern eingestuft. Eine Lücke im Windows Movie Maker sowie acht Lücken in Excel ermöglichen einem Angreifer die Remotecodeausführung (Zugriff von aussen über präparierte Dateien --> Schadcode). Betroffen sind die Plattformen Windows XP (32-bit mit SP2 oder SP3 bzw. 64-bit-Prof. mit SP2), Vista (32-bit mit SP1 oder SP2 bzw. 64-bit mit SP2) und Windows 7 (32- und 64-bit). Die Updates sollten zügig installiert werden! Nähere Infos: Microsoft Security Bulletin Summary für März 2010

Vorratsdatenspeicherung vorerst erledigt (02.03.2010)

Die Sammelklage (bin Mitkläger) gegen die Vorratsdatenspeicherung hat geholfen, denn das Bundesverfassungsgericht entschied, dass das Gesetz zur Vorratsdatenspeicherung gegen die Verfassung verstösst - weil unvereinbar mit dem Telekommunikationsgeheimnis - und deshalb unzulässig ist! Ohne Frage erst einmal ein Erfolg.

Schaut man aber genauer hin, machen die Verfassungsrichter recht konkrete Vorschläge bzw. zeigen die notwendigen Hürden auf, die eine künftiges Gesetz zur Vorratsdatenspeicherung verfassungskonform machen würden. Sprich eine Art Aufbau-Anleitung für den Gesetzgeber wie zur Neuregelung des Gesetzes vorzugehen ist.

Zum Nachlesen des Urteils, siehe diesen Link: Az: 1 BvR 256/08 vom 02.03.2010

--> Artikelübersicht zum Thema

In eigener Sache: Gästebuch PHP-Script fertig (01.03.2010)

Ein weiteres PHP-Script bieten wir ab heute an: GÄSTEBUCH-KOMPLETT
--> ein Gästebuch- und Bewertungs-System (Star-Voting).
Ich verliere hier keine grossen Worte darüber, sehen Sie die Beschreibung auf dieser Seite.

Das System wurde auch in diese Website integriert, so dass Sie nun rege Beiträge schreiben und uns ein Feedback geben können. Der Link zum Gästebuch befindet sich auf jeder Seite oben rechts (unterhalb des Empfehlungs-Links).

Bluescreen nach letztem Microsoft Patch MS10-015 (13.02.2010)

Nicht auf allen Systemen aber auf einigen kommt es, nach Installation des Patches für Virtual DOS (KB977165) von Anfang dieser Woche, zu Startproblemen von Windows-XP, indem sich das System beim Booten aufhängt und einen bluescreen of death zeigt. Bisher hilft nur die Entfernung des entsprechenden Updates, weil noch keine Lösung vorliegt. Aber wie entfernt man den Patch, wenn das Betriebssystem nicht mehr startet? Dazu wie folgt vorgehen:

• Den Computer von der Windows-CD starten (Wiederherstellungskonsole, KEINE Installation), evtl. muss im BIOS zuvor die Startoption für CD/DVD nach oben (vor die Festplatte mit der Systempartition) gerückt werden.
   
• Nach Starten der Wiederherstellungskonsole zum entsprechenden System, muss in das Verzeichnis des Updates gewechselt werden. Der Befehl in der Eingabeaufforderung (Prompt) lautet:
  cd $NtUninstallKB977165$\spuninst
  oder
  CHDIR $NTUinstallKB977165$\spuninst
   
• Jetzt die Deinstallation per Batch starten:
  BATCH spuninst.txt
  und danach eingeben:
  systemroot
   
• Konsole mit exit schliessen
   
• Rechner neu starten (der Bluescreen sollte nicht mehr erscheinen und Windows ordentlich booten)

Microsoft hat den Patch aus dem automatischen Update entfernt, so dass keine automatische Neuinstallation per Windows-Update zu befürchten ist.

In eigener Sache: Angebot Buchführung-Excel-Sheet eingestellt (11.02.2010)

Aufgrund von chronischem Zeitmangel für die Pflege (Steueränderungen) sowie Support* des Excel-Arbeitsblatt “Buchführung leicht gemacht” haben wir das Angebot eingestellt und die Website dazu gelöscht.

*die gestellten Fragen betrafen zu neunzig Prozent das Steuerrecht und wir sind KEINE Steuerberater oder Wirtschaftsprüfer! Für Lizenznehmer übernehmen wir selbstverständlich noch weiterhin den Support in TECHNISCHEN Fragen.

Schadcode über Firefox-Add-ons auf Mozillas Downloadseite (09.02.2010)

Monate- bzw. jahrelang wurden zwei Add-ons für den Web-Browser Firefox auf der Mozilla-Seite angeboten, die schädliche Software enthielten, und laut Mozilla “etwa” 600 mal (Add-on “Master Filer”) zwischen September 2009 und Januar 2010 sowie 4.000 mal (Add-on “V. 4.0 Sothink Web Video Downloader”) zwischen Februar 2008 und Mai 2008 heruntergeladen wurden.

Die Dateien wurden erst am 25.01.2010 bzw. 02.02.2010 entfernt, weshalb man sich fragen muss, wieviel Downloads waren es “etwa” in dem nicht genannten (viel grösseren) Zeitraum von Juni 2008 bis August 2009? Denn beide Dateien enthielten ziemlich fiese Schadsoftware (Passwort-Sniffer Win32.LDPinch.gen und Hintertür-Trojaner Win32.Bifrose).

Der Fall zeigt, dass man sich (auch) nicht auf eigentlich vertrauenswürdige Herstellerseiten verlassen darf, sondern alles, was man heruntergeladen hat, erst einmal selbst auf Viren & Co. zu überprüfen hat. Siehe auch Beitrag vom 22.11.2009: “Firefox-Add-ons als Einfallstor für Schädlinge”.

<update 11.02.2010>
Offenbar handelt es sich laut Mozilla bei der Warnung zum Add-on “Sothink Web Video Downloader” um einen Fehlalarm gleich mehrerer Virenscanner (Ursache unbekannt), d.h. das Add-on ist wieder verfügbar. Beim “Master-Filer”-Add-on gibt es jedoch keine Entwarnung, dieses ist definitiv mit dem Trojnaer Win32.Bifrose infiziert.
</update>

Blippy: ein neuer Dienst, den die Welt nicht braucht (09.02.2010)

Die Lust am Zeigen, die das intime Treiben in Sozialen-Netzwerken (Mitmach-Web) ausmacht bzw. die Motivation dazu ist, hat eine neue Plattform, um sich zu verwirklichen: “Blippy is a fun and easy way to see and discuss the things people are buying...”

Blippy ermöglicht, allen zeigen zu können, was man wann, wo und für wieviel Geld gekauft hat bzw. zu glotzen, was andere wann und wo sowie für wieviel Geld gekauft haben. Es sind nur die Kreditkartendaten oder Zugangsdaten von grossen Einkaufsportalen für den Anmelder anzugeben. Super, oder? Nach Big-Brother im Fernsehen sowie Facebook, MySpace und Co. im Web, ist Blippy die logische Konsequenz. “Schau, ...mein nächster Urlaub klatsch -...die Perlenkette für meine Frau klatsch...”!

Der Nutzen für den Anwender scheint uns höchst fragwürdig aber das ist er auch bei den meisten anderen erfolgreichen Web 2.0-Portalen. Wir sind (gerade deshalb) davon überzeugt, dass dies der nächste Web 2.0-Shooter wird, auch wenn in den zu akzeptierenden Bedingungen von Blippy - wie bei sozialen Netzwerken üblich - u.a. davon die Rede ist, dass alle (auch die persönlichsten) Daten Dritten zur Verfügung gestellt werden können (z.B. für Marketing-Kampagnen). Das “Kleingedruckte” hat aber noch keinen wirklich davon abgehalten der Zeigefreude zu frönen. Das Geschrei wird hernach - wurden die Daten erst einmal (legal!) mit Klarnamen meistbietend verscherbelt - dennoch riesig sein. Hirn 2.0 anstatt Web 2.0 wäre besser gewesen...

Wir wünschen allen Finanz-Exhibitionisten viel Spass mit Blippy :-)

In eigener Sache: Kontakt-/Formmailer-PHP-Script liegt in Version 3.0 vor (05.02.2010)

Unser beliebtes professionelles Kontaktformular (mit Administrationsbereich) wurde überarbeitet und liegt nun in Version 3.0 vor (wie gewohnt mit deutscher wie englischer Sprachdatei zum Umschalten im Backend). Gegenüber Version 2.x ermöglicht 3.0 u.a. bis zu 10 Empfänger (vorher bis zu 5) und die Datumseingabe eines frei zu titulierendes Feldes (im Screenshot mit “Wunschtermin” benannt) per Popup-Kalender:

Siehe nähere Infos auf dieser Seite.

Hinweis für Lizenznehmer vorheriger Versionen 2.x:
Es kann günstig von Version 2.x auf “Edition 3.0 Professional” per Upgrade aktualisiert werden. Die “3.0-Standard-Edition” läuft auch mit der vorhandenen Lizenz ohne Aufpreis!

In eigener Sache: Tell-a-Friend-PHP-Script liegt in Version 3.5 vor (29.01.2010)

Unser beliebtes professionelles Empfehlungsformular (Tell-A-Friend mit Administrationsbereich) für Domains und deren Webseiten wurde überarbeitet und liegt nun in Version 3.5 vor (wie gewohnt mit deutscher wie englischer Sprachdatei zum Umschalten im Backend). Gegenüber Version 3.4 ermöglicht 3.5 den Versand der Empfehlungs-eMail an bis zu zehn Empfänger gleichzeitig (V. 3.4 konnte nur zwei Adressaten auf einen Schlag ansprechen). Der Betreiber gibt im Administrationsbereich vor, wieviel Adressfelder (1-10) im Formular angezeigt werden sollen. Siehe nähere Infos auf dieser Seite.

Hinweis für Lizenznehmer vorheriger Versionen:
Es kann günstig von früheren Versionen per Upgrade aktualisiert werden.

Hintertüren bei eMail-Providern und sozialen Netzwerken (26.01.2010)

Unter dem Mantel der Terrorabwehr geht ja bekanntlich fast alles, was mit der Einschränkung von Bürgerrechten zu tun hat. So wurden auch für die US-Regierung Hintertüren in Internet-Dienste (wie eMail und soziale Netzwerke...) eingebaut. Das Ziel: Terrorismus zu verhindern.

Laut dem bekannten Sicherheitsexperten Bruce Schneier sind es gerade diese Backdoors, die es Kriminellen - und so auch Terroristen - ermöglichen, Spionage zu betreiben. Er berichtete jüngst in einem Kommentar bei CNN, dass u.a. chinesische Hacker (besser Cracker, denn Hacker sind die Guten) über eine solche Regierungs-Hintertür in Googles Gmail eingedrungen sind, um Regimegegner auszuspähen.

Fazit:
Anstatt Terrorabwehr hat man offensichtlich das Gegenteil erreicht - die Terroristen quasi eingeladen... und nebenbei den gläsernen Bürger geschaffen. Weiter so...:-(

In eigener Sache: Newsletter-PHP-Script Demo-Version (19.01.2010)

Seit heute steht eine Demo-Version unseres Newsletter-PHP-Scripts zum Download bereit.

MEHRERE Linux-Distributionen neben Windows auf EINEM Rechner (09.01.2010)

Anscheinend wächst das Interesse an Linux stetig - trotz neuem Windows 7 und geflecktem Leopard oder gestreiftem Tiger -, denn wir bekamen in letzter Zeit einige eMails mit Fragen zur Linux-Installation. Darunter auch einige, die eine parallele Linux-Neu-Installation neben einer bereits installierten Linux-Distribution und einem bereits installierten Windows auf einem Rechner behandeln.

Wir möchten in diesem Zusammenhang auf Beiträge zu diesem Thema verweisen, die bereits seit drei respektive vier Jahren auf unserer Website veröffentlicht sind; nachstehend die Links:

• Installation: Linux-Installation parallel zu Windows mit Bootloader “Grub”
• ==> Verwenden des Bootmanagers von Windows für den Bootmechanismus
   
• Partitionen|Bootloader: Linux-Partitionen und Bootloader
• im speziellen bei Betrieb mehrerer Linux-Distributionen:
  ==> Verwenden eines bereits installierten Bootloaders am Bsp. von “Grub”

Allen Lesern ein gutes, erfolgreiches Jahr 2010! (01.01.2010)

Ihnen wünschen wir ein gesundes und erfolgreiches Jahr sowie Ihren Computersystemen einen virenfreien Betrieb in 2010.

In eigener Sache: Professional PHP-Newsletter-System released (09.12.2009)

Seit gestern beschreiben wir unser komplett neu überarbeitetes professionelles PHP Newsletter-System unter der Subdomain nl.bauser-enterprises.com.

Es werden folgende Lizenzmodelle der Professional-Version angeboten:

• Sponsored-Professional-Version für Familien und Vereine
• Professional-Version für den Einsatz bei Firmen oder Vereinen
• White-Label-Professional-Version für Webmaster und IT-Dienstleister, die das Programm auf Webpräsenzen ihrer eigenen Kunden einsetzen wollen

Siehe auch alle Features der Professional-Version sowie die angebotenen Screenshots.

Firefox-Add-ons als Einfallstor für Schädlinge (22.11.2009)

In einigen verbreiteten Firefox-Erweiterungen finden sich kernige Sicherheitsprobleme, d.h. der Einsatz von sog. Plug-ins oder Add-ons kann die Sicherheit des ganzen Systems in Frage stellen, indem diese zum Einfallstor für Schadcode werden!

Während es Add-ons von professionellen Browser-Entwicklern gibt (als Beispiel für ein sehr sinnvolles Firefox-Add-on wäre “NoScript” zu nennen), finden sich auch zu Hauf Erweiterungen von Hobby-Entwicklern, die sich in Sicherheitsdingen und -fragen leider nicht so gut auskennen.

Diesem Bericht zufolge wird das Problem aktuell unter Sicherheitsexperten diskutiert und anhand von Zero-Day-Exploits in mehreren populären Firefox-Erweiterungen demonstriert (u.a. RSS-Reader bis V. 1.4.2).

Firefox-Anwender sollten ihre Add-on-Gier deshalb zügeln und Erweiterungen nur installieren, wenn der Anbieter absolut vertrauenswürdig ist. Auch sollte eine Dokumentation (Sicherheitsdinge beleuchtet?) vorliegen.

Internet wird heute vierzig Jahre alt (29.10.2009)

Am 29.10.1969 wurde die erste Nachricht zwischen zwei (entfernten) Computern über das neu geborene Arpanet ausgetauscht, indem von einem Rechner der Universität von Kalifornien versucht wurde, sich in einen Computer des Stanford Research Institute einzuloggen, was nach dem zweiten Versuch gelang.

Neben anderen Dingen, die das Internet ausmachen, war dies unumstritten der Grundstein für die heutige digitale Welt, wenn das damals auch noch niemand ahnen konnte. Zurecht sollte heute ein Fläschchen Schampus geöffnet...und mit der restlichen Internet-Gemeinde virtuell auf den 40-jährigen Geburtstag angestossen werden.

Siehe auch: Nähere Infos zur Entstehung des Internets

Windows 7 ist da (22.10.2009)

Seit heute kann´s jeder haben, das neue Windows 7. Im wesentlichen handelt es sich dabei um ein aufgebohrtes Vista (an der Architektur des Systems hat sich so gut wie nichts geändert), sieht man von ein paar Ausnahmen ab. Da wäre als neu im wesentlichen zu nennen:

• neue Taskleiste mit verschiebbaren oder statischen Programmeinträgen, zu denen auch eine Jumplist mit den zuletzt geöffneten Dateien geboten wird
• Heimnetzgruppe zum schnellen Vernetzen von Windows-7-Computern (funktioniert nicht mit Vorgänger-Windows-Versionen)
• Thematisch sortierte Bibliotheken (unabhängig vom Speicherort, d.h. auch das lokale Netzwerk wird indiziert)
• weniger Mausklicks* in der Verwendung von Windows 7 als beim Vorgänger, d.h. weniger (mehrfache) Nachfragen wie “Sind Sie sicher?” oder “Fortfahren?”
• XP-Modus (nur Professional und Ultimate): Dabei handelt es sich um eine virtuelle Maschine mit vorinstalliertem XP mit eigener Lizenz zum Betrieb von Software, welche nur unter XP läuft

*Das Weniger-Nachfragen gegenüber Vista liegt u.a. daran, dass die Benutzerkontensteuerung (bei Auslieferung bzw. Standardinstallation) zu weit heruntergeregelt wurde. Der Schieberegler sollte unbedingt manuell auf die höchste Stufe gestellt werden, um Schädlingen weniger Chancen zu lassen. Es wird dann zwar mehr nachgefragt (weil man ohne Administratorrechte arbeitet) aber es ist immer noch deutlich weniger als beim Vorgänger Vista.

Windows 7 gibt es wie beim Vorgänger in verschiedenen Versionen - wir empfehlen die Professional-Edition, da diese u. E. die meist benötigten Features mitbringt. Es wird jeweils eine 32- wie 64-Bit-Version angeboten (Home-Basic-Edition nur 32-Bit). Wer mehr Arbeitsspeicher (RAM) als 4 GB benötigt oder später nachrüsten will, kommt um 64-Bit nicht herum. Die Treiber- und Softwareversorgung ist zwar aktuell noch für 32-Bit besser aber das ändert sich schnell in der Zukunft, denn das “Designed for Windows 7”-Logo darf sich nur aufkleben, wer beide Varianten bedienen kann. Ferner steigt die Anzahl der angebotenen und gekauften 64-Bit-Prozessoren auf dem Markt stetig.

Unsere Meinung:
Windows 7 bringt keine bahnbrechenden Neuerungen mit, verbessert aber die Innovationen und Funktionen von Vista (und gibt noch ´was drauf) in einem schnelleren und benutzerfreundlicheren System und scheint nun endlich der erwünschte adäquate Nachfolger für das mittlerweile in die Jahre gekommene und ergraute XP zu sein. Wer das in Verruf geratene Vista übersprang, hat nichts verpasst! Für Nachzügler sollte der Anschluss an ein zeitgemässes Windows-Betriebssystem mit Windows 7 gelingen und Spass machen.

Webzensur ist vorerst verschoben und die Vorratsdatenspeicherung modifiziert (16.10.2009)

Die zuständige Koalitionsgruppe von Union und FDP haben sich darauf geeinigt, dass es vorläufig keine Sperrlisten des Bundeskriminalamt (BKA) für Webseiten geben wird. Vielmehr soll die Löschung von kinderpornographischen Inhalten im Web erreicht werden (dies haben wir schon in unserem Beitrag vom 13.02.2009 gefordert, da das Internet eben KEIN rechtsfreier Raum ist, wie oft von diversen Politikern applausheischend behauptet). Nach einem Jahr solle der Erfolg der Massnahme überprüft werden, um “gegebenenfalls weitere Entscheidungen zu treffen” (Zitat Wolfgang Schäuble).

Zur Vorratsdatenspeicherung wurde eine kosmetische “Aussetzung” beschlossen, d.h. die verdachtsunabhängige sechsmonatige Speicherung von Verkehrsdaten durch die Telekommunikationsunternehmen wird bis zu einem Urteil des Bundesverfassungsgerichts (siehe Sammelverfassungsbeschwerde) weiter erfolgen (um angeblich keine EU-Vorgaben zu verletzen), nur der Zugriff auf die Standort- und Verbindungsdaten soll auf schwere Gefahrensituationen beschränkt werden. Von einer wirklichen Aussetzung kann somit nicht die Rede sein und die Gefahren des Datenmissbrauchs bleiben bestehen.

Das Instrument der heimlichen Online-Durchsuchung durch Einsatz des im Volksmunde genannten Bundestrojaners bleibt erhalten. Allerdings soll künftig ein Ermittlungsrichter des Bundesgerichtshofs auf Antrag der Bundesanwaltschaft über den Einsatz entscheiden. Bisher reichte die Entscheidung eines Richters des Amtsgerichts.

Fazit:
-----
Das Ergebnis der Verhandlungen der schwarz-gelben Koalition ist eher mager, fragwürdig und theoretisch.

De facto werden die Web-Sperren vorerst nur verschoben und nicht gestoppt (das Zugangserschwerungsgesetz besteht nach wie vor), wenngleich die Absicht zur Löschung kinderpornographischen Inhalte im Web sehr zu begrüssen ist. Jetzt gilt es, dies mit Nachdruck de jure (eine Absichtserklärung ist zu wenig) durchzusetzen und nicht schon im Vorfeld halbherzig in Frage zu stellen (siehe obiges Zitat von Herrn Schäuble). Zu einer ernstgemeinten Umsetzung der Ziele muss zudem auch fachkundiges (Polizei-)Personal ein- bzw. abgestellt werden; die Polizeigewerkschaften beklagen sich aber über massiven Stellenabbau. Denn sonst erübrigt sich die avisierte Überprüfung in einem Jahr bzw. diese wäre Makulatur. Es ist zu vermuten, dass die Bundesregierung das (dann eigenverschuldete) Versagen der vielversprechenden Massnahme als (schizophrenes) Argument für die erneute Einführung der Internetzensur (auch über den Bereich der Kinderpornographie hinaus) anführen würde. Das scheint nämlich das mutmassliche Ziel von Schäuble und seiner Partei zu sein.

Bei der Vorratsdatenspeicherung und heimlichen Online-Durchsuchung hat sich praktisch nichts geändert. Es wurde lediglich hier und da etwas Makeup angebracht...schade.

Siehe auch Artikelübersicht zu den angesprochenen Themen wie Bundestrojaner & Co..

In eigener Sache: Domain website-search.de steht zum Verkauf (10.10.2009)

Das Angebot “Suchmaschine für die eigene Homepage”, welches über unsere Domain website-search.de vertrieben wurde, haben wir eingestellt. Bestehende Verträge sind nicht von dieser Massnahme betroffen.

Die Domain website-search.de benötigen wir somit nicht mehr und steht deshalb zum Verkauf. Bei Interesse treten Sie bitte mit uns in Kontakt.

USB-3.0-Festplatten kommen (24.09.2009)

Externe Festplatten waren bisher ja schön und gut aber das Problem lag in der Geschwindigkeit der Übertragung von Daten, denn der bisherige USB 2.0 Standard erreichte in der Praxis selten mehr als 288 Mbits/s (36 MBytes/s) und konnte deshalb intern verbaute Festplatten nicht ersetzen.

Das wird in Zukunft mit USB 3.0-Festplatten besser. USB 3.0 erreicht Datentransferraten von brutto 300 MByte/s bis zu 5 Gbit/s. Der Hersteller Freecom hat bereits eine Festplatte (Hard Drive XS 3.0) angekündigt, die in der Praxis Transferraten bis zu 130 MBytes/s erreichen soll, was in etwa der Übertragungsgeschwindigkeit von internen SATA-Harddisks entspricht.

USB 3.0 benötigt allerdings ein sog. Superspeedkabel (5 Anschlüsse mehr als USB 2.0), ist damit aber kompatibel zum Standard High-Speed-USB 2.0 (brutto 480 Mbit/s) sowie Fullspeed-USB 1.1 (brutto 12 Mbit/s) und Lowspeed-1.0 (brutto 1,5 Mbit/s). Für Micro-USB- und Typ-B-Verbinder ist allerdings ein Adapter bzw. Steckeraufsatz erforderlich.

Zum Nachrüsten von USB 3.0 für Desktop-PC sind bereits PCI-Express-Host-Bus-Adapter für rd. 30 Euro im Handel erhältlich. Auch entsprechende ExpressCards für Notebooks kosten ungefähr dasselbe. Sicherlich tauchen in Kürze auch die ersten Controller für PC mit PCIe-Slots auf dem Board-Markt auf.

BSI warnt erneut vor Google-Online-Dienst (15.09.2009)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt in seinem Lagebericht IT-Sicherheit für das 2. Quartal 2009 (PDF-Datei) u.a. vor der neuen Google-Applikation “Wave”, einer webbasierten Kommunikationsplattform, die in Kürze veröffentlicht werden soll. Wie bei den Google-Online-Diensten “Mail”, “Calendar” und “Docs” liegen auch bei Google-Wave die Daten auf Google-Server* und sind so nicht vom Nutzer kontrollierbar (Datenschutzrichtlinien liegen i.d.R. nicht oder nur in rudimentärer Form vor).

*Der Quellcode von “Wave” soll veröffentlicht werden, d.h. jeder Anwender kann dann seinen eigenen Wave-Server betreiben.

Vor dem Hintergrund des Kontrollverlusts von eigenen Daten sowie immer wieder bekannt werdender Sicherheitslücken von (Google-)Anwendungen (siehe Link-Liste folgend), sollte hier mit Vertrauensvorschüssen tunlichst gegeizt werden - vor allem, wenn die Server auch noch im Ausland sitzen, denn dort gelten keine deutschen Gesetze, weshalb die Durchsetzung von Recht im Datenmissbrauchsfall sehr schwierig ausfallen oder gar unmöglich sein kann (ist innerhalb Deutschlands schon ein grosses Problem).

Es gilt deshalb nach wie vor: There´s no place like 127.0.0.1 (localhost), sprich Daten sind auf dem heimischen Rechner bzw. auf eigenen Datenträger am sichersten aufgehoben! Nicht nur in Bezug auf Google ist Vorsicht geboten, sondern auch andere Online-Dienste und Soziale Netzwerke garantieren keinesfalls Datensicherheit, ganz zu schweigen von vorsätzlichem Datenmissbrauch durch die Portale selbst (bekannte Fälle gibt es genug)!
Unser Tipp: Hirn 2.0 sollte im Web 2.0 stets mit an Bord sein!

Siehe auch verwandte Themen-Artikel:

• Sicherheitslücken in Googles Web Browser “Chrome”
• Datenschutz, Google Analytics & Co.
• Realsatire: Google-Gründer warnen vor Gier nach Nutzerdaten
• Google und Krankenakten
• Google-Sicherheitslecks häufen sich
• Google Desktop-Software
• Seite: Google-Hacking

Microsoft schliesst fünf kritische Windows-Lücken (09.09.2009)

Am gestrigen Patchday veröffentlichte Microsoft fünf Patches, die kritische Sicherheitslücken in der Windows-JavaScript-Engine, im Konfigurationsdienst für kabellose Netzwerke (WLAN), in den Bibliotheken zum Windows-Media-Format (WMF), im ActiveX-Control zum Bearbeiten von DHTML-Code sowie im TCP/IP-Stack schliessen.

Die Schwachstelle zum Konfigurationsdienst für WLAN betrifft nur Windows Vista und Server 2008; von der DHTML-Lücke sind diese Windows-Versionen jedoch verschont geblieben. Windows XP bleibt beim Fehler im Netzwerk-Stack aussen vor.

Die Patches sollten zügig installiert werden, da laut Microsoft mit dem baldigen Auftauchen von entsprechenden Exploits zu rechnen ist. Siehe auch Microsoft Security Bulletin Summary for September 2009.

Sicherheitslücke ermöglicht Reboot von Windows 7 und Vista per Remote (08.09.2009)

Über eine Sicherheitsleck im Server-Message-Block-2 (SMB v2)-Protokoll - eine Erweiterung des herkömmlichen SMB - ist es aktuell möglich, Systeme unter Windows Vista und 7 sowie möglicherweise auch Server 2008 über das Netz ohne Authentifizierung neu zu starten. Dazu muss lediglich der Port 445 (darüber läuft der Dienst SMB) des verwundbaren Systems erreichbar sein, was standardmässig der Fall ist (aktivierte Datei und Druckerfreigabe). Es kursiert bereits ein Exploit (in Python geschrieben), der die Lücke implentiert und ausnützt.

Port 445 (TCP wie UDP) sollte neben anderen lokalen Diensteports (z.B. DCOM 135, NetBIOS SSN 139) - auch abgesehen von der aktuellen Lücke - keinesfalls über das Internet erreichbar sein --> dies ist möglich bei aktivierter Datei- und Druckerfreigabe und Direktverbindung mit dem Internet (über Modem, ohne zwischengeschalteten Router oder Proxyserver) oder bei entsprechender Portweiterleitung (Portforwarding) bzw. Aufenthalt in einer DMZ.
Droht gar Ungemach aus dem eigenen LAN, bleibt nur, den SMB-Port 445 (TCP und UDP) und sicherheitshalber noch den NetBIOS-Session-Service-Port 139 (TCP) mittels einer Firewall zu schliessen oder SMB v2 in der Registry zu deaktivieren (siehe Workaround im Fehlerbericht von Microsoft).

Windows 2000 und XP sind nicht betroffen, weil diese nur SMB (und nicht SMB v2) unterstützen.

Nähere Infos gibt´s auf der Seite von Laurent Gaffié, dem Entdecker der Lücke.

<update 09.09.2009>
Laut einer Warnung von Microsoft lässt sich der SMB v2-Fehler sogar zum Einschleusen und Ausführen von (schädlichem) Code missbrauchen (Remote Code Execution). Betroffen sind Windows Vista und Server 2008 (nicht R2) und der Release Candidate von Windows 7 (nicht finale Version).
</update>

Microsoft schliesst 19 Sicherheitslücken (12.08.2009)

Mit der Auslieferung von neun Updates am gestrigen Patchday wurden von Microsoft 19 Sicherheitslecks in verschiedenen Windows-Komponenten (u.a. die ActiveX-Lücke) und -Anwendungen geschlossen. Nähere Details und Hintergrundinformationen siehe Microsoft Security Bulletin Summary for August 2009.

Die Updates sollten zügig eingespielt werden. Nach Installtion, ist ein Reboot des Systems fällig.

zum Archiv24 (12.05.2009-12.08.2009)

Home | Angebot | IT-Forensik | IT-Risiken | WWW | Sicherheit | Tipps | Aktuelles | Kontakt | Links | Newsletter | AGB | Impressum | Sitemap |