Archiv für April, 2010

Drei kritische Lücken in Googles Chrome geschlossen

30. April 2010

Google hat die Version 4.1.249.1064 des Browsers Chrome fertiggestellt, in der drei Sicherheitslücken beseitigt wurden. Laut Bericht handelt es sich bei den neuen Problemen um einen Fehler in der Bibliothek GURL, durch die Angreifer die Same Origin Policy aushebeln können.

Die neue Version steht für Windows 7, Vista und XP bereit. Das Update gelangt über den automatischen Update-Mechanismus auf den PC – es lässt sich aber auch manuell anstoßen.

VCL 1.0.6 erhöht Stabilität und schließt Lücken

26. April 2010

Die Version 1.0.6 des freien Medienspielers und -Streamers VLC media player beseitigt neun Sicherheitslücken und verbessert die Stabilität. Einige der Fehler lassen sich vermutlich zum Einschleusen und Ausführen von Codes durch präparierte Media-Dateien ausnutzen.

Eine vollständige Liste aller Änderungen ist hier zu finden:

http://mailman.videolan.org/pipermail/videolan-announce/2010-April/000154.html

Fehlerhaftes McAfee Signatur-Update

22. April 2010

McAfee hat ein fehlerhaftes Update für den Virenscanner „McAfee Virus Scan“ veröffentlicht. Dieses Update kann dazu führen, dass die WIndows Systemdatei „svchost.exe“ als Schadsoftware „w32/wecorl.a“ erkannt und je nach Einstellung in Quarantäne verschoben oder gelöscht wird.

Betroffen sind MS Windows XP SP3-Systeme mit installiertem „McAfee VirusScan“.

Windows 2000, Windows 2003, Windows XP SP1/SP2, Windowas Vista und Windows 7 sind nicht betroffen!

Nutzer, die McAfee VirusScan einsetzen, sollten sicherstellen, dass das fehlerhafte Update (DAT 5958) nicht eingespielt wird!

Ein aktualisiertes Update gibt es hier:

http://www.mcafee.com/apps/downloads/security_updates/dat.asp?region=us&segment=enterprise

Sieben Lücken weniger in Googles Webbrowser Chrome

Google hat die Windows Version 4.1.249.1059 des Browsers Chrome veröffentlicht, die sieben Sicherheitslücken schließt. Vier dieser Lücken werden als kritisch eingestuft. Die neue Version steht für Windows 7, Vista und XP bereit.

Das Update gelangt über den automatischen Update-Mechanismus auf den PC – es lässt sich aber auch manuell starten.

Ein halbes Jahr Windows 7

21. April 2010

Hamburg, 22. April 2010 – Ein halbes Jahr ist Windows 7 nun auf dem Markt – seit dem 22. Oktober können alle Nutzer mit dem Betriebssystem arbeiten. Mehr Leistung, mehr Kompatibilität und eine einfachere Bedienung wurde von Microsoft versprochen. Die Experten der PC-Feuerwehr zeigen, ob Windows 7 den großen Erwartungen gerecht werden konnte.

Zumindest nach den Verkaufszahlen ist Windows 7 schon erfolgreicher als sein Vorgänger. Anfang des Jahres waren bereits zehn Prozent aller Rechner mit dem neuen Betriebssystem ausgestattet. Windows 7 konnte dem Erfolgsdruck stand halten, und beweist auch nach einem halben Jahr, dass Microsoft aus den Fehlern des Vorgängers gelernt hat. „Windows XP Nutzer erhalten zwar keinen Geschwindigkeitszuwachs, aber einen erheblichen Innovations-Schub und der Umsteig von Vista auf Windows 7 ist sehr empfehlenswert. Das System verbraucht viel weniger Ressourcen und ist somit deutlich schneller als der unbeliebte Vorgänger“, erklärt Michael Kittlitz, Geschäftführer der PC-Feuerwehr.

Leistungssteigerung

Weniger Speicherplatz auf der Festplatte und eine geringere Auslastung des Arbeitsspeichers sorgt für eine höhere Geschwindigkeit auf dem Computer. Dies macht sich unter anderem bei den Systemanforderungen bemerkbar. Gerade mal einen 1-Gigaherz-Prozessor mit 1 GByte RAM und 16 GByte Festplattenspeicher werden von Windows 7 an Anforderungen verlangt. Um Windows Vista hingegen richtig auszureizen, sind 2 bis 3 Gigaherz empfehlenswert. Ein einziges Manko stellt die Installation dar: Um das alte Betriebssystem auf Windows 7 zu aktualisieren, ist eine Neuinstallation oft nicht umgehbar. Für Windows XP Nutzer ist es ein Muss und auch bei Windows Vista ist ein schnelles Upgrade nicht immer möglich. Auf der Microsoft Internetseite wird mit dem „Windows 7 Upgrade Advisor“  ein kostenloses Tool zum Testen der Kompatibilität zur Verfügung gestellt.

Kompatibilität

Während Windows Vista erhebliche Kompatibilitätsprobleme mit Grafikkarten oder anderer Hardware hatte, startet Windows 7 mit einem großen Paket vorinstallierter Software, die eine schnelle Nutzung neuer Geräte garantiert. Lediglich die allerneuste Hardware hat das aktuelle Windows nicht auf Vorrat. Doch Windows 7 durchsucht automatisch das Internet nach einem passenden Treiber und installiert ihn auf dem Computer. Ebenfalls positives Feedback gibt es auf den sogenannten „Ballot Screen“, wodurch die Nutzer selbst entscheiden können, welchen Internet-Browser sie installieren und nutzen möchten.

Einfachere Bedienung

Durch die übersichtliche Oberfläche, die intuitive Bedienung und vor allem durch die nun besser dosierten Warnmeldungen, ist das Arbeiten mit Windows 7 deutlich flüssiger. Zudem bietet das neuste Windows in Punkto Netzwerk-Erstellung und Sicherheit einiges mehr als Windows Vista. „Sehr positiv ist die einfache Erstellung von Heimnetzwerken mit Windows 7 sowie die automatische Generierung eines Passwortes, die das Netzwerk wesentlich sicherer machen“, berichtet Kittlitz. Außerdem enthält die neuste Version von Windows zusätzliche Anwendungen, die auch das Auge ansprechen, beispielsweise eine Diashow als Desktophintergrund. Mehrere Bilder lassen sich nun problemlos und in beliebiger Anzeigendauer auf dem Desktop darstellen.

Aktive Prävention: Datenschutz im Internet

16. April 2010

Aktiv Vorbeugen: Datenschutz im Internet

Keinesfalls sollten sich Internetnutzer bei Facebook, Xing, Google Buzz, Twitter und Co. ein virtuelles Konterfei zulegen, ohne wichtige Regeln zur Datensicherheit zu befolgen. Mit den Angaben zahlreicher privater Daten öffnen sich die Türen für Identitätsdiebstahl, ein zunehmendes Problem – auch in Deutschland. Auch bei der Auslagerung von sensiblen Daten in sogenannte Clouds und der Nutzung verkürzter URLs gilt es vorsichtig zu sein. Nutzer können aber mit einfachen Maßnahmen aktiv vorbeugen.

Identitätsdiebstahl durch Eintragungen im Internet

Aus dem Namen, dem Geburtsdatum und vielleicht noch einer weiteren Angabe wie dem Beruf, einer falschen Anschrift und fiktiven Mailadresse können Betrüger schnell eine falsche Identität einer realen Person basteln. Viele Onlineshops ermöglichen mit diesen wenigen Angaben bereits Bestellungen auf Rechnung. Bestellte Waren gehen direkt zu den Betrügern. Der Identitäts-Bestohlene erfährt zunächst gar nichts davon. Bis die Rechnung platzt.

Die geprellten Unternehmen und ihre Inkassofirmen versuchen die Schulden zunächst unter der falschen Adresse einzutreiben – vergeblich. Schließlich informieren sie Auskunftsdateien wie die Schufa über die ausstehende Forderung. Die Schufa und ihre Mitbewerber speichern die Daten im Datensatz der realen Person. Damit wird nicht nur die reale Person mit der vermeintlichen Forderung in Verbindung gebracht, sondern es sinkt auch die Kreditwürdigkeit des Betrogenen. Der Bestohlene erhält schließlich und für ihn völlig unvorhersehbar Forderungsbriefe, Mahn- und Gerichtsbescheide an seine reale Anschrift. Die Auskunftsdateien informieren zudem ihre Vertragspartner und dies kann weitere Folgen nach sich ziehen. Unternehmen wie Telefongesellschaften kündigen unter Umständen bestehende Verträge, denn der Kunde gilt nicht mehr als kreditwürdig.

Die wichtigste Regel, um Identitätsdiebstahl vorzubeugen, ist das Geburtsdatum in Profilen und anderen Interneteintragungen zu deaktivieren oder am besten sogar ein falsches Geburtsdatum einzugeben.  Zusätzlich hilft eine neue Bestimmung. Auskunftsdateien sind grundsätzlich nicht verpflichtet Verbraucher automatisch über Änderungen in ihren Datensätzen zu informieren. Aber seit dem 1. April müssen sie Konsumenten alle 12 Monate auf deren Verlangen über ihre Daten kostenlos informieren. Aktiv werden muss der Nutzer selbst. Er muss einen Brief an jede Auskunftsdatei senden und erfragen, welche Daten über ihn gespeichert sind und weitergegeben werden. Die größten Auskunftsdateien sind die Schufa, CEG Creditreform, Deltavista, Bürgel Wirtschaftsinformationen, accumio finance service und infoscore Consumer Data.

Datenspeicherung in Clouds und bei Webdiensten

Google oder Microsoft bieten virtuelle Speicherplätze auf ihren Servern an, die sich ähnlich einer Wolke weit entfernt vom eigenen PC befinden. Der Nutzer meldet sich mit seinen persönlichen Daten an und kann gigabyteweise Daten hochladen. Gerade Datensicherungen können so bequem durchgeführt werden. Doch, wo die Daten genau landen und wie dort mit ihnen umgegangen wird, weiß der Konsument nicht. Zwar gibt es über die Software Gladinet Cloud die Möglichkeit verschiedene Online-Speicher wie Festplatten ins eigene Betriebssystem einzubinden und anzuzeigen, doch die Daten bleiben letztlich ausgelagert. Über Gladinet Cloud können auch Dateien, die hochgeladen und einem bestimmten Verzeichnis zugeordnet werden, verschlüsselt werden. Damit erhöht sich die Sicherheit, doch es bleibt ein Risiko. Daher sollten sensible Daten stets intern im eigenen Büro oder in der Wohnung verwahrt werden. Datensicherungen sollten nicht online erfolgen, sondern zum Beispiel auf externen Festplatten.

Auch bei der Nutzung von praktischen Online-Diensten wie Gantter, über den Projekte gesteuert werden und Microsoft Projekte importieren und exportieren werden können, besteht keine Sicherheit darüber, was im Hintergrund geschieht. Der Nutzer hat keine Kontrolle über den Verbleib seiner Daten. Daher gilt es hier, bei sensiblen Daten und Themen Klartext in den Dokumenten zu vermeiden und unscharfe Formulierungen zu verwenden.

Risiko bei der Nutzung von verkürzten URLs

URL-Verkürzer wandeln eine lange Internetadresse in eine kurze um. Das ist praktisch, da die URL zum Beispiel bei Twitter leichter weitergegeben werden kann. Aber die eigentliche Seite, die hinter der URL steckt, ist nicht mehr zu erkennen. Zudem gewöhnen sich Internetnutzer an den Service von Shrinking-Diensten wie cli.gs, is.gd oder TinyURL und gehen zunehmend weniger über die Original-URLs. Dieses Verhalten nutzen Betrüger aus, indem sie auf andere Seiten umleiten. Statt bei seiner Hausbank landet der ahnungslose Verbraucher zum Beispiel auf einer identisch aussehenden Seite eines Betrügers und gibt dort seine Daten beim Online-Banking ein. Oder es erfolgt eine Umleitung auf einen virulenten Server, der den PC des Besuchers infiziert.

Um hier vorzubeugen, sollte die Original-URL eingegeben oder ein URL-Verlängerer genutzt werden. Ein URL-Verlängerer zeigt im Browser statt der verkürzten URL wieder die Weiterleitungsadresse an. Für den Browser Firefox kann unter  http://www.heise.de/software/download/long_url_please/65086 ein URL-Verlängerer heruntergeladen werden.

Weitere Informationen zum Identitätsdiebstahl gibt es unter:
http://www.zeit.de/digital/datenschutz/2010-01/identitaetsdiebstahl-selbsterfahrung
http://www.zeit.de/wirtschaft/unternehmen/2010-02/auskunfteien-datenschutz-verbraucher

test.de hat die größten sechs Auskunftsdateien gecheckt:
http://www.test.de/themen/geldanlage-banken/schnelltest/Auskunfteien-Nach-den-eigenen-Daten-fragen-1857247-2857247/

Apple-Patch schließt Lücke in Mac OS X

15. April 2010

Apple hat das Sicherheitsupdate 2010-003 für Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.3 und Mac OS X Server v 10.6.3 veröffentlicht. Das Update schließt Lücken, die es ermöglichen, via Safari in ein Mac System einzudringen und Code in ein System einzuschleusen.  Der Fehler ist im Apple Type Service des Betriebssystems zu finden.

Adobe und Oracle stopfen zahlreiche Löcher in ihren Produkten

14. April 2010

Adobe hat die Sicherheits-Updates 9.3.2 und 8.2.2 für Adobe Reader (Windows, Mac, Unix) und Acrobat (Windows und Mac) veröffentlicht, mit denen der Herrsteller 15 Sicherheitslücken beseitigt, die das Einschleusen und Ausführen von Codes ermöglichen.

Um Opfer eines Angriffs zu werden, muss man aber nicht zwangsläufig ein PDF-Dokument manuell öffnen. In der Regel genügt es schon, mit einem verwundbaren Reader-Plug-in im Browser eine manipulierte Website zu besuchen.

Darüber hinaus hat Oracle im Rahmen seines Critical Patch Update insgesamt 47 Lücken geschlossen. Einige der Lücken stuft Oracle als kritisch ein. Daher sollen Administratoren nicht zögern, die Updates schnellstens zu installieren.

Weitere Informationen gibt es hier:

http://www.adobe.com/support/security/bulletins/apsb10-09.html

http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2010.html#AppendixSUN

Microsoft April-Patchday mit 11 Updates

Mit fünf kritischen, fünf wichtigen und einem als mittel eingestuften Update beseitigt Microsoft Sicherheitslücken in Windows, MS-Office und Exchange. Aber auch die Lücken im MS Office Publisher, in Visio, im MP3-Codec sowei in Media Player und Services sind mit einem Exploitability Index von 1 versehen. Das bedeutet, dass Sicherheitsexperten es für sehr wahrscheinlich halten, dass demnächst gefährlicher Exploit-Code auftauchen wird.

Bei dem als ebensfalls kritisch eingestuften Patch für den SMB-Client, gehen die Experten aber davon aus, dass die möglichen Exploits wohl eher unzuverlässig bleiben werden.

Wie vermutet gibt es noch kein Update für ein im Februar bekannt gewordenes Cross-Domain-Problem des Internet Explorer. Trotzdem sollten Windows Anwender und -Administratoren dafür sorgen, dass die Updates möglichst bals eingespielt werden.

Gleiches gilt für auch für die verfügbaren Service Packs für Vista und XP.  Der offizielle Support für Windows XP Service Pack 2 läuft nur noch bis zum 13. Juli 2010.

Weitere aktuelle Infos gibt es auch hier: http://www.microsoft.com/technet/security/bulletin/ms10-apr.mspx

Schwachstelle im „Java Deployment Toolkit“

12. April 2010

Wie schon vorgestern berichtet, kann ein anonymer Angreifer durch eine Schwachstelle im „Java Deployment Toolkit“ mit den Rechten des Anwenders  beliebige Codes zur Anwendung bringen.

Unter Firefox empfiehlt es sich unter „Extras -> Add ons-> Plugins“ das Plugin „Java Deployment Toolkit“ zu deaktivieren.

Wer den Microsoft Internet Explorer nutzt, kann das Kill-bit setzen. Details finden Sie hier:

http://lists.grok.org.uk/pipermail/full-disclosure/2010-April/074036.html

Standort Schnellsuche

oder

Seit 28 Jahren für Sie im Einsatz.

Ihr IT-Experte seit 1996 - Ihr digitaler Vorsprung. So leicht wie 1+1=2. Bundesweit.

Homepage

Zur PC112 - Hauptseite

Ihr digitaler Vorsprung. So leicht wie 1+1=2.