SICHER o INFORMIERT
Der Newsletter von www.buerger-cert.de
Ausgabe vom 25.06.2009

-----------------------------------------------------------------------

Guten Tag,
"installieren Sie das Update so rasch wie moeglich!" Diese Formulierung
findet sich immer wieder in Meldungen des Buerger-CERT. Ein
Gerichtsurteil bestaetigt ebenfalls, wie wichtig zeitnahes Aktualisieren
der Software ist: Bankkunden, die durch Phishing-Angriffe Schaden
erlitten hatten, trugen den Sieg in einem Rechtsstreit davon - weil sie
beim Online-Banking darauf geachtet hatten, dass Virenschutz, Firewall
und Betriebssystem auf aktuellem Stand waren. Wenn ein Kunde all diese
Schutzmassnahmen beruecksichtigt habe, liege das Faelschungsrisiko bei
der Bank, so die Einschaetzung der Richter. Umfassende Verhaltenstipps
rund um die Techniken der Datenfischer und praktische Massnahmen zum
Schutz davor hat das BSI in einem Brennpunkt
[http://www.bsi-fuer-buerger.de/phishing/index.htm] zusammengestellt.
Weitere aktuelle Meldungen rund um die Sicherheit im Internet finden Sie
wie immer in unserem BSI-Newsletter. Spannende Lektuere und sichere
Stunden im globalen Netz wuenscht Ihnen
Ihr BUERGER-CERT-Team

-----------------------------------------------------------------------

Die Themen dieses Newsletters:

1. Schaedling statt Schutz: Betrueger versenden vermeintliches Windows-Update
2. Gefaehrliches Gezwitscher : Betrueger versenden gefaelschte Twitter-Einladungen
3. Attacke gegen PayPal & Co.: Cyberkriminelle nehmen Online-Bezahldienste ins Visier
4. Wieder loechrig: Google veroeffentlicht Update fuer Chrome
5. Update fuer den Fuchs: Mozilla schliesst elf Schwachstellen in Firefox
6. Praeparierte Archive: Sicherheitsluecken bei verschiedenen Antivirenscannern
7. Rundumschlag: Apple schliesst 46 Sicherheitsluecken im iPhone
8. Richtig wichtig: Apple beseitigt Schwachstellen in Java
9. Schaedliche Streams: Update fuer Foxit Reader erschienen
10. Gefaehrliche Abkuerzung: 2,2 Millionen URLs von URL-Verkuerzerdienst umgeleitet
11. PC-Schutz macht sich bezahlt: Rechte von Phishing-Opfern gestaerkt

-----------------------------------------------------------------------

1. STOERENFRIEDE: Betrueger versenden vermeintliches Windows-Update

Schaedling statt Schutz
Wie die Online-Ausgabe der PC-Welt
[http://www.pcwelt.de/start/sicherheit/virenticker/news/199176/falsches_microsoft_update_mit_echtem_symantec_tool/]
berichtet, kursieren derzeit erneut gefaelschte Microsoft-E-Mails im
Netz. Die Mails tragen Betreffzeilen wie "Important Windows XP/Vista
Security Update" ("Wichtiges Windows XP/Vista Sicherheitsupdate!"). In
der Nachricht wird behauptet, Microsoft habe zusammen mit dem
IT-Sicherheitsunternehmen Symantec ein Tool gegen den bekannten
Conficker-Wurm entwickelt. Man solle auf den angegebenen Link klicken,
um das Update zu installieren. Kommt man der Aufforderung nach, wird
tatsaechlich ein Symantec-Tool heruntergeladen - allerdings eines gegen
einen anderen Schaedling. Ausserdem enthaelt die Tool-Datei zusaetzlich
ein Trojanisches Pferd, das unbemerkt ebenfalls auf den Rechner gespielt
wird. Der Schaedling laedt im Anschluss weitere Malware auf den
Computer. Empfaenger der Mail sollten diese umgehend loeschen. Mehr
Infos zu Trojanischen Pferden gibt es auf der BSI-FUER-BUERGER-Seite
[http://www.bsi-fuer-buerger.de/viren/04_04.htm].


2. STOERENFRIEDE: Betrueger versenden gefaelschte Twitter-Einladungen

Gefaehrliches Gezwitscher
Spammer verschicken derzeit gefaelschte Einladungen fuer den Mikro-Blog
Twitter per E-Mail. Darueber berichtet das IT-Sicherheitsunternehmen
Symantec
[https://forums2.symantec.com/t5/blogs/blogarticlepage/blog-id/spam/article-id/203].
Die Mails tragen die Betreffzeile "Your friend invited you to twitter!"
("Dein Freund hat dich zu Twitter eingeladen!"). Im Anhang der Mail
befindet sich die Datei "invitation.card.zip" oder eine aehnlich
benannte .zip-Datei. Wird die Datei geoeffnet, installiert sich ein Wurm
auf dem Rechner. Dieser sammelt auf dem Computer gespeicherte
E-Mail-Adressen und kopiert sich auf externe Speichermedien. Empfaenger
der Mail sollten den Anhang keinesfalls ausfuehren und die Mail umgehend
loeschen. Mehr Infos zu Wuermern hat das BSI auf seiner
BSI-FUER-BUERGER-Webseite
[http://www.bsi-fuer-buerger.de/viren/04_03.htm] zusammengestellt.


3. STOERENFRIEDE: Cyberkriminelle nehmen Online-Bezahldienste ins Visier

Attacke gegen PayPal & Co.
Betrueger versenden derzeit vermehrt Spam-Mails, um an die Zugangsdaten
von verschiedenen Online-Bezahldiensten zu gelangen. Dies meldet das
IT-Sicherheitsunternehmen Bitdefender
[http://www.bitdefender.de/NW1052-de--online-payment-services:-bitdefender--warnt-vor-trickbetruegern-der-neuen-generation.html].
In der Mail wird dem Empfaenger zunaechst eine Antivirusloesung zum
Download angeboten. Folgt man dem angegebenen Link, wird jedoch
Schadsoftware auf dem PC installiert. Dieser manipuliert den Web-Browser
des Nutzers. Will der Anwender nun die Seite eines Online-Bezahldienstes
wie PayPal, Abbey oder Halifax aufrufen, wird er auf eine Phishing-Seite
umgeleitet. Von dort wird weiterer Schadcode auf dem Rechner
installiert, mithilfe dessen Passwoerter, Kreditkartendaten,
E-Mail-Adressen sowie weitere persoenliche Daten ausspioniert werden.
Anwender sollten generell keine Software ueber E-Mail-Links
installieren. Mehr Infos zum Thema Phishing stehen auf der
BSI-FUER-BUERGER-Seite
[http://www.bsi-fuer-buerger.de/phishing/index.htm] bereit.


4. SCHUTZMASSNAHMEN: Google veroeffentlicht Update fuer Chrome

Wieder loechrig
Google hat in seinem Browser Chrome eine kritische Schwachstelle
beseitigt. Ueber die Sicherheitsluecke koennen Angreifer Schadcode auf
fremden Computern installieren und mit den Rechten des Anwenders
ausfuehren. Die aktualisierte Chrome-Fassung 2.0.172.33 wird ueber ein
stilles Update an Nutzer verteilt. Ausserdem koennen Nutzer das Update
ueber das Werkzeugmenue unter "Info zu Google Chrome" selbst einspielen.


5. SCHUTZMASSNAHMEN: Mozilla schliesst elf Schwachstellen in Firefox

Update fuer den Fuchs
Mozilla hat ein Update fuer seinen Web-Browser Firefox herausgegeben
und damit elf Sicherheitsluecken beseitigt. Ueber die Schwachstellen war
es Angreifern etwa moeglich, beliebigen Schadcode auf fremde Rechner zu
schleusen, erweiterte Zugriffsrechte zu erlangen oder
Sicherheitsvorkehrungen zu umgehen. Anwender sollten die aktualisierte
Firefox-Version 3.0.11 schnellstmoeglich installieren. Sie steht auf der
Mozilla-Webseite [http://www.mozilla-europe.org/de/firefox/] zum
Download bereit. Alternativ kann die Aktualisierung ueber die
Updatefunktion erfolgen (Menue "Hilfe", "Firefox aktualisieren"). Auch
das E-Mail-Programm Thunderbird und die Internetsuite SeaMonkey sind von
den Schwachstellen betroffen. Aktualisierte Versionen der Programme
stehen mittlerweile ebenfalls bereit.


6. SCHUTZMASSNAHMEN: Sicherheitsluecken bei verschiedenen Antivirenscannern

Praeparierte Archive
Wie die IT-News-Seite Heise
[http://www.heise.de/security/Update-fuer-freien-Virenscanner-ClamAV-beseitigt-Sehschwaeche--/news/meldung/140595]
berichtet, haben verschiedene Antivirenscanner Probleme mit der
Verarbeitung praeparierter Archive. Diese Schwachstelle ermoeglicht
Angreifern unter Umstaenden, Schadsoftware am Scanner vorbeizuschleusen.
ClamAV hat nun die Version 0.95.2 seines Virenscanners veroeffentlicht,
in der das Problem beseitigt ist. Diese steht auf der ClamAV-Webseite
[http://www.clamav.net/download/cvd/] zur Installation bereit. Auch die
Hersteller Kaspersky, Frisk, Norman und Ikarus haben kuerzlich Updates
verteilt, um Schwachstellen ihrer Antivirenscanner zu beheben. Auch
Symantec weist auf ein Sicherheitsproblem bei verschiedenen
Antivirenprogrammen hin. Der Hersteller stuft dieses jedoch als gering
ein und stellt daher kein Update zur Verfuegung, sondern lediglich Tipps
fuer moegliche Workarounds. Diese sind auf der Symantec-Seite
[http://www.symantec.com/business/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2009&suid=20090612_00]
einzusehen.


7. SCHUTZMASSNAHMEN: Apple schliesst 46 Sicherheitsluecken im iPhone

Rundumschlag
Apple hat Version 3.0 seines Handy-Betriebssystems iPhone OS
veroeffentlicht. Insgesamt wurden 46 Sicherheitsluecken geschlossen, die
Angreifer zum Teil dazu nutzen koennen, um Schadcode auf das Geraet zu
schleusen und auszufuehren. Dazu genuegte der Besuch einer manipulierten
Webseite oder das Oeffnen einer praeparierten PDF- oder Bilddatei.
Betroffen sind iPhones mit OS 1.0 bis 2.2.1 sowie iPod touch 1.1 bis
2.2.1. Nutzer sollten das Update zuegig einspielen. Es ist ueber die
Apple-Seite [http://www.apple.com/iphone/softwareupdate/] zu beziehen.


8. SCHUTZMASSNAHMEN: Apple beseitigt Schwachstellen in Java

Richtig wichtig
Apple hat Java fuer Mac OS X v10.4, Release 9 sowie Java fuer Mac OS X
10.5, Update 4 veroeffentlicht. Mit den Updates werden mehrere kritische
Sicherheitsluecken in Java 1.4, 1.5 und 1.6 geschlossen. Die
Schwachstellen ermoeglichten es Angreifern unter anderem, Schadsoftware
auf fremde Rechner zu schleusen und auszufuehren. Dazu genuegte etwa der
Besuch einer manipulierten Webseite. Nutzer sollten die Updates
schnellstmoeglich einspielen. Dies geschieht am einfachsten ueber das
integrierte Software-Update oder einen Besuch der Apple-Download-Seite
[http://support.apple.com/downloads/].


9. SCHUTZMASSNAHMEN: Update fuer Foxit Reader erschienen

Schaedliche Streams
Foxit hat in seinem gleichnamigen PDF-Reader verschiedene
Sicherheitsluecken geschlossen. Angreifern war es bislang moeglich,
mithilfe von manipulierten JPX- oder JPEG2000-Streams in PDF-Dokumenten
Schadsoftware auf fremde Rechner zu schleusen. Anwender sollten die
aktualisierte Foxit Reader-Version 3.0 Build 1817 sowie das
fehlerkorrigierte JPX-Add-on 2.0.2009.616 umgehend installieren. Nach
dem Herunterladen der neuen Reader-Version muss das JPX-Add-on ueber die
Funktion "Check Updates now" separat installiert werden. Die neue
Foxit-Version ist ueber die Herstellerwebseite
[http://www.foxitsoftware.com/downloads/index.php] zu beziehen.


10. PRISMA: 2,2 Millionen URLs von URL-Verkuerzerdienst umgeleitet

Gefaehrliche Abkuerzung
Wie die IT-News-Seite Heise
[http://www.heise.de/security/2-2-Millionen-URLs-bei-URL-Verkuerzerdienst-manipuliert--/news/meldung/140557]
meldet, sind Hacker in die Systeme des URL-Verkuerzungsdienstes cligs
eingedrungen. Dort konnten sie rund 2,2 Millionen URLs so manipulieren,
dass sie auf eine andere Webseite fuehrten. Die Schwachstelle konnte in
der Zwischenzeit beseitigt und die manipulierten URLs zu 90 Prozent
wieder hergestellt werden. Zwar fuehrte die URL-Umleitung in diesem Fall
nur zu einer harmlosen Webseite - es waere aber auch denkbar, dass bei
einem naechsten Angriff die URLs auf eine mit Schadcode verseuchte Seite
umleiten. URL-Verkuerzerdienste machen aus einer langen URL eine kurze,
damit diese leichter weiterzugeben ist. Ein generelles Problem ist
dabei, dass das eigentliche Ziel der URL nicht mehr zu erkennen ist.
Somit ist es fuer Nutzer schwierig zu erkennen, ob es sich um eine
vertrauenswuerdige Webseite handelt.


11. PRISMA: Rechte von Phishing-Opfern gestaerkt

PC-Schutz macht sich bezahlt
Wer die wichtigsten Sicherheitsvorkehrungen fuer den Computer beachtet,
hat vor Gericht bessere Chancen, wenn er Opfer eines Phishing-Betrugs
geworden ist. Dies meldet die IT-Sicherheitsseite Heise
[http://www.heise.de/security/Mehr-Rechte-fuer-Phishing-Opfer--/news/meldung/140837].
Zwei Gerichtsverhandlungen beim Amtsgericht Wiesloch und beim
Landgericht Koeln kamen in der Vergangenheit zu dem Ergebnis, dass
Bankkunden beim Online-Banking nur auf eine Antivirensoftware, eine
aktivierte Firewall und ein aktuelles Betriebssystem achten muessten.
Darueber hinaus trage die Bank das Faelschungsrisiko fuer
Ueberweisungen.



-----------------------------------------------------------------------

Dieser Newsletter ist ein kostenloses Service-Angebot des Buerger-CERT.
Er erscheint im Abstand von 14 Tagen. Die Informationen werden vom
Bundesamt fuer Sicherheit in der Informationstechnik,
http://www.bsi.bund.de, mit groesster Sorgfalt recherchiert und
aufbereitet. Dennoch kann eine Gewaehr oder Haftung fuer die
Vollstaendigkeit und Richtigkeit nicht uebernommen werden.

Unter http://www.buerger-cert.de haben Sie die Moeglichkeit, den
Newsletter zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de .