SICHER o INFORMIERT
Der Newsletter von www.buerger-cert.de
Ausgabe vom 22.12.2011
Nummer: NL-T11/0026

Die Themen dieses Newsletters:
1. Kundendaten kopiert: Hacker-Angriff auf Immobilienscout24.de
2. Angriff per SMS: Windows Phone 7.5 mit Sicherheitslücke
3. Adobe warnt Anwender: Angriff über Reader und Acrobat möglich
4. Gefährliche Videos: Sicherheitsrisiken in Media-Player Winamp behoben
5. Chrome-Browser: 15 Sicherheitslücken geschlossen
6. Fernzugriff: Sicherheitsupdate für PuTTY
7. Ein Patch weniger: Microsoft Patchday im Dezember
8. Verräterische USB-Sticks: Datensicherheit wird konsequent vernachlässigt
9. Teures Horoskop: Abzock-Apps im Android Market

EDITORIAL
Guten Tag,

unter vielen Weihnachtsbäumen wird an diesem Wochenende wieder ein
Smartphone liegen. Die praktischen Begleiter haben zahlreiche Anwendungen
- leider auch für die Zwecke mutmaßlicher Betrüger und Krimineller. So
sollen Apps für Android angeboten worden sein, die ohne das Wissen der
Anwender teure Premium-SMS verschicken. Durch den Empfang von SMS droht
dagegen Anwendern von Windows Phone 7.5 Gefahr: Entsprechend präparierte
SMS oder Facebook-Nachrichten können die zentrale Nachrichtenverwaltung
ihrer Smartphones lahmgelegen.
Mehr Infos dazu sowie weitere Meldungen rund um die Sicherheit im WWW
finden Sie wie immer in unserem Newsletter. Spannende Lektüre und sichere
Stunden im globalen Netz wünscht Ihnen
Ihr BUERGER-CERT-Team

STÖRENFRIEDE
1. Kundendaten kopiert: Hacker-Angriff auf Immobilienscout24.de

Das Portal für Immobilienanzeigen Immobilienscout24 meldet
einen unberechtigen Zugriff auf seine
Datenbank [http://www.immobilienscout24.de/de/ueberuns/presseservice/pressemitteilungen/20111212.jsp].
Demnach wurden nach vorläufigem Kenntnisstand Informationen wie Namen von
Personen und Unternehmen, Kontaktdaten sowie Immobilienscout-interne
Registrierungsnummern von Anbietern durch unbefugte Dritte kopiert. "Es
handelt sich dabei um Daten, die in der Regel auf der Website von
Immobilienscout24 standardmäßig angezeigt werden", heißt es in einer
Pressemitteilung. Passwörter, Bank- und Zahlungsdaten seien nicht
betroffen. Der unbefugte Zugriff wurde dem Unternehmen nach unterbunden
und die Sicherheit der angegriffenen Server wiederhergestellt.
Immobilienscout24.de bittet Kunden, sich auf der Website einzuloggen und
ihr Passwort vorsorglich zu ändern.

2. Angriff per SMS: Windows Phone 7.5 mit Sicherheitslücke

Der englischsprachige Blog WinRumors, der sich ausschließlich mit
Windowsthemen befasst, berichtet über eine Sicherheitslücke
im mobilen Betriebssystem Windows Phone
7.5 [http://www.winrumors.com/windows-phone-sms-attack-discovered-reboots-device-and-disables-messaging-hub/].
Microsoft hat das Problem
bestätigt [http://blogs.technet.com/b/microsoft_presse/archive/2011/12/14/windows-phone-7-5-sms-crash.aspx].
Demnach kann etwa eine präparierte SMS den Messaging Hub – die zentrale
Nachrichtenverwaltung – von Windows Phone 7.5 lahmlegen. Empfängt das
Smartphone die präparierte Nachricht, wird das Betriebssystem neu
gebootet, anschließend lässt sich die Nachrichtenzentrale nicht mehr
starten. Der Angriff könne auch über eingehende Facebook- und
Windows-Live-Nachrichten erfolgen, da diese ebenfalls über den Messaging
Hub abgewickelt werden. Der Blog zeigt auch ein Video, das den Ablauf
eines Angriffs demonstriert. Das Problem soll sich beseitigen lassen,
indem das Gerät auf die Werkseinstellungen zurückgesetzt wird. Wie der
IT-Nachrichtendienst heise Security meldet, betrifft das Problem alle
Geräte mit den Windows-Phone-Versionen 7.10.7720.68 (7.5) und
7.10.7740.16. Ob auch ältere Versionen betroffen sind, ist derzeit offen.

3. Adobe warnt Anwender: Angriff über Reader und Acrobat möglich

Die Programme Reader und Acrobat von Adobe weisen nach
Angaben des
Herstellers [http://www.adobe.com/support/security/advisories/apsa11-04.html]
eine kritische Sicherheitslücke auf. Sie ermögliche es Angreifern, über
einen Fehler in der Speicherverwaltung der Software fremde Rechner zu
kontrollieren, sie zum Absturz zu bringen und Schadcode auszuführen. Den
Zugriff erreichen die Täter, wenn sie Anwender dazu verleiten,
präparierte PDF-Dateien mit den Adobe-Produkten zu öffnen. Betroffen sind
die Programmversionen Adobe Reader X (10.1.1) und frühere 10.x-Versionen
für Windows und Mac sowie Adobe Reader 9.4.6 und frühere 9.x-Versionen
für Windows, Mac und Linux. Außerdem betroffen: Adobe Acrobat X (10.1.1)
und ältere 10.x-Versionen für Windows und Mac sowie Adobe Acrobat 9.4.6
und ältere 9.x-Versionen für Windows und Mac. Der Adobe Reader für
Android und der Adobe Flash Player weisen die Sicherheitslücke nicht auf.
Für die Versionen Adobe Reader 9.x und Acrobat 9.x für Windows
steht ein Update zur
Verfügung [http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows].
Es gibt laut Adobe Erkenntnisse, dass die Lücke für diese
Programmversionen bereits ausgenutzt wird. Für die 10er-Versionen
empfiehlt [http://www.adobe.com/support/security/bulletins/apsb11-30.html]
Adobe die Verwendung des geschützten
Modus [http://www.adobe.com/de/security/acrobat_reader/], bis der Fehler
mit dem regulären Sicherheitsupdate am 10. Januar behoben werde. Die
Aktualisierung für Mac OS X und Unix soll am 12. Januar 2012 folgen, da
Adobe das Risiko eines Angriffs auf Anwender dieser Betriebssysteme als
gering einschätzt.

SCHUTZMASSNAHMEN
4. Gefährliche Videos: Sicherheitsrisiken in Media-Player Winamp behoben

Mehrere kritische Sicherheitslücken hat das Sicherheitsunternehmen
Secunia [http://secunia.com/advisories/46882/] im
Medienplayer Winamp entdeckt. Betroffen sei die Version 5.622 sowie
möglicherweise auch ältere Winamp-Versionen. Das PC
Magazin [http://www.pc-magazin.de/news/sicherheitsloecher-in-winamp-gestopft-1222448.html]
schreibt, das Abspielen einer präparierten AVI-Datei mit Winamp genüge,
um durch Ausnutzung der Sicherheitslücke das System zu kompromittieren.
Abhilfe schafft Winamp 5.623. Bei Redaktionsschluss war die
offizielle
Download-Seite [http://www.winamp.com/media-player/de] noch nicht
aktualisiert, über das
Winamp-Forum [http://forums.winamp.com/showthread.php?t=332010]
lässt sich die aktuelle Version des Players aber beziehen. Der
"Multi-national Installer" enthält auch das deutsche Sprachpaket.

5. Chrome-Browser: 15 Sicherheitslücken geschlossen

Google hat seinen Browser Chrome aktualisiert: Version 16 schließt 15 in
der Vorgängerversion enthaltene Sicherheitslücken. Sechs dieser Lücken
stuft
Google [http://googlechromereleases.blogspot.com/2011/12/stable-channel-update.html]
in die Gefahrenklasse „hoch” ein. Wie heise Security
schreibt [http://www.heise.de/security/meldung/Chrome-16-mit-Benutzerverwaltung-1394897.html],
konnten bei der Verarbeitung von PDF-Dateien sicherheitskritische Fehler
auftreten. Außerdem konnten Angreifer die Anzeige in der Adressleiste
manipulieren.
Chrome 16 bringt neben mehr Sicherheit auch die Möglichkeit mit, mehrere
Benutzerkonten anzulegen. Ausdrücklich weist Google darauf
hin [http://support.google.com/chrome/bin/answer.py?hl=de&answer=2364824],
dass es sich dabei nicht um ein Sicherheitsfeature handelt: "Die Funktion
ist nicht dazu bestimmt, Ihre Daten vor anderen Personen, die Ihren
Computer verwenden, zu schützen." Zu diesem Zweck sollten verschiedene
Benutzerkonten des Betriebssystems verwendet werden. Die Website
BSI FÜR
BÜRGER [https://www.bsi-fuer-buerger.de/BSIFB/DE/MeinPC/BenutzerkontenNetzwerk/benutzerkontennetzwerk_node.html]
erklärt, was zu beachten ist, wenn sich mehrere Anwender einen Rechner
teilen.

6. Fernzugriff: Sicherheitsupdate für PuTTY

PuTTY ist ein SSH-Client für Windows und wird vor allem für den Zugriff
von Windows-Rechnern auf Linux-Computer verwendet. heise
Security
berichtet [http://www.heise.de/security/meldung/Sicherheitsproblem-in-SSH-Client-PuTTY-behoben-1393574.html]
von einem kritischen Fehler in den PuTTY-Versionen 0.59, 0.60 und 0.61:
Eingegebene Passwörter behält das Programm mitunter im Speicher, sodass
andere Programme diese auslesen könnten. Die aktuelle
PuTTY-Version
0.62 [http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html]
behebt diesen und einige weitere, aber unkritische Fehler.

7. Ein Patch weniger: Microsoft Patchday im Dezember

icrosoft hat im Dezember 13 Patches veröffentlicht und damit 19
Sicherheitslücken in Windows, Internet Explorer und Microsoft Office
geschlossen. Darüber berichten verschiedene Online-Magazine, etwa
golem.de [http://www.golem.de/1112/88410.html]. Ein Update
behebt einen kritischen Fehler bei der Behandlung vonTrue-Type-Schriften.
Dieser wurde schon aktiv ausgenutzt, etwa durch den Wurm „Duqu“. Andere
Patches beziehen sich unter anderem auf Fehler beim Öffnen speziell
manipulierter Dateien (z.B. ".doc", ".xls" und ".ppt"). Ein zuvor
angekündigter Patch, das eine SSL-Sicherheitslücke schließen sollte, ist
nicht erschienen, weil in der letzten Testphase Kompatibilitätsprobleme
aufgetreten sind. Der Patch ist nun für Januar angekündigt. Das
BUERGER-CERT empfiehlt
|https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T11-0080 [],
die Patches so schnell wie möglich zu installieren.

PRISMA
8. Verräterische USB-Sticks: Datensicherheit wird konsequent
vernachlässigt

Der Hersteller von Antivirensoftware Sophos wollte wissen, welche Daten
Anwender auf USB-Sticks speichern und wie diese gesichert sind. Das
Ergebnis der Recherchen hat Sophos im unternehmenseigenen
Blog
veröffentlicht [http://nakedsecurity.sophos.com/2011/12/07/lost-usb-keys-have-66-percent-chance-of-malware/].
Das Unternehmen kaufte auf einer Fundsachenversteigerung der
australischen Metropole Sydney 57 USB-Sticks, die 2011 in der dortigen
U-Bahn verloren wurden. Sieben Sticks waren defekt. Die restlichen 50
Sticks mit einem Speichervolumen zwischen 256 Megabyte und 8 Gigabyte
konnten näher untersucht werden – sie waren allesamt nicht
passwortgeschützt, keine Datei war verschlüsselt. Die Sticks enthielten
teils sehr persönliche Daten über den Besitzer des Sticks, seine Familie,
seine Kollegen oder seinen Arbeitgeber. Gefunden wurden ganze Fotoalben,
sensible Dokumente wie Steuerbescheide, Programmiercodes, Audio- und
Video-Dateien und sogar Konstruktionszeichnungen aus einer
Produktentwicklung. Auf 33 Exemplaren oder 66 Prozent der Sticks fanden
die Sicherheitsexperten zudem Viren, Trojaner und anderen Schadcode, zum
Teil mehrfach. Sophos zufolge handelte sich dabei ausschließlich um
Malware für Windows-Systeme. Schadprogramme für Mac-OS-Betriebssysteme
wurden nicht gefunden, gleichwohl USB-Sticks, die offensichtlich mit
Apple-Rechnern genutzt wurden auch Windows-Malware enthielten. Das Fazit
von Paul Ducklin, Leiter der Abteilung Technologie bei Sophos für die
Asia-Pazifik-Region: "Persönliche und unternehmensrelevante Daten sollten
immer verschlüsselt oder mit einem Passwort geschützt werden, bevor sie
auf einem USB-Stick gespeichert werden. Ein guter Anti-Virenschutz ist
ebenfalls wichtig, auch für Nutzer von Mac-OS-Betriebssystemen".

ONLINE-GESCHÄFTE
9. Teures Horoskop: Abzock-Apps im Android Market

Google hat 27 Apps aus dem Android Market entfernt. Darüber berichtet das
Online-Magazin
ZDNet [http://www.zdnet.de/news/41558678/google-loescht-22-betruegerische-apps-aus-android-market.htm]
und das Sicherheitsunternehmen Lookout, das zunächst 22, dann weitere
fünf mutmaßliche Abzock-Apps entdeckt hatte. Die entfernten Apps seien in
der Lage gewesen, teure SMS zu verschicken, die mit bis zu fünf US-Dollar
berechnet wurden. 13 der 22 Apps seien mehr als 14.000-mal
heruntergeladen worden. Die Abzock-Apps haben sich etwa als Horoskope,
Spiele und Bildschirmhintergründe getarnt. Bei der Installation haben
Anwender die Geschäftsbedingungen bestätigt und so den Versand der teuren
Versand der Premium-SMS ermöglicht. Vor allem auf europäische
Mobilfunkkunden hatten es die Programmierer der Apps abgesehen. Die
betroffenen Apps nennt Lookout auf seiner
Seite [http://blog.mylookout.com/blog/2011/12/11/european-premium-sms-fraud/].




-----------------------------------------------------------------------
Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot
des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14
Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und
aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit
und Richtigkeit nicht übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de