GREENHORN COMPUTER-FORUM - Freundliche Hilfe für PC-Einsteiger und Fortgeschrittene |
|
Seiten mit Postings: | zum Seitenende |
|
Autor | Mitteilung |
Nubira Moderator Beiträge: 15134 | Gesendet: 16:15 - 15.03.2012 SICHER o INFORMIERT Der Newsletter von www.buerger-cert.de Ausgabe vom 15.03.2012 Nummer: NL-T12/0005 Die Themen dieses Newsletters: 1. Unerwünschte Betrachter: Android- und iOS-Smartphones erlauben fremden Zugriff auf Fotos 2. Spieler-Daten veröffentlicht: Hacker-Angriff auf Browser-Game-Anbieter Gamigo 3. Gefälschtes Windows: Microsoft warnt vor gefälschter Software 4. Mehr Sicherheit: Apple veröffentlicht iOS 5.1 und iTunes 10.6 5. Dreifach-Update: Google schließt erneut Sicherheitslücken in Chrome 17 6. Flash-Player aktualisiert: Kritische Sicherheitslücken geschlossen 7. Microsoft-Patchday: Schwachstellen in Windows beseitigt 8. 83 Sicherheitslücken geschlossen: Safari-Version 5.1.4 veröffentlicht 9. Android-Antivirenprogramme im Test: Nur wenige schützen umfassend 10. Secunias Personal Software Inspector: Freeware sucht nach alter Software EDITORIAL Guten Tag, an Meldungen zur Bedrohung der IT-Sicherheit im Zusammenhang mit Smartphones mangelt es dieser Tage nicht, wie dieser Newsletter zeigt. Mal sind es Versäumnisse der Software- und Geräte-Hersteller, mal sind es Angriffe durch Cyberkriminelle, die aufhorchen lassen. In dieser Lage wächst die Verantwortung des Anwenders: Die Sicherheit privater Daten steht und fällt mit dem persönlichen Engagement für diese Sicherheit. Technische Systeme können dieses Engagement ergänzen, aber nie ganz ersetzen. Mehr Infos zu diesem Thema sowie weitere Meldungen rund um die Sicherheit im WWW finden Sie wie immer in unserem Newsletter. Spannende Lektüre und sichere Stunden im globalen Netz wünscht Ihnen Ihr BUERGER-CERT-Team STÖRENFRIEDE 1. Unerwünschte Betrachter: Android- und iOS-Smartphones erlauben fremden Zugriff auf Fotos Berichten der New York Times zufolge, sind auf Android-Smartphones [http://bits.blogs.nytimes.com/2012/03/01/android-photos/] und iPhones [http://bits.blogs.nytimes.com/2012/02/28/tk-ios-gives-developers-access-to-photos-videos-location/?ref=technology] gespeicherte Fotos nicht ausreichend vor dem Zugriff Dritter geschützt. Möchte eine iPhone-App auf Fotos zugreifen, braucht sie die Zustimmung des Anwenders. Allerdings fragt das System nur nach der Zustimmung für den Zugriff auf Ortungsdienste – die benötigen viele Foto-Apps, um Ortsangaben in den Fotos zu speichern. Dass durch die Erlaubnis zur Ortung eine App gleichzeitig Zugriff auf alle gespeicherten Fotos bekommt, wird dem Anwender nicht angezeigt. Bei Android-Smartphones können alle Apps ohne explizite Zustimmung auf Fotos zugreifen. Ist die App dann noch mit dem Internet verbunden, ist ein Missbrauch der Daten grundsätzlich möglich. Android-Entwickler Google hat der New York Times zugesichert, die Schwachstelle zu beheben. Laut golem.de sind derzeit keine Anwendungen bekannt, die unter iOS [http://www.golem.de/news/iphone-trick-gibt-apps-zugriff-auf-alle-gespeicherten-fotos-1202-90125.html] oder Android [http://www.golem.de/news/sicherheitsrisiko-in-android-anwendungen-koennen-auf-alle-fotos-zugreifen-1203-90215.html] die Schwachstellen ausnutzen. 2. Spieler-Daten veröffentlicht: Hacker-Angriff auf Browser-Game-Anbieter Gamigo Der Anbieter von Browser-Spielen Gamigo [https://de.gamigo.com/] aus Hamburg ist Ziel eines Hackerangriffs geworden. Dies teilte Gamigo registrierten Anwendern per E-Mail mit, berichtet u.a. golem.de [http://www.golem.de/news/browsergames-hack-bei-gamigo-1203-90209.html]. Demnach konnten Unbefugte auf Benutzernamen, verschlüsselte Passwörter und eventuell weitere personenbezogene Daten zugreifen. Die Daten wurden teilweise in einem Gamigo-Forum veröffentlicht. Ein weiterer Missbrauch ist bislang nicht bekannt. Bei Gamigo-Spielen können Anwender ihre Spielercharaktere gegen Bezahlung weiterentwickeln. Die Daten zu den Spielercharakteren seien gesichert worden. Die Passwörter aller registrierten Anwender wurden zurückgesetzt, die Anwender wurden aufgefordert, neue Zugangsdaten anzulegen. 3. Gefälschtes Windows: Microsoft warnt vor gefälschter Software Microsoft warnt in einer Pressemitteilung [http://www.microsoft.com/germany/newsroom/pressemitteilung.mspx?id=533499] Anwender vor gefälschten Produkten. Demnach hat der in Berlin ansässige Webshop softwarebilliger.de in der Vergangenheit womöglich tausende gefälschte Microsoft-Programme vertrieben, darunter Fälschungen der Betriebssysteme Windows 7 und XP. Trotz des Einschreitens der Justizbehörden, werden laut Microsoft auch aktuell vereinzelt noch gefälschte Programme über den Shop verkauft. Microsoft empfiehlt Kunden, die über softwarebilliger.de Microsoft-Produkte erworben haben, diese von Microsoft kostenlos auf ihre Echtheit überprüfen zu lassen. Hierzu müssen der Datenträger, sämtliche Unterlagen über den Erwerb und eine eidesstattliche Versicherung über den Erwerbsvorgang beigefügt werden. Genaue Informationen erhalten Anwender unter microsoft.de/pid [http://www.microsoft.com/germany/piraterie/pidservice.mspx]. SCHUTZMASSNAHMEN 4. Mehr Sicherheit: Apple veröffentlicht iOS 5.1 und iTunes 10.6 Updates für Apples mobiles Betriebssystem iOS und den Mediaplayer iTunes schließen insgesamt über 90 Schwachstellen. Die meisten Sicherheitslücken [http://support.apple.com/kb/HT5191] entfallen dabei auf iTunes und das darin enthaltene WebKit. Viele der Sicherheitslücken betreffen auch iOS, das Betriebssystem für iPhone, iPad und iPod Touch, und sind in der neuen Betriebssystem-Version iOS 5.1 [http://support.apple.com/kb/HT5192] geschlossen worden. Die Lücken können es einem Angreifer ermöglichen, eingeschleusten Code auszuführen. Die Aktualisierung auf iOS 5.1 und iTunes 10.6 ist über die Apple Softwareaktualisierung [http://support.apple.com/kb/HT4623?viewlocale=de_DE] möglich. 5. Dreifach-Update: Google schließt erneut Sicherheitslücken in Chrome 17 Innerhalb weniger Tage hat Google drei Updates für seinen Browser Chrome veröffentlicht. Version 17.0.963.65 [http://googlechromereleases.blogspot.com/2012/03/chrome-stable-update.html] für Windows, Mac und Linux schließt 17 Schwachstellen. Die neuesten Updates auf die Versionen 17.0.963.78 [http://googlechromereleases.blogspot.com/2012/03/chrome-stable-channel-update.html] und 17.0.963.79 [http://googlechromereleases.blogspot.com/2012/03/chrome-stable-update_10.html] für Windows, Mac, Linux und Chrome Frame schließen Sicherheitslücken, die IT-Experten während des Google-eigenen Hacker-Wettbewerbs Pwnium [https://pwnium.appspot.com/] aufgedeckt hatten. Das Bürger-CERT empfiehlt [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T12-0018] die neueste Google-Chrome-Version umgehend zu installieren. 6. Flash-Player aktualisiert: Kritische Sicherheitslücken geschlossen Der Softwarehersteller Adobe hat seinen Flash-Player aktualisiert. Damit werden zwei vom Unternehmen als „kritisch“ eingestufte Sicherheitsrisiken [http://www.adobe.com/support/security/bulletins/apsb12-05.html] beseitigt. Die Schwachstellen können zum Absturz des Programms führen und von Angreifern ausgenutzt werden, um die Kontrolle über Anwender-Systeme zu erlangen. Aktualisiert werden sollten folgende Programmversionen: Adobe Flash Player 11.1.102.62 und ältere Versionen für Windows, Macintosh, Linux Adobe Flash Player 11.1.115.6 und ältere Versionen für Android 4.x Adobe Flash Player 11.1.111.6 und ältere Versinen für Android 3.x und 2.x Das Update kann kostenlos über die Adobe-Website [http://get.adobe.com/de/flashplayer/] bezogen werden. Android-Anwender können die aktuelle Version über Google Play (vormals Android Market) oder über die im Programm integrierte Updatefunktion beziehen. 7. Microsoft-Patchday: Schwachstellen in Windows beseitigt Microsoft hat an seinem monatlichen Patchday sechs Sicherheitsupdates veröffentlicht [http://technet.microsoft.com/en-us/security/bulletin/ms12-mar]. Ein Patch betrifft eine als kritisch eingestufte Schwachstelle in allen Windows-Versionen ab XP Service-Pack 3, einschließlich der Server-Ausgaben. Angreifer könnten die Schwachstelle ausnutzen, um über das Internet auf Anwender-Rechner zuzugreifen. Betroffen sind auch die Programme Visual Studio 2008 und 2010 sowie die Grafikanwendung Expression Design , die eine unerwünschte Ausweitung der Benutzerrechte ermöglichen. Das Herunterladen und die Installation der Aktualisierungen erfolgt für Windows-Systeme am einfachsten über die Aktivierung von automatischen Updates im Microsoft Sicherheitscenter oder über einen Besuch der „Windows Update“-Webseite [http://www.windowsupdate.com/]. 8. 83 Sicherheitslücken geschlossen: Safari-Version 5.1.4 veröffentlicht Apple hat seinen Browser Safari für Mac- und Windows-Systeme aktualisiert. Neben Anpassungen in der Funktionalität bringt das Update 83 Patches zur Schließung von Sicherheitslücken. Dem Bürger-CERT zufolge [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T12-0019] können Angreifer diese Schwachstellen ausnutzen, um beliebigen Code mit den Rechten des angemeldeten Benutzers auszuführen. Damit könnte er das Gerät zum Absturz bringen (Denial-of-Service-Attacke), Sicherheitsfunktionen umgehen, den Anwender täuschen oder sensible Informationen offenlegen und manipulieren. Anwender müssten dazu eine manipulierte Webseite im Safari-Browser öffnen. Sie könnten beispielsweise in einer E-Mail zum Öffnen einer solchen Webseite aufgefordert werden. Eine detaillierte Auflistung der behobenen Schwachstellen stellt Apple im Internet bereit [http://support.apple.com/kb/HT5190]. Safari 5.1.4 kann kostenlos über das integrierte Softwareupdate von Mac OS X oder über die Website von Apple [http://www.apple.com/de/safari/download/] heruntergeladen werden. PRISMA 9. Android-Antivirenprogramme im Test: Nur wenige schützen umfassend Das Magdeburger Institut AV-Test hat 41 Virenscanner für Android-Betriebssysteme getestet [http://www.av-test.org/tests/android/]. Im Fokus stand dabei die Untersuchung der Fähigkeit, Bedrohungen zu erkennen. Laut AV-Test taugen knapp zwei Drittel der Programme nicht als zuverlässige Wächter: Sie erkennen weniger als 65 Prozent der 618 getesteten Schadprogramme. Zur Spitzengruppe gehören die Produkte der bekannten Hersteller von Antiviren-Programmen (alphabetisch) (Avast, Dr. Web, F-Secure, Ikarus und Kaspersky) sowie die Lösungen von Lookout und Zoner, die auf Mobilgeräte spezialisierte Programme liefern. Diese Programme identifizierten über 90 Prozent der Bedrohungen. 65 bis 90 Prozent der Malware werden von Scannern der Hersteller (alphabetisch) AegisLab, AVG, Bitdefender, ESET, Norton/Symantec, QuickHeal, Super Security, , Trend Micro, Vipre/GFI und Webroot erkannt. Detaillierte Informationen zum Test gibt auf der Website von AV-Test [http://www.av-test.org/tests/android/]. 10. Secunias Personal Software Inspector: Freeware sucht nach alter Software Wer wissen möchte, ob all seine Programme auf dem neuesten Stand sind oder eventuell hier und da ein Update nötig ist, dem empfiehlt heise security [http://www.heise.de/security/meldung/Vereinfachtes-Stopfen-von-Sicherheitsluecken-1443821.html] und das Bundesamt für Sicherheit in der Informationestechnik [https://www.bsi.bund.de/ContentBSI/Themen/Cyber-Sicherheit/Empfehlungen/produktkonfiguration/BSI-E-CS-001.html] in seinen Empfehlungen für PCs unter Microsoft Windows - für Privatanwender das für Privatanwender kostenlose Tool Personal Software Inspector (PSI) von Secunia. Der PSI überprüft Windows-Rechner auf Sicherheitslücken im Betriebssystem und in installierten Anwendungen. Das Programm durchsucht dabei Verzeichnisse nur nach ausführbaren Dateien, laut heise security bleiben persönliche Einstellungen unangetastet. Nach erfolgtem Scan lädt das Programm fehlende Aktualisierungen herunter oder bietet dem Anwender Links zu Aktualisierungen an. Der PSI kann von der Secunia-Website [http://secunia.com/vulnerability_scanning/personal/] heruntergeladen werden. ----------------------------------------------------------------------- Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14 Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit und Richtigkeit nicht übernommen werden. Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de |
Seiten mit Postings: | - SICHER • INFORMIERT vom 15.03.2012 - | zum Seitenanfang |
|
Version 3.1 | Load: 0.001838 | S: 1_2 |