GREENHORN COMPUTER-FORUM - Freundliche Hilfe für PC-Einsteiger und Fortgeschrittene

    

 · Home · Impressum & Datenschutz · Suche

Seiten mit Postings:

zum Seitenende

 Forum Index —› PC Sicherheit —› SICHER • INFORMIERT vom 15.03.2012
 


Autor Mitteilung
Nubira
Moderator

Beiträge: 15134


Gesendet: 16:15 - 15.03.2012

SICHER o INFORMIERT
Der Newsletter von www.buerger-cert.de
Ausgabe vom 15.03.2012
Nummer: NL-T12/0005

Die Themen dieses Newsletters:
1. Unerwünschte Betrachter: Android- und iOS-Smartphones erlauben fremden Zugriff auf Fotos 2. Spieler-Daten veröffentlicht: Hacker-Angriff auf Browser-Game-Anbieter Gamigo 3. Gefälschtes Windows: Microsoft warnt vor gefälschter Software 4. Mehr Sicherheit: Apple veröffentlicht iOS 5.1 und iTunes 10.6 5. Dreifach-Update: Google schließt erneut Sicherheitslücken in Chrome 17 6. Flash-Player aktualisiert: Kritische Sicherheitslücken geschlossen 7. Microsoft-Patchday: Schwachstellen in Windows beseitigt 8. 83 Sicherheitslücken geschlossen: Safari-Version 5.1.4 veröffentlicht 9. Android-Antivirenprogramme im Test: Nur wenige schützen umfassend 10. Secunias Personal Software Inspector: Freeware sucht nach alter Software

EDITORIAL
Guten Tag,
an Meldungen zur Bedrohung der IT-Sicherheit im Zusammenhang mit
Smartphones mangelt es dieser Tage nicht, wie dieser Newsletter zeigt.
Mal sind es Versäumnisse der Software- und Geräte-Hersteller, mal sind es
Angriffe durch Cyberkriminelle, die aufhorchen lassen. In dieser Lage
wächst die Verantwortung des Anwenders: Die Sicherheit privater Daten
steht und fällt mit dem persönlichen Engagement für diese Sicherheit.
Technische Systeme können dieses Engagement ergänzen, aber nie ganz
ersetzen.
Mehr Infos zu diesem Thema sowie weitere Meldungen rund um die Sicherheit
im WWW finden Sie wie immer in unserem Newsletter. Spannende Lektüre und
sichere Stunden im globalen Netz wünscht Ihnen
Ihr BUERGER-CERT-Team

STÖRENFRIEDE
1. Unerwünschte Betrachter: Android- und iOS-Smartphones erlauben fremden
Zugriff auf Fotos

Berichten der New York Times zufolge, sind auf
Android-Smartphones [http://bits.blogs.nytimes.com/2012/03/01/android-photos/]
und
iPhones [http://bits.blogs.nytimes.com/2012/02/28/tk-ios-gives-developers-access-to-photos-videos-location/?ref=technology]
gespeicherte Fotos nicht ausreichend vor dem Zugriff Dritter geschützt.
Möchte eine iPhone-App auf Fotos zugreifen, braucht sie die Zustimmung
des Anwenders. Allerdings fragt das System nur nach der Zustimmung für
den Zugriff auf Ortungsdienste – die benötigen viele Foto-Apps, um
Ortsangaben in den Fotos zu speichern. Dass durch die Erlaubnis zur
Ortung eine App gleichzeitig Zugriff auf alle gespeicherten Fotos
bekommt, wird dem Anwender nicht angezeigt.
Bei Android-Smartphones können alle Apps ohne explizite Zustimmung auf
Fotos zugreifen. Ist die App dann noch mit dem Internet verbunden, ist
ein Missbrauch der Daten grundsätzlich möglich. Android-Entwickler Google
hat der New York Times zugesichert, die Schwachstelle zu beheben. Laut
golem.de sind derzeit keine Anwendungen bekannt, die unter
iOS [http://www.golem.de/news/iphone-trick-gibt-apps-zugriff-auf-alle-gespeicherten-fotos-1202-90125.html]
oder
Android [http://www.golem.de/news/sicherheitsrisiko-in-android-anwendungen-koennen-auf-alle-fotos-zugreifen-1203-90215.html]
die Schwachstellen ausnutzen.

2. Spieler-Daten veröffentlicht: Hacker-Angriff auf Browser-Game-Anbieter
Gamigo

Der Anbieter von Browser-Spielen
Gamigo [https://de.gamigo.com/] aus Hamburg ist Ziel eines
Hackerangriffs geworden. Dies teilte Gamigo registrierten Anwendern per
E-Mail mit, berichtet u.a.
golem.de [http://www.golem.de/news/browsergames-hack-bei-gamigo-1203-90209.html].
Demnach konnten Unbefugte auf Benutzernamen, verschlüsselte Passwörter
und eventuell weitere personenbezogene Daten zugreifen. Die Daten wurden
teilweise in einem Gamigo-Forum veröffentlicht. Ein weiterer Missbrauch
ist bislang nicht bekannt. Bei Gamigo-Spielen können Anwender ihre
Spielercharaktere gegen Bezahlung weiterentwickeln. Die Daten zu den
Spielercharakteren seien gesichert worden. Die Passwörter aller
registrierten Anwender wurden zurückgesetzt, die Anwender wurden
aufgefordert, neue Zugangsdaten anzulegen.

3. Gefälschtes Windows: Microsoft warnt vor gefälschter Software

Microsoft warnt in einer
Pressemitteilung [http://www.microsoft.com/germany/newsroom/pressemitteilung.mspx?id=533499]
Anwender vor gefälschten Produkten. Demnach hat der in Berlin ansässige
Webshop softwarebilliger.de in der Vergangenheit womöglich tausende
gefälschte Microsoft-Programme vertrieben, darunter Fälschungen der
Betriebssysteme Windows 7 und XP. Trotz des Einschreitens der
Justizbehörden, werden laut Microsoft auch aktuell vereinzelt noch
gefälschte Programme über den Shop verkauft.
Microsoft empfiehlt Kunden, die über softwarebilliger.de
Microsoft-Produkte erworben haben, diese von Microsoft kostenlos auf ihre
Echtheit überprüfen zu lassen. Hierzu müssen der Datenträger, sämtliche
Unterlagen über den Erwerb und eine eidesstattliche Versicherung über den
Erwerbsvorgang beigefügt werden. Genaue Informationen erhalten Anwender
unter
microsoft.de/pid [http://www.microsoft.com/germany/piraterie/pidservice.mspx].

SCHUTZMASSNAHMEN
4. Mehr Sicherheit: Apple veröffentlicht iOS 5.1 und iTunes 10.6

Updates für Apples mobiles Betriebssystem iOS und den Mediaplayer iTunes
schließen insgesamt über 90 Schwachstellen. Die meisten
Sicherheitslücken [http://support.apple.com/kb/HT5191] entfallen dabei
auf iTunes und das darin enthaltene WebKit. Viele der Sicherheitslücken
betreffen auch iOS, das Betriebssystem für iPhone, iPad und iPod Touch,
und sind in der neuen Betriebssystem-Version iOS
5.1 [http://support.apple.com/kb/HT5192] geschlossen worden. Die Lücken
können es einem Angreifer ermöglichen, eingeschleusten Code auszuführen.
Die Aktualisierung auf iOS 5.1 und iTunes 10.6 ist über die
Apple
Softwareaktualisierung [http://support.apple.com/kb/HT4623?viewlocale=de_DE]
möglich.

5. Dreifach-Update: Google schließt erneut Sicherheitslücken in Chrome 17

Innerhalb weniger Tage hat Google drei Updates für seinen Browser Chrome
veröffentlicht. Version
17.0.963.65 [http://googlechromereleases.blogspot.com/2012/03/chrome-stable-update.html]
für Windows, Mac und Linux schließt 17 Schwachstellen. Die neuesten
Updates auf die Versionen
17.0.963.78 [http://googlechromereleases.blogspot.com/2012/03/chrome-stable-channel-update.html]
und
17.0.963.79 [http://googlechromereleases.blogspot.com/2012/03/chrome-stable-update_10.html]
für Windows, Mac, Linux und Chrome Frame schließen Sicherheitslücken, die
IT-Experten während des Google-eigenen Hacker-Wettbewerbs
Pwnium [https://pwnium.appspot.com/] aufgedeckt hatten.
Das Bürger-CERT
empfiehlt [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T12-0018]
die neueste Google-Chrome-Version umgehend zu installieren.

6. Flash-Player aktualisiert: Kritische Sicherheitslücken geschlossen

Der Softwarehersteller Adobe hat seinen Flash-Player aktualisiert. Damit
werden zwei vom Unternehmen als „kritisch“ eingestufte
Sicherheitsrisiken [http://www.adobe.com/support/security/bulletins/apsb12-05.html]
beseitigt. Die Schwachstellen können zum Absturz des Programms führen und
von Angreifern ausgenutzt werden, um die Kontrolle über Anwender-Systeme
zu erlangen. Aktualisiert werden sollten folgende Programmversionen:
Adobe Flash Player 11.1.102.62 und ältere Versionen für Windows,
Macintosh, Linux
Adobe Flash Player 11.1.115.6 und ältere Versionen für Android 4.x
Adobe Flash Player 11.1.111.6 und ältere Versinen für Android 3.x und 2.x
Das Update kann kostenlos über die
Adobe-Website [http://get.adobe.com/de/flashplayer/]
bezogen werden. Android-Anwender können die aktuelle Version über Google
Play (vormals Android Market) oder über die im Programm integrierte
Updatefunktion beziehen.

7. Microsoft-Patchday: Schwachstellen in Windows beseitigt

Microsoft hat an seinem monatlichen Patchday sechs
Sicherheitsupdates
veröffentlicht [http://technet.microsoft.com/en-us/security/bulletin/ms12-mar].
Ein Patch betrifft eine als kritisch eingestufte Schwachstelle in allen
Windows-Versionen ab XP Service-Pack 3, einschließlich der
Server-Ausgaben. Angreifer könnten die Schwachstelle ausnutzen, um über
das Internet auf Anwender-Rechner zuzugreifen. Betroffen sind auch die
Programme Visual Studio 2008 und 2010 sowie die Grafikanwendung
Expression Design , die eine unerwünschte Ausweitung der Benutzerrechte
ermöglichen.
Das Herunterladen und die Installation der Aktualisierungen erfolgt für
Windows-Systeme am einfachsten über die Aktivierung von automatischen
Updates im Microsoft Sicherheitscenter oder über einen Besuch der
„Windows Update“-Webseite [http://www.windowsupdate.com/].

8. 83 Sicherheitslücken geschlossen: Safari-Version 5.1.4 veröffentlicht

Apple hat seinen Browser Safari für Mac- und Windows-Systeme
aktualisiert. Neben Anpassungen in der Funktionalität bringt das Update
83 Patches zur Schließung von Sicherheitslücken. Dem
Bürger-CERT
zufolge [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T12-0019]
können Angreifer diese Schwachstellen ausnutzen, um beliebigen Code mit
den Rechten des angemeldeten Benutzers auszuführen. Damit könnte er das
Gerät zum Absturz bringen (Denial-of-Service-Attacke),
Sicherheitsfunktionen umgehen, den Anwender täuschen oder sensible
Informationen offenlegen und manipulieren. Anwender müssten dazu eine
manipulierte Webseite im Safari-Browser öffnen. Sie könnten
beispielsweise in einer E-Mail zum Öffnen einer solchen Webseite
aufgefordert werden. Eine detaillierte Auflistung der behobenen
Schwachstellen stellt Apple im Internet
bereit [http://support.apple.com/kb/HT5190]. Safari 5.1.4 kann kostenlos
über das integrierte Softwareupdate von Mac OS X oder über die
Website von
Apple [http://www.apple.com/de/safari/download/] heruntergeladen werden.

PRISMA
9. Android-Antivirenprogramme im Test: Nur wenige schützen umfassend

Das Magdeburger Institut AV-Test hat 41 Virenscanner für
Android-Betriebssysteme
getestet [http://www.av-test.org/tests/android/]. Im Fokus stand dabei
die Untersuchung der Fähigkeit, Bedrohungen zu erkennen. Laut AV-Test
taugen knapp zwei Drittel der Programme nicht als zuverlässige Wächter:
Sie erkennen weniger als 65 Prozent der 618 getesteten Schadprogramme.
Zur Spitzengruppe gehören die Produkte der bekannten Hersteller von
Antiviren-Programmen (alphabetisch) (Avast, Dr. Web, F-Secure, Ikarus und
Kaspersky) sowie die Lösungen von Lookout und Zoner, die auf Mobilgeräte
spezialisierte Programme liefern. Diese Programme identifizierten über 90
Prozent der Bedrohungen. 65 bis 90 Prozent der Malware werden von
Scannern der Hersteller (alphabetisch) AegisLab, AVG, Bitdefender, ESET,
Norton/Symantec, QuickHeal, Super Security, , Trend Micro, Vipre/GFI und
Webroot erkannt. Detaillierte Informationen zum Test gibt auf der
Website von
AV-Test [http://www.av-test.org/tests/android/].

10. Secunias Personal Software Inspector: Freeware sucht nach alter
Software

Wer wissen möchte, ob all seine Programme auf dem neuesten Stand sind
oder eventuell hier und da ein Update nötig ist, dem empfiehlt
heise
security [http://www.heise.de/security/meldung/Vereinfachtes-Stopfen-von-Sicherheitsluecken-1443821.html]
und das Bundesamt für Sicherheit in der
Informationestechnik [https://www.bsi.bund.de/ContentBSI/Themen/Cyber-Sicherheit/Empfehlungen/produktkonfiguration/BSI-E-CS-001.html]
in seinen Empfehlungen für PCs unter Microsoft Windows - für
Privatanwender das für Privatanwender kostenlose Tool Personal Software
Inspector (PSI) von Secunia. Der PSI überprüft Windows-Rechner auf
Sicherheitslücken im Betriebssystem und in installierten Anwendungen. Das
Programm durchsucht dabei Verzeichnisse nur nach ausführbaren Dateien,
laut heise security bleiben persönliche Einstellungen unangetastet. Nach
erfolgtem Scan lädt das Programm fehlende Aktualisierungen herunter oder
bietet dem Anwender Links zu Aktualisierungen an. Der PSI kann von der
Secunia-Website [http://secunia.com/vulnerability_scanning/personal/]
heruntergeladen werden.




-----------------------------------------------------------------------
Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14 Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit und Richtigkeit nicht übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de

Seiten mit Postings:

- SICHER • INFORMIERT vom 15.03.2012 -

zum Seitenanfang



 Forum Index —› PC Sicherheit —› SICHER • INFORMIERT vom 15.03.2012
 



Version 3.1 | Load: 0.001838 | S: 1_2