SICHER o INFORMIERT
Der Newsletter von www.buerger-cert.de
Ausgabe vom 22.11.2012
Nummer: NL-T12/0023

Die Themen dieses Newsletters:
1. Accounts gehackt: Twitter setzt ungewollt zu viele Passwörter zurück
2. Konten leer geräumt: Handy-Trojaner fängt mTAN ab
3. Manipulierte Erweiterung: Malware stiehlt in Firefox gespeicherte Passwörter
4. Mehr Softwaresicherheit: BSI-App zeigt Schwachstellen auf und gibt Tipps
5. Microsoft-Patchday: Updates für Windows, Internet Explorer und Office
6. Adobe nun regelmäßig aktuell: Update-Zyklus an Microsoft-Patchday gekoppelt
7. Tool zum Schutz vor Tracking: Mit dem Internet Explorer unerkannt surfen
8. Skype behebt Fehler: Passwort-Wiederherstellung gesichert
9. Android 4.2 warnt vor bösartigen Apps: Prüfung vor der Installation
10. Version 17: Mozilla beseitigt Sicherheitslücken
11. Schwachstellen beseitigt: Opera Version 12.11
12. Jeder fünfte nutzt veralteten Browser: Updates werden zu spät installiert

EDITORIAL
Guten Tag,
ob auf dem mobilen Gerät oder dem PC zu Hause: Wer Angreifern nicht Tür
und Tor öffnen will, muss auf all seinen Geräten alle Programme stets auf
dem neuesten Sicherheitsstand halten. Dabei den Überblick zu bewahren ist
nicht einfach. Doch es gibt Hilfe. In Form einer App, mitentwickelt vom
BSI. Mehr Infos dazu sowie weitere Meldungen rund um die Sicherheit im
WWW finden Sie wie immer in unserem Newsletter. Spannende Lektüre und
sichere Stunden im globalen Netz wünscht Ihnen
Ihr BUERGER-CERT-Team

STÖRENFRIEDE
1. Accounts gehackt: Twitter setzt ungewollt zu viele Passwörter zurück

Der Kurznachrichtendienst Twitter hat tausende Passwörter für
Twitter-Accounts zurückgesetzt. Dies geht aus einem Eintrag
im offiziellen, englischsprachigen
Blog http://status.twitter.com/post/35275426563/password-reset-emails
hervor. Demnach wurden einige Konten gehackt und für den Versand von
Spam-Nachrichten verwendet. Die von Twitter eingeleiteten
Sicherheitsmaßnahmen führten jedoch dazu, dass auch Konten von sicheren
Accounts gesperrt wurden. Wie groß das Ausmaß des Hackerangriffs
tatsächlich ist, ist unklar. Anwender die keine Benachrichtigung über
eine Passwortsperre erhalten haben, können im aktuellen Fall davon
ausgehen, dass ihr Twitterkonto nicht gehackt wurde.

2. Konten leer geräumt: Handy-Trojaner fängt mTAN ab

Das Berliner Landeskriminalamt ermittelt in Betrugsfällen, bei denen
Bankkunden, die am SMS-TAN-/mTAN-Verfahren teilnehmen, Opfer von
betrügerischen Geldabbuchungen geworden sind. In allen Fällen wurde die
über SMS übermittelte mTAN für das Online-Banking abgefangen bzw.
umgeleitet. Betroffen waren laut einem
Polizeibericht http://www.berlin.de/polizei/presse-fahndung/archiv/377949/index.html
bislang Bankkunden, die ein Smartphone mit Android-Betriebssystem nutzen.
Die Täter verschaffen sich mittels eines Trojaners auf dem
Anwender-Computer Zugang zu dessen Online-Banking-Daten. Dem Bankkunden
wird dann ein Fenster mit der Aufforderung zu einem Sicherheitsupdate für
das mTAN-Verfahren angezeigt, für das die Mobilnummer und das
Smartphone-Modell angeben werden soll. Gibt der Anwender die Daten preis,
wird eine aktive SMS mit einem Link zum vermeintlichen Sicherheitsupdate
auf das Smartphone geschickt. Wird der Schadcode installiert, fangen die
Täter alle SMS ab, die eine mTAN enthalten. Die Täter können dann
Überweisungen vom Anwenderkonto tätigen. Die Polizei rät, vermeintlichen
Aufforderungen von Banken zu einem Sicherheitsupdate für Handys nicht zu
folgen, sondern zunächst bei der Bank nachzufragen.

3. Manipulierte Erweiterung: Malware stiehlt in Firefox gespeicherte Passwörter

Der Hersteller von Antiviren-Software Trend Micro berichtet
über eine neue Methode http://blog.trendmicro.de/https-und-ssl-keine-hindernisse-fuer-passteal/#.UKtRgaDhdDk, mit der sich Angreifer Zugangsdaten für Online-Dienste erschleichen. Dazu
wird die Passwort-Erweiterung PasswordFox für den Firefox-Browser
missbraucht. Ist die manipulierte Version namens Passteal einmal auf dem
Anwender-System installiert, sammelt sie alle Login-Daten aus dem Browser
– sogar von Websites, die gesicherte Verbindungen (SSL oder HTTPS)
verwenden. Die Daten werden dann an einen entfernten Server geschickt.
Anwender können sich schützen, indem sie Zugangsdaten nicht im Browser
speichern. Auch das Löschen aller Daten aus dem Zwischenspeicher (Cache)
nach Beenden der Internet-Sitzung schützt vor Datendiebstahl. Auf der
Website BSI-FUER-BUERGER finden sie weitere Informationen zur
Wahl sicherer
Passwörter https://www.bsi-fuer-buerger.de/BSIFB/DE/MeinPC/Passwoerter/passwoerter_node.html
und zu den empfehlenswerten Sicherheitseinstellungen für
verschiedene
Browser https://www.bsi-fuer-buerger.de/BSIFB/DE/SicherheitImNetz/WegInsInternet/DerBrowser/derbrowser_node.html.

SCHUTZMASSNAHMEN
4. Mehr Softwaresicherheit: BSI-App zeigt Schwachstellen auf und gibt Tipps

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das
Institut für Internet-Sicherheit der Westfälischen Hochschule in
Gelsenkirchen haben die App „securityNews“ für mobile Geräte aktualisiert
und mit der
BSI-Schwachstellenampel https://www.cert-bund.de/schwachstellenampel
ausgestattet. Die App bietet Internetnutzern neben Sicherheitshinweisen
einen Überblick zu aktuellen Gefahren im Netz und empfiehlt wirksame
Gegenmaßnahmen. Die enthaltene Schwachstellenampel des BSI warnt vor
Sicherheitslücken in gängigen Programmen. Anwender können damit erkennen,
bei welcher Software noch keine Sicherheits-Updates zur Verfügung stehen.
Zu jeder Standardsoftware zeigt die Ampel die Anzahl und Schwere der
Sicherheitslücken auf. Darüber hinaus hilft die App mit aktuellen
Sicherheitshinweisen, die Sicherheitslücke zwischen dem Eintritt eines
Risikos und dem Einspielen der Updates zu schließen.
Die kostenfreie App „securityNews“ steht sowohl für Apple-Geräte wie
iPhone und iPad als auch für Android-Smartphones und Tablets in den
jeweiligen App-Stores zur Verfügung. Zusätzlich kann securityNews auch
als E-Mail-Service oder Web-App auf der Internetseite
www.it-sicherheit.de http://www.it-sicherheit.de
kostenfrei bezogen werden.

5. Microsoft-Patchday: Updates für Windows, Internet Explorer und Office

Microsoft stopft anlässlich des Patchdays im November in seinen
Programmen insgesamt 19 Sicherheitslücken verteilt auf sechs Pakete. Wie
aus einer Mitteilung Microsofts zum
Patchday http://technet.microsoft.com/de-de/security/bulletin/ms12-nov
hervorgeht, sind u.a. die Programme Windows in den Versionen XP bis 8,
Internet Explorer 9 und Microsoft Office 2003, 2007 und 2010 für Windows
sowie Microsoft Office 2008 und 2011 für Mac betroffen. Es wird empfohlen
die Updates so rasch es geht einzuspielen. Dies geschieht für Windows
Systeme am einfachsten über die Aktivierung von
automatischen Updates im Microsoft
Sicherheitscenter http://www.microsoft.com/de-de/security/default.aspx
oder über einen Besuch der „Windows Update“-Webseite http://www.windowsupdate.com/.

6. Adobe nun regelmäßig aktuell: Update-Zyklus an Microsoft-Patchday gekoppelt

Der Software-Hersteller Adobe vertreibt u.a. die Programme Flash-Player,
Acrobat und Adobe Reader. Aktualisierungen für diese von vielen Anwendern
genutzten Programme werden seit Anfang November an Microsofts
Patchday-Zeitplan gekoppelt. Dies berichtet
zdnet.de http://www.zdnet.de/88130587/adobe-gleicht-updatezyklus-an-microsofts-patchday-an/.
Microsoft veröffentlicht Aktualisierungen für seine Software am zweiten
Dienstag jedes Monats. Bis dato wurden Updates für Adobe-Produkte in
unregelmäßigen Abständen veröffentlicht.

7. Tool zum Schutz vor Tracking: Mit dem Internet Explorer unerkannt surfen

Microsoft und das Fraunhofer-Institut für Sichere Informationstechnologie
haben eine sogenannte Tracking-Schutzliste für den Internet Explorer 9
veröffentlicht. Die Liste schützt Anwender davor, dass Tracker, die
Bestandteil vieler in Deutschland beliebter Websites sind, das
Surfverhalten nachverfolgen können. Mit Hilfe der durch Tracker
gesammelten Daten können Webseitenbetreibern und Vermarkter umfangreiche
Profile von Internetnutzern erstellen. Verbindungen zu Trackern werden
bei Verwendung der Schutzliste nicht mehr aufgebaut. Die Schutzliste wird
automatisch als Erweiterung in den Explorer eingebettet und laufend
aktualisiert. Sie kann kostenlos über die Internet Explorer
Galerie
http://www.iegallery.com/de-de/Search?q=fraunhofer oder
direkt über die Website des Fraunhofer-Instituts für
Sichere
Informationstechnologie http://www.sit.fraunhofer.de/de/tpl.html
bezogen werden. Dort und auf der Website von
Microsoft http://www.microsoft.com/germany/newsroom/pressemitteilung.mspx?id=533636
sind zudem detaillierte Informationen zum Programm-Projekt verfügbar.

8. Skype behebt Fehler: Passwort-Wiederherstellung gesichert

Der Messenger-Dienst Skype hat eine schwere Sicherheitslücke geschlossen.
Darüber berichtet unter anderem das
pc-magazin.de http://www.pc-magazin.de/news/skype-account-klau-sicherheitsluecke-behoben-sicher-1445029.html.
Angreifer konnten im Passwort-Rücksetzungs-Prozess mit einem Trick die
Skype-Konten fremder Nutzer übernehmen. Deshalb hatte Skype die Funktion
vorübergehend deaktiviert, sein Passwort zurücksetzen zu können. Ehrliche
Nutzer, die ihr Passwort tatsächlich vergessen hatten, konnten kein neues
beantragen und mussten sich gedulden.

9. Android 4.2 warnt vor bösartigen Apps: Prüfung vor der Installation

Die aktuelle Android-Version 4.2 hat durch Google eine neue
Sicherheitsfunktion erhalten: Apps können vor der Installation auf
schädliche Eigenschaften hin überprüft werden. Damit will Google
laut
golem.de http://www.golem.de/news/android-4-2-google-erlaeutert-die-neue-app-pruefung-1211-95724.html
Smartphones und Tablets besser vor Schadsoftware schützen. Demnach ist
die Funktion „Apps verifizieren“ in Android 4.2 standardmäßig aktiviert.
Heruntergeladene Anwendungen werden vor der Installation überprüft. Vor
der Installation wird der Anwender gefragt, ob für die Sicherheitsprüfung
Daten an Google gesendet werden dürfen, darunter zur App gehörende URLs,
die Gerätenummer, die Nummer der verwendeten Android-Version, die
IP-Adresse sowie Cookies. Je nach Gefahreneinschätzung wird der Anwender
vor der Installation der App gewarnt oder die Installation wird
uneingeschränkt erlaubt oder gar nicht zugelassen.

10. Version 17: Mozilla beseitigt Sicherheitslücken

Mozilla hat in den aktuellen Versionen Firefox 17.0, Thunderbird 17.0 und
SeaMonkey 2.14 mehrere Schwachstellen beseitigt.
Die Schwachstellen ermöglichten einem entfernten Angreifer z.B. über
manipulierte Inhalte in Webseiten oder Mails z.B. Programmcode auf dem
Rechner des Nutzers auszuführen.
Anwender sollten zügig über die integrierte Updatefunktion des Browser
auf die aktuelle Version wechseln. Security Advisories for
Firefox: http://www.mozilla.org/security/known-vulnerabilities/firefox.html.
Security Advisories for
Thunderbird: http://www.mozilla.org/security/known-vulnerabilities/thunderbird.html.
Security Advisories for
SeaMonkey: http://www.mozilla.org/security/known-vulnerabilities/seamonkey.html.

11. Schwachstellen beseitigt: Opera Version 12.11

Der Hersteller Opera beseitigt in der Version 12.11 seines gleichnamigen
Browsers Schwachstellen die unter anderem die Ausführung von Programmcode
ermöglichen.
Anwender sollten über die Updatefunktion auf die aktuelle
Version 12.11 http://www.opera.com/docs/changelogs/unified/1211/
wechseln.

PRISMA
12. Jeder fünfte nutzt veralteten Browser: Updates werden zu spät
installiert

Der IT-Sicherheitsdienstleister Kaspersky hat analysiert, welche Browser
seine Kunde nutzen. Das Ergebnis: Fast ein Viertel der Nutzer arbeitet
mit veralteten Internet-Browsern, die große Lücken in der
Online-Sicherheit verursachen. So schreibt es Kaspersky auf
der eigenen Website. http://www.kaspersky.com/de/news?id=207566629
14,5 Prozent der Anwender würden die Vorgänger-Version des Browsers
nutzen, 8,5 Prozent nutzten eine noch ältere Version. Eine weitere
Erkenntnis: Die meisten Anwender brauchen über einen Monat, bis sie die
aktuelle Browser-Version installieren. Kaspersky weist darauf hin: „Es
gibt also Millionen potenziell angreifbare Geräte, die ständig durch neue
und bekannte Web-Bedrohungen angegriffen werden.“ Auf der
Website
BSI-FUER-BUERGER https://www.bsi-fuer-buerger.de/BSIFB/DE/SicherheitImNetz/WegInsInternet/DerBrowser/derbrowser_node.html
erfahren Sie, wie Ihren Browser auf dem aktuellsten Stand halten und
absichern können.




-----------------------------------------------------------------------
Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot
des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14
Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und
aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit
und Richtigkeit nicht übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de