SICHER o INFORMIERT
Der Newsletter von www.buerger-cert.de
Ausgabe vom 18.07.2013
Nummer: NL-T13/0015

Die Themen dieses Newsletters:
1. Apps mit Schadcode: Sicherheitslücke in allen Android-Versionen
2. D-LINK: Sicherheitslücke in WLAN-Routern und IP-Kameras
3. Steuererstattung?: Betrügerische Mails im Namen des Bundeszentralamts für Steuern
4. Phishing: Nachgebauter Prepaid-Aufladeservice von Vodafone
5. Systemeinbruch: Opera veröffentlicht neue Version des Opera Browsers
6. IrfanView: Neue Version schließt mehrere Sicherheitslücken
7. Patchdays: Adobe und Microsoft schließen zahlreiche Schwachstellen
8. Tag der offenen Tür der Bundesregierung: BSI informiert Bürger
9. Mehr Sicherheit in App-Stores: Microsoft führt neue Sicherheitsrichtlinien ein

EDITORIAL
Guten Tag,
IT- und Internetnutzer müssen in diesen Tagen wieder viele Löcher in
ihrer Software stopfen. Neben den regelmäßigen Patchdays, wie zum
Beispiel Microsoft und Adobe sie monatlich durchführen, gilt es eine
ganze Reihe weiterer aktueller Sicherheitslücken zu schließen. Zu den
betroffenen Produkten gehört der Opera-Browser, das mobile Betriebssystem
Android sowie Router und IP-Kameras der Firma D-LINK.
Wer den Sommerurlaub ohne PC, Tablet oder Smartphone verbringt, kann
daher schnell einige Updates verpassen. Das Bürger-CERT empfiehlt
Urlaubern deswegen nach der Rückkehr zu prüfen, ob alle Geräte noch dem
aktuellen Stand der Sicherheit entsprechen. Falls nicht: Installieren Sie
verpasste Sicherheitsupdates für Ihr Betriebssystem, Ihr
Virenschutzprogramm, Ihre Firewall oder andere Software sofort nach.
Diese und weitere Meldungen rund um die Sicherheit im WWW finden Sie wie
immer in unserem Newsletter. Spannende Lektüre und sichere Stunden im
globalen Netz wünscht Ihnen
Ihr Buerger-CERT-Team

STÖRENFRIEDE
1. Apps mit Schadcode: Sicherheitslücke in allen Android-Versionen

In Googles mobilem Betriebssystem Android ist eine Sicherheitslücke
entdeckt worden, die die Sicherheitsfirma
Bluebox http://bluebox.com/corporate-blog/bluebox-uncovers-android-master-key/
Anfang Juli öffentlich machte. Darüber können Unbefugte Schadcode in eine
App einfügen, ohne dass sich die kryptographische Signatur ändert.
Eigentlich soll das System in einem solchen Fall darauf hinweisen, dass
der Code der Datei verändert wurde.
Wird die manipulierte App vom Nutzer installiert, erhält der Angreifer
Zugriff auf das Gerät und kann dabei all das tun, was die ursprüngliche
App ebenfalls kann, berichtet Bluebox. Das Gefahrenpotenzial hängt also
maßgeblich davon ab, welche App manipuliert wurde.
Das Bürger-CERT empfiehlt grundsätzlich, Apps nur aus dem offiziellen
Google Play-Store zu installieren. Die dort angebotenen Apps sind nicht
betroffen.
Google hat nach eigenen Angaben die Sicherheitslücke mittlerweile
geschlossen und ein entsprechendes Firmware-Update für Android an seine
Herstellungspartner verteilt, berichtet
ZDNet http://www.zdnet.de/88161552/google-schliest-kritische-lucke-in-android-app-verifizierung.
Einige Partner wie Samsung lieferten den Fix bereits an ihre Kunden aus.
Nutzer müssen das angebotene Update dann nur noch installieren.

2. D-LINK: Sicherheitslücke in WLAN-Routern und IP-Kameras

Das Bürger-CERT hat vor einer Sicherheitslücke in Routern und IP-Kameras
der Firma D-LINK gewarnt. Die Geräte weisen eine Schwachstelle bei der
Verarbeitung von präparierten Universal-Plug-and-Play (uPNP) Befehlen
auf. Ein Angreifer kann dies ausnutzen, um beliebige Befehle auf dem
Router bzw. auf der IP-Kamera auszuführen. Die Schwachstelle lässt sich
mithilfe von JavaScript automatisiert ausnutzen, was sie besonders
gefährlich macht.
Das Bürger-CERT empfiehlt die zeitnahe Installation der vom Hersteller
bereitgestellten Sicherheitsupdates. Diese liegen jedoch bisher nur für
einige betroffene Router vor. In den anderen Fällen sollten Nutzer die
uPNP-Funktionalität deaktivieren. Nutzer der betroffenen IP-Kameras
sollten ebenfalls Firmware-Updates installieren, um eine Ausnutzung der
Schwachstelle zu verhindern. Weitere Informationen und ein Übersicht über
die betroffenen Modelle finden Nutzer auf der Webseite des
Bürger-CERT [url]https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T13-0047
UPDATE 1[/url].

3. Steuererstattung?: Betrügerische Mails im Namen des Bundeszentralamts für Steuern

Momentan kursieren Phishing-Mails, in denen sich Betrüger als das
Bundeszentralamt für Steuern (BZSt) ausgeben. Die Mails geben vor, die
betroffenen Bürger hätten zuviel Einkommensteuer gezahlt. Um diese nun
zurückzuerhalten, müsse ein in der E-Mail angehängtes Antragsformular
ausgefüllt werden, bei dem unter anderem Angaben zu Kontoverbindung sowie
zu Kreditkarte inklusive Sicherheitscode gemacht werden sollen.
Das
BZSt http://www.bzst.de/DE/Ueber_Uns/Presse/Pressemitteilungen/pressemitteilung_2013_07_15.html
warnt davor, auf solche oder ähnliche E-Mails zu reagieren, und erklärt,
dass Benachrichtigungen über Steuererstattungen nicht per Mail verschickt
und Kontoverbindungen nie in dieser Form abgefragt werden. Zuständig für
die Rückerstattung von überzahlten Steuern sei zudem nicht das BZSt,
sondern das jeweils zuständige Finanzamt.

4. Phishing: Nachgebauter Prepaid-Aufladeservice von Vodafone

Heise
Security http://www.heise.de/security/meldung/Phisher-bauen-Prepaid-Aufladeservice-von-Vodafone-nach-1915412.html
berichtet über eine neue Phishing-Masche. Dabei hatten Betrüger Vodafones
Aufladeservice für Prepaid-Telefone nachgebaut und versendeten E-Mails
mit einem „Sommerangebot“, das beim Kauf von Guthaben einen Bonus in Höhe
von bis zu 200 Prozent versprach. Wer die in der E-Mail angegebene
Webseite besuchte, wurde zur Eingabe seiner Kreditkartendaten
aufgefordert. Die betrügerische Webseite ist zwar mittlerweile offline.
Nachahmer lassen aber vermutlich nicht lang auf sich warten. Tipps gegen
Phishingversuche finden Sie auf der Webseite BSI für
Bürger https://www.bsi-fuer-buerger.de/BSIFB/DE/GefahrenImNetz/Phishing/phishing.html.

SCHUTZMASSNAHMEN
5. Systemeinbruch: Opera veröffentlicht neue Version des Opera Browsers

Opera, Anbieter des gleichnamigen Webbrowers, berichtete über einen
Einbruch in sein Netzwerk. Bei dem Angriff wurde ein digitales Zertifikat
zur Signierung von Software kompromittiert, Schadsoftware damit signiert
und diese über die Autoupdate-Server von Opera verbreitet. Da ein
weiterer Missbrauch des kompromittierten Zertifikats nicht ausgeschlossen
werden kann, hat Opera nun eine mit einem neuen digitalen Zertifikat
signierte Version des Browsers veröffentlicht. Das
Bürger-CERT https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T13-0046
empfiehlt Anwendern des Opera Browsers in Version 12.x die zeitnahe
Installation des vom Hersteller bereitgestellten Sicherheitsupdates
12.16.

6. IrfanView: Neue Version schließt mehrere Sicherheitslücken

Das Bildbetrachtungsprogramm IrfanView liegt jetzt in der Version 4.36
vor. Mit dem Update schließt der Hersteller Sicherheitslücken, die bei
der Verarbeitung von präparierten Bilddateien in den Formaten ANI
(Windows Animated Cursor Format), DCX (mehrseitige PCX-Bilder, z. B.
Faxseiten) und FPX (FlashPix, Format zur Speicherung mehrerer Größen
eines Bildes) ausgenutzt werden können. Nutzer sollten die aktuelle
IrfanView-Version, die auf der der Webseite des
Herstellers http://www.irfanview.com zur Verfügung steht, zeitnah
installieren.

7. Patchdays: Adobe und Microsoft schließen zahlreiche Schwachstellen

Adobe hat im Juli mehrere
Schwachstellen https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T13-0049
im Flash Player und dem Shockwave Player geschlossen. Ein entfernter,
anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen
Programmcode mit den Rechten des angemeldeten Benutzers auszuführen oder
das System zum Absturz zu bringen. (Denial of Service).
Microsoft hat mit sieben
Sicherheitsupdates [urlhttps://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T13-0048[/url]
34 Schwachstellen geschlossen. Betroffen sind Windows XP, Windows Vista,
Windows 7, Windows 8, Windows RT, Office, das .NET Framework, Windows
Defender, Silverlight und der Internet Explorer in den Versionen 6-10.
Das Bürger-CERT empfiehlt die zeitnahe Installation der von Microsoft und
Adobe bereitgestellten Sicherheitsupdates, um die Schwachstellen zu
schließen.

PRISMA
8. Tag der offenen Tür der Bundesregierung: BSI informiert Bürger

Die Bundesregierung lädt am 24. und 25. August 2013 unter dem Motto
"Einladung zum Staatsbesuch" in Berlin zum Tag der offenen Tür ein. Das
Bundesamt für Sicherheit in der Informationstechnik (BSI) ist wie in den
vergangenen Jahren mit einem
Informationsstand https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2013/Tag_der_offenen_Tuer_Berlin_10072013.html
beim Bundesministerium des Innern vertreten. Dort können sich
Interessierte über das Serviceangebot des BSI für private Computer- und
Internetnutzer informieren. Dabei stehen Themen wie sicheres Surfen im
Internet sowie die sichere Nutzung von sozialen Netzwerken im
Mittelpunkt. Zudem bietet das BSI Informationen über die sichere mobile
E-Mail- und Sprachkommunikation.

9. Mehr Sicherheit in App-Stores: Microsoft führt neue Sicherheitsrichtlinien ein

Microsoft hat die
Sicherheitsrichtlinien http://www.microsoft.com/security/msrc/app_management.aspx
überarbeitet, die für Apps im Windows Store, Windows Phone Store, Office
Store und Azure Marketplace gelten. Damit die Hersteller
Sicherheitslücken in den von Ihnen angebotenen Apps schnellstmöglich
schließen, setzt Microsoft ihnen nun eine Frist von 180 Tagen. Sollten
die Lücken bis dahin nicht geschlossen sein, behält sich Microsoft vor,
die App aus seinem Store zu entfernen. Werden Schwachstellen bereits
aktiv ausgenutzt, können auch kürzere Fristen gelten.




-----------------------------------------------------------------------
Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot
des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14
Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und
aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit
und Richtigkeit nicht übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de