SICHER o INFORMIERT
-------------------
Der Newsletter des Bürger-CERT
Ausgabe vom 27.11.2014
Nummer: NL-T14/0024

Die Themen dieses Newsletters:
1. Android: Schadsoftware tarnt sich als Sicherheits-Patch
2. Adobe: Sicherheitsupdate für Adobe Flash Player
3. Drupal: Zwei Sicherheitslücken geschlossen
4. Wordpress: Sicherheitsupdate für Blogger-Software
5. Smart Home: "Offen wie ein Scheunentor"?
6. AV-Programme: Schlechter Selbstschutz
7. Adventskalender: Argus' Adventstagebuch

EDITORIAL
Guten Tag,

in unzähligen Science-Fiction-Filmen haben wir gesehen, wie wir in
Zukunft wohnen werden. Jedenfalls, wenn es nach der Fantasie von
Drehbuchautoren geht. Was bisher eher nach Fiction als nach Science
aussah, wird mit Smart Home nun auch Wirklichkeit. "Intelligente"
Steckdosen, Heizungsanlagen und Bewegungssensoren halten immer öfter
Einzug in Häuser und Wohnungen.
Mit Smart Home öffnet sich jedoch ein privater Rückzugsraum dem Internet
– und damit auch Datensammlern und Online-Kriminellen. "Offen wie ein
Scheunentor" stünde das Private, konstatiert die Süddeutsche Zeitung. So
sei es möglich, andere buchstäblich im Dunkeln sitzen zu lassen, indem
man ihnen einfach den Strom sperrt.

Diese und weitere Meldungen rund um die Sicherheit im WWW finden Sie wie
immer in unserem Newsletter. Spannende Lektüre und sichere Stunden im
globalen Netz wünscht Ihnen

Ihr Buerger-CERT-Team

STÖRENFRIEDE
1. Android: Schadsoftware tarnt sich als Sicherheits-Patch

Das Sicherheitsunternehmen Lookout
warnt [https://blog.lookout.com/de/2014/11/19/notcompatible/#more-1237]
vor einer Weiterentwicklung der seit 2012 bekannten Android-Malware
NotCompatible. Sei NotCompatible.A noch einfach gestrickt gewesen,
erreiche NotCompatible.C ein "Schadensniveau von PC-Malware", so Lookout.
Die Schadsoftware muss vom Android-Nutzer installiert werden, die in
einigen Fällen aufgefordert wurden, ein „Sicherheits-Patch“ zu
installieren. Die Aufforderung stand zwar in Spam-Mail, dennoch sind
offenbar viele Nutzer dem Aufruf gefolgt.
Das BSI rät in diesem Zusammenhang erneut dazu, Links in Post
zweifelhafter Herkunft nicht zu folgen und Dateianhänge nicht zu öffnen.

SCHUTZMASSNAHMEN
2. Adobe: Sicherheitsupdate für Adobe Flash Player

Adobe schließt eine
Sicherheitslücke https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T14-0109,
die es einem Angreifer über das Internet ermöglicht, beliebige Befehle
und Programme auszuführen. Es ist Adobes zweiter Anlauf, die Lücke zu
schließen.

3. Drupal: Zwei Sicherheitslücken geschlossen

Drupal ist ein häufig verwendetes, quelloffenes Redaktionssystem. Die
Entwicklergemeinde hat nun zwei
Sicherheitslücken https://www.drupal.org/SA-CORE-2014-006 von Drupal 7
geschlossen. Eine der beiden Lücken ermöglicht Angreifern, Benutzerrechte
zu übernehmen. Von dieser ist auch Drupal 6 betroffen.

4. Wordpress: Sicherheitsupdate für Blogger-Software

Das unter Bloggern beliebte Wordpress hat ein
Sicherheitsupdate
erhalten http://www.heise.de/security/meldung/Kritische-Cross-Site-Scripting-Luecke-in-WordPress-geschlossen-2462051.html.
Dieses schließt acht Sicherheitslücken, von denen eine ein sogenanntes
Cross-Site-Scripting zulässt. Mithilfe von Cross-Site-Scripting ist es
unter anderem möglich, ein Benutzerkonto zu übernehmen.

PRISMA
5. Smart Home: "Offen wie ein Scheunentor"?

Die eigenen vier Wände sind ein Rückzugsort ins Private. Wenn Steckdosen
und Heizungen unter dem Begriff "Smart Home" mit dem Internet verbunden
werden, könnte das jedoch anders werden. Denn neben praktischem Nutzen
bietet Smart Home Angriffsflächen für Hacker und Virenprogrammierer
ebenso wie eine Fundgrube an Daten für die Industrie. Ein Test habe
ergeben, dass sich die Systeme bislang nur einen niedrigen oder sehr
niedrigen Schutz bieten würden, schreibt die Süddeutsche
Zeitung http://www.sueddeutsche.de/digital/sicherheit-von-smart-home-offen-wie-ein-scheunentor-1.2227389.

6. AV-Programme: Schlechter Selbstschutz

Jedes Computer-Programm ist fehlerhaft, und potenziell lässt sich jeder
Fehler von Angreifern ausnutzen. Auch Anti-Viren-Programme sind demnach
fehlerhaft geschrieben und müssen sich vor der Ausnutzung solcher
potenziellen Lücken schützen. Für diese Art Selbstschutz wurden vor zehn
Jahren Schutztechniken entwickelt, die auch heute noch aktuell sind. Das
Institut AV-Test in Magdeburg hat nun festgestellt, dass
nur wenige AV-Programme die Mechanismen im vollen Umfang
nutzen http://www.av-test.org/de/news/news-single-view/selbstschutz-fuer-antiviren-software/.

7. Adventskalender: Argus' Adventstagebuch

Sicher kennen Sie Argus, unser Maskottchen. Argus hat eingewilligt, über
die kommende Adventszeit Einblick in sein Tagebuch zu bieten und zwar auf
BSI-fuer-Buerger.de https://www.BSI-fuer-Buerger.de
ebenso wie auf
Facebook http://www.facebook.com/bsi.fuer.buerger.
Argus hat uns schon verraten, dass er vorhat, ein paar Weihnachtsmärkte
auszuprobieren (Hunde mögen Glühwein und Bratwurst; wir meinen aber, Sie
sollten Ihrem Hund trotzdem etwas anderes geben), Urlaub zu buchen (Hunde
mögen kein Silvester) und IT-technisch aufzurüsten. Wir sind sicher, dass
er damit auch die IT-Sicherheit meint, selbst wenn er das so nicht gesagt
hat. Er heißt schließlich nicht umsonst Argus, ist also wachsam.
Andererseits, wenn wir uns an das Nudel-Unglück von vor zwei Wochen
erinnern ...; also Sie werden ja sehen: Begleiten Sie Argus einfach ab
dem 1. Dezember durch den Advent.




-----------------------------------------------------------------------
Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot
des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14
Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und
aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit
und Richtigkeit nicht übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de