GREENHORN COMPUTER-FORUM - Freundliche Hilfe für PC-Einsteiger und Fortgeschrittene |
|
Seiten mit Postings: | zum Seitenende |
|
Autor | Mitteilung |
Nubira Moderator Beiträge: 15134 | Gesendet: 17:52 - 11.12.2014 SICHER o INFORMIERT ------------------- Der Newsletter des Bürger-CERT Ausgabe vom 11.12.2014 Nummer: NL-T14/0025 Die Themen dieses Newsletters: 1. Apple: OS X Yosemite protokolliert Eingaben in Firefox und Thunderbird 2. Vodafone: Alte Sicherheitslücke wieder offen 3. Mozilla: Mehrere Sicherheitslücken in Firefox und Thunderbird behoben 4. Microsoft: Patchday lässt neue Lücke im Internet Explorer offen 5. Adobe: Sicherheitsupdate für Flash Player und Acrobat Reader 6. Apple: iOS 8.1.2 schließt Sicherheitslücken 7. Sicherheitssiegel: Mehr Schaden als Nutzen? 8. Wettbewerb: My Digital World 9. WhatsApp: Was der Online-Status über Nutzer verrät EDITORIAL Guten Tag, Sie verschlüsseln Ihre E-Mails, achten wo immer möglich auf eine https-Verbindung und Ihre Passwörter sind für andere unzugänglich? Prima. Dennoch ist es womöglich sehr einfach, zum Beispiel Ihre Passwörter auszuspionieren. Nämlich dann, wenn Sie einen Apple unter OS 10 Yosemite und Thunderbird oder Firefox verwenden. Die Sicherheitslücke ist geschlossen, was aber die automatisch erstellten Protokolldateien nicht löscht. Wenig erfreulich ist auch die Bescherung, dass in manchen Vodafone-Routern eine Sicherheitslücke Wiederauferstehung feiert, auf die das BSI bereits vor einem Jahr hinwies. Diese und weitere Meldungen rund um die Sicherheit im WWW finden Sie wie immer in unserem Newsletter. Unseren letzten Newsletter vor Weihnachten erhalten Sie am 23. Dezember. Bis dahin wünschen wir Ihnen eine spannende Lektüre und sichere Stunden im globalen Netz. Ihr Buerger-CERT-Team STÖRENFRIEDE 1. Apple: OS X Yosemite protokolliert Eingaben in Firefox und Thunderbird Apples Betriebssystem OS X 10.10 Yosemite notiert alle Eingaben, die der Nutzer in Firefox sowie Thunderbird tätigt und legt das Protokoll lokal im Verzeichnis /tmp ab https://www.bsi-fuer-buerger.de/BSIFB/DE/Wissenswertes_Hilfreiches/Service/Aktuell/Meldungen/Apple_Mozilla_protokolliert_Tastatureingaben_09122014.html. In dem Protokoll können somit auch private Daten wie Benutzernamen und Passwörter landen, die sich dort unverschlüsselt einsehen lassen. Diese Lücke hat zu einem Sicherheitsupdate geführt, (siehe Rubrik "Schutzmaßnahmen"), doch die Aktualisierung von Firefox und Thunderbird führt nicht dazu, dass die bestehenden Einträge gelöscht werden. Das BSI rät deshalb ebenso wie Mozilla dazu, die im /tmp-Verzeichnis liegenden Dateien, die mit "CGLog_" beginnen, von Hand zu löschen. 2. Vodafone: Alte Sicherheitslücke wieder offen Vor einem Jahr wies das BSI auf eine Sicherheitslücke in einigen Routern des Typs EasyBox der Firma Vodafone hin https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T13-0053. Nun ist die Lücke nach Angaben von Heise Security wieder da http://www.heise.de/security/meldung/Akute-Sicherheitsluecke-in-Vodafone-Routern-ist-wieder-offen-2294798.html. Viele der von Vodafone vertriebenen Standardrouter des Typs EasyBox ließen sich demnach "innerhalb von Sekunden knacken". Schutz bieten die vom BSI 2013 empfohlenen Maßnahmen: WPA-Passwort und WPS-PIN ändern, zudem WPS vollständig deaktivieren. SCHUTZMASSNAHMEN 3. Mozilla: Mehrere Sicherheitslücken in Firefox und Thunderbird behoben Mozilla hat Sicherheitslücken im Browser Firefox und Firefox ESR https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T14-0110 geschlossen. Auch das E-Mail-Programm Thunderbird hat ein Sicherheitsupdate erhalten. Die nun geschlossenen Lücken ermöglichten es Angreifern unter anderem, das System zum Absturz zu bringen oder Informationen auszuspähen. Unter OS X beendet das Update auch die Erstellung der unter "Störenfriede" erwähnten Protokolldateien. Anwender von Firefox, Firefox ESR und Thunderbird sollten die Aktualisierungen, sofern noch nicht geschehen, umgehend installieren. 4. Microsoft: Patchday lässt neue Lücke im Internet Explorer offen Microsoft letzter Patchday dieses Jahres beschert Anwendern unter anderem drei kritische Aktualisierungen https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T14-0111. Kurz vor Herausgabe des Updates wurde von Online-Kriminellen ein so genannter Zero-Day-Exploit im Internet zum Kauf angeboten, der Microsofts Internet Explorer betrifft. Zero-Day-Exploits sind neu entdeckte Sicherheitslücken, für die es noch keine Schutzmaßnahmen gibt. Dieses neue Sicherheitsleck ist von Microsoft am Patchday noch nicht geschlossen worden. Da das Update jedoch immerhin andere Lücken schließt, sollten Sie dieses dennoch installieren. 5. Adobe: Sicherheitsupdate für Flash Player und Acrobat Reader Adobe schließt mehrere Sicherheitslücken im Flash Player https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T14-0112 und Acrobat beziehungsweise Acrobat Reader https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T14-0113, die es einem Angreifer über das Internet ermöglicht, beliebige Befehle und Programme auszuführen und damit die Kontrolle über das betroffene System zu übernehmen. Adobe teilt ferner mit, dass für eine Schwachstelle im Flash Player bereits ein Exploit öffentlich bekannt ist, das heißt, dass online-Kriminellen Schadsoftware zur Ausnutzung der Sicherheitslücke zur Verfügung steht. 6. Apple: iOS 8.1.2 schließt Sicherheitslücken Apple veröffentlicht iOS 8.1.2, in dem mehrere Sicherheitslücken geschlossen werden https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T14-0106%20UPDATE%201, die von einem Angreifer aus dem Internet genutzt werden können, um Daten auf Ihrem System auszuspähen oder es zu übernehmen. Des Weiteren werden Sicherheitslücken geschlossen, die es einem lokalen Angreifer ermöglichen, Informationen auszuspähen. PRISMA 7. Sicherheitssiegel: Mehr Schaden als Nutzen? Sicherheitssiegel auf Webseiten sollen deren Vertrauenswürdigkeit signalisieren. Tatsächlich sind Seiten mit Sicherheitssiegeln häufig weniger sicher als andere Seiten. Das liegt an den Siegeln selbst, die schnell zu Gaunerzinken werden und dann nicht die Pixel wert sind, aus denen sie gemacht sind. So jedenfalls das Ergebnis einer Studie zweier Universitäten http://www.heise.de/security/meldung/Webseiten-Siegel-Boeses-Omen-statt-Sicherheitsgarant-2482265.html, die das "Ökosystem der Sicherheitssiegel von Drittherstellern" untersucht hat. 8. Wettbewerb: My Digital World Der Verein "Deutschland sicher im Netz" ruft junge Menschen zwischen 13 und 21 Jahren zu kreativen Aktionen, sozialen Initiativen oder zur Entwicklung technischer Lösungen für eine sichere digitale Welt auf. Wettbewerbsbeiträge können bis zum 31. März 2015 unter www.mydigitalworld.org https://www.mydigitalworld.org eingereicht werden. Es genügen kurze Clips oder die konkrete Beschreibung der eingereichten Ideen beziehungsweise Aktionen. Die Preisträger werden im Juni 2015 zur Prämierung nach Berlin eingeladen, bei der sie ihre Projekte der Öffentlichkeit vorstellen können. Der Wettbewerb wird unter anderem vom Bundesministerium des Innern, BITKOM und einigen großen IT-Unternehmen unterstützt. 9. WhatsApp: Was der Online-Status über Nutzer verrät Hätten Sie gedacht, dass WhatsApp in fast jedem zweiten italienischen Scheidungsprozess dazu herangezogen wird, Untreue zu beweisen? WhatsApp erlaubt es nicht, Online-Zeiten zu verbergen. Wer diese Zeiten überwacht, findet über den Nutzer möglicherweise Dinge heraus, über die er nicht glücklich ist. Zum Beispiel, dass er nicht so unabkömmlich war, wie gegenüber dem Ehepartner vorgegeben. Eine neue Untersuchung der Friedrich-Alexander-Universität Erlangen-Nürnberg zeigt, was sich mithilfe des Online-Status herausfinden lässt http://www.heise.de/newsticker/meldung/WhatsApp-Was-der-Online-Status-ueber-die-Nutzer-verraet-2480333.html. ----------------------------------------------------------------------- Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14 Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit und Richtigkeit nicht übernommen werden. Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de |
Seiten mit Postings: | - SICHER • INFORMIERT vom 11.12.2014 - | zum Seitenanfang |
|
Version 3.1 | Load: 0.001726 | S: 1_2 |