GREENHORN COMPUTER-FORUM - Freundliche Hilfe für PC-Einsteiger und Fortgeschrittene |
|
Seiten mit Postings: | zum Seitenende |
|
Autor | Mitteilung |
Nubira Moderator Beiträge: 15134 | Gesendet: 18:14 - 13.05.2015 SICHER o INFORMIERT ------------------- Der Newsletter des Bürger-CERT Ausgabe vom 13.05.2015 Nummer: NL-T15/0010 Die Themen dieses Newsletters: 1. Windows: Antiviren-Software mit Schwächen 2. Facebook: Neuer Trojaner unterwegs 3. Adobe: Patchday aktualisiert Flash Player und AIR 4. Microsoft: Mai-Patchday 5. Lenovo: Sicherheitslücke im System-Update-Service geschlossen 6. WordPress: Erneut Sicherheitslücke geschlossen 7. Mozilla: Sicherheitsupdate für Mozilla Firefox und Thunderbird 8. Android: Kontrolle der Zugriffsberechtigungen geplant 9. WhatsApp: Verschlüsselung offenbar teilweise hinfällig EDITORIAL Liebe Leserin, lieber Leser, als der Messenger-Dienst WhatsApp letztes Jahres eine Ende-zu-Ende-Verschlüsselung einführte, erhielt das Unternehmen viel Applaus. Teile der Konkurrenz wie Threema, TextSecure oder Telegram hatten zwar schon länger Verschlüsselung im Angebot, WhatsApp hat jedoch mehr Nutzer, nämlich 800 Millionen. Ein halbes Jahr später hat sich die Euphorie gelegt. Zwar gab die Facebook-Tochter WhatsApp 2014 bekannt, dass zunächst nur Nutzer von Android von der Verschlüsselungstechnik profitieren würden. Ein halbes Jahr später hat sich daran offenbar nichts geändert, worüber die App ihre Anwender leider im Unklaren lässt. Denn WhatsApp kann zwar anzeigen, ob eine Nachricht gelesen wurde, nicht jedoch, ob ein verschlüsselter Versand erfolgt. Diese und weitere Meldungen rund um die Sicherheit im WWW finden Sie wie immer in unserem Newsletter. Spannende Lektüre und sichere Stunden im globalen Netz wünscht Ihnen Ihr Buerger-CERT-Team STÖRENFRIEDE 1. Windows: Antiviren-Software mit Schwächen Manche Antiviren-Programme von BullGuard und Panda für Windows lassen sich von Angreifern über die Passwort-Eingabe abschalten. Systemadministratoren schützen die Installation und Einstellungen ihrer Antiviren-Programme häufig mit Passwörtern. Beide Hersteller haben die Lücke, die bereits seit März bekannt ist, bislang nicht geschlossen, berichtet Heise Online http://www.heise.de/security/meldung/Angreifer-koennen-Viren-Scanner-von-BullGuard-und-Panda-lahmlegen-2639307.html. 2. Facebook: Neuer Trojaner unterwegs Plötzliche Nachrichten bei Facebook oder auch anderen Diensten sollten Sie immer stutzig werden lassen. Über Facebook verbreitet sich gerade ein neuer Trojaner http://www.spam-info.de/4994/gefaehrlicher-facebook-trojaner/, der mithilfe von Mitteilungen auf Links zu einer Website aufmerksam macht, die an YouTube erinnert. Dort werden Besucher aufgefordert, ein Plugin zu installieren, das den Trojaner enthält. Einmal installiert, schreibt der Trojaner Ihre Facebook-Kontakte an. Mag ein solcher Verbreitungsweg auf dem ersten Blick plump erscheinen, hat er offensichtlich doch Erfolg. Das wiederum hängt gewiss mit dem Vertrauen zusammen, das Nutzer von zum Beispiel Facebook ihren Kontakten entgegenbringen – in der irrtümlichen Annahme, der Link-Tipp käme tatsächlich von ihnen. Ein "lustiges, kostenloses Spiel" oder ein "schockierendes Video" sind immer wieder Vehikel zur Verbreitung von Schadsoftware. SCHUTZMASSNAHMEN 3. Adobe: Patchday aktualisiert Flash Player und AIR Adobe schließt mit den aktuellen Sicherheitsupdates mehrere Sicherheitslücken https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T15-0036, die es Angreifern ermöglichen, Sicherheitsmaßnahmen zu umgehen oder beliebige Befehle und Programme auszuführen und damit die Kontrolle über das betroffene System zu übernehmen. 4. Microsoft: Mai-Patchday Microsoft hat an seinem Mai-Patchday ein gutes Dutzend Aktualisierungen https://technet.microsoft.com/en-us/library/security/ms15-may.aspx bereitgestellt, von denen das Unternehmen drei als "kritisch2, die übrigen 10 als "wichtig" einstuft. Die (empfohlene) Aktualisierung des Systems wird automatisch vorgenommen, sofern die Option nicht abgeschaltet ist. Microsoft hat im Übrigen angekündigt, bezogen auf Windows 10 den monatlichen Patchday gegen ein vom Nutzer eingestelltes Update-Intervall zu ersetzen. Das hat bei einigen zu der fälschlichen Annahme geführt, der Patchday würde abgeschafft http://winfuture.de/news,87022.html. Ob Patchday oder flexibles Datum: Wichtig ist, dass möglichst viele Nutzer von zum Beispiel Microsoft- oder Adobe-Produkten die Aktualisierungen umgehend installieren. Denn Angreifer können anhand der Patches erkennen, an welchen Stellen Systeme, die noch nicht aktualisiert wurden, verwundbar sind. Systemadministratoren hatten mit dem Patchday einen festen Termin, den sie sich für notwendige Updates freihalten konnten. 5. Lenovo: Sicherheitslücke im System-Update-Service geschlossen Viele Geräte von Lenovo, zum Beispiel alle ThinkPad- und ThinkStation-Modelle, enthalten ein System-Update-Service. Dabei handelt es sich um ein kleines Programm, das es Anwendern erleichtern soll, Updates für ihr Gerät herunterzuladen. Eigentlich eine gute Sache. Nun haben Forscher herausgefunden, dass ebendieses Programm selbst eine Sicherheitslücke aufweist http://www.heise.de/security/meldung/Update-Software-auf-Lenovo-Computern-oeffnet-Tuer-fuer-Angreifer-2635503.html. Denn Angreifer könnten es nutzen, um Schadcode in die Systeme schmuggeln. Lenovo hat inzwischen mit einem Patch reagiert, der die Sicherheitslücke schließen soll. Betroffene Computer sollten die Aktualisierung selbstständig herunterladen, was sich auch manuell erledigen lässt https://support.lenovo.com/us/en/documents/ht080136. 6. WordPress: Erneut Sicherheitslücke geschlossen WordPress ist eine unter Bloggern beliebte Software. Die mit WordPress erstellten und verwalteten Seiten ließen sich dank einer Cross-Site-Scripting-Lücke von Angreifern kapern. Der Hersteller hat nun ein Update bereitgestellt https://wordpress.org/news/2015/05/wordpress-4-2-2/, das diese Lücke schließen soll. WordPress-Installationen, die eine automatische Aktualisierung erlauben, installieren das Update von selbst. 7. Mozilla: Sicherheitsupdate für Mozilla Firefox und Thunderbird Mozilla schließt mehrere kritische Sicherheitslücken in Firefox und Thunderbird https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T15-0037, durch die ein Angreifer aus dem Internet das Programm zum Absturz bringen, Sicherheitsvorkehrungen umgehen, Informationen ausspähen und beliebige Befehle auf Ihrem System ausführen kann. Insbesondere über die Befehlsausführung kann ein Angreifer auf Ihrem System Schaden anrichten, darum sollte Sie das Sicherheitsupdate zeitnah installieren. PRISMA 8. Android: Kontrolle der Zugriffsberechtigungen geplant Was unter anderen Betriebssystemen für mobile Geräte wie iOS oder Blackberry bereits seit längerem möglich ist, soll unter Android mit der neuen Version M ebenfalls möglich werden: Das gezielte Festlegen einzelner Zugriffsberechtigungen für jede installierte App. Bei Android hängt es zur Zeit noch davon ab, ob der Gerätehersteller an dem Betriebssystem Änderungen vorgenommen hat, die es Anwendern erlauben, mit einfachen Mitteln den Zugriff von Apps auf zum Beispiel Adressen oder das Mikrofon zu kontrollieren. Viele Apps verlangen Berechtigungen, die für die eigentliche Funktion der App nicht nötig sind. So können zum Beispiel Zugriffe auf das Adressbuch oder die regelmäßige Standortsbestimmung für die Werbebranche interessant sein. Die Taschenlampen-App “Brightest Flashlight”, die der Artikel von ZDNet vorstellt http://www.zdnet.de/88234225/bericht-android-m-ermoeglicht-nutzern-kontrolle-ueber-app-berechtigungen/, ist dabei nur eines von vielen Beispielen. Wenn Sie eine App installieren wollen, dann sollten Sie sich grundsätzlich die geforderten Berechtigungen anschauen und abwägen, ob Ihnen der versprochene Nutzen der App so wichtig ist, dass Sie auch über die eigentliche Funktion hinausgehende Berechtigungen akzeptieren. Warum muss eine Taschenlampen-App Zugriff auf Ihr Adressbuch oder Ihren Kalender haben? 9. WhatsApp: Verschlüsselung offenbar teilweise hinfällig WhatsApp, der Platzhirsch unter den Messengern, erhielt viel Lob, als das mittlerweile zu Facebook gehörende Unternehmen bekanntgab, verschickte Nachrichten zukünftig zu verschlüsseln. 800 Millionen Nutzer würden mit einem Schlag eine Ende-zu-Ende-Verschlüsselung nutzen, sodass tatsächlich nur Adressat und Empfänger den Inhalt umstandslos würden lesen können. Ein Artikel von Zeit Online resümiert http://www.zeit.de/digital/internet/2015-05/whatsapp-verschluesselung-chat nun, dass auch ein halbes Jahr nach Einführung der Verschlüsselungstechnik nur Nutzer von Android davon ausgehen können, dass ihre Nachrichten verschlüsselt werden – und das auch nur, wenn der Empfänger ebenfalls ein Android-Gerät nutzt. WhatsApp ist zwar in der Lage anzuzeigen, ob die verschickte Nachricht gelesen wurde, nicht jedoch, ob der Versand verschlüsselt erfolgt. ----------------------------------------------------------------------- Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14 Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit und Richtigkeit nicht übernommen werden. Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de |
Seiten mit Postings: | - SICHER • INFORMIERT vom 13.05.2015 - | zum Seitenanfang |
|
Version 3.1 | Load: 0.001595 | S: 1_2 |