GREENHORN COMPUTER-FORUM - Freundliche Hilfe für PC-Einsteiger und Fortgeschrittene

    

 · Home · Impressum & Datenschutz · Suche

Seiten mit Postings:

zum Seitenende

 Forum Index —› PC Sicherheit —› SICHER • INFORMIERT vom 20.08.2015
 


Autor Mitteilung
Nubira
Moderator

Beiträge: 15134


Gesendet: 18:09 - 20.08.2015


SICHER o INFORMIERT
-------------------
Der Newsletter des Bürger-CERT
Ausgabe vom 20.08.2015
Nummer: NL-T15/0017

Die Themen dieses Newsletters:
1. Apple: Neue Zero-Day-Sicherheitslücke
2. Lenovo: Neue Schnüffelsoftware
3. Android: Googles Patch gegen Stagefright ist fehlerhaft
4. E-Mail: GMX, 1&1 und Web.de hatten Sicherheitsproblem
5. Apple: Sicherheitsupdates für Safari, iOS und OS X
6. Mozilla: Sicherheitsupdate für Firefox
7. Microsoft und Adobe: Aktualisierungen nicht nur zum Patchday
8. Hacker: Mehr als nur versalzene Kekse
9. BSI: Das BSI kommt zur FrOSCon
10. BSI: Bundesregierung lädt zum Tag der offenen Tür

EDITORIAL
Liebe Leserin, lieber Leser,

schalten Sie vielleicht auch die Annahme von Cookies in Ihrem Browser ab?
An sich ist das ja keine schlechte Idee. Aber wenn Sie sich cookie-frei
letztens mit Smartphone oder Tablet bei 1&1, GMX oder Web.de anmeldeten,
um Ihre E-Mails zu prüfen, sollten Sie besser Ihr Passwort dort ändern.
Es ist nämlich möglich, dass jemand an Ihr Konto kam.

Falsche Sicherheit gaukelte auch das Update vor, dass Google
verschiedenen Nexus-Modellen gegen die Stagefright-Lücke spendierte.

Diese und weitere Meldungen rund um die Sicherheit im WWW finden Sie wie
immer in unserem Newsletter. Spannende Lektüre und sichere Stunden im
globalen Netz wünscht Ihnen

Ihr Buerger-CERT-Team

STÖRENFRIEDE
1. Apple: Neue Zero-Day-Sicherheitslücke

Gerade hat Apple in OS X ein Sicherheits-Update herausgebracht, das unter
anderem eine Lücke schließt, die Angreifern Root-Rechte einräumt (siehe
Schutzmaßnahmen). Kurz darauf zeigt sich eine weitere
Lücke http://www.zdnet.de/88244090/zero-day-luecke-in-os-x-10-10-5-yosemite-erlaubt-rechteausweitung,
die Angreifern ebenfalls Root-Rechte einräumt. Dank ihr können Angreifer
ihre Rechte ausweiten, ohne dafür ein Passwort eingeben zu müssen.
Als Zero-Day-Lücken werden solche Verwundbarkeiten bezeichnet, die dem
Hersteller noch unbekannt sind. Noch ist unklar, wie schnell Apple ein
weiteres Update bereitstellen wird.

2. Lenovo: Neue Schnüffelsoftware

Der chinesische Computer-Hersteller Lenovo wird einigen unserer
Leserinnen und Lesern noch durch den "Superfish" in Erinnerung sein
("Lenovo: Gefährliche Adware als
Feature" https://www.buerger-cert.de/archive?type=widnewsletter&nr=NL-T15-0004#anchor3).
Nun ist auf einigen PCs und Notebooks des Herstellers eine sogenannte
"Service Engine" (LSE) entdeckt worden, die Computer daraufhin überprüfen
kann, ob bestimmte Dienste noch laufen, um diese gegebenenfalls
wiederherzustellen und Software nachzuladen. Außerdem verschickt LSE beim
ersten Start bei bestehender Internetverbindung Daten wie Ort,
Gerätemodell und Zeit.
Die LSE verbirgt sich im BIOS (Basic Input/Output System) und wird mit
Starten des Rechners aufgerufen. Dass Lenovo LSE im BIOS verbarg, deutet
darauf hin, dass der Hersteller das Programm vor Virenscannern und
Löschversuchen durch Anwender verbergen wollte. Zudem ist die Verbindung
nicht gesichert, die LSE zum Internet aufbaut. Das erleichtert es
Kriminellen, den offenen Kanal auszunutzen, um Schadsoftware
aufzuspielen.
Nach Kritik hat Lenovo erklärt, bereits seit Ende Juli LSE nicht mehr auf
neuen Computer zu installieren.
Hier finden Sie eine Liste mit betroffenen
Geräten http://news.lenovo.com/article_display.cfm?article_id=2013.
Für Besitzer diverser Laptop Geräte stellt Lenovo ein
Werkzeug http://support.lenovo.com/de/de/downloads/ds104370 zur
Verfügung, das LSE beendet.
Für Desktop-Besitzer gibt es dagegen eine Anleitung (auf
Englisch) https://support.lenovo.com/de/de/product_security/lse_bios_desktop,
LTE zu entfernen.
Zudem steht für manche Geräte ein BIOS ohne
LSE https://support.lenovo.com/de/de/product_security/lse_bios_notebook
zur Verfügung.

3. Android: Googles Patch gegen Stagefright ist fehlerhaft

Als einer der wenigen Hersteller von Android-Geräten hat Google einen
Patch gegen die Lücke in der Multimedia-Komponente
Stagefright https://www.buerger-cert.de/archive?type=widnewsletter&nr=NL-T15-0016#anchor1
bereitgestellt. Allerdings ist dieser Flicken selbst
lückenhaft http://www.heise.de/security/meldung/Stagefright-Luecken-in-Android-Googles-Patch-ist-fehlerhaft-2779034.html
und sichert die Geräte nicht zuverlässig. Angreifer können über
manipulierte Videos auf zum Beispiel Webseiten Schadcode auf die Geräte
schmuggeln.
Es wird befürchtet, dass das von Google herausgegebene erste Patch bei
Benutzern für ein trügerisches Gefühl der Sicherheit sorgen könnte.
Google ist informiert und arbeitet an einem neuen Sicherheitsupdate,
dessen Auslieferung im September zum neu eingeführten Patchday beginnen
soll.

4. E-Mail: GMX, 1&1 und Web.de hatten Sicherheitsproblem

Wenn Sie sich bis zum 14. August bei den mobilen E-Mail-Portalen von 1&1,
Web.de oder GMX eingeloggt haben und dabei keine Cookies akzeptierten,
sollten Sie vorsorglich Ihr Passwort bei dem Dienst erneuern.
Das Problem, das von der deutschen Redaktion von
Wired https://www.wired.de/collection/latest/so-konnten-fremde-euer-postfach-bei-web-de-gmx-oder-1-1-eindringen
entdeckt wurde, war bis zum 14 August folgendes: Sie besuchen mit ihrem
Smartphone oder Tablet eines der genannten E-Mail-Portale. Ihrem Browser
haben Sie die Annahme von Cookies verweigert. In einer E-Mail finden Sie
einen beliebigen Link, dem Sie folgen. Auf dem Server, der die besuchte
Seite bereitstellt, findet sich jetzt in dem Protokoll, dass Sie die
Seite besucht haben – nebst Ihrer sogenannter Session-ID. Die Verwendung
der Session-ID erlaubt den Zugang zu Ihrem Postfach.
Sie haben dabei nichts falsch gemacht. Viele erlauben die Annahme von
Cookies schon aus Datenschutzbedenken nicht. Der Link, dem Sie folgten,
kann vollkommen harmlos sein. Auch das Führen eines Protokolls auf dem
Server der besuchten Seite ist Routine.
Wenn Sie selbst eine Website betreiben, werden Sie vermutlich
Zugriffsstatistiken lesen und daraus erkennen, dass irgendjemand Ihre
Seite fand, nachdem er oder sie bei einer Suchmaschine zum Beispiel
"Urlaub" und "Schottland" eingab. In einem solchen sogenannten
Referrer-URL würde in unserem geschilderten Fall die Session-ID für das
E-Mail-Konto stehen.
1&1, GMX und Web.de sind Dienste von United Internet. Das Unternehmen hat
auf die Lücke reagiert, sodass Sie sich nunmehr nur noch dann in das
Portal einloggen können, wenn Ihr Browser Cookies akzeptiert.

SCHUTZMASSNAHMEN
5. Apple: Sicherheitsupdates für Safari, iOS und OS X

Apple hat ein Update auf iOS 8.4.1 veröffentlicht und schließt damit
mehrere, auch sehr schwerwiegende,
Sicherheitslücken https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T15-0070
der Vorgängerversion.
Ebenso hat OS X Yosemite 10.10 ein Update auf die Version 10.10.5
erhalten. Für die Versionen 10.9.5 und 10.8.5 wurden
Sicherheitsaktualisierungen herausgegeben. Die Updates beheben mehrere,
als kritisch einzustufende
Sicherheitslücken https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T15-0069.
Auch wenn die oben beschriebene Zero-Day-Lücke mit dieser Aktualisierung
nicht geschlossen wird, sollten Sie das Update dennoch installiern.
Neue Versionen des Webbrowsers Safari schließen
Sicherheitslücken https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T15-0068,
die es Angreifern über das Internet ermöglichten, Sicherheitsmaßnahmen zu
umgehen, Schadcode auszuführen, Informationen der Anwender auszuspähen
und das System zum Absturz zu bringen.

6. Mozilla: Sicherheitsupdate für Firefox

Das BSI empfiehlt ferner die Aktualisierung des Browsers Mozilla Firefox,
mit der erhebliche
Sicherheitslücken https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T15-0067
in diesem Programm geschlossen werden.

7. Microsoft und Adobe: Aktualisierungen nicht nur zum Patchday

Zum August-Patchday hat Adobe neue Patches veröffentlicht, die mehrere
Sicherheitslücken in Adobe AIR und im Flash
Player https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T15-0066
schließen.
Die Kollegen aus Redmond haben dagegen gleich diverse
Produkte https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T15-0065
von Microsoft flicken müssen. Betroffen sind unter anderem Windows in den
Versionen von Vista bis Windows 10, diverse Office-Programme und der
Internet-Explorer.
Nach dem Patchday schließt Microsoft außerdem eine
kritische
Sicherheitslücke https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T15-0071
in allen derzeit unterstützten Versionen des Internet Explorers. Die
Lücke wird bereits ausgenutzt.

PRISMA
8. Hacker: Mehr als nur versalzene Kekse

Angriffe auf industrielle Anlagen häufen sich. Das könnte laut eines von
Spiegel
Online http://www.spiegel.de/netzwelt/web/erpressung-durch-cyberattacken-angriffsziel-industrieanlage-a-1048034.html
zitierten Experten auch daran liegen, dass IT-Experten wie sie im BSI
arbeiten und Produktionsfachleute unterschiedlich vorgehen, wenn diese
eine Risikoanalyse erstellen: "Für Produktionstechniker gehörten
Fehlfunktionen zum Alltag, bösartige Manipulationen hingegen nicht.
Entsprechend löchrig fällt aus IT-Sicht das Schutzkonzept aus." Statt
vielleicht einer Tagesproduktion versalzener Kekse gibt es dann in der
Keksfabrik den Stillstand.
Der Artikel nennt auch Jeff Moss, unter anderem Gründer der
Hackerkonferenzen Black Hat, der eine gesetzliche Meldepflicht für
Cyber-Angriffe fordert. In Deutschland ist diese mit dem neuen
IT-Sicherheitsgesetz bezogen auf Unternehmen der Kritischen
Infrastrukturen bereits umgesetzt. Unter Kritische Infrastrukturen fallen
zum Beispiel die Energieversorgung, Telekommunikation und Verkehr.

9. BSI: Das BSI kommt zur FrOSCon

Freie Software und Open Source - das sind die Themen der
FrOSCon http://www.froscon.de. Jedes Jahr im Spätsommer
veranstaltet der Fachbereich Informatik der Hochschule Bonn-Rhein-Sieg
mit Hilfe der LUUSA und des FrOSCon e.V. ein spannendes Programm mit
Vorträgen und Workshops für Besucher aller Altersklassen, die Freie
Software nutzen, kennenlernen wollen oder selbst entwickeln. Eine
Ausstellung mit Ständen von Open-Source-Projekten und Firmen rundet das
Angebot ab.
Beim Social Event am Samstagabend können sich Besucher, Vortragende und
HelferInnen austauschen und zusammen feiern. [FrOSCon.de]
Am Messestand des BSI können sich die Besucher über die Projekte des BSI
im Bereich Freier Software informieren.

10. BSI: Bundesregierung lädt zum Tag der offenen Tür

Das Bundesamt für Sicherheit in der Informationstechnik lädt Sie zum Tag
der offenen Tür der Bundesregierung ein.
Diskutieren Sie mit uns über sichere mobile Kommunikation, soziale
Netzwerke, sicheres Surfen im Internet oder über die sichere Nutzung von
Cloud-Diensten. Testen Sie Ihr Internetwissen anhand unseres Fragebogens
oder tauschen Sie sich „einfach so“ mit unseren IT-Experten aus.
Das BSI ist am 29. und 30. August 2015 in der Zeit von 10 Uhr bis 18 Uhr
mit je einem Stand im
Bundesinnenministerium http://www.bmi.bund.de/DE/Ministerium/BMI-Vorstellung/Anfahrt/Anfahrtsskizze-Berlin-Moabiter-Werder/anfahrtsskizze-moabiter-werder_node.html
und im
Bundespresseamt http://www.bundesregierung.de/Content/DE/StatischeSeiten/Breg/Bundespresseamt/bundespresseamt-kontakt.html
vertreten.




-----------------------------------------------------------------------
Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot
des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14
Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und
aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit
und Richtigkeit nicht übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de

Seiten mit Postings:

- SICHER • INFORMIERT vom 20.08.2015 -

zum Seitenanfang



 Forum Index —› PC Sicherheit —› SICHER • INFORMIERT vom 20.08.2015
 



Version 3.1 | Load: 0.004170 | S: 1_2