Ihr Partner
in Sachen EDV


Hardware
Software
Netzwerktechnik

Aktuelle Meldungen

 

Adobe-Patchday: Flash wieder kritisch

Diesen Monat stopft Adobe insgesamt 83 Sicherheitslücken in Acrobat, Flash und Reader. Das Flash-Update sollte man zügig installieren.
Adobe kümmert sich im Oktober vor allem um die Sicherheit von seinen PDF-Anwendungen Acrobat und Reader für OS X und Windows und spendiert diesen 71 Sicherheits-Patches. In Flash stopfen zwölf Updates kritische Schwachstellen.
Davon sind unter ChromeOS, Linux, OS X und Windows alle Flash-Versionen die jünger als 11.2.202.637, 18.0.0.382 und 23.0.0.185 bedroht. Auf einer Adobe-Webseite kann man überprüfen, welche Version man installiert hat. Die abgesicherten Versionen findet sich über die Download-Seite. Die Webbrowser Chrome und Edge und Internet Explorer 11 für Windows 8.1 und 10 aktualisieren sich automatisch. Die Lücken gelten alle als kritisch und Angreifer können Schad-Code auf Computer schieben. Im schlimmsten Fall können sie so die Kontrolle übernehmen.
Ebenfalls kritisch, aber mit geringerer Priorität
Auch die Schwachstellen in Acrobat und Reader stuft Adobe als kritisch ein und Angreifer könnten Schad-Code ausführen. Die folgenden Versionen für OS X und Windows sind abgesichert: Acrobat DC/Acrobat Reader DC (Continous) 15.020.20039, Acrobat DC/Acrobat Reader DC (Classic) 15.006.30243 und Acrobat XI/Reader XI 11.0.18. Alle früheren Ausgaben sind verwundbar.
Wer die Creative-Cloud-Desktop-Applikation nutzt, sollte die abgesicherte Version 3.8.0.310 installieren. Alle vorigen Versionen sind attackierbar. Dabei könnte sich ein Angreifer höhere Rechte verschaffen.
Einen Großteil der Sicherheitslücken hat der Sicherheitsforscher Ke Liu von Tencent's Xuanwu LAB entdeckt. Auch die Zero Day Initiative hat viele Schwachstellen ausfindig gemacht.

 

Millionen Passwörter aus Dropbox-Hack veröffentlic

Die im Jahr 2012 von Hackern kopierte Dropbox-Datenbank ist online aufgetaucht. Die darin enthaltenen Passwörter sind zwar geschützt, etwa die Hälfte jedoch nur mit dem als nicht mehr sicher geltenden SHA1-Verfahren.
Der Sicherheitsforscher Thomas White hat 68 Millionen Passwort-Hashes von Dropbox-Nutzern veröffentlicht und stellt die Daten zum Download zur Verfügung. Unbekannte Angreifer haben die Passwörter Mitte 2012 abgezogen. Es ist davon auszugehen, dass die Daten echt sind.
E-Mail-Adresse plus Passwort-Hash
Alle Passwörter sind verschlüsselt. Rund bei der Hälfte greift das als sicher geltende Hash-Verfahren bcrypt. Beim Rest kommt ein einfacher SHA1-Hash mit Salt zum Einsatz. Diese Hashes lassen sich vergleichsweise schnell berechnen und Cracker könnten selbst gute Passwörter in überschaubarer Zeit knacken (siehe dazu Die Passwortknacker; Ein Blick hinter die Kulissen der Cracker).
Ein Blick von heise Security in die Daten zeigt, dass neben der E-Mail-Adresse von Dropbox-Nutzern stets der zugehörige Passwort-Hash auftaucht. Dort kann man auch ablesen, ob das eigene Passwort mit bcrypt oder SHA1 gehasht ist. Wer sein Dropbox-Passwort seit 2012 nicht geändert hat, sollte dies nun schleunigst nachholen.
Cracker-Ethik
White verfolgt eigenen Angaben zufolge keine kriminellen Absichten mit der Veröffentlichung. Viel mehr will er Sicherheitsforschern Forschungs-Material zur Verfügung stellen. Letztlich gehe es ihm darum, weitere Erkenntnisse über das Verschlüsseln von Passwörtern zu sammeln und so Anbieter, Firmen und Nutzer zu sensibilisieren. Whites Ansatz ist löblich, aber auch ein zweischneidiges Schwert: Schließlich könnten Kriminelle die veröffentlichten Daten missbrauchen.
White gibt zudem bekannt, in Zukunft nichts mehr zu leaken. Der Sicherheitsforscher will dafür künftig enger mit Firmen zusammenarbeiten, um deren Infrastruktur abzusichern und mehr Partnerschaften im Sicherheits-Bereich aufbauen. Das rücke sein Ziel das Internet sicherer zu machen in greifbarere Nähe.
White findet außerdem, dass Hacker moralischer handeln sollten. Das sei mehr wert, als wenn sie auf Teufel komm raus ausschließlich an ihrer Reputation feilten und letztlich der Gesellschaft keinen Dienst erwiesen.

(Quelle: http://www.heise.de/security/meldung/68-Millionen-verschluesselte-Passwoerter-aus-Dropbox-Hack-veroe[..]

 

Adobe-Patchday: Flash jetzt patchen!

Kritische Lücken im Flash Player erlauben das Kapern von Rechnern. Adobe hat Updates veröffentlicht, um diese zu stopfen. Ebenso erhalten die eBook-Software Digital Editions und die Entwicklungswerkzeuge von AIR Patches.
Adobe hat im Rahmen des eigenen regulären monatlichen Patchzyklus drei Sicherheitsupdates veröffentlicht. Dabei handelt es sich um Fixes für den Flash Player, für die eBook-Software Digital Editions und für Entwicklungswerkzeuge des App-Frameworks AIR. Nachdem die Firma letzten Monat überraschenderweise keinen Flash-Patch ausgeliefert hatte, scheint nun auch dort der gewohnte monatliche Rhythmus wieder einzukehren.
Besonders dieses Flash-Update sollte schnellstmöglich installiert werden, da die zugrundeliegenden Sicherheitslücken das Übernehmen des Rechners aus der Ferne ermöglichen. Auch die Lücken in Digital Editions erlauben Angriffe und Codeausführung aus der Ferne, dürften aber weit schwieriger ausnutzbar sein, da die eBook-Software im Gegensatz zu Flash viel weniger Angriffsfläche im Web bietet. Beim Adobe AIR SDK und dem dazugehörigen Compiler hat die Firma die Übermittlung von Analysedaten der Apps abgesichert.
Kritische Flash-Lücken
Bei Flash schließt Adobe ganze 26 Sicherheitslücken. Betroffen sind Installationen unter Windows, OS X, Linux und ChromeOS. Adobe stuft diese Lücken als kritisch ein. Windows- und Mac-Anwender sollten sicherstellen, dass die Version 23.0.0.162 oder 18.0.0.375 (Extended Support) des Flash Players installiert haben. Linux-Nutzer sollten auf Version 11.2.202.635 aktualisieren. Diese Disparität der Versionsnummern zwischen Windows und OS X auf der einen Seite und Linux auf der anderen sollte sich allerdings bald erledigt haben.
Die Flash-Updates können manuell auf der dafür von Adobe bereitgestellten Seite heruntergeladen werden. Nutzer von Google Chrome, ChromeOS, Microsoft Edge und Internet Explorer auf Windows 10 und 8.x brauchen sich um nichts zu kümmern, sie bekommen das Update automatisch eingespielt.

(Quelle: http://www.heise.de/security/meldung/Adobe-Patchday-Flash-jetzt-patchen-3321895.html)

 

Sicherheitsforscher knacken VWs Funkschlüssel

Die funkgesteuerten Türschließ-Systeme von Millionen Autos, inklusive der Alarmanlagen, lassen sich in Sekundenschnelle knacken: Sicherheitsforscher aus Bochum und Birmingham haben Schwachstellen bei zahlreichen Herstellern ausgemacht.
Die Sicherheits-Experten Flavio D. Garcia und Pierre Pavlidès von der Universität Birmingham und die Bochumer Sicherheitsforscher Timo Kasper und David Oswald haben eine Schwachstelle in den Funkschlüsseln nahezu aller Auto-Marken des VW-Konzerns entdeckt.
Ihnen zufolge gibt es bei den Schlüsseln nur sehr wenige Masterkeys, sozusagen Generalschlüssel. Dazu haben sie die Verschlüssselung analysiert, einen Generalschlüssel ausgelesen und eine Systematik im Öffnungscode entdeckt. Dadurch können Öffnungscodes vorhergesagt und die Funktion eines Schlüssels beliebig reproduziert werden.
Praktisch bedeutet das, dass ein Autobesitzer bei Verschließen seines Autos quasi abgehört werden kann und Diebe mit dessen Code später das Auto öffnen, die Alarmanlage ausschalten und in das Auto eindringen können, ohne Spuren zu hinterlassen.
Allein durch das nur einmalige Auslesen des fahrzeugspezifischen Codes kann innerhalb kürzester Zeit ein elektronischer Nachschlüssel angefertigt werden. Laut dem Bochumer Sicherheitsingenieur Timo Kasper dauert der gesamt Vorgang nur etwa eine Sekunde. Das perfide: Der Fahrzeugeigentümer merkt den Einbruch nicht einmal, er stellt nur fest, dass sein Auto nicht beim ersten Knopfdruck öffnet.
Neueste Modelle nicht betroffen
Fahrzeuge aus den aktuellen Modellbaureihen wie der aktuelle Golf, Tiguan, Touran oder Passat seien nicht betroffen, so ein Sprecher des VW-Konzerns. Eingeräumt hat der Konzern aber, dass zahlreiche Modelle der vergangenen 15 Jahre nicht auf dem aktuellen Sicherheitsniveau liegen. Einen Schutz für Besitzer älterer Autos gibt es nicht, außer sie nutzen nur den mechanischen Schlüssel.
"Volkswagen hält seine elektronischen sowie mechanischen Sicherungsmaßnahmen immer auf dem aktuellen Stand der Technik, bzw. bietet speziell auch auf diesem Sektor innovative Technologien an die kontinuierlich weiterentwickelt werden". Diese Aussage von Peter Weisheit, VW-Sprecher Kommunikation Technologie, klingt nach zahlreichen aufgedeckten Sicherheitslücken bei Schließ-Systemen der vergangenen Jahre und in Bezug auf den aktzuellen Fall zweifelhaft.
Türen öffnen, aber nicht losfahren
Auch für ein zweites Schlüsselsystem, das von verschiedenen großen Herstellern eingesetzt wird, konnten die Sicherheitsforscher nachweisen, dass es sich ebenso einfach öffnen läßt. Daher muß man davon ausgehen, dass der überwiegende Teil aller Fahrzeugmarken betroffen ist.
Man kann damit die Türen öffnen, aber nicht losfahren. Allerdings gibt es viele Möglichkeiten die Wegfahrsperre zu deaktivieren, wenn man im Fahrzeuginneren Zugang zum CAN-Bus hat. Die Forschergruppe aus Birmingham hatte bereits im vergangenen Jahr auf der Usenix-Konferenz in Texas eine Methode vorgestellt, wie sich die Wegfahrsperre mit ähnlichen Angriffsmustern überwinden läßt.
VW wollte Veröffentlichung diesmal nicht unterbinden
Damals hatte der VW-Konzern zwei Jahre – zunächst erfolgreich – versucht, die Veröffentlichung zu unterbinden. Bei diesem Mal, so Weisheit, sei man "übereingekommen, dass die Autoren ihre mathematisch-wissenschaftlichen Erkenntnisse veröffentlichen, dabei aber auf diejenigen sensiblen Inhalte verzichten, die versierte Kriminelle für ein unberechtigtes Eindringen in das Fahrzeug nutzen könnten."
Wenn er weiter betont, dass "ein Fahrzeugdiebstahl auf diesem Wege nicht möglich" sei, dann gilt dass nur für die neuste Veröffentlichung, verschweigt aber die weiteren, bereits bekannten Sicherheitslücken. Das online bereits verfügbare Forschungspapier, das die Lücke im Detail zeigt, wird am heutigen Donnerstag auf der Usenix Konferenz in Austin vorgestellt.Quelle

(Quelle Heise Security: http://www.heise.de/security/meldung/Sicherheitsforscher-knacken-VWs-Funkschluessel-3292169.html)

 

Störerhaftung WLAN: Gesetzesänderung tritt in Kraf

Am Mittwoch tritt das "Zweite Gesetz zur Änderung des Telemediengesetzes" in Kraft, das WLAN-Anbieter vor der Haftung für Rechtsverstöße von Nutzern schützen soll. Ob das funktioniert, bleibt abzuwarten.
Mit der Veröffentlichung im Bundesgesetzblatt vom heutigen Dienstag tritt am Mittwoch die Änderung des Telemediengesetzes (TMG) in Kraft, mit der Betreiber von öffentlichen Funknetzen von der Haftung für Rechtsverstöße durch Nutzer freigestellt werden sollen. Anfang Juni war das Gesetz durch den Bundestag gegangen, zwei Wochen später gab auch der Bundesrat grünes Licht. In der vergangenen Woche hatte dann Bundespräsident Joachim Gauck das Gesetz unterschrieben.
Mit dem "Zweiten Gesetz zur Änderung des Telemediengesetzes" wird in Paragraph 8 ein Absatz eingefügt, dass das unter bestimmten Umständen geltende Haftungsprivileg für Festnetzbetreiber oder Hoster ausdrücklich auch solchen Anbietern gewährt, "die Nutzern einen Internetzugang über ein drahtloses lokales Netzwerk zur Verfügung stellen". Damit soll das aus der sogenannten "Störerhaftung" entstehende Haftungsrisiko für WLAN-Anbieter abgeschafft werden.
Nicht ausreichend
Der Gesetzesänderung ging ein jahrelanges Tauziehen voraus, an dessen Ende ein Kompromiss steht, den Juristen wie Strafrechtler Ulf Buermeyer und Heise-Justiziar Joerg Heidrich für nicht ausreichend halten. Denn vor der zivilrechtlichen Inanspruchnahme durch Abmahnungen schützt das neuen TMG die WLAN-Betreiber nicht ausdrücklich. Die Koalition hält die Neuregelung hingegen für tragfähig. Die Bundesregierung will das Gesetz 2018 überprüfen.
Auch die Experten im Bundesrat hatten diese Schwäche gesehen und warnten in einer Empfehlung, dass "Rechtsunsicherheit bestehen bleibt". Doch die Mahnung der Juristen, das Gesetz solle insbesondere im Hinblick auf ein zu erwartendes Urteil des Europäischen Gerichtshofes (EuGH) zeitnah überprüft werden, blieb im Bundesrat ungehört. In dem EuGH-Verfahren geht es um Ansprüche von Sony Music gegen den Betreiber eines offenen WLAN. Der Generalanwalt am EuGH hat sich bereits für eine Einschränkung der Störerhaftung für WLAN-Anbieter ausgesprochen. Das Gericht muss dem jedoch nicht folgen.

(Quelle Heise Online: http://www.heise.de/newsticker/meldung/Stoererhaftung-fuer-WLAN-Betreiber-Gesetzesaenderung-tritt-in[..]

 
 
Netzwerk | Viren Problem | Microsoft | Avira | Nürnberg | Server | Exchange | Typo3 | Office | Fujitsu | Fürth | EDV Problem | Netzwerktechnik | Datensicherung | Datenrettung | Erlangen | EDV Hilfe | Notebook | Hyper-V | Virtualisieren | Suchmaschinenoptimierung | Acronis | Schwabach | Webdesign | Outlook | Windows 8 |
Eibach Reichelsdorf Katzwang Schweinau Gartenstadt Stein Sündersbühl Schwabach Roth Erlangen Fürth Kornburg Wendelstein Zirndorf Mühlhof Regelsbach Büchenbach Gerasmühle Johannis Langwasser Neusses