Tag: Sicherheitslücke

Android Launcher Sicherheitslücke, WhatsApp Messenger, BSI warnt vor Phishing-Mails

Eine Sicherheitslücke in Android können Angreifer zum Phishing ausnutzen, WhatsApp Mesenger ist die am häufigsten verwendete Android-App in Deutschland und das BSI warnt vor einer Welle von Phishing-E-Mails – der Nachrichtenüberblick.

  • Android Launcher Sicherheitslücke: Angreifer können eine Sicherheitslücke in den Berechtigungen des Android-Launchers zum Phishing ausnutzen. Eine App könnte Icons auf dem Homescreen derart verändern, dass sie auf eine präparierte Internetseite weiterleiten, auf der dann Nutzerdaten ausgespäht werden.
  • WhatsApp Messenger: Deutsche Android-Nutzer verwenden als häufigste App WhatsApp Messenger. Zu diesem Ergebnis kam das Bremer Forschungsprojekt NuPEx mithilfe einer App, die das Nutzerverhalten aufzeichnete. Die weiteren Plätze belegen Kontakte, Internet, Facebook, SMS-Dienste und Google Play.
  • BSI warnt vor Phishing-Mails: Das Bundesamt für Sicherheit in der Informationstechnik warnt vor gefälschten E-Mails. Die Fälschungen tragen das BSI als Absender und werfen dem Empfänger Rechtsverstöße vor und verlinken ein Dokument zum Herunterladen. Das “echte” BSI empfiehlt, die E-Mails sofort zu löschen.
  • Mac OS X 10.9.3: Apple verteilt eine neue Beta-Version von Mac OS X Mavericks 10.9.3 beta an Entwickler. Apple bietet um Feedback zu den Grafik-Treibern: Die neue Version bringt Unterstützung für den sogenannten Retina-Modus, um MacBook Pro-Geräte an externe 4K-Monitore anzuschließen.

Updates

  • Komoot: Die Web-Version der App zum Planen von eigenen Touren hat ein großes Update erhalten. Die Karte wurde komplett erneuert und passt sich jetzt auf mobilen Geräten automatisch der Bildschirmgröße an.

Spiele

  • Quizduell für Windows Phone: Nach dem großen Erfolg der iOS-Version und Android-App gibt es jetzt auch Quizduell für Windows Phone. Wie gewohnt können Quiz-Süchtige gegen Zufallsgegner oder Facebook-Freunde antreten. Das Design ist speziell an Windows Phone angepasst.
  • League of Legends: Der Hersteller Riot Games hat einen Patch für League of Legends veröffentlicht, um das Spiel mit Bots zu verbessern. Das Spielverhalten der virtuellen Gegner soll damit mehr dem von Menschen ähneln und somit einen besseren Trainingseffekt bieten.
  • Neuer Borderlands-Titel: Die neue Ausgabe von Borderlands mit dem Titel Borderlands: The Pre-Sequel soll nicht ganz so groß werden wie Borderlands 2. Hersteller Gearbox Software hat bekannt gegeben, den Preis des Spiels der Größe anpassen zu wollen. Das neue Spiel ist zeitlich zwischen dem ersten und zweiten Teil angesiedelt.
  • Call of Duty: Ghosts: In Kürze wird Snoop Dogg zum Kill-Ansager bei Call of Duty: Ghosts. In Multiplayer-Spielern gibt es zu jedem Abschuss einen Spruch des Rappers. Die Spielerweiterung mit Snoop Dogg erscheint am 22. April auf Xbox Live, andere Plattformen sollen bald folgen.

Flash Player 13: Adobe schließt kritische Sicherheitslücken und passt Versionsnummer von AIR an

Adobe schließt mit der neuen Version Flash Player 13 auf allen Plattformen Sicherheitslücken. Vorher war es Angreifern theoretisch möglich, Schadsoftware einzuschleusen und Anwendungen auszuführen. Außerdem gleicht Adobe die Versionsnummer von Adobe AIR an die des Flash Players an.

Adobe Flash Player und AIR 13

Zwei der vier geschlossenen Schwachstellen stuft Adobe als kritisch ein. Darüber könnten Angreifer Software zum Ausspähen sensibler Daten installieren, das Update wird daher vom Hersteller für alle Nutzer empfohlen.

Für Anwender gibt es kaum sichtbare Veränderungen: Mit der Version 13 von Adobe Flash Player ändert sich der Hinweis auf das Beenden des Vollbildmodus, was bei YouTube-Videos weniger störend auffällt. Außerdem sollen Browserspiele mit der neuen Version noch flüssiger und stabiler laufen.

Die plattform-unabhängige Laufzeitumgebung Adobe Integrated Runtime (AIR) trägt mit dem aktuellen Update zudem die gleiche Version wie der Flash Player.

Chrome 34 bereits mit Adobe Flash Player 13

Google liefert die aktuelle Version des eigenen Browsers Google Chrome 34 bereits mit Adobe Flash Player 13 aus. Alle anderen Versionen benötigen das Update von Adobe. Microsoft aktualisiert die Erweiterung für Internet Explorer 10 und 11 für Windows 8, Windows 8.1 und Windows 8.1 RT über die Windows Update-Funktion. Nutzer aller anderen Versionen, auch von Internet Explorer 10 und 11 für Windows 7, müssen das Update selbst installieren.

Adobe rät zur Aktualisierung

Adobe nennt keine genauen Details zu den geschlossenen Schwachstellen. Angreifer könnten die Lücken mithilfe von speziell vorbereiteten Internetseiten ausnutzen und eventuell Schadsoftware installieren. Daher rät der Hersteller allen Anwendern zur Aktualisierung auf die neueste Version.

Downloads

Passende Artikel

Quelle: Adobe

OpenSSL-Sicherheitslücke: Sicherheitsexperten beantworten wichtige Fragen zum Heartbleed-Fehler

Nach wie vor verunsichert der Heartbleed-Fehler Internetnutzer. Welche Internetseiten sind betroffen? Müssen Anwender ihre Passwörter ändern? Wird die Gefahr unnötig hochgespielt? Wir haben Sicherheitsexperten um ihre Ratschläge und Meinungen zur aktuellen Sicherheitslücke gebeten.

Softonic-Sicherheitsexperte Fabrizio Ferri sprach mit Geoffroy Couprie von TextSecure und Lorenzo Martínez Rodríguez von Securízame. Wir haben die Antworten der beiden Sicherheitsexperten zu häufigen Anwender-Fragen bezüglich des Heartbleed-Fehlers zusammengefasst. (Die Hervorhebungen dienen der Betonung wichtiger Punkte und geben unsere Dringlichkeitseinschätzung wieder).

Wird die Heartbleed-Gefahr in den Medien übertrieben oder heruntergespielt?

Couprie: Die Gefahr wird nicht aufgebauscht. Es handelt sich um den seltenen Fall, in dem Sicherheitstechnologie durch ihren Einsatz die Dinge verschlimmert. Aber das Ausmaß des Fehlers wird allgemein unterschätzt. Viele Unternehmen haben fälschlicherweise angenommen, nicht betroffen zu sein.

Rodríguez: Meiner Meinung nach hatte die Presse wenig Einfluss auf einen Fall dieses Ausmaßes. Selbst wenn nur fünf Millionen Server betroffen sind, ist das Auslesen von Teilen des Arbeitsspeichers immer noch eine große Sicherheitslücke, da sensible Daten enthalten sein können. Wir haben gesehen, dass es sogar möglich ist, den privaten Schlüssel eines SSL-Zertifikates zu erlangen. Die OpenSSL-Sicherheitslücke erstreckt sich außerdem auf weitere Geräte wie kommerzielle Router und Firewalls.

Was ist die wirkliche Gefahr für Nutzer beim täglichen Surfen im Internet?

Couprie: Der Angriff auf einen Webserver kann Daten offenbaren, die über den Server liefen. Das können Passwörter, Cookies oder alle möglichen anderen, vertraulichen Informationen sein: Kreditkartennummern, Adressen, Telefonnummern. Was den meisten weniger bewusst ist: Auch Endgeräte können betroffen sein, also iPhones und Android-Smartphones. Hier wurden eventuell ebenfalls vertrauliche Dinge preisgegeben.

Rodríguez: Durch das breite Bekanntwerden des Fehlers und dem Zeitfenster zwischen der Veröffentlichung und dem Schließen der Sicherheitslücke sind unsere Daten bei betroffenen Anbietern als nicht sicher einzustufen.

Haben Sie Ihr Passwort auf vom Heartbleed-Fehler betroffenen Seiten geändert?

Couprie: Ja. Das erfordert zwar Zeit, ist aber notwendig. Gleichzeitig ist es ein guter Moment, um auf einen Passwort-Manager umzusteigen, anstatt überall das selbe Passwort zu verwenden oder zu versuchen, sich zwanzig verschiedene zu merken.

Rodríguez: Natürlich! Mashable hat eine zusammenfassende Liste mit vielen betroffenen Seiten veröffentlicht. Der Heartbleed-Fehler betraf mich aber nicht nur als Nutzer, sondern auch geschäftlich: Wir haben unsere Kunden von Securízame durch den dringend notwendigen Prozess der Reaktion begleitet. Die betroffenen Dienste sind ja nicht nur Internetseiten, sondern auch E-Mail-Server und VPN-Lösungen.

Was halten Sie von den Berichten, dass die NSA den Heartbleed-Fehler für Spionagezwecke ausgenutzt hat?

Couprie: Nicht viel. Es hat keine Zweck, sich über die NSA den Kopf zu zerbrechen, wenn sich der Fehler von jedermann ebenso  leicht ausnutzen lässt. Fehler beheben, Anwender in Kenntnis setzen, das Leben geht weiter.

Rodríguez: Wir sind es gewöhnt, uns die NSA als diesen großen Apparat vorzustellen, der über genügend Kapazitäten verfügt, sich das Internet für seine Interessen zunutze zu machen. Daher überrascht mich die Annahme kaum, dass die NSA ihre Finger im Spiel hatte. Wer viele Dienste gleichzeitig kontrollieren will, der greift die Basis dieser Dienste an. Erst vor kurzem habe ich mich skeptisch zu den Sicherheitslücken in Apples GNUTLS-Verschlüsselung geäußert (Artikel auf Spanisch).

Welchen Rat können Sie unseren Lesern geben?

Couprie: Wer auf Online-Dienste angewiesen ist, die bisher noch nicht auf den Heartbleed-Fehler reagiert haben oder ihre Nutzer noch nicht informiert haben, sollte nicht locker lassen, bis die Schwachstelle behoben ist. Oder wechseln Sie zu einem anderen Anbieter. Die Lücke lässt sich schnell schließen – einem Anbieter, der dazu nicht in der Lage ist, sollte man seine Daten nicht anvertrauen.

Rodríguez: Nutzen Sie im Augenblick nur die wichtigsten Dienste, oder solche, die nicht angreifbar sind, entweder weil sie kein OpenSSL verwenden oder den Fehler bereits beseitigt haben. Ändern Sie Ihr Passwort bei Anbietern, nachdem diese OpenSSL auf die fehlerfreie Version aktualisiert haben. Verwenden Sie lange und komplexe Passwörter mithilfe eines Wörterbuchs. Vergeben Sie kein Passwort doppelt, und greifen Sie auf einen Passwort-Manager zurück, wenn Sie sich all die unterschiedlichen Konten nicht merken können. Andere Möglichkeiten, die Sicherheit zu erhöhen, sind die Bestätigung in zwei Schritten und Dienste wie Latch Eleven Paths. Informieren Sie sich in Zukunft über auftretende Sicherheitslücken so schnell wie möglich, um zügig reagieren zu können und das Risiko zu minimieren.

Weiterführende Informationen

Welche bekannten Internetseiten und Anbieter sind oder waren vom Heartbleed-Fehler betroffen? Wir haben eine Übersicht zusammengestellt. Außerdem geben wir ausführliche Informationen, wie Sie Ihre Internetkonten nach der OpenSSL-Sicherheitslücke wieder sicher machen.

Passende Artikel

OpenSSL-Sicherheitslücke: Auf welchen Internetseiten tritt der der Heartbleed-Fehler auf?

Der sogenannte Heartbleed-Fehler stellt eine gravierende Sicherheitslücke dar und betrifft unzählige Internetseiten und Server. Eine Liste mit bekannten Internetseiten gibt Einblick, wer von dem Sicherheitsproblem betroffen ist. Eine eingerichtete Testseite zur eigenen Überprüfung ist wegen der hohen Nachfrage immer wieder überlastet.

Was ist der Heartbleed-Fehler?

Der Fehler tritt im Heartbeat-Modul der Kryptographie-Bibliothek OpenSSL auf, die weit verbreitet und auf vielen Servern zur Verschlüsselung des Datenverkehrs im Einsatz ist. Durch die Schwachstelle können Angreifer den Arbeitsspeicher des Servers auslesen. Dadurch werden die Schlüssel preisgegeben und der gesamte Datenverkehr lässt sich ausspähen. Die Sicherheitsexperten von Codenomicon, die den Fehler entdeckt haben, tauften die Sicherheitslücke Heartbleed.

Welche Internetseiten sind betroffen?

Eine vollständige Liste von betroffenen Seiten gibt es zu diesem Zeitpunkt nicht. Ein Update zur Behebung der Sicherheitslücke steht schon zur Verfügung. Viele Server-Administratoren haben reagiert, wodurch die Gesamtanzahl der anfälligen Seiten also abnehmen sollte. Nach Stand vom 8. April 2014 zählten Yahoo, Flickr, OKCupid, Imgur und Eventbrite zu bekannten Seiten, auf denen eine anfällige OpenSLL-Version läuft. Mit dem Heartbleed Test lassen sich Seiten überprüfen, allerdings arbeitet der Test wegen der hohen Nachfrage nicht immer zuverlässig. Mehrere Listen zeigen die häufigsten Abfragen und das entsprechende Ergebnis.

Warum ist der Fehler so schwerwiegend?

Der Heartbleed-Fehler besteht seit 2011 und betrifft alle OpenSSL-Versionen von 1.0.1 bis 1.0.1f. Die Kryptographie-Bibliothek kommt auf auf geschätzten zwei Dritteln aller Server im Internet zum Einsatz. Zusätzlich lässt sich das Ausnutzen der Sicherheitslücke nicht nachvollziehen, es kann also nicht festgestellt werden, welche Daten eventuell ausgespäht wurden. Die Art des Fehlers ist selten, da durch die Lücke mehr Daten gefährdet sind als ursprünglich geschützt werden sollten. Im Endeffekt ist eine fehlerhafte OpenSSL-Verschlüsselung also schlechter als gar keine Verschlüsselung.

Was können Anwender tun?

Es empfiehlt sich, häufig genutzte Seiten zu kontrollieren: Welche Verschlüsselungsmethode kommt zu Einsatz? Falls OpenSSL im Einsatz ist, welche Version? Wurde der Heartbleed-Fehler schon behoben? Das Ändern wichtiger oder sogar aller Passwörter ist nie falsch, jedoch sollte es in jedem Fall nach dem Update auf die fehlerfreie OpenSLL-Version 1.0.1f erfolgen. Anwender müssen keine Software auf ihren Rechnern nicht aktualisieren. Doppelte Verschlüsselung hilft auch: Sobald zusätzlich eine zweite Verschlüsselung wie zum Beispiel Perfect Forward Secrecy (PFS) zum Einsatz kommt, besteht keine Anfälligkeit für den Heartbleed-Fehler. PFS-Verbindungen nutzen unter anderem Posteo und Strato, bei T-Online und United Internet, also GMX und Web.de, ist die Einführung geplant.

Passwort ändern

Inzwischen sind einige Online-Dienste dazu übergegangen, nach Schließen der Sicherheitslücke zur Änderung des Passwortes aufzufordern. Wegen der Aktualisierung hat Minecraft-Hersteller Mojang gestern die Server für einige Zeit heruntergefahren. Heute rät Mojang seinen Nutzern, ihre Passwörter für Minecraft zu ändern. Auch Soundcloud ergreift entsprechende Maßnahmen: Alle Nutzer der Musik-Plattform werden im Laufe des heutigen Tages abgemeldet. Beim erneuten Anmelden erhalten Sie eine Aufforderung zur Passwort-Änderung.

Update 09.04.2014 15.30 Uhr: Wir haben Informationen zur Passwort-Änderung bei Minecraft und Soundcloud eingefügt.

Passende Artikel

Quelle / Bild: Heartbleed | Github

Via: GigaOM

Sicherheitslücke in Microsoft Word und Outlook gefährdet Nutzer

Microsoft hat eine Sicherheitswarnung für Microsoft Word veröffentlicht. Angreifer können eine bisher unbekannte Schwachstelle in der Textverarbeitungssoftware zum Ausführen von Schadsoftware benutzen. Durch die Vorschaufunktion für E-Mail-Anhänge betrifft das Sicherheitsproblem auch Microsoft Outlook.

Laut Microsoft konzentrieren sich Angreifer momentan auf Microsoft Word 2010. Durch ein speziell präpariertes Dokument im Rich-Text-Format (RTF) gelingt es, Schadsoftware auszuführen und die selben Rechte wie der Nutzer zu erlangen.

Die Sicherheitslücke betrifft die folgenden Software-Versionen:

  • Microsoft Word 2003
  • Microsoft Word 2007
  • Microsoft Word 2010
  • Microsoft Word 2013
  • Word Viewer
  • Office für Mac 2011

Die E-Mail-Anwendung Microsoft Outlook weist selbst keine Lücke auf, kann aber Angreifern bei einer Attacke behilflich sein. Beim Empfang einer E-Mail im Rich-Text-Format kann Outlook Microsoft Word zum automatischen Anzeigen des Inhaltes nutzen. Dadurch besteht eine zusätzliche Gefahr in Verbindung mit Outlook. In den folgenden Versionen ist Microsoft Word als Standard für RTF festgelegt:

  • Microsoft Outlook 2007
  • Microsoft Outlook 2010
  • Microsoft Outlook 2013

Microsoft arbeitet daran, die Sicherheitslücke zu schließen. In der Zwischenzeit können betroffene Nutzer das Problem umgehen, indem in Microsoft Word das Öffnen von Inhalten im Rich-Text-Format deaktiviert wird. Microsoft bietet einen entsprechenden Sofware-Patch zum Download an.

Passende Artikel

Quelle: Microsoft Security TechCenter

Google Now für Chrome, neue Microsoft-Sicherheitslücke, Telegram hat 35 Millionen Nutzer

Google Now ist in der Desktop-Version von Chrome angekommen, Microsoft warnt vor einer neuen Sicherheitslücke in Word und Outlook und die Messenger-App Telegram erreicht 35 Millionen aktive Nutzer pro Monat – der Nachrichtenüberblick.

Google Now für Chrome: Nach der Beta-Version bekommt jetzt auch die stabile Ausgabe von Googles Browser die Benachrichtigungen von Google Now. Die Karten informieren den Nutzer über Termine, Abfahrtszeiten und Ereignisse. Die nötigen Standortinformationen stammen aber vom Smartphone.

Neue Microsoft- Sicherheitslücke: Der Software-Hersteller warnt vor einer Sicherheitslücke in mehreren Anwenderprogrammen. Betroffen sind gleich mehrere Versionen von Microsoft Word und Outlook für Windows und Mac. Durch präparierte RTF-Dokumente können Angreifer Schadsoftware ausführen.

Telegram: Die Messenger-App hat von der Übernahme von WhatsApp durch Facebook profitiert. Nach eigenen Angaben nutzen derzeit 35 Millionen Anwender pro Monat die App. Täglich sind über 15 Millionen Nutzer aktiv, ein immenser Anstieg im Vergleich zum Oktober 2013, als Telegram nur 100.000 aktiven Nutzern pro Tag zählte.

Microsoft Windows XP: Das betagte Betriebssystem warnt seine Nutzer mit Popup-Nachrichten vor dem Ende des Supports am 8. April 2014. Viele Nutzer verwechseln die gut gemeinten Hinweise aber mit Schadsoftware selbst.

Ello: Bei Ello ist man der Meinung, dass soziale Netzwerke von Werbekunden beherrscht werden und letzten Endes der Nutzer das Produkt ist. Wer diese Ansicht teilt und findet, dass die Zeit reif ist für eine soziale Plattform mit anderem Ansatz, kann sich zu Ello einladen lassen.

Updates

Firefox 28.0.1 für Android: Mozilla hat ein Update für die Android-Version des Browsers veröffentlicht. Die Aktualisierung behebt eine Sicherheitslücke sowie Probleme bei der Wiedergabe von Videos.

Spiele

Rollercoaster Tycoon für PC: Atari hat eine PC-Version der neuen Ausgabe von Rollercoaster Tycoon bestätigt. Der Hersteller beschwichtigt aufgebrachte Fans mit der Ankündigung, dass sich das Spiel wesentlich von der iOS-Variante unterscheiden soll.

Deutscher Computerspielpreis: In der Kategorie “Bestes Deutsches Spiel” sind dieses Jahr Crysis 3, Giana Sisters Twisted Dreams und The Inner World nominiert. Die Verleihung des Deutschen Computerspielpreises findet am 15. Mai 2014 in München statt.

Bear Simulator erreicht Kickstarter-Ziel: In nur einer Woche hat der Bear Simulator das Finanzierungsziel auf der Crowdfunding-Plattform Kickstarter erreicht. Damit sollte dem virtuellen Bärenabenteuer nichts mehr im Wege stehen.

AVM über die Sicherheitslücken in Fritz!Boxen und Routern

Nach vielen Sicherheitsupdates hat AVM zahlreiche Sicherheitslücken in seinen Geräten geschlossen. Betroffen waren viele Fritz!Box-Modelle und auch WLAN-Repeater. Im Rahmen der CeBIT 2014 in Hannover hat der Hersteller über die Fehlersuche gesprochen.

In einem Gespräch erklärte der Sicherheitsexperte von AVM, Jan Schöllhammer, dass die Schwachstelle in einem selbst entwickelten Teil der Software steckte. Bei Neuerungen am Quellcode fiel die Lücke nicht auf, selbst im Test von vier externen Sicherheitsunternehmen nicht.

Die Zusammenarbeit mit den Testern ist eng: Zu jeder Änderung bekommen sie umfangreiche Dokumentationen. Der Fehler war in diesem Fall wirklich schwer zu finden, auch für die Angreifer. Die Tatsache, dass die Lücke ausgenutzt wurde, zeigt für Schöllhammer, dass die Angreifer intensiv nach Schwachstellen gesucht haben.

Nach der erfolgreichen Suche machten die Angreifer die Schwachstelle zu Geld. Es ging nicht darum, fremde PCs oder Heimnetzwerke zu übernehmen, sondern kostenpflichtige Telefonnummern anzurufen. Mehrwertnummern sind unter Kriminellen eine etablierte Umsatzmethode, die mit Organisation und Struktur betrieben wird. Zum Glück für die Betroffenen sperren viele Telefonabieter solche kostenpflichtigen Rufnummern.

Über den Telefonbetrug wurde die Sicherheitslücke bekannt. AVM hat noch während der Suche nach der Ursache Nutzern empfohlen, den Fernzugriff der Geräte zu deaktivieren. Je komplexer die Funktionalität der Router ist, desto häufiger nutzen Anwender den Fernzugriff.

Insgesamt hat der Hersteller alle Geräte überprüft und bei Bedarf aktualisiert. Bei AVM will man auch in Zukunft mit externen Prüfern zusammenarbeiten und die interne Überprüfung mit bereits erarbeiteten Techniken noch weiter ausbauen. So kommen beim Hersteller beispielsweise automatisierte Tests zum Einsatz. Aber auch die manuelle Prüfung will AVM noch intensiver betreiben.

Passende Artikel

Quelle: Golem