Trends & News | News

Verseuchte Dia-Scanner bei Tchibo

Der Kaffeeröster Tchibo hat in der Vorweihnachtszeit virenverseuchte Dia-Scanner von Hama verkauft. Im Speicher einiger der 60 Euro teuren Geräte lauert der rund vier Jahre alte Conficker-Wurm. Nach Herstellerangaben ist angeblich nicht die gesamte Charge betroffen. Wer einen Virenscanner installiert hat, der auf aktuelle Signaturen zurückgreift, hat wenig zu befürchten. Laut Tchibo kann man das Gerät gefahrlos benutzen, nachdem der Virenscanner den Gerätespeicher desinfiziert hat. Alternativ kann man den Dia-Scanner gegen Erstattung des Kaufpreises zurückgeben. (rei)

Patchday ohne Internet-Explorer-Patch

Im Internet Explorer 6 bis 8 klafft eine kritische Sicherheitslücke, die sich zum Einschleusen von Schadcode eignet. Cyber-Kriminelle nutzen die Schwachstelle bereits seit Ende vergangenen Jahres, um über verseuchte Webseiten gezielt bestimmte Personenkreise zu attackieren. Inzwischen ist auch ein Metasploit-Modul um Umlauf, mit dem sich jedermann einen passenden Exploit bauen kann.

Zuverlässige Abhilfe schafft momentan nur ein Upgrade auf eine neuere IE-Version – oder ein Browser-Wechsel. Wer auf die alten IE-Versionen angewiesen ist, kann das Ausnutzen der Lücke durch das Abhärtungstool EMET erschweren. Auch das Abschalten von JavaScript hilft. Microsoft bietet zwar auch ein Fix-it-Tool an, das die Schwachstelle zumindest provisorisch schließen soll. Nach Angaben eines Sicherheitsforschers schützt das Tool jedoch nur unzureichend.

An seinem Januar-Patchday hat Microsoft die Schwachstelle nicht berücksichtigt. Es gab insgesamt sieben Patch-Pakete, die zwölf Lücken schließen. Darunter eine kritische in der Druckerwarteschlage von Windows 7 und Server 2008 R2. Gelingt es einem Angreifer, einen speziell präparierten Druckauftrag abzusetzen, kann er Code einschleusen. Zudem wurden kritische Schwachstellen in den MSXML Core Services geschlossen, die sämtliche Windows-Versionen, Office 2003 und 2007, Word Viewer, Office Compatibility Pack und Expression Web betreffen. Ebenfalls abgesichert wurden .NET Framework, Sharepoint- und Groove-Server sowie der System Center Operations Manager. (rei)

SSL-GAU bei TürkTrust

An Heiligabend vergangenen Jahres machte Google eine beunruhigende Entdeckung: Der Chrome-Browser meldete, dass die Google-Website mit einem gültigen SSL-Zertifikat ausgeliefert wurde, das gar nicht Google gehört. Es stellte sich heraus, dass das *.google.com-Zertifikat auf das Stammzertifikat des türkischen Zertifikatsherausgebers TürkTrust zurückgeht.

Nachdem Google den Herausgeber informiert hat, räumte dieser eine Panne ein, die sich bereits im August 2011 ereignet haben soll. Nach einer Systemumstellung seien damals in zwei Fällen Kunden statt regulärer SSL-Zertifikate sogenannte SubCA-Zertifikate ausgestellt worden. Mit diesen hat der Herausgeber sein Recht weitervererbt, Zertifikate zu erstellen.

Die Ausstellung des Google-Zertifikats war laut TürkTrust ein Versehen: Demnach sei das dazu genutzte SubCA-Zertifikat seit dem Ausstellen unbemerkt auf einem Webmail-Server zum Einsatz gekommen. Nachdem es im Dezember auf eine Firewall-Appliance exportiert wurde, habe diese damit begonnen, dynamisch SSL-Zertifikate auszustellen, um den durchgeleiteten HTTPS-Traffic analysieren zu können. Das zweite Zertifikat wurde laut Herausgeber für ungültig erklärt, bevor es genutzt wurde.

Man kann nur hoffen, dass die Schilderung von TürkTrust der Wahrheit entspricht. Die Zertifikate eigneten sich nämlich auch zur großflächigen Überwachung von Internetnutzern, wie bereits im Iran geschehen. Google, Microsoft und Mozilla haben die Zertifikate auf die Sperrlisten ihrer Browser gesetzt. Darüber hinaus will Google künftig den sogenannten „Extended-Validated“-Status von TürkTrust-Zertifikaten nicht mehr anerkennen. (rei)

Krypto-Messenger

Das Schweizer Unternehmen Kasper System verspricht bei seiner iOS-Messaging-App Threema in puncto Sicherheit alles richtig zu machen, was Konkurrenten wie WhatsApp vergeigt haben: Nachrichten werden zum Beispiel nicht im Klartext übertragen, sondern verschlüsselt. Dabei kommt laut Hersteller eine Ende-zu-Ende-Verschlüsselung zum Einsatz – die Nachrichten können also nur vom Empfänger und nicht auf dem Transportweg entschlüsselt werden. Die Nachrichten sollen mit einem 256 Bit langen Schlüssel XSalsa20-chiffriert werden, der über elliptische Kurven abgeleitet wird. Auch Fotos und Standortinformationen werden verschlüsselt übertragen.

Threema teilt dem Gesprächspartner eine von drei Vertrauensstufen zu: „grün“ bekommt das Gegenüber nur, wenn es seine Identität bei einem persönlichen Kontakt bestätigt hat. Dazu scannt man einmalig einen QR-Code vom Smartphone-Display des Gegenübers ein, wodurch Threema dessen öffentlichen Schlüssel verifiziert. Die zweithöchste Stufe „orange“ bekommt der Kontakt, wenn er seine Mail-Adresse oder seine Handynummer beim Betreiber verifizieren lässt. Gab es weder einen persönlichen Kontakt noch eine Verifikation, bekommt des Gegenüber nur „rot“. In diesem Fall muss man sich selbst davon überzeugen, dass der kryptisch wirkende Benutzername, die sogenannte Threema-ID, auch tatsächlich der Person gehört, die man erreichen möchte.

Die Messaging-App gleicht das Adressbuch des Smartphones mit dem Betreiber ab, um herauszufinden, welche der Kontakte den Dienst ebenfalls nutzen. Laut Anbieter überträgt der Messenger hierzu jedoch lediglich Hash-Werte, die außerdem nicht gespeichert würden. Threema kostet im App Store derzeit 1,79 Euro. Eine Android-Version soll in Kürze folgen. (rei)

Sicherheits-Notizen

Adobe hat ein großes Update für Reader und Acrobat veröffentlicht, das 26 Lücken schließt. Aktuell sind die Versionen 11.0.1 (XI) 10.1.5 (X) und 9.5.3. Zudem wurde Flash abgesichert.

In der WiKi-Software MoinMoin klaffen kritische Lücken. Abhilfe schafft Version 1.9.6.

Adobe warnt vor drei kritischen Schwachstellen in ColdFusion 10, 9.0.2, 9.0.1 und 9.0, die bereits aktiv von Cyber-Kriminellen ausgenutzt werden. Ein Patch soll zum 15. Januar bereitstehen, Workarounds findet man unter dem c’t-Link.

Die Versionen 3.0, 3.1 und 3.2 des von Ruby on Rails schließen eine SQL-Injection-Lücke.

Durch ein Datenleck beim Reiseveranstalter Unister waren die Flugdaten von über 4700 Kunden einsehbar.

Artikel kostenlos herunterladen

weiterführende Links

Anzeige