zurück zum Artikel

Trends & News | News

Bitdefender im Kachel-Look Der Virenwächter-Hersteller Bitdefender hat die 2015er-Versionen seiner Antivirenprodukte Antivirus Plus, Internet Security und Total Security veröffentlicht. Die größte Änderung betrifft die Bedienoberfläche, die nun im...

Bitdefender im Kachel-Look

Der Virenwächter-Hersteller Bitdefender hat die 2015er-Versionen seiner Antivirenprodukte Antivirus Plus, Internet Security und Total Security veröffentlicht. Die größte Änderung betrifft die Bedienoberfläche, die nun im aufgeräumten Kachel-Look erscheint; alle Funktionen sind jetzt ohne Scrollen erreichbar. Abgesehen von der neu gestalteten Oberfläche hat Bitdefender vor allem Detailverbesserungen vorgenommen; das einzige erwähnenswerte neue Feature ist der Ein-Klick-Optimierer. Er grast das System nach temporären Dateien, verwaisten Registrierungseinträgen und Browserverlaufsdaten ab und löscht sie. Der eingebaute Update-Helfer ist zwar nicht neu, aber eine durchaus nützliche Ergänzung für ein Antivirenprogramm. Die Funktion untersucht installierte Software auf Aktualität und meldet, wenn Komponenten veraltet sind.

Bitdefender 2015 gibt es als Kauf-Download auf der Homepage des Herstellers (siehe c’t-Link) – die Basisversion Antivirus Plus kostet 30 Euro für ein Jahr und einen PC. Internet Security für 50 Euro bietet zusätzlich eine Alternative zur Windows-eigenen Firewall, Jugendschutzfunktionen und einen Cloud-basierten Spamfilter. Die Variante Total Security fügt dem Ganzen noch Diebstahlschutz, Verschlüsselungsoptionen und 2 GByte Cloudspeicher hinzu. Sie kostet 60 Euro. (jss)

Linux-Entwickler arbeiten an neuer Zufallszahlen-Funktion

Die BSD-affinen Entwickler von LibreSSL haben ihre Software auf andere Betriebssysteme portiert. Bei der Version für Linux tauchten dabei Probleme auf, die eine heftige Diskussion entbrennen ließen. Auslöser ist die sichere Nutzung von Zufallszahlengeneratoren nach einem Aufruf von fork(), was komplett identische Kopien eines Prozesses im Speicher anlegt. Mit einem speziellen Testprogramm liefert OpenSSL in den Kindprozessen andere Zahlen – wie es auch sein sollte. Bei LibreSSL für Linux kommen jedoch die gleichen Zufallszahlen, was eindeutig schlecht ist.

Das LibreSSL-Team ist der Meinung, dass OpenSSL nur eine krude Notlösung implementiert, die sie nicht in ihre Bibliothek einbauen wollen. Schließlich sei es ihr Ziel, gerade solchen Überschuss und gefährliche Workarounds, die durch den Zwang zur Portabilität entstehen, zu entfernen. Die LibreSSL-Entwickler meinen, die Linuxer müssten ihren Kernel fixen, nicht sie die SSL-Implementierung.

Und die Linuxer tun genau das. Wie Theodore Ts’o – einer der alteingesessenen Kernel-Hacker und Verwalter des Krypto-Subsystems – auf der Kernel-Mailingliste vorschlug, soll der Linux-Kern einen neuen System-Aufruf bekommen. Diese Funktion getrandom() soll analog zu getentropy() auf OpenBSD funktionieren – so lässt sich das fork()-Problem sauber lösen.

Es bleibt jedoch das Problem, dass es einige Zeit dauern wird, bis eine solche Änderung tatsächlich in den Mainstream-Kernel-Versionen ankommt. Und bis die dann auf Linux-Servern zum Einsatz kommen, dürften noch einige Jahre ins Land ziehen. (ju)

Project Zero: Googles Elite-Hacker

George Hotz, auch bekannt als Geohot, veröffentlichte 2007 als Erster einen Jailbreak für das iPhone und knackte später Sonys Playstation 3. Jetzt arbeitet er für Googles Project Zero, wo er dafür bezahlt wird, dass er in Vollzeit seinem Hobby nachgeht: Sicherheitslücken finden und demonstrieren, wie man diese ausnutzen kann.

Geohot ist nur einer der über zehn Elite-Hacker, deren Arbeit Chris Evans koordinieren soll. Der hat selbst eine beachtliche Liste von Sicherheitslücken veröffentlicht, bevor er Security-Chef von Chromium wurde. Tavis Ormandy, Googles streitbarer Security-Rockstar, gehört genauso dazu, wie Ben Hawkes, der im vergangenen Jahr vor allem durch Lücken in Flash und Office auf sich aufmerksam machte.

Das Ziel von Project Zero ist das Auffinden und Beseitigen von Sicherheitslücken – und zwar nicht nur in Google-Produkten, sondern auch in Soft- und Hardware, die in deren Umfeld zum Einsatz kommt und damit eine sichere Nutzung des Internet gefährdet. Es geht vor allem darum, an kritischen Stellen das Reservoir potenzieller Zero-Day-Lücken auszutrocknen, aus dem Geheimdienste und kriminelle Banden für ihre gezielten Angriffe schöpfen. Project Zero will die gefundenen Lücken ausschließlich an die jeweils betroffenen Hersteller melden und mit diesen zusammen an Fixes arbeiten. (ju)

Microsoft entfernt indische CA-Zertifikate

Microsoft hat drei SubCA-Zertifikaten der indischen Regierung das Vertrauen entzogen, nachdem bekannt wurde, dass damit falsche Zertifikate für Google-Dienste ausgestellt wurden. Die SubCA-Zertifikate gehören dem National Informatics Centre (NIC) und gehen auf das Wurzelzertifikat der staatlichen Zertifizierungsstelle Indiens zurück, der India CCA. Dieses Wurzelzertifikat befindet sich seit 2011 auf Microsofts Liste der vertrauenswürdigen Herausgeber.

In anderen CA-Listen, wie etwa der von Mozilla, wird das Zertifikat nicht geführt. Betroffen sind 45 Domains wie google.com, mail.google.com und Googles IMAP-Server. Darüber hinaus wurden auch etliche Zertifikate für Yahoo-Dienste ausgestellt. Wem es wie in diesem Fall gelingt, falsche Zertifikate für fremde Domains ausstellen zu lassen, der kann damit als Man-in-the-Middle unbemerkt SSL-Traffic im Klartext mitlesen und manipulieren. (rei)

Sicherheits-Notizen

Der Apache-Webserver ist anfällig für fünf Sicherheitslücken, die in der neuesten Entwicklungsversion der Software geschlossen wurden. Die Verbesserungen gibt es als Patches für Version 2.4.x des Servers, und sie sollen in Zukunft in ein reguläres Release einfließen.

Neun Consumer-Router und Kabelmodems von Cisco sind anfällig für eine kritische Lücke, die es Angreifern aus dem Netz ermöglicht, die Geräte zu kapern. Einige der verwundbaren Modelle sind auch bei deutschen Providern im Einsatz. Details siehe c’t-Link.

Oracle hat im Juli mit seinem vierteljährlichen Patch-Update 113 Lücken geschlossen, die über die gesamte Produktpalette des Unternehmens verteilt sind. Java erhielt 20 Patches; eine ganze Reihe davon wurden als kritisch eingestuft, da Angreifer die zugrunde liegenden Sicherheitslücken missbrauchen können, um Systeme aus der Ferne zu übernehmen.


URL dieses Artikels:
http://www.heise.de/-2266515