Trends & News | News

RTF-Lücke in Microsoft Word

Eine Schwachstelle in allen momentan unterstützten Versionen von Microsoft Word wird derzeit für Angriffe ausgenutzt. Angreifer schicken dazu präparierte RTF-Dokumente an ihre Opfer. Wer Word als Viewer für RTF-Dateien eingestellt hat und den Anhang öffnet, infiziert dabei sein System mit Schad-Software. Bei Outlook genügt dafür unter Umständen schon die Mail-Vorschau. Haben Nutzer Outlook so konfiguriert, dass das Programm E-Mails als einfachen Text anzeigt oder setzen Microsofts Enhanced Mitigation Toolkit (EMET) ein, erschwert dies laut Microsoft das Ausnutzen der Lücke. Die Lücke betrifft Word 2003, 2007, 2010 und 2013 für Windows und Office für Mac 2011. Um die Lücke provisorisch zu schließen, bis ein Sicherheitspatch veröffentlicht wird, bietet Microsoft ein Fix-it-Tool an, welches das Öffnen von RTF-Inhalten in Word deaktiviert (siehe c’t-Link). Dies führt allerdings dazu, dass Nutzer überhaupt keine RTF-Dateien in Word mehr verwenden können, was unter Umständen im Arbeitsalltag zu Problemen führen kann. (fab)

Neustart für Full Disclosure

Nachdem die bekannte Sicherheits-Mailingliste Full Disclosure von ihrem Betreiber John Cartwright geschlossen wurde, hat Nmap-Entwickler Gordon „Fyodor“ Lyon diese unter dem Dach von Seclists.org wiederbelebt. Die Reinkarnation der Full-Disclosure-Liste soll laut Lyon den gleichen Regeln unterliegen wie die Original-Liste. Rechtliche Drohungen von Herstellern will Lyon nicht tolerieren; er hat nach eigener Aussage viel Erfahrung im Umgang mit ähnlichen Rechtsstreitigkeiten. Cartwright hatte die Liste geschlossen, weil ein Mitglied ihn mit vermehrten Lösch-Anfragen konfrontiert hatte und er selbst nicht mehr bereit war, diese Art von Konflikten auszufechten.

Full Disclosure hatte 2002 Sicherheitsforschern zum ersten Mal einen Ort geboten, um die von ihnen gefundenen Sicherheitslücken zentral zu veröffentlichen. Hersteller mussten sich plötzlich damit auseinandersetzen, dass solche Lücken ins Licht der Öffentlichkeit gezerrt wurden. Das hatte bei vielen Firmen zu Änderungen im Umgang mit Sicherheitslücken geführt und auch die Veröffentlichung von Updates beschleunigt. Lyon erhielt für den Reboot der Liste bereits öffentliche Danksagungen von vielen Sicherheitsforschern. (fab)

Threema mit mehr Privatsphäre

Bei der Android-Variante des Kryptomessengers Threema wurde die Synchronisation der Kontakte überarbeitet. Version 1.41 erlaubt nun das Erstellen einer Ausschlussliste von Kontakten, die nicht mit den Threema-Servern ausgetauscht werden sollen. Auf diese Weise kann man bestimmte Kontakte vom automatischen Abgleich fernhalten, ohne seine komplette Kontaktliste nur noch manuell durch Scannen von QR-Codes verwalten zu können. Zusätzlich können Nutzer nun in der neuen Benutzeroberfläche die Verknüpfung mit Android-Systemkontakten manuell ändern.

Die neue Threema-Version kann Kontakte auch komplett blockieren, sodass deren Nachrichten gar nicht erst an das Smartphone zugestellt werden, und bei unbekannten Kontakten wird nun automatisch der Threema-Nickname statt der Schlüssel-ID eingeblendet, wenn dieser öffentlich ist. Des weiteren kann Threema jetzt einen von denselben Entwicklern geschriebenen Scanner für QR-Codes nutzen, der separat als Plug-in installiert werden kann. Dieser ist mit 250 K recht handlich. (fab)

Kriminelle nutzen erbeutete Fritzbox-VoIP-Daten aus

Als zu Jahresbeginn die Fritzbox-Angriffe durch horrende Telefonrechnungen auffielen, hatten die Täter die erste Phase des Angriffs – das Einsammeln von Zugangsdaten – möglicherweise längst abgeschlossen. Der Internettelefonie-Anbieter Sipgate berichtete c’t von einer ungewöhnlichen Häufung von neuen Betrugsfällen, in denen die VoIP-Accounts von Fritzbox-Nutzern für kostspielige Auslandstelefonate missbraucht wurden. Die Kunden hatten zwar das Sicherheits-Update von AVM installiert, nicht aber das VoIP-Passwort geändert.

Das ist ein Indiz dafür, dass die Daten bereits vor einiger Zeit erbeutet wurden, als die Boxen noch anfällig waren – möglicherweise sogar vor der Veröffentlichung der Fritzbox-Updates. Wann genau, lässt sich nicht feststellen, da das Abgreifen der Router-Konfiguration keine Spuren hinterlässt. Sipgate befürchtet, dass die Kriminellen auf „einem Berg von Daten“ sitzen, die sie nach und nach zu Geld machen.

Nach bisherigen Aussagen von AVM wurden nur Fritzbox-Anwender angegriffen, die den Fernzugriff ihrer Fritzbox aktiviert hatten; konkrete Hinweise, dass auch andere Angriffsvektoren genutzt wurden, gibt es bislang nicht. Wer den Fernzugriff genutzt hat, sollte also umgehend sämtliche in der Fritzbox hinterlegten Passwörter ändern, insbesondere jenes für die Internettelefonie (VoIP). Auch die Passwörter der Fritzbox-Accounts sind zu ändern und Accounts unbekannter Herkunft zu löschen. Tauchen in den Telefonie-Einstellungen unbekannte Telefone auf, sollte man diese entfernen. (rei)

Sicherheits-Notizen

Sicherheitsforscher haben auf der Quellcode-Hosting-Plattform GitHub tausende geheime Root-Schlüssel für Amazon Web Services entdeckt. Amazon rät dazu, temporäre Zugangsdaten zu verwenden und Schlüssel nicht direkt in Quellcode einzubetten.

Die Micro-Blogging-Plattform Tumblr bietet ihren Nutzern ab sofort Zwei-Faktor-Authentifizierung an.

Ganoven haben zwei Apps über Google Play angeboten, die verdeckt Kryptowährungen schürfen. Die Schürf-Trojaner haben es geschafft, tausende von Dogecoins und Litecoins zu erwirtschaften. Google hat die schädlichen Apps mittlerweile entfernt.

Artikel kostenlos herunterladen

weiterführende Links