DB0FHN

DB8AS  > VIRUS    04.10.13 09:04l 221 Lines 11495 Bytes #999 (0) @ DL
BID : 4A3DB0EAM001
Read: DK3UZ GUEST
Subj: BSI Newsletter 130926
Path: DB0FHN<OE2XZR<OE6XPE<DB0RES<DB0EAM
Sent: 131004/0702z @:DB0EAM.#HES.DEU.EU [Kassel DB8AS] DB19c1 $:4A3DB0EAM001
From: DB8AS @ DB0EAM.#HES.DEU.EU (Jochen)
To:   VIRUS @ DL


SICHER o INFORMIERT
-------------------
Der Newsletter des Bürger-CERT
Ausgabe vom 26.09.2013
Nummer: NL-T13/0020

Die Themen dieses Newsletters:
1. Microsoft: Sicherheitslücke in Internet Explorer und Outlook
2. What's App: Todesdrohung verunsichert Kinder und Jugendliche
3. WLAN-Router: Notwendige Aktualisierungen im Auge behalten
4. Mozilla Updates: Firefox und Thunderbird in Version 24
5. IOS, OS X und OS X Server: Patches und neue Versionen bei Apple
6. Opera: Upgrade auf Version 15.00
7. Content Management Software: WordPress schließt Sicherheitslücken
8. IT-Sicherheit im Fokus: European Cyber Security Month

EDITORIAL
    Guten Tag,
    im Oktober findet der Europäische Monat der Cybersicherheit statt: Einen
    Monat lang werden in 25 Ländern Themen rund um die Cyber-Sicherheit in
    den Fokus der Öffentlichkeit gerückt, um Internetnutzer zu
    sensibilisieren und ihnen Informationen, Hilfestellungen und
    Praxisbeispiele an die Hand zu geben. Einige Aktionen, die das BSI und
    seine Partner im Oktober durchführen, stellen wir Ihnen in diesem
    Newsletter vor und freuen uns auf eine rege Beteiligung.
    Der Newsletter des Bürger-CERT berichtet in dieser Ausgabe außerdem über
    eine aktuelle kritische Sicherheitslücke im Internet Explorer und in
    Outlook, ein Botnetz aus WLAN-Routern sowie über eine Audio-Datei, die
    via What's App Kinder und Jugendliche mit einer Todesdrohung
    verunsichert.
    Spannende Lektüre und sichere Stunden im globalen Netz wünscht Ihnen
    Ihr Buerger-CERT-Team

STÖRENFRIEDE
    1. Microsoft: Sicherheitslücke in Internet Explorer und Outlook

    Der Microsoft Internet Explorer in der Version 6 bis 11 enthält eine
    schwerwiegende Sicherheitslücke, über die Angreifer den Computer unter
    bestimmten Umständen kontrollieren können. Ein gelungener Angriff
    ermöglicht es, Code mit den Rechten des Nutzers auszuführen. Falls der
    Nutzer mit Administratorrechten surft, könnte der Angreifer den
    Zielrechner daher vermutlich komplett kapern. Betroffen sind neben dem
    Internet Explorer auch alle Versionen von Outlook, Outlook Express und
    Windows Mail. Hierbei ist das Risiko der Ausnutzung aufgrund des
    geschützten Modus beim Anzeigen von HTML-E-Mails deutlich geringer.
    Weitere Informationen finden Sie in der Technischen Warnung
    des
    Bürger-CERT [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T13-0068].
    Microsoft hat einen
    Work-around [http://support.microsoft.com/kb/2887505]
    bereitgestellt. Ein Patch soll am nächsten Patch-Day im Oktober
    nachgeliefert werden.

    2. What's App: Todesdrohung verunsichert Kinder und Jugendliche

    Über den Messengerdienst What's App kursiert derzeit eine Todesdrohung,
    die vor allem Kinder und Jugendliche verunsichert. Wie das
    Landeskriminalamt
    Niedersachsen [http://www.lka.niedersachsen.de/praevention/vorbeugung_themen_und_tipps/whatsapp-todesdrohung-kursiert-109737.html]
    mitteilte, verbreitet sich die Nachricht als Audio-Datei wie ein
    Kettenbrief und sei schon an zahlreichen Schulen in Umlauf.
    In der Datei fordert eine Computerstimme die Nutzer auf, die Nachricht in
    kurzer Zeit an mindestens 20 Empfänger weiterzuleiten. Geschehe dies
    nicht, so würden angeblich der Empfänger, aber auch die Mutter des
    Empfängers zeitnah getötet.
    Auch wenn vielen Erwachsenen solche Kettenbriefe mit Drohungen oder –
    andersherum – vollmundigen Versprechungen bekannt sind: Kinder und
    Jugendliche können diese Nachricht nicht immer richtig einordnen und
    fühlen sich eventuell tatsächlich bedroht. Eltern und Lehrer sollten
    dieses Phänomen daher mit den Kindern besprechen. Die Nachrichten sollten
    gelöscht und nicht weiter verbreitet werden. Generelle Informationen zu
    Hoaxes finden Sie auf unserer Webseite BSI für
    Bürger [https://www.bsi-fuer-buerger.de/BSIFB/DE/GefahrenImNetz/Hoax/hoax_node.html].

    3. WLAN-Router: Notwendige Aktualisierungen im Auge behalten

    Die Fachzeitschrift c't berichtet in ihrer aktuellen
    Ausgabe [http://www.heise.de/ct/artikel/Aufstand-der-Router-1960334.html]
    über ein Router-Botnetz, das international aktiv gewesen sei und von dem
    auch Nutzer in Deutschland betroffen gewesen seien. Dabei handele es sich
    um eine Gruppe manipulierter WLAN-Router, die den Datenverkehr ihrer
    Nutzer ausspionierten und vertrauliche Zugangsdaten an Cyber-Kriminelle
    übertrugen, so die c't.
    Die Angreifer nutzten offensichtlich eine schon seit Jahren geschlossene
    Sicherheitslücke in der Router-Firmware DD-WRT aus, um die Daten
    abzufangen. Der aktuelle Bericht zeigt damit erneut, dass viele Nutzer es
    versäumen, die Firmware ihrer Router auf dem aktuellen Stand zu halten.
    Nutzer sollten regelmäßig prüfen, ob Updates verfügbar sind – und davon
    ausgehen, dass sie nicht automatisch einen Hinweis erhalten, wenn eine
    neue Firmware-Version zur Installation bereitsteht. Weitere Tipps für ein
    sicheres WLAN finden sie auf unserer Webseite BSI für
    Bürger [https://www.bsi-fuer-buerger.de/BSIFB/DE/SicherheitImNetz/WegInsInternet/WLAN/Sicherheitstipps/sicherheitstipps_node.html].

SCHUTZMASSNAHMEN
    4. Mozilla Updates: Firefox und Thunderbird in Version 24

    Mozilla hat die Versionen Firefox 24 und Thunderbird 24 veröffentlicht.
    Das Unternehmen schließt damit mehrere Sicherheitslücken in der Browser-
    bzw. E-Mail-Software, durch die ein Angreifer die Programme zum Absturz
    bringen oder beliebige Befehle mit den Rechten des Benutzers ausführen
    kann. Das
    Bürger-CERT [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T13-0070]
    empfiehlt die zeitnahe Installation der Updates.

    5. IOS, OS X und OS X Server: Patches und neue Versionen bei Apple

    Von Apple gab es in den letzten Tagen zahlreiche Patches und neue
    Versionen:
    Nutzern von iPhone, iPod touch und iPad empfiehlt Apple das Update auf
    das mobile Betriebssystem iOS
    7 [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T13-0071].
    Für Nutzer von OS X Server steht ein
    Patch [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T13-0069]
    bereit, das Sicherheitslücken in der Server-Software schließt.
    Auch Mac OS X, Standard-Betriebssystem auf Apple Laptops und
    Desktop-Geräten, liegt in einer neuen Version vor: Die aktuelle Version
    OS X Mountain Lion
    v10.8.5 [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T13-0066]
    schließt zahlreiche Sicherheitslücken.
    Für Mac OS X und Safari hatte Apple bereits kurz zuvor ein
    Sicherheitsupdate [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T13-0065]
    veröffentlicht. Angreifer können die vorhandenen Sicherheitslücken zum
    Beispiel beim Besuch von Webseiten dazu benutzen, beliebige Programme auf
    dem betroffenen Rechner ausführen.
    Ausführlichere Informationen zu allen Updates und den betroffenen
    Software-Versionen finden Sie auf den im Text verlinkten Seiten des
    Bürger-CERT. Wir empfehlen die zeitnahe Installation der Updates bzw.
    Patches, da es sich in allen Fällen um kritische Sicherheitslücken
    handelt.

    6. Opera: Upgrade auf Version 15.00

    Ein Update schließt eine Sicherheitslücke in
    Opera [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T13-0067],
    die Cross-site Scripting Angriffe ermöglicht. Nutzer des Webbrowsers
    sollten die neue Version 15.00 zeitnah installieren.

    7. Content Management Software: WordPress schließt Sicherheitslücken

    Ein
    Update [http://wordpress.org/news/2013/09/wordpress-3-6-1/]
    schließt 3 Sicherheitslücken und 13 Fehler in WordPress, die
    beispielsweise Link Injection, das Ausführen fremden Codes oder das
    Verfassen von Beiträgen unter falschem Namen ermöglichen. Damit liegt die
    frei zugängliche Content Management Software, die auch von vielen
    Internetnutzern für private Webseiten und Blogs genutzt wird, in der
    Version 3.6.1 vor.
    Das BSI hat in einer kürzlich veröffentlichten
    Studie [https://www.bsi.bund.de/DE/Publikationen/Studien/CMS/Studie_CMS.html]
    die Sicherheit von Content Management Systemen untersucht, darunter auch
    WordPress.

PRISMA
    8. IT-Sicherheit im Fokus: European Cyber Security Month

    Im Oktober 2013 findet zum zweiten Mal der Europäische
    Monat der Cyber-Sicherheit

    [http://cybersecuritymonth.eu] (European
    Cyber Security Month – ECSM) statt. Von der Europäischen Union (EU)
    initiiert und von der Europäischen Agentur für Netz- und
    Informationssicherheit (ENISA) unterstützt, werden einen Monat lang
    Themen rund um die Cyber-Sicherheit in den Fokus der Öffentlichkeit
    gerückt. Ziel ist es, Internetnutzer zu sensibilisieren und ihnen
    Informationen, Hilfestellungen und Praxisbeispiele an die Hand zu geben.
    In Deutschland hat das BSI die Koordination der Aktivitäten übernommen
    und wird selbst eine Reihe von Aktionen durchführen. Unter anderem wird
    es auf den BSI für Bürger
    Webseiten [https://www.bsi-fuer-buerger.de] sowie auf dem offiziellen
    Facebook-Profil des
    BSI [https://de-de.facebook.com/bsi.fuer.buerger] Informationen zu
    verschiedenen Themenschwerpunkten geben:
    1. bis 6. Oktober 2013: Sicheres Surfen im Netz – Schutz vor Viren & Co.
    7. bis 13. Oktober 2013: Mobil sicher im Netz
    14. bis 20. Oktober 2013: Schutz beim Online-Shopping
    21. bis 27. Oktober 2013: Soziale Netzwerke sicher nutzen
    Zehn einfache Regeln für mehr Sicherheit im digitalen Alltag – das bietet
    der
    Sicherheitskompass [https://www.bsi-fuer-buerger.de/BSIFB/Sicherheitskompass]
    des BSI und der Polizeilichen Kriminalprävention der Länder und des
    Bundes. Er wurde anlässlich des ECSM grundlegend überarbeitet, neu
    gestaltet und mit praktischen Video-Tipps angereichert. Diese Clips und
    weitere Hinweise zeigen, wie jeder Nutzer sich durch technische Mittel
    und richtiges Verhalten vor Internetproblemen und -kriminalität schützen
    kann.

    Gemeinsam mit dem BSI beteiligen sich die Initiativen
    Deutschland sicher im
    Netz [https://www.sicher-im-netz.de/],
    klicksafe.de [http://www.klicksafe.de/],
    watch your web [http://www.watchyourweb.de/] und die
    Polizeiliche Kriminalprävention der Länder und des
    Bundes [http://www.polizei-beratung.de/] am ECSM. Eine Übersicht über
    alle Aktivitäten der deutschen Partner findet sich auf der
    Webseite des
    ECSM [http://cybersecuritymonth.eu/ecsm-countries/germany].




-----------------------------------------------------------------------
Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot
des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14
Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und
aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit
und Richtigkeit nicht übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de
-----------------------------------------------------------------------

Die Veroeffentlichung in PR wurde mir vom BSI genehmigt.

vy 73, Jochen

db8as@db0eam.deu.eu



Read previous mail | Read next mail