DB0FHN

DB8AS  > VIRUS    21.02.14 03:35l 201 Lines 9906 Bytes #999 (0) @ DL
BID : L24DB0EAM000
Read: DK3UZ GUEST DL6NDQ DL5KV
Subj: BSI Newsletter 140220
Path: DB0FHN<OE2XZR<OE6XPE<DB0RES<DB0EAM
Sent: 140221/0108z @:DB0EAM.#HES.DEU.EU [Kassel DB8AS] DB19c1 $:L24DB0EAM000
From: DB8AS @ DB0EAM.#HES.DEU.EU (Jochen)
To:   VIRUS @ DL


SICHER o INFORMIERT
-------------------
Der Newsletter des Bürger-CERT
Ausgabe vom 20.02.2014
Nummer: NL-T14/0004

Die Themen dieses Newsletters:
1. Update dringend einspielen: Sicherheitslücke in der Fritz!Box
2. Betroffen sind Internet Explorer 9 und 10: Sicherheitslücke im Internet Explorer
3. Angriffe auf wichtige Handelsplattformen: Bitcoin
4. Microsoft schließt Sicherheitslücken: Patchday
5. Sicherheitslücken in Firefox und Thunderbird geschlossen: Mozilla
6. Umstellung auf SSL-Verschlüsselung bei Mails: Telekom
7. BSI informiert auch zu Bürgerthemen: CeBIT 2014
8. BSI veröffentlicht neue Bürgerbroschüre: Cloud Computing
9. Informationsmaterialien zur mobilen Sicherheit: klicksafe

EDITORIAL
    Guten Tag,

    in letzter Zeit werden häufiger Sicherheitswarnungen für Internet-Router
    öffentlich. Aktuell ist die weitverbreitete Fritz!Box des Herstellers AVM
    betroffen. Über die Schwachstelle können Angreifer verschiedene Daten
    manipulieren oder auch kostspielige Telefonate führen. Mittlerweile steht
    bereits ein Update zur Verfügung, dass Nutzer der betroffenen Modelle
    schnellstmöglich einspielen sollten.

    Weitere Themen in dieser Woche: eine Sicherheitslücke im Internet
    Explorer, die Umstellung auf SSL-Mailverschlüsselung bei der Deutschen
    Telekom und eine neue Broschüre des BSI zum Thema Cloud Computing für
    Privatanwender. Diese und weitere Meldungen rund um die Sicherheit im WWW
    finden Sie wie immer in unserem Newsletter.

    Spannende Lektüre und sichere Stunden im globalen Netz wünscht Ihnen

    Ihr Buerger-CERT-Team

STÖRENFRIEDE
    1. Update dringend einspielen: Sicherheitslücke in der Fritz!Box

    Der Routerhersteller AVM hat ein Update für seine Fritz!Box-Routermodelle
    zur Verfügung gestellt, bei denen Anfang Februar eine
    Sicherheitslücke [https://www.buerger-cert.de/archive?type=widspecialedition&nr=SE-T14-0001]
    bekannt geworden war. Ein Angreifer kann über diese Schwachstelle Zugriff
    auf sämtliche in der Fritz!Box gespeicherten Konfigurationsdaten erhalten
    und diese manipulieren. Zudem besteht die Möglichkeit, Zugangsdaten zu
    E-Mail-Konten oder anderen Online-Diensten auszulesen, sofern der
    Anwender diese in der Fritz!Box hinterlegt hat. Darüber hinaus haben
    Angreifer auch die Möglichkeit, vom Nutzer unbemerkt kostenpflichtige
    Telefonate zu führen.

    Eine Ausnutzung dieser Schwachstelle ist nach Erkenntnissen des BSI auch
    unabhängig von der Aktivierung der Fernzugriffsfunktion des Routers
    möglich. Von der Schwachstelle betroffen sind somit entgegen teilweise
    anderslautender Darstellungen alle Anwender der Fritz!Box-Router.

    Das BSI
    empfiehlt [https://www.bsi.bund.de/DE/Presse/Kurzmitteilungen/Kurzmit2014/Update_FritzBox_180214.html]
    daher dringend allen Nutzern, das Fritz!Box-Update einzuspielen. Auf der
    Webseite von AVM finden Sie dazu entsprechende
    Anleitungen [http://www.avm.de/de/Sicherheit/hinweis.html]
    und auch einen Überblick über die betroffenen Modelle. Wer seine
    Fritz!Box direkt vom Provider zur Verfügung gestellt bekommen hat, sollte
    prüfen, ob er ein Update selbst ausführen kann, oder ob der Provider ein
    Firmware-Update einspielen muss.


    2. Betroffen sind Internet Explorer 9 und 10: Sicherheitslücke im
    Internet Explorer

    Im Internet Explorer 9 und 10 wurde eine
    Sicherheitslücke [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T14-0015]
    entdeckt. Wenn gleichzeitig auch der Adobe Flash Player installiert ist,
    ist es einem Angreifer möglich, die vollständige Kontrolle über einen
    Computer zu übernehmen.

    Die Sicherheitslücke wird bereits aktiv ausgenutzt. Ein Sicherheitsupdate
    steht noch nicht zur Verfügung, jedoch hat Microsoft eine
    Sicherheitsempfehlung und eine so genannte
    FixIt-Lösung [https://support.microsoft.com/kb/2934088]
    bereitgestellt. Nutzer der betroffenen Versionen sollten entweder dieses
    FixIt manuell einspielen, um die Sicherheitslücke provisorisch zu
    schließen, oder ein Update auf den Internet Explorer 11 durchführen.
    Dieser ist von der Sicherheitslücke nicht betroffen.


    3. Angriffe auf wichtige Handelsplattformen: Bitcoin

    Drei der größten Handelsplattformen für Bitcoins, Mt. Gox, Bitstamp und
    BTC-E, haben in der vergangenen Woche den Handel mit der Digitalwährung
    eingeschränkt. Offenbar sind gezielte DDOS-Angriffe Ursache für die
    Probleme. Unbekannte hätten eine Lücke im Bitcoin-Protokoll auszunutzen
    versucht, um durch massiven Transaktions-Spam Abhebungen zu manipulieren,
    berichten verschiedene
    Medien [http://www.heise.de/security/meldung/Bitcoin-Boersen-offenbar-unter-koordiniertem-Beschuss-2111204.html].
    Bitstamp und Mt. Gox sind mittlerweile wieder als Handelsplattformen zu
    erreichen. Der Kurs der Bitcoins ist dennoch deutlich gesunken und lag am
    Dienstag bei rund 475 EUR.


SCHUTZMASSNAHMEN
    4. Microsoft schließt Sicherheitslücken: Patchday

    Microsoft hat mit seinem
    Patchday [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T14-0013]
    im Februar wieder mehrere Sicherheitslücken in seinen Produkten
    geschlossen. Die Lücken ermöglichen es einem nicht am System angemeldeten
    Angreifer aus dem Internet, die vollständige Kontrolle über das System zu
    übernehmen. Nutzer sollten daher umgehend das Update einspielen.

    5. Sicherheitslücken in Firefox und Thunderbird geschlossen: Mozilla

    Mozilla hat mehrere
    Schwachstellen [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T14-0012]
    geschlossen, durch die Angreifer die Programme Firefox, Thunderbird und
    Seamonkey zum Absturz bringen oder beliebige Befehle mit den Rechten des
    Benutzers ausführen können. Insbesondere über die Befehlsausführung kann
    ein Angreifer auf dem System Schaden anrichten, darum sollte das
    Sicherheitsupdate zügig installiert werden.

    6. Umstellung auf SSL-Verschlüsselung bei Mails: Telekom

    Die Deutsche Telekom hat angekündigt, zum 31. März 2014 die Verbindungen
    zu ihren Mailservern nur noch über verschlüsselte SSL-Verbindungen
    zuzulassen. Kunden, die ihre E-Mails noch über eine ungesicherte
    Verbindung abrufen, müssen daher spätestens zum Stichtag ihre
    Mailservereinstellungen anpassen. Nicht betroffen ist, wer seine Mails
    mit Telekom-Adresse ausschließlich über einen Webmail-Zugang bearbeitet.
    Nach Angaben der Telekom wurden die Kunden bereits über die Änderungen
    informiert. Das Unternehmen hat ausführliche Informationen zur Umstellung
    veröffentlicht, unter anderem eine
    Schritt-für-Schritt-Anleitung [http://kommunikationsdienste.t-online.de/email/verschluesselung/auswahl.html]
    für PCs, Smartphones und Tablets.

PRISMA
    7. BSI informiert auch zu Bürgerthemen: CeBIT 2014

    Vom 10. bis zum 14. März 2014 präsentiert sich das BSI auf der CeBIT
    2014. Der Messestand des BSI befindet sich in Halle 12, Stand B62. Dort
    informieren Mitarbeiterinnen und Mitarbeiter des BSI zu den Themen Cloud
    Computing, Allianz für Cyber-Sicherheit, Sicheres Mobiles Arbeiten,
    Sicherheitsberatung, IT-Grundschutz, Sicherheitszertifizierung, BSI für
    Bürger und Jobs@BSI.

    Auf dem Messestand der Bundesbeauftragten für Informationstechnik im
    Public Sector Parc informiert das BSI darüber hinaus in Zusammenarbeit
    mit Deutschland sicher im Netz (DsiN) über IT- und Internetsicherheit für
    Privatanwender und kleine Unternehmen.

    8. BSI veröffentlicht neue Bürgerbroschüre: Cloud Computing

    Zum diesjährigen Safer Internet Day am 11. Februar 2014 hat das BSI eine
    neue Broschüre zum Thema Cloud Computing veröffentlicht. Die Broschüre
    richtet sich an Bürgerinnen und Bürger und erklärt die Cloud in leicht
    verständlicher Weise. Zudem werden einfach anwendbare Tipps und Hinweise
    rund um das Cloud Computing für Privatanwender gegeben.
    Die neue Broschüre steht zum
    Download [http://www.bsi-fuer-buerger.de/SID2014] zur
    Verfügung und wird ab Anfang März 2014 auch als Printausgabe erhältlich
    sein.

    9. Informationsmaterialien zur mobilen Sicherheit: klicksafe

    Passend zum Schwerpunktthema des diesjährigen Safer Internet Day haben
    klicksafe und Handysektor die Broschüre äSmart mobil?! – Ein
    Elternratgeber zu Handys, Apps und mobilen Netzen“
    herausgegeben [http://www.klicksafe.de/service/materialien/broschueren-ratgeber/smart-mobil-elternratgeber-handys-smartphones-mobile-netze/].
    Auf 68 Seiten werden in leicht verständlicher Form wichtige Eltern-Fragen
    beantwortet. Ein äApp-Check“ und konkrete Tipps für Eltern, Kinder und
    Jugendliche runden die Broschüre ab.

    Auch auf
    klicksafe.de [http://www.klicksafe.de/themen/kommunizieren/apps/]
    wurde das Informationsangebot zum Themenbereich "Smartphone und Apps"
    ausgebaut. Dort finden Nutzer Informationen zu zahlreichen aktuellen
    Themen wie Tarifen, Datenschutz und Kostenfallen.




-----------------------------------------------------------------------
Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot
des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14
Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und
aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit
und Richtigkeit nicht übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de
-----------------------------------------------------------------------

Die Veroeffentlichung in PR wurde mir vom BSI genehmigt.

vy 73, Jochen

db8as@db0eam.deu.eu



Read previous mail | Read next mail