DB0FHN

DB8AS  > VIRUS    11.12.14 21:05l 179 Lines 9002 Bytes #999 (0) @ DL
BID : BC4DB0EAM005
Read: DK3UZ GUEST
Subj: BSI Newsletter 141211
Path: DB0FHN<OE2XZR<OE6XPE<DB0RES<DB0EAM
Sent: 141211/1851z @:DB0EAM.#HES.DEU.EU [Kassel DB8AS] DB19c1 $:BC4DB0EAM005
From: DB8AS @ DB0EAM.#HES.DEU.EU (Jochen)
To:   VIRUS @ DL


SICHER o INFORMIERT
-------------------
Der Newsletter des Bürger-CERT
Ausgabe vom 11.12.2014
Nummer: NL-T14/0025

Die Themen dieses Newsletters:
1. Apple: OS X Yosemite protokolliert Eingaben in Firefox und Thunderbird
2. Vodafone: Alte Sicherheitslücke wieder offen
3. Mozilla: Mehrere Sicherheitslücken in Firefox und Thunderbird behoben
4. Microsoft: Patchday lässt neue Lücke im Internet Explorer offen
5. Adobe: Sicherheitsupdate für Flash Player und Acrobat Reader
6. Apple: iOS 8.1.2 schließt Sicherheitslücken
7. Sicherheitssiegel: Mehr Schaden als Nutzen?
8. Wettbewerb: My Digital World
9. WhatsApp: Was der Online-Status über Nutzer verrät

EDITORIAL
    Guten Tag,

    Sie verschlüsseln Ihre E-Mails, achten wo immer möglich auf eine
    https-Verbindung und Ihre Passwörter sind für andere unzugänglich? Prima.
    Dennoch ist es womöglich sehr einfach, zum Beispiel Ihre Passwörter
    auszuspionieren. Nämlich dann, wenn Sie einen Apple unter OS 10 Yosemite
    und Thunderbird oder Firefox verwenden. Die Sicherheitslücke ist
    geschlossen, was aber die automatisch erstellten Protokolldateien nicht
    löscht.

    Wenig erfreulich ist auch die Bescherung, dass in manchen
    Vodafone-Routern eine Sicherheitslücke Wiederauferstehung feiert, auf die
    das BSI bereits vor einem Jahr hinwies.

    Diese und weitere Meldungen rund um die Sicherheit im WWW finden Sie wie
    immer in unserem Newsletter. Unseren letzten Newsletter vor Weihnachten
    erhalten Sie am 23. Dezember. Bis dahin wünschen wir Ihnen eine spannende
    Lektüre und sichere Stunden im globalen Netz.

    Ihr Buerger-CERT-Team

STÖRENFRIEDE
    1. Apple: OS X Yosemite protokolliert Eingaben in Firefox und Thunderbird

    Apples Betriebssystem OS X 10.10 Yosemite notiert alle Eingaben, die der
    Nutzer in Firefox sowie Thunderbird tätigt und legt das
    Protokoll lokal im Verzeichnis /tmp
    ab [https://www.bsi-fuer-buerger.de/BSIFB/DE/Wissenswertes_Hilfreiches/Service/Aktuell/Meldungen/Apple_Mozilla_protokolliert_Tastatureingaben_09122014.html].
    In dem Protokoll können somit auch private Daten wie Benutzernamen und
    Passwörter landen, die sich dort unverschlüsselt einsehen lassen.
    Diese Lücke hat zu einem Sicherheitsupdate geführt, (siehe Rubrik
    "Schutzmaßnahmen"), doch die Aktualisierung von Firefox und Thunderbird
    führt nicht dazu, dass die bestehenden Einträge gelöscht werden. Das BSI
    rät deshalb ebenso wie Mozilla dazu, die im /tmp-Verzeichnis liegenden
    Dateien, die mit "CGLog_" beginnen, von Hand zu löschen.

    2. Vodafone: Alte Sicherheitslücke wieder offen

    Vor einem Jahr wies das BSI auf eine Sicherheitslücke in
    einigen Routern des Typs EasyBox der Firma Vodafone
    hin [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T13-0053].
    Nun ist die Lücke nach Angaben von Heise Security wieder
    da [http://www.heise.de/security/meldung/Akute-Sicherheitsluecke-in-Vodafone-Routern-ist-wieder-offen-2294798.html].
    Viele der von Vodafone vertriebenen Standardrouter des Typs EasyBox
    ließen sich demnach "innerhalb von Sekunden knacken".
    Schutz bieten die vom BSI 2013 empfohlenen Maßnahmen: WPA-Passwort und
    WPS-PIN ändern, zudem WPS vollständig deaktivieren.

SCHUTZMASSNAHMEN
    3. Mozilla: Mehrere Sicherheitslücken in Firefox und Thunderbird behoben

    Mozilla hat Sicherheitslücken im Browser Firefox und
    Firefox
    ESR [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T14-0110]
    geschlossen. Auch das E-Mail-Programm Thunderbird hat ein
    Sicherheitsupdate erhalten. Die nun geschlossenen Lücken ermöglichten es
    Angreifern unter anderem, das System zum Absturz zu bringen oder
    Informationen auszuspähen. Unter OS X beendet das Update auch die
    Erstellung der unter "Störenfriede" erwähnten Protokolldateien. Anwender
    von Firefox, Firefox ESR und Thunderbird sollten die Aktualisierungen,
    sofern noch nicht geschehen, umgehend installieren.

    4. Microsoft: Patchday lässt neue Lücke im Internet Explorer offen

    Microsoft letzter Patchday dieses Jahres beschert Anwendern unter anderem
    drei kritische
    Aktualisierungen [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T14-0111].
    Kurz vor Herausgabe des Updates wurde von Online-Kriminellen ein so
    genannter Zero-Day-Exploit im Internet zum Kauf angeboten, der Microsofts
    Internet Explorer betrifft. Zero-Day-Exploits sind neu entdeckte
    Sicherheitslücken, für die es noch keine Schutzmaßnahmen gibt. Dieses
    neue Sicherheitsleck ist von Microsoft am Patchday noch nicht geschlossen
    worden. Da das Update jedoch immerhin andere Lücken schließt, sollten Sie
    dieses dennoch installieren.

    5. Adobe: Sicherheitsupdate für Flash Player und Acrobat Reader

    Adobe schließt mehrere Sicherheitslücken im Flash
    Player [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T14-0112]
    und Acrobat beziehungsweise Acrobat
    Reader [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T14-0113],
    die es einem Angreifer über das Internet ermöglicht, beliebige Befehle
    und Programme auszuführen und damit die Kontrolle über das betroffene
    System zu übernehmen. Adobe teilt ferner mit, dass für eine Schwachstelle
    im Flash Player bereits ein Exploit öffentlich bekannt ist, das heißt,
    dass online-Kriminellen Schadsoftware zur Ausnutzung der Sicherheitslücke
    zur Verfügung steht.

    6. Apple: iOS 8.1.2 schließt Sicherheitslücken

    Apple veröffentlicht iOS 8.1.2, in dem mehrere
    Sicherheitslücken geschlossen
    werden [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T14-0106%20UPDATE%201],
    die von einem Angreifer aus dem Internet genutzt werden können, um Daten
    auf Ihrem System auszuspähen oder es zu übernehmen. Des Weiteren werden
    Sicherheitslücken geschlossen, die es einem lokalen Angreifer
    ermöglichen, Informationen auszuspähen.

PRISMA
    7. Sicherheitssiegel: Mehr Schaden als Nutzen?

    Sicherheitssiegel auf Webseiten sollen deren Vertrauenswürdigkeit
    signalisieren. Tatsächlich sind Seiten mit Sicherheitssiegeln häufig
    weniger sicher als andere Seiten. Das liegt an den Siegeln selbst, die
    schnell zu Gaunerzinken werden und dann nicht die Pixel wert sind, aus
    denen sie gemacht sind. So jedenfalls das Ergebnis einer
    Studie zweier
    Universitäten [http://www.heise.de/security/meldung/Webseiten-Siegel-Boeses-Omen-statt-Sicherheitsgarant-2482265.html],
    die das "Ökosystem der Sicherheitssiegel von Drittherstellern" untersucht
    hat.

    8. Wettbewerb: My Digital World

    Der Verein "Deutschland sicher im Netz" ruft junge Menschen zwischen 13
    und 21 Jahren zu kreativen Aktionen, sozialen Initiativen oder zur
    Entwicklung technischer Lösungen für eine sichere digitale Welt auf.
    Wettbewerbsbeiträge können bis zum 31. März 2015 unter
    www.mydigitalworld.org [https://www.mydigitalworld.org]
    eingereicht werden. Es genügen kurze Clips oder die konkrete Beschreibung
    der eingereichten Ideen beziehungsweise Aktionen. Die Preisträger werden
    im Juni 2015 zur Prämierung nach Berlin eingeladen, bei der sie ihre
    Projekte der Öffentlichkeit vorstellen können. Der Wettbewerb wird unter
    anderem vom Bundesministerium des Innern, BITKOM und einigen großen
    IT-Unternehmen unterstützt.

    9. WhatsApp: Was der Online-Status über Nutzer verrät

    Hätten Sie gedacht, dass WhatsApp in fast jedem zweiten italienischen
    Scheidungsprozess dazu herangezogen wird, Untreue zu beweisen?
    WhatsApp erlaubt es nicht, Online-Zeiten zu verbergen. Wer diese Zeiten
    überwacht, findet über den Nutzer möglicherweise Dinge heraus, über die
    er nicht glücklich ist. Zum Beispiel, dass er nicht so unabkömmlich war,
    wie gegenüber dem Ehepartner vorgegeben. Eine neue Untersuchung der
    Friedrich-Alexander-Universität Erlangen-Nürnberg zeigt,
    was sich mithilfe des Online-Status herausfinden
    lässt [http://www.heise.de/newsticker/meldung/WhatsApp-Was-der-Online-Status-ueber-die-Nutzer-verraet-2480333.html].




-----------------------------------------------------------------------
Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot
des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14
Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und
aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit
und Richtigkeit nicht übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de
-----------------------------------------------------------------------

Veröffentlichung mit genehmigung vom BSI.

vy 73, Jochen

db8as@db0eam.deu.eu



Read previous mail | Read next mail