| |
DB8AS > VIRUS 13.05.15 19:03l 197 Lines 10156 Bytes #999 (0) @ DL
BID : D55DB0EAM002
Read: GUEST DK3UZ
Subj: BSI Newsletter 150513
Path: DB0FHN<DB0PM<OE2XZR<OE6XPE<DB0RES<DB0OVN<DB0IUZ<DB0WAL<DB0NOS<DB0BQ<
DB0EAM
Sent: 150513/1633z @:DB0EAM.#HES.DEU.EU [Kassel DB8AS] DB19c1 $:D55DB0EAM002
From: DB8AS @ DB0EAM.#HES.DEU.EU (Jochen)
To: VIRUS @ DL
SICHER o INFORMIERT
-------------------
Der Newsletter des Bürger-CERT
Ausgabe vom 13.05.2015
Nummer: NL-T15/0010
Die Themen dieses Newsletters:
1. Windows: Antiviren-Software mit Schwächen
2. Facebook: Neuer Trojaner unterwegs
3. Adobe: Patchday aktualisiert Flash Player und AIR
4. Microsoft: Mai-Patchday
5. Lenovo: Sicherheitslücke im System-Update-Service geschlossen
6. WordPress: Erneut Sicherheitslücke geschlossen
7. Mozilla: Sicherheitsupdate für Mozilla Firefox und Thunderbird
8. Android: Kontrolle der Zugriffsberechtigungen geplant
9. WhatsApp: Verschlüsselung offenbar teilweise hinfällig
EDITORIAL
Liebe Leserin, lieber Leser,
als der Messenger-Dienst WhatsApp letztes Jahres eine
Ende-zu-Ende-Verschlüsselung einführte, erhielt das Unternehmen viel
Applaus. Teile der Konkurrenz wie Threema, TextSecure oder Telegram
hatten zwar schon länger Verschlüsselung im Angebot, WhatsApp hat jedoch
mehr Nutzer, nämlich 800 Millionen.
Ein halbes Jahr später hat sich die Euphorie gelegt. Zwar gab die
Facebook-Tochter WhatsApp 2014 bekannt, dass zunächst nur Nutzer von
Android von der Verschlüsselungstechnik profitieren würden. Ein halbes
Jahr später hat sich daran offenbar nichts geändert, worüber die App ihre
Anwender leider im Unklaren lässt. Denn WhatsApp kann zwar anzeigen, ob
eine Nachricht gelesen wurde, nicht jedoch, ob ein verschlüsselter
Versand erfolgt.
Diese und weitere Meldungen rund um die Sicherheit im WWW finden Sie wie
immer in unserem Newsletter. Spannende Lektüre und sichere Stunden im
globalen Netz wünscht Ihnen
Ihr Buerger-CERT-Team
STÖRENFRIEDE
1. Windows: Antiviren-Software mit Schwächen
Manche Antiviren-Programme von BullGuard und Panda für Windows lassen
sich von Angreifern über die Passwort-Eingabe abschalten.
Systemadministratoren schützen die Installation und Einstellungen ihrer
Antiviren-Programme häufig mit Passwörtern. Beide Hersteller haben die
Lücke, die bereits seit März bekannt ist, bislang nicht geschlossen,
berichtet Heise
Online [http://www.heise.de/security/meldung/Angreifer-koennen-Viren-Scanner-von-BullGuard-und-Panda-lahmlegen-2639307.html].
2. Facebook: Neuer Trojaner unterwegs
Plötzliche Nachrichten bei Facebook oder auch anderen Diensten sollten
Sie immer stutzig werden lassen. Über Facebook verbreitet
sich gerade ein neuer
Trojaner [http://www.spam-info.de/4994/gefaehrlicher-facebook-trojaner/],
der mithilfe von Mitteilungen auf Links zu einer Website aufmerksam
macht, die an YouTube erinnert. Dort werden Besucher aufgefordert, ein
Plugin zu installieren, das den Trojaner enthält. Einmal installiert,
schreibt der Trojaner Ihre Facebook-Kontakte an.
Mag ein solcher Verbreitungsweg auf dem ersten Blick plump erscheinen,
hat er offensichtlich doch Erfolg. Das wiederum hängt gewiss mit dem
Vertrauen zusammen, das Nutzer von zum Beispiel Facebook ihren Kontakten
entgegenbringen – in der irrtümlichen Annahme, der Link-Tipp käme
tatsächlich von ihnen. Ein "lustiges, kostenloses Spiel" oder ein
"schockierendes Video" sind immer wieder Vehikel zur Verbreitung von
Schadsoftware.
SCHUTZMASSNAHMEN
3. Adobe: Patchday aktualisiert Flash Player und AIR
Adobe schließt mit den aktuellen Sicherheitsupdates mehrere
Sicherheitslücken [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T15-0036],
die es Angreifern ermöglichen, Sicherheitsmaßnahmen zu umgehen oder
beliebige Befehle und Programme auszuführen und damit die Kontrolle über
das betroffene System zu übernehmen.
4. Microsoft: Mai-Patchday
Microsoft hat an seinem Mai-Patchday ein gutes Dutzend
Aktualisierungen [https://technet.microsoft.com/en-us/library/security/ms15-may.aspx]
bereitgestellt, von denen das Unternehmen drei als "kritisch2, die
übrigen 10 als "wichtig" einstuft. Die (empfohlene) Aktualisierung des
Systems wird automatisch vorgenommen, sofern die Option nicht
abgeschaltet ist.
Microsoft hat im Übrigen angekündigt, bezogen auf Windows 10 den
monatlichen Patchday gegen ein vom Nutzer eingestelltes Update-Intervall
zu ersetzen. Das hat bei einigen zu der fälschlichen
Annahme geführt, der Patchday würde
abgeschafft [http://winfuture.de/news,87022.html]. Ob Patchday oder
flexibles Datum: Wichtig ist, dass möglichst viele Nutzer von zum
Beispiel Microsoft- oder Adobe-Produkten die Aktualisierungen umgehend
installieren. Denn Angreifer können anhand der Patches erkennen, an
welchen Stellen Systeme, die noch nicht aktualisiert wurden, verwundbar
sind. Systemadministratoren hatten mit dem Patchday einen festen Termin,
den sie sich für notwendige Updates freihalten konnten.
5. Lenovo: Sicherheitslücke im System-Update-Service geschlossen
Viele Geräte von Lenovo, zum Beispiel alle ThinkPad- und
ThinkStation-Modelle, enthalten ein System-Update-Service. Dabei handelt
es sich um ein kleines Programm, das es Anwendern erleichtern soll,
Updates für ihr Gerät herunterzuladen. Eigentlich eine gute Sache. Nun
haben Forscher herausgefunden, dass ebendieses Programm
selbst eine Sicherheitslücke
aufweist [http://www.heise.de/security/meldung/Update-Software-auf-Lenovo-Computern-oeffnet-Tuer-fuer-Angreifer-2635503.html].
Denn Angreifer könnten es nutzen, um Schadcode in die Systeme schmuggeln.
Lenovo hat inzwischen mit einem Patch reagiert, der die Sicherheitslücke
schließen soll. Betroffene Computer sollten die Aktualisierung
selbstständig herunterladen, was sich auch manuell
erledigen lässt [https://support.lenovo.com/us/en/documents/ht080136].
6. WordPress: Erneut Sicherheitslücke geschlossen
WordPress ist eine unter Bloggern beliebte Software. Die mit WordPress
erstellten und verwalteten Seiten ließen sich dank einer
Cross-Site-Scripting-Lücke von Angreifern kapern. Der Hersteller hat nun
ein Update
bereitgestellt [https://wordpress.org/news/2015/05/wordpress-4-2-2/],
das diese Lücke schließen soll. WordPress-Installationen, die eine
automatische Aktualisierung erlauben, installieren das Update von selbst.
7. Mozilla: Sicherheitsupdate für Mozilla Firefox und Thunderbird
Mozilla schließt mehrere kritische Sicherheitslücken in
Firefox und
Thunderbird [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T15-0037],
durch die ein Angreifer aus dem Internet das Programm zum Absturz
bringen, Sicherheitsvorkehrungen umgehen, Informationen ausspähen und
beliebige Befehle auf Ihrem System ausführen kann. Insbesondere über die
Befehlsausführung kann ein Angreifer auf Ihrem System Schaden anrichten,
darum sollte Sie das Sicherheitsupdate zeitnah installieren.
PRISMA
8. Android: Kontrolle der Zugriffsberechtigungen geplant
Was unter anderen Betriebssystemen für mobile Geräte wie iOS oder
Blackberry bereits seit längerem möglich ist, soll unter Android mit der
neuen Version M ebenfalls möglich werden: Das gezielte Festlegen
einzelner Zugriffsberechtigungen für jede installierte App. Bei Android
hängt es zur Zeit noch davon ab, ob der Gerätehersteller an dem
Betriebssystem Änderungen vorgenommen hat, die es Anwendern erlauben, mit
einfachen Mitteln den Zugriff von Apps auf zum Beispiel Adressen oder das
Mikrofon zu kontrollieren.
Viele Apps verlangen Berechtigungen, die für die eigentliche Funktion der
App nicht nötig sind. So können zum Beispiel Zugriffe auf das Adressbuch
oder die regelmäßige Standortsbestimmung für die Werbebranche interessant
sein. Die Taschenlampen-App “Brightest Flashlightö, die der
Artikel von ZDNet
vorstellt [http://www.zdnet.de/88234225/bericht-android-m-ermoeglicht-nutzern-kontrolle-ueber-app-berechtigungen/],
ist dabei nur eines von vielen Beispielen. Wenn Sie eine App installieren
wollen, dann sollten Sie sich grundsätzlich die geforderten
Berechtigungen anschauen und abwägen, ob Ihnen der versprochene Nutzen
der App so wichtig ist, dass Sie auch über die eigentliche Funktion
hinausgehende Berechtigungen akzeptieren. Warum muss eine
Taschenlampen-App Zugriff auf Ihr Adressbuch oder Ihren Kalender haben?
9. WhatsApp: Verschlüsselung offenbar teilweise hinfällig
WhatsApp, der Platzhirsch unter den Messengern, erhielt viel Lob, als das
mittlerweile zu Facebook gehörende Unternehmen bekanntgab, verschickte
Nachrichten zukünftig zu verschlüsseln. 800 Millionen Nutzer würden mit
einem Schlag eine Ende-zu-Ende-Verschlüsselung nutzen, sodass tatsächlich
nur Adressat und Empfänger den Inhalt umstandslos würden lesen können.
Ein Artikel von Zeit Online
resümiert [http://www.zeit.de/digital/internet/2015-05/whatsapp-verschluesselung-chat]
nun, dass auch ein halbes Jahr nach Einführung der
Verschlüsselungstechnik nur Nutzer von Android davon ausgehen können,
dass ihre Nachrichten verschlüsselt werden – und das auch nur, wenn der
Empfänger ebenfalls ein Android-Gerät nutzt. WhatsApp ist zwar in der
Lage anzuzeigen, ob die verschickte Nachricht gelesen wurde, nicht
jedoch, ob der Versand verschlüsselt erfolgt.
-----------------------------------------------------------------------
Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot
des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14
Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und
aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit
und Richtigkeit nicht übernommen werden.
Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de
-----------------------------------------------------------------------
Veröffentlichung mit Genehmigung vom BSI.
vy 73, Jochen
db8as@db0eam.deu.eu
Read previous mail | Read next mail
| |
