[A-DX] OT und nur Info

Herbert Meixner
Do Aug 20 17:23:14 CEST 2015 

Vielleicht hilfreich!

Mit Gruss,
Herbert


-------- Weitergeleitete Nachricht --------
Betreff: [Angelus] NL-T15/0017 - SICHER • INFORMIERT vom 20.08.2015
Datum: Thu, 20 Aug 2015 17:09:33 +0200 (CEST)
Von: 

SICHER o INFORMIERT
-------------------
Der Newsletter des Bürger-CERT
Ausgabe vom 20.08.2015
Nummer: NL-T15/0017

Die Themen dieses Newsletters:
1. Apple: Neue Zero-Day-Sicherheitslücke
2. Lenovo: Neue Schnüffelsoftware
3. Android: Googles Patch gegen Stagefright ist fehlerhaft
4. E-Mail: GMX, 1&1 und Web.de hatten Sicherheitsproblem
5. Apple: Sicherheitsupdates für Safari, iOS und OS X
6. Mozilla: Sicherheitsupdate für Firefox
7. Microsoft und Adobe: Aktualisierungen nicht nur zum Patchday
8. Hacker: Mehr als nur versalzene Kekse
9. BSI: Das BSI kommt zur FrOSCon
10. BSI: Bundesregierung lädt zum Tag der offenen Tür

EDITORIAL
     Liebe Leserin, lieber Leser,

     schalten Sie vielleicht auch die Annahme von Cookies in Ihrem 
Browser ab?
     An sich ist das ja keine schlechte Idee. Aber wenn Sie sich cookie-frei
     letztens mit Smartphone oder Tablet bei 1&1, GMX oder Web.de 
anmeldeten,
     um Ihre E-Mails zu prüfen, sollten Sie besser Ihr Passwort dort ändern.
     Es ist nämlich möglich, dass jemand an Ihr Konto kam.

     Falsche Sicherheit gaukelte auch das Update vor, dass Google
     verschiedenen Nexus-Modellen gegen die Stagefright-Lücke spendierte.

     Diese und weitere Meldungen rund um die Sicherheit im WWW finden 
Sie wie
     immer in unserem Newsletter. Spannende Lektüre und sichere Stunden im
     globalen Netz wünscht Ihnen

     Ihr Buerger-CERT-Team

STÖRENFRIEDE
     1. Apple: Neue Zero-Day-Sicherheitslücke

     Gerade hat Apple in OS X ein Sicherheits-Update herausgebracht, das 
unter
     anderem eine Lücke schließt, die Angreifern Root-Rechte einräumt (siehe
     Schutzmaßnahmen). Kurz darauf zeigt sich eine weitere
     Lücke 
[http://www.zdnet.de/88244090/zero-day-luecke-in-os-x-10-10-5-yosemite-erlaubt-rechteausweitung],
     die Angreifern ebenfalls Root-Rechte einräumt. Dank ihr können 
Angreifer
     ihre Rechte ausweiten, ohne dafür ein Passwort eingeben zu müssen.
     Als Zero-Day-Lücken werden solche Verwundbarkeiten bezeichnet, die dem
     Hersteller noch unbekannt sind. Noch ist unklar, wie schnell Apple ein
     weiteres Update bereitstellen wird.

     2. Lenovo: Neue Schnüffelsoftware

     Der chinesische Computer-Hersteller Lenovo wird einigen unserer
     Leserinnen und Lesern noch durch den "Superfish" in Erinnerung sein
     ("Lenovo: Gefährliche Adware als
     Feature" 
[https://www.buerger-cert.de/archive?type=widnewsletter&nr=NL-T15-0004#anchor3]).
     Nun ist auf einigen PCs und Notebooks des Herstellers eine sogenannte
     "Service Engine" (LSE) entdeckt worden, die Computer daraufhin 
überprüfen
     kann, ob bestimmte Dienste noch laufen, um diese gegebenenfalls
     wiederherzustellen und Software nachzuladen. Außerdem verschickt 
LSE beim
     ersten Start bei bestehender Internetverbindung Daten wie Ort,
     Gerätemodell und Zeit.
     Die LSE verbirgt sich im BIOS (Basic Input/Output System) und wird mit
     Starten des Rechners aufgerufen. Dass Lenovo LSE im BIOS verbarg, 
deutet
     darauf hin, dass der Hersteller das Programm vor Virenscannern und
     Löschversuchen durch Anwender verbergen wollte. Zudem ist die 
Verbindung
     nicht gesichert, die LSE zum Internet aufbaut. Das erleichtert es
     Kriminellen, den offenen Kanal auszunutzen, um Schadsoftware
     aufzuspielen.
     Nach Kritik hat Lenovo erklärt, bereits seit Ende Juli LSE nicht 
mehr auf
     neuen Computer zu installieren.
     Hier finden Sie eine Liste mit betroffenen
     Geräten [http://news.lenovo.com/article_display.cfm?article_id=2013].
     Für Besitzer diverser Laptop Geräte stellt Lenovo ein
     Werkzeug [http://support.lenovo.com/de/de/downloads/ds104370] zur
     Verfügung, das LSE beendet.
     Für Desktop-Besitzer gibt es dagegen eine Anleitung (auf
     Englisch) 
[https://support.lenovo.com/de/de/product_security/lse_bios_desktop],
     LTE zu entfernen.
     Zudem steht für manche Geräte ein BIOS ohne
     LSE 
[https://support.lenovo.com/de/de/product_security/lse_bios_notebook]
     zur Verfügung.

     3. Android: Googles Patch gegen Stagefright ist fehlerhaft

     Als einer der wenigen Hersteller von Android-Geräten hat Google einen
     Patch gegen die Lücke in der Multimedia-Komponente
     Stagefright 
[https://www.buerger-cert.de/archive?type=widnewsletter&nr=NL-T15-0016#anchor1]
     bereitgestellt. Allerdings ist dieser Flicken selbst
     lückenhaft 
[http://www.heise.de/security/meldung/Stagefright-Luecken-in-Android-Googles-Patch-ist-fehlerhaft-2779034.html]
     und sichert die Geräte nicht zuverlässig. Angreifer können über
     manipulierte Videos auf zum Beispiel Webseiten Schadcode auf die Geräte
     schmuggeln.
     Es wird befürchtet, dass das von Google herausgegebene erste Patch bei
     Benutzern für ein trügerisches Gefühl der Sicherheit sorgen könnte.
     Google ist informiert und arbeitet an einem neuen Sicherheitsupdate,
     dessen Auslieferung im September zum neu eingeführten Patchday beginnen
     soll.

     4. E-Mail: GMX, 1&1 und Web.de hatten Sicherheitsproblem

     Wenn Sie sich bis zum 14. August bei den mobilen E-Mail-Portalen 
von 1&1,
     Web.de oder GMX eingeloggt haben und dabei keine Cookies akzeptierten,
     sollten Sie vorsorglich Ihr Passwort bei dem Dienst erneuern.
     Das Problem, das von der deutschen Redaktion von
     Wired 
[https://www.wired.de/collection/latest/so-konnten-fremde-euer-postfach-bei-web-de-gmx-oder-1-1-eindringen]
     entdeckt wurde, war bis zum 14 August folgendes: Sie besuchen mit ihrem
     Smartphone oder Tablet eines der genannten E-Mail-Portale. Ihrem 
Browser
     haben Sie die Annahme von Cookies verweigert. In einer E-Mail 
finden Sie
     einen beliebigen Link, dem Sie folgen. Auf dem Server, der die besuchte
     Seite bereitstellt, findet sich jetzt in dem Protokoll, dass Sie die
     Seite besucht haben – nebst Ihrer sogenannter Session-ID. Die 
Verwendung
     der Session-ID erlaubt den Zugang zu Ihrem Postfach.
     Sie haben dabei nichts falsch gemacht. Viele erlauben die Annahme von
     Cookies schon aus Datenschutzbedenken nicht. Der Link, dem Sie folgten,
     kann vollkommen harmlos sein. Auch das Führen eines Protokolls auf dem
     Server der besuchten Seite ist Routine.
     Wenn Sie selbst eine Website betreiben, werden Sie vermutlich
     Zugriffsstatistiken lesen und daraus erkennen, dass irgendjemand Ihre
     Seite fand, nachdem er oder sie bei einer Suchmaschine zum Beispiel
     "Urlaub" und "Schottland" eingab. In einem solchen sogenannten
     Referrer-URL würde in unserem geschilderten Fall die Session-ID für das
     E-Mail-Konto stehen.
     1&1, GMX und Web.de sind Dienste von United Internet. Das 
Unternehmen hat
     auf die Lücke reagiert, sodass Sie sich nunmehr nur noch dann in das
     Portal einloggen können, wenn Ihr Browser Cookies akzeptiert.

SCHUTZMASSNAHMEN
     5. Apple: Sicherheitsupdates für Safari, iOS und OS X

     Apple hat ein Update auf iOS 8.4.1 veröffentlicht und schließt damit
     mehrere, auch sehr schwerwiegende,
     Sicherheitslücken 
[https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T15-0070]
     der Vorgängerversion.
     Ebenso hat OS X Yosemite 10.10 ein Update auf die Version 10.10.5
     erhalten. Für die Versionen 10.9.5 und 10.8.5 wurden
     Sicherheitsaktualisierungen herausgegeben. Die Updates beheben mehrere,
     als kritisch einzustufende
     Sicherheitslücken 
[https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T15-0069].
     Auch wenn die oben beschriebene Zero-Day-Lücke mit dieser 
Aktualisierung
     nicht geschlossen wird, sollten Sie das Update dennoch installiern.
     Neue Versionen des Webbrowsers Safari schließen
     Sicherheitslücken 
[https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T15-0068],
     die es Angreifern über das Internet ermöglichten, 
Sicherheitsmaßnahmen zu
     umgehen, Schadcode auszuführen, Informationen der Anwender auszuspähen
     und das System zum Absturz zu bringen.

     6. Mozilla: Sicherheitsupdate für Firefox

     Das BSI empfiehlt ferner die Aktualisierung des Browsers Mozilla 
Firefox,
     mit der erhebliche
     Sicherheitslücken 
[https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T15-0067]
     in diesem Programm geschlossen werden.

     7. Microsoft und Adobe: Aktualisierungen nicht nur zum Patchday

     Zum August-Patchday hat Adobe neue Patches veröffentlicht, die mehrere
     Sicherheitslücken in Adobe AIR und im Flash
     Player 
[https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T15-0066]
     schließen.
     Die Kollegen aus Redmond haben dagegen gleich diverse
     Produkte 
[https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T15-0065]
     von Microsoft flicken müssen. Betroffen sind unter anderem Windows 
in den
     Versionen von Vista bis Windows 10, diverse Office-Programme und der
     Internet-Explorer.
     Nach dem Patchday schließt Microsoft außerdem eine
     kritische
     Sicherheitslücke 
[https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T15-0071]
     in allen derzeit unterstützten Versionen des Internet Explorers. Die
     Lücke wird bereits ausgenutzt.

PRISMA
     8. Hacker: Mehr als nur versalzene Kekse

     Angriffe auf industrielle Anlagen häufen sich. Das könnte laut 
eines von
     Spiegel
     Online 
[http://www.spiegel.de/netzwelt/web/erpressung-durch-cyberattacken-angriffsziel-industrieanlage-a-1048034.html]
     zitierten Experten auch daran liegen, dass IT-Experten wie sie im BSI
     arbeiten und Produktionsfachleute unterschiedlich vorgehen, wenn diese
     eine Risikoanalyse erstellen: "Für Produktionstechniker gehörten
     Fehlfunktionen zum Alltag, bösartige Manipulationen hingegen nicht.
     Entsprechend löchrig fällt aus IT-Sicht das Schutzkonzept aus." Statt
     vielleicht einer Tagesproduktion versalzener Kekse gibt es dann in der
     Keksfabrik den Stillstand.
     Der Artikel nennt auch Jeff Moss, unter anderem Gründer der
     Hackerkonferenzen Black Hat, der eine gesetzliche Meldepflicht für
     Cyber-Angriffe fordert. In Deutschland ist diese mit dem neuen
     IT-Sicherheitsgesetz bezogen auf Unternehmen der Kritischen
     Infrastrukturen bereits umgesetzt. Unter Kritische Infrastrukturen 
fallen
     zum Beispiel die Energieversorgung, Telekommunikation und Verkehr.

     9. BSI: Das BSI kommt zur FrOSCon

     Freie Software und Open Source - das sind die Themen der
     FrOSCon [http://www.froscon.de]. Jedes Jahr im Spätsommer
     veranstaltet der Fachbereich Informatik der Hochschule Bonn-Rhein-Sieg
     mit Hilfe der LUUSA und des FrOSCon e.V. ein spannendes Programm mit
     Vorträgen und Workshops für Besucher aller Altersklassen, die Freie
     Software nutzen, kennenlernen wollen oder selbst entwickeln. Eine
     Ausstellung mit Ständen von Open-Source-Projekten und Firmen rundet das
     Angebot ab.
     Beim Social Event am Samstagabend können sich Besucher, Vortragende und
     HelferInnen austauschen und zusammen feiern. [FrOSCon.de]
     Am Messestand des BSI können sich die Besucher über die Projekte 
des BSI
     im Bereich Freier Software informieren.

     10. BSI: Bundesregierung lädt zum Tag der offenen Tür

     Das Bundesamt für Sicherheit in der Informationstechnik lädt Sie 
zum Tag
     der offenen Tür der Bundesregierung ein.
     Diskutieren Sie mit uns über sichere mobile Kommunikation, soziale
     Netzwerke, sicheres Surfen im Internet oder über die sichere 
Nutzung von
     Cloud-Diensten. Testen Sie Ihr Internetwissen anhand unseres 
Fragebogens
     oder tauschen Sie sich „einfach so“ mit unseren IT-Experten aus.
     Das BSI ist am 29. und 30. August 2015 in der Zeit von 10 Uhr bis 
18 Uhr
     mit je einem Stand im
     Bundesinnenministerium 
[http://www.bmi.bund.de/DE/Ministerium/BMI-Vorstellung/Anfahrt/Anfahrtsskizze-Berlin-Moabiter-Werder/anfahrtsskizze-moabiter-werder_node.html]
     und im
     Bundespresseamt 
[http://www.bundesregierung.de/Content/DE/StatischeSeiten/Breg/Bundespresseamt/bundespresseamt-kontakt.html]
     vertreten.

-----------------------------------------------------------------------
Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot
des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14
Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und
aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit
und Richtigkeit nicht übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und 
Anregungen an
die Redaktion bitte an: