Security-Secrets 
Neuigkeiten rund um die IT-Sicherheit, Ausgabe vom 9. März 2006
 |
Über den Fachverlag für Computerwissen |
|
"Security-Secrets" abbestellen |
Neue Gefahren für Ihr Handy oder Smartphone lauern im eigenen PC ...
Liebe Leserin, lieber Leser!
Ich bin schockiert: Die Pest von Viren und Trojanern hat nun auch Handys und Smartphones erreicht. Ein ganz neu entdeckter Virus kann sogar beim Abgleich zwischen PC und Smartphone auf das Handy übertragen werden.
Eine echte Gefahr, denn der Virus kann sich anschließend auf dem Handy per SMS weiter verbreiten. Das verursacht hohe Kosten und ist peinlich für den Absender. Schutz bieten hier wohl nur die entsprechenden Virenscanner für Handys und Smartphones.
Ihr Daniel Hagemeier
Chefredakteur "mIT Sicherheit"
PS: Wenn Sie unseren Fachinformationsdienst "mIT Sicherheit" noch nicht kennen sollten, erfahren Sie hier mehr darüber:
mIT Sicherheit administrieren und vorbeugen
Unsere Empfehlung: Schützen Sie Ihren Pocket PC mit F-Secure oder Airscanner
Viren und Trojaner gehören zu den größten Gefahren mobiler Endgeräte. Besonders in den letzten 12 Monaten nehmen die Infektionen von Handys und Smartphones rasant zu. Ein Virus gelangt dabei häufig per SMS oder E-Mail auf das Telefon. Er infiziert das Gerät aber nur dann, wenn der Benutzer die Datei aktiv ausführt. Nun jedoch scheint eine neue Infektionsquelle vorhanden: der heimische PC.
Laut einer offiziellen Meldung von SecurityFocus haben die Experten der Mobile AntiVirus Researchers Association (MARA) einen Virus entdeckt, der sich über die Synchronisationssoftware ActiveSync auf einen Windows-basierenden Pocket PC überträgt. ActiveSync ist auf quasi jedem Rechner installiert, der seine E-Mails, Termine und Aufgaben mit einem Pocket PC austauscht. Ist der Host-PC infiziert, kann der Virus beim nächsten Sync-Vorgang heimlich übertragen und auf dem Gerät aktiviert werden.
MARA hat den Beispiel-Code des Virus bisher nur seinen eigenen Mitgliedern zur Verfügung gestellt. Ob bösartige Angreifer ebenfalls über den Code verfügen ist bisher nicht bekannt. Leider verfügt auch die Antiviren-Industrie noch nicht über Informationen zur Funktionsweise. Bisher sind also sowohl PCs als auch Pocket PCs vor genau diesem Virus vermutlich ungeschützt.
Wir empfehlen Ihnen, in jedem Fall einen Antiviren-Scanner von F-Secure oder z.B. das Tool Airscanner für Ihren Pocket PC einzusetzen. So sind sie vor bösartigen SMS und Viren geschützt – und zukünftig auch vor gefährlichen ActiveSync-Übertragungen.
Tipp der Woche: Wie Sie gesperrte Dateien und Verzeichnisse entfesseln
Wenn ein abgestürzter Prozess eine bestimmte Datei sperrt, dann wird Ihnen der Zugriff auf diese Datei verwehrt: Ihr Versuch, die Datei zu löschen, wird mit einer Zugriffsverletzung erwidert.
Mit dem kostenlosen Tool Unlocker entfesseln Sie dieser Art gesperrte Dateien. Nach der Installation finden Sie im Kontextmenü den Eintrag "Unlocker". Klicken Sie mit der rechten Maustaste auf ein gesperrtes Objekt und wählen Sie "Unlocker". In der Übersicht sehen Sie nun alle Prozesse, die Zugriff auf die Datei haben. Markieren Sie alle Prozesse und klicken Sie auf "Freigeben", um die Datei zu entsperren.
Möchten Sie die gesperrte Datei unmittelbar löschen, wählen Sie in der Auswahlbox am linken Rand die Option "löschen". Sie finden die Datei anschließend im Papierkorb.
Weitere Infos und Donload von "Unlocker"
Neues Update für den IE bringt keine weitere Sicherheit
Microsoft hat ein neues Update für den Internet Explorer 6 unter Windows XP und Server 2003 veröffentlicht. Das Patch verändert die Benutzung von ActiveX-Elementen: Benutzer müssen zukünftig ein ActiveX-Element per Mausklick bestätigen, sofern das Plugin über die HTML-Konstrukte APPLET, EMBED oder OBJECT geladen wurde. Betroffen sind davon zahlreiche bekannte Plugins wie beispielsweise Java-Applets oder Flash-Anwendungen.
Das Update schafft entgegen der ersten Annahme keine weitere Sicherheit: Active-X-Plugins werden auch weiterhin geladen, lediglich die Interaktion wird unterbrochen. Der Benutzer muss zunächst z.B. auf das bereits geladene Java-Applet klicken, damit er es benutzen kann.
Mit dieser Änderung wird Microsoft dem US-Patent Eolas gerecht, das eine direkte Interaktion zwischen Website und Benutzer schützt. Denn der weitere Mausklick erfordert zunächst eine Aktivierung der interaktiven Applikation.
Zum jetzigen Zeitpunkt raten wir Ihnen jedoch von einer blinden Installation des Patches ab!
Es liegen nur wenige Erfahrungswerte vor, wie sich das Patch beispielsweise auf unternehmenseigene webbasierte Applikationen auswirkt. Als Administrator testen Sie das Patch am besten in Ruhe und verfolgen aufmerksam den Knowledgebase-Eintrag bei Microsoft. Verlaufen Ihre Tests erfolgreich, verteilen Sie das Patch im Firmennetzwerk.
Download des IE-Updates für Windows XP
Anzeige
Software-Tipp: Premium-Sicherheit für Ihre Privatsphäre
Steganos, ein anerkannter Software-Experte für Internet-Sicherheit, bietet Ihnen ein neu zusammengeschnürtes Software-Paket an, welches Ihre Privatsphäre am heimischen PC oder auf der Arbeit schützt.
Mit 10 mächtigen Power-Tools haben Sie wirksame Waffen gegen Internet-Betrüger in der Hand. Unter anderem sind folgende Sicherheits-Programme enthalten:
- Steganos Safe mach aus Ihrer Festplatte einen unknackbaren Safe.
- Steganos AntiTheft schützt Ihr Laptop und Ihre mobilen Daten.
- Steganos AntiSpyware entfernt verlässlich 100.000 Störprogramme auf Ihrem Rechner.
Mehr zum Schutz Ihrer Privatsphäre erfahren sie auf
Deutsche Bank setzt nun ebenfalls auf iTAN
Kunden der Deutschen Bank haben bereits vor einigen Wochen neue TAN-Bögen bekommen, die erstmals eine Indizierung aller TAN-Nummern enthalten. Damit folgt die Deutsche Bank dem so genannten iTAN-Verfahren der Postbank.
Bisher konnte zur Bestätigung einer Transaktion im Online-Banking eine beliebige TAN aus einer Liste verwendet werden. Nun jedoch werden die TANs mit einer Zahl versehen (indiziert) und zu jeder Transaktion muss eine bestimmte indizierte TAN eingegeben werden. Da ein Angreifer die Index-Zahl nicht kennt, ist die TAN für ihn wertlos.
Doch aufgepasst: Das Verfahren bietet Ihnen als Kunden keinen Pauschalschutz. Vielmehr hat die Arbeitsgruppe Identitätsschutz im Internet e.V. bereits vor Monaten eine Man-In-The-Middle-Attack aufgezeigt, die das Verfahren austrickst. Dabei wird im Hintergrund des Phishing-Angriffs die zu einer Transaktion erforderliche iTAN einfach vom Bankserver abgefragt und dem Kunden dargestellt.
Immerhin erschwert das iTAN-Verfahren fiesen Angreifern das Konstruieren ihrer Attacken. Ein Garant für mehr Sicherheit ist und bleibt es jedoch nicht.
Arbeitsgruppe Identitätsschutz im Internet
Online-Banking: Wie Sie mit HBCI Ihr Online-Banking gekonnt sichern
Spätestens nach den letzten Phishing-Attacken ist vielen Unternehmen bewusst geworden, dass Online-Banking nicht gleich Online-Banking ist.
In unserem Artikel "Keine Angst vor Phishing & Co.: 5 Tipps für sicheres Online-Banking dank HBCI" stellen wir Ihnen aktuelle Sicherheitsstandards wie den HBCI INI-Brief vor und zeigen, welche Online-Banking-Mathode wirklich sicher ist.
Als Abonnent erreichen Sie den Artikel über die Web-ID MSUE und das Passwort in Ihrer aktuellen mIT-Sicherheit-Ausgabe. – Sie sind noch kein Abonnent? Dann fordern Sie jetzt unverbindlich Ihr Gratis-Exemplar an und Sie können diesen Artikel schon in wenigen Tagen lesen.
Gratis-Exemplar "mIT Sicherheit" anfordern
Anzeige
Special-Edition: Das Outlook-Jahres-Archiv 2003-2005 ist verfügbar!
Die aktuelle Jahres-Archiv-CD von "Outlook optimal nutzen!" ist verfügbar – in diesem Jahr in der Special Edition 2003 bis 2005!
Auf dieser CD finden Sie alle Beiträge aus "Outlook optimal nutzen!", die in den Jahren 2003-2005 erschienen sind, und natürlich auch alle Tools, Programme und Makros, die die Redaktion getestet und vorgestellt hat.
Die CD ist sehr komfortabel aufgebaut, denn die Beiträge liegen im PDF-Format vor. So können Sie über die schnelle Volltext-Suche einfach nach dem Outlook-Thema suchen, das Sie besonders interessiert und springen direkt zur Fundstelle.
Profitieren Sie von 3 Jahren Outlook-Wissen vom Feinsten! Hier ein kleiner Auszug aus dem Inhalt der CD:
- Outlook-Fehler schnell und sicher reparieren
- Outlook im Netzwerk mit und ohne den Exchange Server
- Datensicherung, so gehen keine Outlook-Daten und Einstellungen mehr verloren
- Outlook im Team mit den anderen Office-Programmen
- Und viele weitere Beiträge rund um das Thema E-Mails, Aufgaben, Termine und Notizen
Das sind nur einige der Themen, die Sie auf fast 2.000 Seiten finden. Mehr als 70 Tools und Programme schliessen die Programm-Lücken, die Mircosoft bei Outlook übersehen hat.
Weitere Informationen zum neuen Jahres-Archiv von "Outlook optimal nutzen!" finden Sie hier:
Special-Edition 2005: Die große Outlook optimal nutzen! Jahres-CD
"Joomla" stopft zahlreiche Sicherheitslücken
In einer neuen Version des bekannten Content Management Systems (CMS) "Joomla" wurden zahlreiche Sicherheitslücken behoben. Unter anderem waren Angreifer in der Lage, ausgeblendete Inhalte einzusehen oder den genauen Installationspfad auf dem Linux-Server zu ermitteln. Eine solche Information nutzen Angreifer bei weiteren Schwachstellen aus, um anhand des Pfades bestimmte Konfigurationsdateien von Joomla zu manipulieren.
Eine besonders schwerwiegende Lücke wurde ebenfalls gestopft: Aufgrund eines Programmierfehlers in der Datei "includes/feedcreator.class.php" können Angreifer beliebig viele Cache-Dateien auf dem Server erstellen. Im schlimmsten Fall bedeutet dies den Absturz des gesamten CMS oder sogar des Servers.
Da für diese Sicherheitslücke bereits erste gefährliche Exploits im Umlauf sind, empfehlen wir dringend ein Update auf die nun veröffentliche Version 1.0.8 vorzunehmen. Das dazu notwendige Paket sowie weitere Details zu den Veränderungen finden Sie im offiziellen Changelog.
WinAce: Code-Ausführung bei manipulierten ARJ-Archiven
Sicherheitsexperte Secunia hat ein neues Leck im bekannten Komprimierungsprogramm WinAce aufgedeckt: Das Öffnen entsprechend manipulierter ARJ-Archive bringt WinAce dazu, beliebigen Code unter den Rechten des aktuellen Benutzers auszuführen. Angreifer könnten dies nutzen, um heimlich Spyware und Viren in Ihrem System zu verankern. Dazu ist es jedoch notwendig, dass Sie die manipulierte Datei öffnen.
Ein Patch ist bisher noch nicht erschienen, doch wird das Leck in der kommenden Version 2.61 behoben sein. Bis dahin öffnen Sie am besten keine dubiosen ARJ-Archive sondern filtern diese pauschal in Ihrer Antiviren-Software.
Excel effektiver einsetzen – Buchen Sie Ihr persönliches Excel-Fitnessprogramm
Heute möchte ich Ihnen zuletzt kurz eine Meldung aus der Excel-Welt bringen. Denn der Fachverlag für Computerwissen veranstaltet in diesem Jahr:
Die Excel-Anwendertage vom 14. – 16. Mai in Fulda
Wenn Sie Ihr Excel-Wissen auffrischen oder gezielt vertiefen wollen, dann ist das DIE Gelegenheit: Bei den Excel-Anwendertagen in Fulda erleben Sie 3 Tage lang ein abwechslungsreiches Programm aus 25 Trainings, Workshops und Vorträgen mit 8 hochkarätigen Trainern.
Außerdem gibt es 2 exklusive Abendveranstaltungen und viel Zeit für den intensiven Erfahrungsaustausch mit zahlreichen Excel-Fachleuten – so bekommen Sie auch Ihre ganz individuellen Excel-Fragen beantwortet!
Weitere Infos mit dem kompletten Kursprogramm finden Sie hier:
Mehr Details zu den Excel-Anwendertagen
Spezielle Sonderkonditionen für Sie
Der Clou: Als Leser der "Security-Secrets" bekommen Sie für die Veranstaltung einen Rabatt von 100 Euro. Geben Sie den speziellen Bonus-Code "XLV-AT06" bei der Anmeldung auf der folgenden Internet-Seite ein:
Jetzt für die Excel-Anwendertage anmelden und 100 EUR sparen
Über "Security-Secrets"
Der Newsletter "Security-Secrets" wird gesponsert von "mIT Sicherheit administrieren und vorbeugen", dem herstellerunabhängigen Fachinformationsdienst rund um Netzwerk-, IT- und Internet-Sicherheit.
"mIT Sicherheit" bietet Ihnen auf 12 Seiten Monat für Monat das Wichtigste für Ihre Sicherheit im Windows- und im Linux-Netzwerk. Dabei steht die Umsetzung der richtigen Sicherheitsmaßnahmen – die konkrete Lösung Ihrer Probleme – im Vordergrund jedes Berichts und jeder Meldung.
In "mIT Sicherheit administrieren und vorbeugen" finden Sie ausgeklügelte Schritt-für-Schritt-Anleitungen, fundierte Insider-Tipps und komprimiertes Praxiswissen für Ihre tägliche Arbeit.
Machen Sie jetzt Ihr Netzwerk zu einem einbruchsicheren System und erhalten Sie zusätzlich die "mIT Sicherheit"-Geschenk-CD-ROM mit Sicherheits-Updates und -Patches, Tools zur Überprüfung der Sicherheit Ihres eigenen Systems:
mIT Sicherheit administrieren und vorbeugen
Fordern Sie sich jetzt eine GRATIS-Ausgabe an und machen Sie den kostenlosen 30-Tage-Test!
Über den Fachverlag für Computerwissen
Der Newsletter "Security-Secrets" ist ein kostenloser E-Mail-Service des Fachverlags für Computerwissen. Informationen zu unserem Verlagsprogramm sowie zu weiteren kostenlosen Services finden Sie auf unseren Internetseiten unter der folgenden Adresse:
"Security-Secrets" abbestellen
Sollten Sie an "Security-Secrets" einmal nicht mehr interessiert sein, können Sie den Newsletter jederzeit abbestellen. Ein Formular für Ihre Abbestellung finden Sie auf unseren Internetseiten unter der folgenden Adresse:
Impressum
"Security-Secrets" wird herausgegeben von:
Verlag für die Deutsche Wirtschaft AG
Fachverlag für
Computerwissen
Theodor-Heuss-Strasse 2-4
53095 Bonn
Telefon: 02 28 / 9 55 01 90
Fax: 02 28 / 35 97 10
Internet: http://www.computerwissen.de/
E-Mail:
info@computerwissen.de
|
Haftungsausschluss: Sämtliche Beiträge und Inhalte des Newsletters sind sorgfältig recherchiert. Dennoch ist eine Haftung ausgeschlossen. Alle Rechte liegen beim Fachverlag für Computerwissen. Nachdruck und Veröffentlichung, auch auszugsweise, sind nicht gestattet. |
Copyright © 2006 Fachverlag für Computerwissen