Sicherheitsmeldungen zum 1. Dienstag im Monat

SicherheitHach, die Titelzeile klingt doch gut? Microsoft hat seinen Patchday am 2. Dienstag im Monat – und ich habe diesen Monat einen Sicherheitsnewsletter am 1. Dienstag Zwinkerndes Smiley. Scherz beiseite – hier dümpeln ein paar Infos herum, die ich jetzt einfach in einem Sammelbeitrag zusammenfasse und euch damit zur Kenntnis gebe. Momentan ist nix mehr sicher: VLC hat eine Sicherheitslücke, der Curiosity Rover auf dem Mars (sowie diverse Closed- und OpenSource-Produkte) auch, Google hat eine Lücke bei Drive geschlossen und Microsoft will betrügerischer Adware an den Kragen. Das reinste Irrenhaus. [Update: Es sind noch einige Infos hinzugekommen: OS X 10.9.4-Update, Übernahme von No-IP durch Microsoft, 2-Faktor-Authentifizierung für iCloud.com etc.]


Anzeige

Lempel-Ziv-Kompression weist 20 Jahre alte Sicherheitslücke auf

Wie im Blog SecurityMouse kürzlich aufgedeckt wurde, gibt es in der Implementierung (aus dem Jahr 1994) des Lempel-Ziv-Oberhumer (LZO)-Algorithmus einen Ganzzahlenüberlauf, der sich als Sicherheitslücke entpuppt. Dies kann zum Provozieren von Abstürzen oder sogar zum Einschleusen von Schadcode genutzt werden, wie heise.de hier schreibt. Der Algorithmus ist häufig kopiert worden und in OpenSource- oder Firmensoftware eingeflossen. Bei heise.gibt man an, dass der Bootloader GRUB2, Busybox, das Codec-Paket FFmpeg, der MPlayer2, Libav, OpenVPN und Junos OS von Juniper betroffen seien. Im oben verlinkten Blog-Beitrag findet sich auch der Hinweis, dass Samsungs Android-Kernel diesen Algorithmus nutzt. Das Kuriose: Die Sicherheitslücke ist vor einem "marsianischen Jahr" bereits mit dem Rover Cuiosity auf dem Mars eingeschlagen – jetzt exportieren die Amis sogar schon ihre Sicherheitslücken interplanetarisch (zum interstellaren Export reicht es noch nicht, denn die Pioneer-Sonden wurden deutlich früher entwickelt und sind seit den siebziger Jahren des vorigen Jahrtausends unterwegs).

VLC-Player mit Krypto-Lücke

Auch im beliebten VLC-Player ist bis zur aktuellen Version 2.1.3 eine kritische Sicherheitslücke enthalten. Wie heise.de hier schreibt, kann eine Schwachstelle in GnuTLS jedem VLC-Nutzer zum Verhängnis werden. Auch hier provoziert ein Pufferüberlauf einen Absturz oder kann zum Einschleusen von Schadcode genutzt werden. Das Problem hält sich aber in Grenzen, denn der Angriff kann nur über speziell präparierte Server erfolgen. Zudem gibt es eine Denial-of-Service-Lücke in libpng im VLC-Player. Es kann daher nicht mehr lange dauern, bis eine neue Version des VLC herauskommt.

Google schließt Schwachstelle in Drive

Dropbox und Microsofts OneDrive hat es schon getroffen: Schwachstellen ermöglichten den nicht autorisierten Zugriff auf den Cloudspeicher dieser Anbieter. Auch Google hatte bei Drive eine solche Leiche im Keller – über eine Schwachstelle konnten Dritte auf Google Drive-Inhalte zugreifen – und zwar immer dann, wenn Office-Dokumente mit Links zu HTTPS-Sites hochgeladen wurden und die Freigabe auf "Jeder" stand. Wie heise.de hier berichtet, ist die Lücke jetzt geschlossen. Nutzer müssen aber aktiv werden, um das Datenleck abzudichten. Details finden sich bei heise.de unter obigem Link.


Werbung – meine Windows 8.1 Titel –

Microsoft will agressiver AdWare ab 1. Juli an den Kragen

Werbefinanzierte Angebote sind etwas feines, ermöglichen diese Entwicklern oder Inhaltsanbietern zumindest die teilweise Refinanzierung der Leistungen (auch dieses Blog nutzt das, um ein paar Euro einzunehmen). Leider gibt es "hinterhältige" Adware, die über Browser-Add-Ons Werbung beim Besuch einer Webseite einblendet. Die so generierten Einnahmen kommen aber nicht dem Betreiber der betreffenden Webseite zugute, sondern fließen in die Kasse des Add-On-Entwicklers.

Mein MVP-Kollege Martin Geuß weist in diesem Dr.Windows-Artikel darauf hin, dass das Unternehmen ab dem 1.7.2014 gegen solche "hinterhältige Werbung" vorgehen will. Hierzu werden Windows Defender und der SmartScreen-Filter des IE entsprechend funktional aufgerüstet. Programme müssen dann bestimmten Regeln entsprechen: In einem Fenster eingeblendete Werbung muss dann mit "powered by …" und dem Namen des Werbenden versehen werden. Das Fenster muss zudem einen sichtbare Schließen-Schaltfläche aufweisen, die keine Aktion (z.B. öffnen eines weiteren Fensters) auslösen dar. Hält sich ein Add-On oder Programm nicht an diese Regeln, wird es durch den Defender oder den SmartScreen-Filter an der Ausführung gehindert. Danke an Martin Geuß für diese Info, die durch Microsoft nicht wirklich kommuniziert wurde.

Microsoft legt OpenDNS-Anbieter No-IP wegen Malware-Verbreitung still

Wer den eigenen Rechner über das Internet erreichen will (z.B. beim Betrieb als Webserver), ist auf Dienste wie No-IP angewiesen. Diese leiten eine Anfrage dann auf die IP-Adresse des eigenen Rechners, der am Internet hängt, um. Seit gestern funktioniert die Aktualisierung dieser DNS-Umleitung für No-IP nicht mehr. Und seit heute kennen wir die Ursache: Microsoft hat eine Gerichtsbeschluss erwirkt, der die Domain No-IP quasi in die Obhut des Unternehmes bringt. Begründet wurde der Antrag Microsofts an das Gericht, dass der Dienst No-IP dazu genutzt wurde, Umleitungen auf Malware-verseuchte Server zu konfigurieren. Neben No-IP hat Microsoft die Übernahme von ingesamt 22 Domains beantragt und dem Antrag wurde stattgegeben. Details findet ihr bei meinem MVP-Kollegen Martin Geuß, in diesem heise.de-Beitrag sowie in diesem Arstechnica-Artikel.

Microsoft erweitert Verschlüsselung für Outlook.com und OneDrive

Bei Microsoft versucht man die Ende-zu-Ende-Verschlüsselung voran zu treiben – also zwischen Client und Server soll alles per TLS verschlüsselt übertragen werden. Outlook.com kann auch Perfect Forward Secrecy (PFS) beim Austausch von E-Mails mit anderen Anbietern nutzen. Dazu wurde gestern ein längerer Blog-Beitrag veröffentlicht. (via)

OS X 10.9.4-Update behebt Sicherheitslücken

Momentan rollt Apple auch eine aktualisierte Version von OS X 10.9.4 als Update aus, die verschiedene Sicherheitslücken beheben soll. Zudem wird durch das gut 100 MByte große Update ein WLAN-Fehler behoben. Details findet ihr in diesem heise.de-Artikel.


Anzeige

Auf das aktuelle iOS 7.1.2-Update hatte ich die Nacht im Artikel Apple gibt iOS 7.1.2 frei hingewiesen

2-Faktor-Authentifizierung für iCloud.com

Nachdem einige iOS-Geräte durch böswillige Angriffe für ihre regulären Benutzer blockiert wurden (ich hatte im Artikel Apple sagt: iCloud ist nicht kompromittiert und hier iCloud doch nicht sicher? Tool soll Backups laden können darüber berichtet),  hat Apple reagiert. Gemäß diesem Bericht von appleinsider.com führt Apple nun eine 2-Faktor-Authentifizierung für iCloud.com ein.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter macOS X, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Sicherheitsmeldungen zum 1. Dienstag im Monat

  1. Günter Born sagt:

    Nachtrag: Microsoft hat die von NoIP verwalteten Domains wieder an die Eigentümer zurück gegeben. Details z.B. hier: http://www.heise.de/newsticker/meldung/DynDNS-Dienst-Microsoft-hat-Domains-an-NoIP-zurueckgegeben-2249112.html

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.