Suchen Sitemap Kontakt Impressum
Christian-Albrechts-Universität zu Kiel Rechenzentrum CAU Kiel
Umzug

Die aktuellen Seiten des Rechenzentrums befinden sich unter https://www.rz.uni-kiel.de .

 

Die hier noch verfügbaren Seiten dienen nur noch Archivzwecken und sollten im Normalfall nicht mehr verwendet werden.

 
Benutzerspezifische Werkzeuge


Aktuelle Meldungen zur IT-Sicherheit

Hier finden Sie aktuelle Meldungen zur Rechner- und Netzsicherheit vom RUS-CERT der Universität Stuttgart und vom Heise Verlag.
Logo Heise Security
Logo RUSLogo CERT
  • Sicherheitslücke im Yubikey Neo (2015-04-24)
    Der USB-Stick Yubikey Neo lässt sich auch als Smartcard nutzen. Durch einen Bug kann man die eigentlich erforderliche Eingabe der PIN umgehen. Ein Angreifer kann die Krypto-Funktionen dadurch sogar über Funk missbrauchen.
  • Antiviren-Software und Apples Schutzmechanismen für Mac OS X nutzlos (2015-04-24)
    Einem Sicherheitsforscher zufolge sei es trivial, einen Mac nachhaltig mit Malware zu verseuchen. Weder würde gängige Antivirensoftware helfen, noch Apples eigene Mechanismen wie XProtect oder das Signieren von Apps.
  • Magento-Lücke wird aktiv ausgenutzt (2015-04-24)
    Wer einen Magento-Shop betreibt und noch nicht das jüngste Sicherheits-Update installiert hat, muss mit unerwünschten Besuchern rechnen. Hacker nutzen die Lücke aus, um SQL-Befehle in den Datenbankserver einzuschleusen.
  • NSA-Skandal: EU-Politiker setzten auf Technik gegen Überwachung (2015-04-24)
    Gutachter haben vor dem Innenausschuss des EU-Parlaments Maßnahmen gegen Massenüberwachung empfohlen. Auf technische Maßnahmen müssten aber politische folgen. Das sahen einige Abgeordnete anders.
  • l+f: Microsoft zahlt für Spartan-Lücken (2015-04-23)
    Bevor Windows 10 mit neuer Browser-Engine Spartan auf den Markt kommt, bläst Microsoft zur Schwachstellenjagd. Wer Browserlücken meldet, wird mit bis zu 15.000 US-Dollar belohnt.
  • Schadcode durch WLAN-Pakete (2015-04-23)
    Durch eine Lücke in dem Standard-Tool wpa_supplicant können Angreifer anfällige Systeme über WLAN kompromittieren. Es kommt unter anderem bei Android und Linux zum Einsatz. Abhilfe schafft ein Patch, eine abgesicherte Version soll folgen.
  • Sicherheitsfirma warnt vor iOS-Killer-Funktion (2015-04-23)
    Ein bösartiger Hotspot könnte iOS-Geräte in einen endlosen Reboot-Cycle schicken, warnt eine Sicherheitsfirma. Ursache ist anscheinend ein Fehler in Apples Verschlüsselungsimplementierung.
  • Krypto-Experten gegen Schnüffelwut der NSA (2015-04-23)
    Drei Wegbereiter von modernen Verschlüsselungs-Verfahren gehen auf die Barrikaden und wettern gegen die Daten-Hamsterei von NSA und Co. Dabei vergleichen sie das Verhalten der Behörde mit dem von Suchtkranken.
  • RSA-Konferenz: „Wir leben im finsteren Mittelalter der IT-Sicherheit“ (2015-04-22)
    Bei der Eröffnungsrede zur diesjährigen RSA Conference zeichnete der Chef des Sicherheitsunternehmens ein dunkles Bild: Aktuelle Schutzmaßnahmen in Unternehmen sind hoffnungslos überfordert.
  • Kleines, böses JPEG: Microsoft-Server mit manipulierten EXIF-Daten kapern (2015-04-24)
    Sicherheitsprobleme mit JPEGs sind schon seit über zehn Jahren bekannt, trotz diverser Patches kann man das Format immer noch für Angriffe missbrauchen. Eine neue Methode kann mit manipulierten EXIF-Metadaten Microsoft-Webserver in die Knie zwingen.
  • Lücke in eBays Shopsystem Magento: Beliebiger Schadcode ausführbar (2015-04-22)
    Die Lücke erlaubt es Angreifern nach Gutdünken Daten abzugreifen; unter anderem Kreditkarteninformationen und Kundenadressen. Ein Update steht bereit, welches Administratoren so schnell wie möglich einspielen sollten.
  • heise Security auf Tour: Konferenz "Mit IT-Unsicherheit leben" (2015-04-22)
    Nächste Woche startet die diesjährige heise-Security-Konferenz "Mit IT-Unsicherheit leben: Bedrohungen entdecken, Angriffe aufklären" mit Stationen in Stuttgart, München , Hamburg und Köln.
  • Patchday-Sammelupdate kickt Google aus dem IE (2015-04-22)
    Das letzte Sammelupdate für den Internet Explorer 11 stört die Möglichkeit, alternative Suchmaschinen im Browser aktivieren zu können. Nutzer müssen sich so unter Umständen mit Bing begnügen.
  • Linux-Firewall: IPFire-Korrektur bringt neue Funktionen (2015-04-22)
    IPFire 2.17 korrigiert mit dem Core Update 89 nicht nur eine Reihe von Fehlern. Es erweitert auch den DynDNS-Updater und die Statistiken der Linux-Firewall.
  • De-Mail : Ende-zu-Ende-Verschlüsselung mit PGP gestartet (2015-04-22)
    De-Mail-Kunden können nun ihre Nachrichten und Anhänge im Web-Frontend des Diensts lokal mit PGP verschlüsseln und danach versenden.
    • [Microsoft/Windows] Microsoft stellt Patches für acht Schwachstellen bereit (2015-01-14)
      Im Rahmen seines Security Bulletin Summary for January 2015 stellt Microsoft Patches für insgesamt acht Schwachstellen bereit. Die Schwachstellen betreffen den Windows Application Compatibility Cache, den Windows Telnetdienst, den Windows User Profile Service, den Windows TS WebProxy, Network Location Awareness, die Windows Fehlerberichterstattung, die RADIUS-Implementierung des Netzwerkrichtlinienservers und den Windows Kernelmodustreiber. Die Schwachstellen ermöglichen z.T. die Ausführung beliebigen Programmcodes auf dem beherbergenden System, weswegen die rasche Installation der bereitgestellten Patches empfohlen wird.
    • [Generic/SSL] Rückfalloption vieler TLS-Implementierungen auf SSL 3.0 ausnutzbar (Poodle) (2014-10-15)
      Die Verschlüsselungsprotokollfamilie des Standards SSL 3.0 gilt als veraltet und es wird empfohlen, sie nirgends mehr anzuwenden, da sie Schwachstellen enthalten. Empfohlene Nachfolger sind die Protokolle der TLS-Familie (aktuell in der Version TLS 1.2). Dennoch verfügen viele SSL-Implementierungen über eine Rückfalloption (sog. protocol downgrade dance) auf SSL 3.0, die die Kommunikation mit veralteten Installationen erlauben. Diese Option kann in vielen Fällen von einem Angreifer dazu ausgenutzt werden, die Kommunikation in SSL 3.0 zu erzwingen und die Schwachstellen zum Brechen ihrer kryptographischen Absicherung zu nutzen, selbst wenn sowohl Client als auch Server TLS implementieren. Es wird daher dringend empfohlen, Softwareinstallationen (sowohl Clients als auch Server) so einzustellen, dass die Verwendung, bzw. der R̈́ückfall auf SSL 3.0 ausgeschlossen ist.
    • [DV-Recht] BGH: Kein Auskunftsanspruch durch Privatpersonen (2014-07-01)
      Der Bundesgerichtshof hat die Klage einer Privatperson gegen ein Internetportal mit Bewertungsfunktion für Ärzte auf Herausgabe der Anmeldedaten eines Nutzers abgewiesen, der in einer Bewertung falsche Tatsachenbehauptungen aufgestellt hatte. Er stellt klar, dass Privatpersonen auf zivilrechtlichem Weg wegen einer Persönlichkeitsverletzung keinen Anspruch auf die Herausgabe von personenbezogenen Daten bei Betreibern von Telemediendiensten erwerben können. Im Gegenteil ist ein Diensteanbieter "in Ermangelung einer gesetzlichen Ermächtigungsgrundlage im Sinne des § 12 Abs. 2 TMG grundsätzlich nicht befugt, ohne Einwilligung des Nutzers dessen personenbezogene Daten zur Erfüllung eines Auskunftsanspruchs wegen einer Persönlichkeitsrechtsverletzung an den Betroffen" herausgeben. Ein Diensteanbieter darf (bzw. muss) jedoch nach § 14 Abs. 2, § 15 Abs. 5 Satz 4 Telemediengesetz (TMG) auf Anordnung der zuständigen Stellen im Einzelfall Auskunft über Bestands-, Nutzungs- und Abrechnungsdaten erteilen, soweit dies u. a. für Zwecke der Strafverfolgung erforderlich ist.
      Dennoch kann dem Betroffenen ein Unterlassungsanspruch gegen den Dienstebetreiber zustehen: In diesem Fall muss der Diensteanbieter die persönlichkeitsverletzenden Inhalte entfernen.
    • [Microsoft/Windows] Microsoft stellt Patches für neun Schwachstellen bereit (2014-06-13)
      Im Rahmen seines Security Bulletin Summary for June 2014 stellt Microsoft Patches für insgesamt neu Schwachstellen bereit. Die Schwachstellen betreffen Windows, den Internet Explorer, Microsoft Office, Lync, den XML Core Services (MSXML), und Remote Desktop. Die Schwachstellen ermöglichen z.T. die Ausführung beliebigen Programmcodes auf dem beherbergenden System, weswegen die rasche Installation der bereitgestellten Patches empfohlen wird.
    • [Generic/OpenSSL] Mehrere Schwachstellen in OpenSSL (2014-06-05)
      Sechs Schwachstellen in OpenSSL der Versionen 0.9.8, 1.0.0 und 1.0.1 können von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System (sowohl auf Servers als auch auf Clients) auszuführen, schwache Sitzungsschlüssel in TLS-Sitzungen zu erzwingen, betroffene Installationen in einen unbenutzbaren Zustand zu versetzen oder Daten in bestehende Sitzungen einzuschleusen. Das OpenSSL-Team stellt neue Versionen der verschiedenen Zweige bereit, die die Schwachstellen beheben. Es wird empfohlen, betroffene Installationen umgehend zu aktualisieren. Nach derzeitigem Wissensstand sind Passwörter und/oder Zertifikate nur zu ändern, falls ein betroffenes System erfolgreich angegriffen und kompromittiert wurde (wie dies auch bei jeder anderen Kompromittierung der Fall wäre).
    • [Generic/Flash] Schwachstelle im Adobe Flash Player (2014-04-29)
      Eine Schwachstelle im Adobe Flash Player für Microsoft Windows, Macintosh OS X sowie Linux kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System auszuführen. Adobe stellt aktualisierte Versionen des Players, die die Schwachstelle beheben, bereit.
    • [Microsoft/IE] Schwachstelle im Internet Explorer (2014-04-29)
      Eine Schwachstelle im Internet Explorer der Versionen 6 bis 11 kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System auszuführen. Um die Schwachstelle auszunutzen ist es ausreichend, wenn ein Benutzer eines betroffenen Sytems entsprechend präparierte Inhalte mit dem Browser betrachtet.
    • [DV-Recht] US-Gericht verfügt Durchsuchung eines E-Mail-Kontos auf einem Microsoft-Server in Irland (2014-04-28)
      Ein US-amerikanischer Bundesrichter hat einen Durchsuchungsbefehl für ein E-Mailkonto bei Microsoft erlassen, dessen Daten auf einem Server in Irland liegen. Damit wird die Auffassung der amerikanischen Behörden zementiert, dass die Daten nicht den Rechtsvorschriften des Landes, in denen sie sich befinden (also hier denen Irlands bzw. der EU), sondern den US-amerikanischen unterliegen. Zwar will Microsoft nach eigenem Bekunden gegen diesen Beschluss eine Revision beantragen, dieser werden jedoch wenig Chancen eingeräumt. Dies bedeutet, dass alle Daten, die sich auf Servern US-amerikanischer Firmen befinden, egal wo diese stehen, im direkten Zugriff US-amerikanischer Behörden liegen. Bei der Nutzung solcher Dienste ist daher immer dieser Aspekt zu beachten. Dies ist insbesondere dann relevant, wenn lokale Rechtsvorschriften zum Schutz der Daten oder Geheimhaltungspflichten (z.B. im Rahmen von Projekten) zu beachten sind.
    • [DV-Recht] EuGH kippt Vorratsdatenspeicherung (2014-04-08)
      Der Europäische Gerichtshof (EuGH) hat die EU-Richtlinie 2006/24/EG für rechtswidrig erklärt. Nach Ansicht des Gerichtes verstößt sie gegen die Grundrechtecharta der EU, sie "beinhaltet einen Eingriff von großem Ausmaß und besonderer Schwere in die Grundrechte auf Achtung des Privatlebens und auf den Schutz personenbezogener Daten, der sich nicht auf das absolut Notwendige beschränkt". Die Richtlinie sah vor, dass die Mitgliedsstaaten jeweils ein nationales Gesetz verabschieden müssen, das Provider zur sechsmonatigen Speicherung aller Verbindungsdaten, die in ihrer Infrastruktur angefallen sind, verpflichtet. Diese Vorgabe ist nun Geschichte.
    • [Generic/OpenSSL] Ernste Schwachstelle in OpenSSL (2014-04-08)
      Eine Schwachstelle in der TLS heartbeat extension kann von einem Angreifer durch das Senden eines speziell formulierten Paketes dazu ausgenutzt werden, bis zu 64 kbytes des Speichers eines TLS-Servers oder Clients auszulesen (sog. Heartbleed Bug). Dies kann u.U. dazu führen, dass der Angreifer in den Besitz des privaten Schlüssel des Servers oder Clients kommt. TLS-Verbindungen mit OpenSSL-Installationen der betroffenen Versionen müssen daher als unsicher angesehen werden. Auch zwischegespeichte Passwörter oder andere sensitive Daten können unter Ausnutzung dieser Schwachstelle aus dem Speicher eines betroffenen Systems ausgelesen werden. Das OpenSSL-Team hat eine neue Version herausgegeben, die die Schwachstelle behebt. Es wird dringend zur unverzüglichen Aktualisierung betroffener Systeme und dem Austausch des jeweiligen Schlüsselpaars geraten. Ebenfalls sollten alle Passwörter, die über eine betroffene TLS-Verbindung ausgetauscht wurden, vorsorglich geändert werden.