Auf den meisten PCs ist Java und Flash installiert. In beiden Standardprogrammem haben Experten relevante Sicherheitslecks entdeckt, die ernsthafte Folgen haben können. Java sollte derzeit abgeschaltet, Flash dringend aktualisiert werden – möglichst sofort. Für das Problem in Java gibt es bislang noch keine Lösung. Betroffen ist die aktuelle Java-Version 7 Update 10. Das Sicherheitsleck wird offensichtlich bereits im großen Stil ausgenutzt und lässt sich bislang nicht stopfen. Daher raten Experten, Java im Browser vorübergehend zu deaktivieren. Denn nicht immer bemerkt ein Benutzer, wenn eine Webseite Java im Browser nutzt, um Programmcode auszuführen. Nur durch das Abschalten des Java-Plugins lässt sich das Sicherheitsleck derzeit schließen. Hier lässt sich testen, ob Java installiert ist.
Um Java im eigenen Browser zu deaktivieren, unter Firefox den Add-on-Manager im Menü “Extras” starten. Java findet sich hier in der Abteilung “Plugins” und kann dort abgeschaltet werden. Chrome-Nutzer müssen in den sauren Apfel beißen und alle Erweiterungen deaktivieren. Möglich ist das durch “Erweiterte Einstellungen anzeigen” im Menü “Einstellungen” möglich. Im Bereich “Datenschutz” auf die Schaltfläche “Inhaltseinstellungen” klicken. Windows-Benutzer, die den Internet Explorer verwenden, sollten Java in der Systemsteuerung am besten komplett deinstallieren, da der Microsoft-Browser selbst dann noch auf das Java-Plug-in zugreift, wenn es explizit deaktiviert wurde. Daher: Java erst mal vollständig über die Funktion “Software” in der Systemsteuerung deinstallieren.
Der amerikanische Hersteller von 3D-Grafikchip Nvidia hat auf der CES überraschend eine mobile Spielekonsole namens Shield vorgestellt, die Game-Spaß in höchster Qualität bieten soll. Die Konsole sieht aus wie ein etwas zu groß geratener Game-Controller mit ausklappbarem 5-Zoll-Touch-Display und 1280×720 Bildpunkten. Das ist Full-HD-Auflösung HD mit 720p. Auch Lautsprecher sind eingebaut. Im Inneren werkelt das Betriebssystem Android von Google in der Version 4.2.1. Spiele und Daten kommen wahlweise aus dem Speicher des Geräts, vom eigenen PC, von Game-Servern oder aus dem Internet ganz allgemein.
Die Shield-Konsole ist eng mit dem Internet verbunden, kann auch zum Surfen oder zum Anschauen von Filmen verwendet werden und ist mehr oder weniger “always online”. Zugang zum Internet bekommt man über das eingebaute WLAN. Spiele lassen sich beispielsweise aus dem Playstore von Google laden. Und wem das Display zu klein ist – da hat sich Nvidia wirklich was Besonderes einfallen lassen: Bei Bedarf lässt sich per WLAN oder HDMI-Anschluss eine Verbindung zu einem Fernseher oder PC mit Nvidia-Chip herstellen und das Bild dort anzeigen.
Tablet Computing verändert sich: Künftige Tablets könnten so dünn sein wie ein Blatt Papier, die Oberfläche ist flexibel – und durch Berühren von verschiedenen Tabs lassen sich Informationen austauschen oder kopieren. Wie diese PaperTabs aussehen könnten, zeigt ein Video mit eindrucksvollen Studien. Ich habe jedenfalls nicht schlecht gestaunt, wie weit die Ingenieure bereits sind.
Die meisten Computerbenutzer haben nützliche Zusatz-Software wie Java und Flash auf ihrem Rechner installiert – viele wissen das allerdings nicht einmal. Derzeit gibt es in Java und Flash allerdings ernsthafte Sicherheitslücken, die auch bereits ausgenutzt werden: Wer eine entsprechend präparierte Webseite ansteuert, kann sich Schadcode einfangen. Cyberkriminelle können so den PC infizieren, den Rechner fernsteuern, Daten entwenden oder Einstellungen manipulieren.
Sicherheitsexperten stufen die Sicherheitslücke als kritisch ein. Weil es noch keine Lösung für das Problem gibt, empfehlen Sicherheitsexperten, Java auf dem eigenen Rechner zu deaktivieren. Dazu im verwendeten Browser in den Bereich der Add-Ons, Plugins oder Erweiterungen gehen und dort Java abschalten. Wenn das Sicherheitsproblem gelöst ist und eine neue Java-Version angeboten wird, diese laden und installieren. Erst dann sollte Java wieder eingeschaltet werden.
Um Java im eigenen Browser zu deaktivieren, unter Firefox den Add-on-Manager im Menü „Extras“ starten. Java findet sich hier in der Abteilung „Plugins“ und kann dort abgeschaltet werden. Chrome-Nutzer müssen in den sauren Apfel beißen und alle Erweiterungen deaktivieren. Möglich ist das durch „Erweiterte Einstellungen anzeigen“ im Menü „Einstellungen“ möglich. Im Bereich „Datenschutz“ auf die Schaltfläche „Inhaltseinstellungen“ klicken.
Windows-Benutzer, die den Internet Explorer verwenden, sollten Java in der Systemsteuerung am besten komplett deinstallieren, da der Microsoft-Browser selbst dann noch auf das Java-Plug-in zugreift, wenn es explizit deaktiviert wurde. Daher: Java erst mal vollständig über die Funktion „Software“ in der Systemsteuerung deinstallieren.
Auch beim weit verbreiteten Flash-Player können Angreifer über eine entdeckte Schwachstelle eigenen Code auf dem Rechner ausführen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät, so schnell wie möglich die aktuelle Flash-Version zu installieren, etwa über die Update-Funktion im Player oder direkt auf der Adobe-Homepage.
Meldungen wie diese häufen sich in letzter Zeit: Durch Eingabe einer bestimmten Ziffernfolge lässt sich bei einigen Smartphone-Modellen des Herstellers Samsung der Speicher löschen – einfach so, ohne weitere Nachfrage wird der Speicher geputzt und alle Daten sind weg.
Es reicht offensichtlich aus, dass das Samsung-Handy Kontakt zu einem anderen Smartphone herstellt, per NFC-Chip. Auch das Scannen eines entsprechend präparierten QR-Codes soll zum selben Ergebnis führen, das Ansteuern einer zu diesem Zweck angelegten Webseite oder der Empfang einer speziellen SMS. Es gibt also verschiedene Einfallstore.
Für andere Smartphone-Modelle sind mittlerweile ähnliche Tricks bekannt, wie man in die Untiefen der Betriebssysteme vordringen und dort Daten manipulieren oder auslesen kann. Was deutlich macht: Auch Smartphones sind nicht Fort Knox, sondern Computer mit Software – und jede Software ist angreifbar. Mit der zunehmenden Verbreitung von Smartphones werden diese nun immer attraktiver für Datendiebe und Kriminelle. Man wird genauer beobachten müssen, wie sich das entwickelt – und vermutlich auch sein Smartphone künftig regelmäßiger aktualisieren, um Sicherheitslecks zu schließen.
Die neu entdeckte Sicherheitslücke im Internet Explorer ist kritisch: Nicht umsonst warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) derzeit ausdrücklich vor dem Einsatz des Explorers und empfiehlt alternative Browser wie Chrome, Firefox oder Opera. Betroffen sind die Versionen 6 bis 9 des Microsoft-Browsers. Darum sollte jeder reagieren, der den Internet Explorer auch nur gelegentlich in diesen Versionen verwendet. Die Version lässt sich durch einen Klick auf das Fragezeichen in der IE-Menüleiste prüfen. Unter dem Reiter “Info” wird die Browser-Version angezeigt.
Microsoft stellt ein Tool bereit, mit dem sich das Sicherheitsleck abdichten lässt. Mittlerweile gibt es ein reguläres Update für den Internet Explorer, fehlerbereinigt. Dazu die Funktion “Windows-Update” im Internet Explorer aufrufen oder über die Systemsteuerung laden und installieren. Auch wenn das Sicherheitsproblem diesmal relativ schnell beseitigt wurde: Einen Imageschaden hat Microsoft dennoch.
Apropos Imageschaden: Den hat auch Apple. Denn der neue Online-Kartendienst in iOS6 ist ein Desaster. Versprochen wurde exzellentes Kartenmaterial und schicke 3D-Ansichten von Städten und Gebäuden. Doch geboten wird mitunter Chaos pur, das Kartenmaterial strotzt vor Fehlern. Ganze Städte verschwinden, es erscheinen Flughäfen wo keine sind, Sehenswürdigkeiten wie der Kölner Dom lösen sich in Luft auf. Das Brandenburger Tor steht laut Apple-Karten nicht in Berlin, sondern in “Schöneiche bei Berlin”.
Eine peinliche Panne für das wertvollste Unternehmen der Welt. Google kann sich ins Fäustchen lachen: Google Maps ist um Längen besser. Jetzt hoffen die meisten Apple-User, dass Google möglichst bald eine Maps-Apps herausbringt, damit der bewährte Kartendienst auch auf Apple-Geräten wieder zur Verfügung steht.
Und noch mal Apple – diesmal ein bisschen Apple-Spott: Seit Freitag (21.09.2012) kann man das iPhone 5 offiziell kaufen. Schlangen vor den Apple-Stores – aber warum eigentlich? Ein ironischer Werbespot von Samsung nimmt die Apple-Mania aufs Korn. Da wissen die Leute in der Schlange eigentlich gar nicht so recht, warum sie sich das antun… Herdentrieb. Dabei können andere Handys längst, was das iPhone 5 als neu verkauft – so zumindest die Message im Spot. Köstlich.
Googles Browser Chrome galt bislang als nahezu bombensicher. Interne Sicherheitsmechanismen (Sandbox) sorgen dafür, dass es kaum möglich ist, aus dem Browser heraus auf interne Datenbestände zuzugreifen oder Programme zu starten.
Während in anderen Browsern ständig neue Sicherheitslecks entdeckt werden, gab es über Google Chrome bislang kaum etwas zu berichten. Selbst die pfiffigsten Hacker haben sich an Chrome bislang die Zähne ausgebissen. Keine Frage: Die Google-Entwickler haben ein gutes Stück Software gebaut.
Aber hundertprozentige Sicherheit gibt es eben nicht. Es gibt überall ein Leck. Der französische Sicherheitsdienstleister Vupen hat nach eigenen Angaben eine Sicherheitslücke in der aktuellen Version 11 entdeckt. Damit soll es möglich sein, eine Webseite so zu präparieren, dass auf vorbeisurfenden Windows-Rechnern eine beliebige Anwendung gestartet werden kann. Das Unternehmen zeigt in einem Video, dass es tatsächlich klappt. In dem WWW: Video wird über den Browser der Taschenrechner von Windows gestartet.
Wie das genau funktioniert, wie das Sicherheitsleck aussieht – das will die Firma erstmal nicht verraten. Auch ob Google bereits informiert wurde, bleibt ein Geheimnis.
Zweifellos: Das kratzt nun ein wenig an dem strahlenden Image von Chrome. Auch Google Chrome scheint also angreifbar. Es ist aber das erste entdeckte Sicherheitsleck überhaupt – und das ist und bleibt beeindruckend.
Software wird von Menschen gemacht, deshalb kann es Software ohne Fehler und folglich auch Software ohne Sicherheitslecks nicht geben. Dass nun doch mal eins gefunden wurde, ist deshalb wenig überraschend.
Das Ganze riecht für mich daher eher nach einem PR-Coup der Sicherheitsfirma, der offensichtlich weniger an der Sicherheit gelegen ist, als daran, die Nachricht möglichst effektiv auszuschlachten. Anderenfalls hätte das Unternehmen nämlich in aller Stille seine Kunden über das Leck informiert – und vor allem aber Google in Kenntnis gesetzt, damit die das Leck stopfen können.
Aber so laut die Werbetrommel zu rühren, ist in diesem Fall ganz sicher nicht erforderlich.
Das ist ganz schön peinlich für Facebook-Gründer Mark Zuckerberg: Ein Hacker hatte diese Woche ein Sicherheitsleck im populären sozialen Netzwerk ausgenutzt und auf der Zuckerberg-Fanseite einen Beitrag im Namen des Facebook-Gründers hinterlassen.
Dass so etwas geht, erschreckt viele – völlig zu Recht. Offensichtlich hat Zuckerberg getobt. Denn schon wenige Stunden später war das Sicherheitsleck geschlossen. Dieser Vorfall wiederholt sich also nicht. Das ist auch gut so, denn die Sicherheitslücke wurde auch von der tunesischen Regierung ausgenutzt, um Dissidenten ausfindig zu machen.
Das Leck ist also nun geschlossen. Ab sofort kann man Facebook auch mit einer gesicherten Verbindung verwenden, also mit https anstatt http. Man muss nur drauf achten und das ggf. selbst einrichten, denn von alleine unterstützt Facebook diese deutlich sicherere Variante der Datenverbindung leider immer noch nicht.
Ein Minischritt in die richtige Richtung also, ein großer Wurf leider nicht.
Fast jeder hat jeute Software von Adobe auf seinem Rechner laufen, ob nun den Adober Reader zum Betrachten oder Ausdrucken von PDFs – oder Adobe Flash, die kostenlos erhältliche Erweiterung, die multimediale Inhalte in den Browser holt. Lange schon ist bekannt, dass Adobe-Software vergleichsweise anfällig für Angriffe durch Hacker und Cyberkriminelle ist. Zu viele Sicherheitslecks.
Gerade erst musste Adobe mal wieder vor einer kritischen Schwachstelle im Adobe Reader warnen. Adobe hat mitgeteilt, dass sowohl der Adobe Reader wie Adobe Acrobat für Windows, Unix und Macintosh bis einschließlich Version 9.3.4 eine ernsthafte Sicherheitslücke aufweist, die ein Eindringen in den PC und eine vollständige Kontrolle ermöglicht. Experten haben bereits erste Angriffe feststellen müssen. Einziger Ausweg derzeit: Alternative PDF-Software wie den PDF XChange Viewer verwenden.
Eine Software ohne Bugs, ein Computerprogramme ohne Fehler gibt es nicht – das weiß jeder Programmierer. Die Frage ist: Wie geht man damit um, wenn ein Fehler bekannt wird? Als verantwortungsvoller Programmierer und erst recht als verantwortungsvolles, erfolgreiches Softwareunternehmen sollte es selbstverständlich sein, dass das Problem so schnell wie möglich beseitigt wird. Im Interesse aller. Ein aktuelles Sicherheitsproblem im PDF-Format, das vor allem den Adobe Reader zum Einfallstor für Angreifer aus dem Internet machen kann, will der Softwareriese Adobe nicht stopfen. Fachleute sind empört.
Interessanterweise ist nicht Windows, Internet Explorer oder Outlook das Programm mit den meisten Sicherheitslecks im vergangenen Jahr gewesen, sondern der Adobe Reader. Der PDF-Experte Didier Stevens hat nun jedoch ein Sicherheitsleck entdeckt und in seinem Blog veröffentlicht, das sehr bedenklich ist.
Wie Stevens zeigt, gibt es eine „Launch Actions/Launch File“ genannte Funktion im PDF-Format, die es erlaubt, ein im PDF-Dokument eingebettetes Skript zu starten. Sogar das Starent eines beliebigen Programms auf der Festplatte ist damit möglich. Fatal, denn so lassen sich nicht nur beliebige Programme auf der Festplatte starten und ausführen, sondern auch beliebiger Programmcode in einen PC einschleusen.
Der Adobe Reader fragt zwar in solchen Situationen nach, ob der Benutzer das wirlocu möchte, allerdings erkennt kaum ein Anwender die Brisanz der Nachfrage. Die Folge: Die meisten User werden die nicht besonders gefährlich klingende Sicherheitsabfrage arglos bestätigen.
Wie einfach es ist, die User zu täuschen, hat das auf IT-Sicherheit spezialisierte Unternehmen Sophos demonstriert: Im Firmenblog gibt es ein Beispiel-PDF, das zeigt, wie so etwas aussehen kann. Andere auf IT-Sicherheit spezialisierte Unternehmen berichten, dass bereits entsprechend präparierte PDF-Dokumente im Internet kursieren, die das Sicherheitsleck ausnutzen. Sie versuchen mitunter, einen Bot im System zu installieren, ein Programm, das die Fernsteuerung des PCs ermöglicht.
Diese Lücke im PDF ist übrigens keine Sicherheitslücke im traditionellen Sinne, da kein Programmfehler ausgenutzt wird, sondern praktisch systembedingt existuert. Umso schlimmer, könnte man meinen, dann lassen sich PCs sogar auf „legalen“ Weg infizieren.
Eigentlich müssten da bei Adobe doch die Alarmglocken läuten, denn die meisten Anwender vertrauen dem PDF-Format, sie vermuten in einem PDF-Dokument nichts Gefährliches.
Doch Adobe spielt das Problem herunter, stuft das Problem als unkritisch ein. Das Argument: Eigentlich handele es sich um ein sinnvolles Feature, das nur durch missbräuchliche Verwendung zum Problem werde. Außerdem erhalte der Benutzer einen Warnhinweis und könne in einem Dialog reagieren. Wen das stört, der kann laut Adobe unter dem Menüpunkt „Bearbeiten > Voreinstellungen > Berechtigungen“ die Option „Nicht-PDF-Dateianlagen dürfen in externen Anwendungen geöffnet werden“ deaktivieren, die standardmäßig eingeschaltet ist.
In der Praxis bedeutet dieses „Feature“ ein erhebliches Sicherheitsrisiko.
Ich kann da wirklich nur mit dem Kopf schütteln. Adobe sollte seiner Verantwortung gerecht werden und das ernsthafte Sicherheitsproblem schleunigst beseitigen.
Denn eins steht fest: Betrüger warten nur auf solche Gelegenheiten. Sie stürzen sich mit Vorliebe auf Sicherheitslecks wie dieses. Abgesehen davon ist hat eine solche Funktion in einem PDF-Dokument in meinen Augen ohnehin nichts verloren. Also deshalb: Weg damit. Im Interesse der Sicherheit.
Mein Tipp: Den TxtBear benutzen. Damit lassen sich PDFs problemlos anschauen und verteilen – ganz ohne Sicherheitsrisiko.
