Die Nachrichten der letzten Woche: Zero-Day-Lücken, Facebook, Firefox

Zero-Day-Sicherheitslücken im Internet Explorer und dem Adobe Flash Player ersetzen Heartbleed in den Schlagzeilen der vergangenen Woche.

Nachrichten der Woche

Die Heartbleed-Sicherheitslücke in OpenSSL verschwindet langsam aus den Schlagzeilen. Während ich diesen Artikel schreibe, bemerke ich, dass es bereits 15 Uhr ist und ich heute noch keinen einzigen Heartbleed-Artikel gesehen habe, was ganz schön ist. Aber auch ohne Heartbleed gibt es viel zu berichten:

Zero-Day-Lücken

Anfang der letzten Woche hat Kaspersky Lab eine Zero-Day-Sicherheitslücke im Adobe Flash Player entdeckt. Die Kaspersky-Experten haben den Fehler – eigentümlicherweise – mithilfe der gleichen Tools entdeckt, mit denen neue Schadprogramme gefunden werden. Zum Zeitpunkt des Entdeckens wurde die Zero-Day-Lücke bereits ausgenutzt, um Opfer in Syrien mit einer so genannten Watering-Hole-Attacke anzugreifen. Dabei handelt es sich um eine zielgerichtete Attacke, bei der die Angreifer ein Schadprogramm auf einer Webseite platzieren, die das Opfer wahrscheinlich besuchen wird. Wenn das Opfer die infizierte Seite aufruft, wird auch dessen Computer mit dem Schadprogramm infiziert. Adobe hat bereits einen Patch für die Sicherheitslücke veröffentlicht, so dass Sie alle Updates des Unternehmens so bald wie möglich installieren sollten.

Auch Microsoft hatte ein Zero-Day-Problem im Internet Explorer. Ich will hier nicht auf die technischen Details der Sicherheitslücke eingehen, muss aber sagen, dass die Zero-Day-Lücke bereits ausgenutzt wird, um verschiedene Ziele anzugreifen. Und sie ist offensichtlich schwerwiegend genug, so dass Microsoft einen so genannten Out-of-Band-Patch veröffentlicht hat. Solche Patches werden zusätzlich zu den etablierten monatlichen Patch-Dienstagen ausgeliefert. Wenn ein Fehler einen solchen Out-of-Band-Patch erhält, ist das ein Zeichen dafür, dass es sich um eine recht ernste Sicherheitslücke handelt.

Zero-Day-Sicherheitslücken im Internet Explorer und dem Adobe Flash Player ersetzen Heartbleed in den Schlagzeilen der vergangenen Woche.

„Gerade wo ich dachte, ich wäre raus, ziehen sie mich wieder rein“

Apropos Patch-Dienstag: Vielleicht erinnern Sie sich, dass wir Anfang des Monats berichtet haben, dass Windows XP keine weiteren Sicherheits-Updates erhalten wird? Da lagen wir falsch (zumindest wenn man es ganz genau nimmt). Denn da die oben genannte Zero-Day-Lücke im Internet Explorer aktiv ausgenutzt wird, um Windows-XP-Computer anzugreifen, hat sich Microsoft entschlossen, den Out-of-Band-Patch für den Internet Explorer auch an XP-Nutzer zu schicken.

AOL ist wieder da!

Einige AOL-E-Mail-Nutzer waren vor kurzem in einer peinlichen Lage, nachdem es so aussah als wären ihre Mail-Konten zum Spam-Versand an alle Leute auf ihren Kontaktlisten missbraucht worden. Wir haben darüber bereits in der letzten Woche berichtet. AOL sagte, dass es sich dabei nur um eine so genannte Spoofing-Attacke handelte und keine Konten kompromittiert wurden. Zudem hätte es nur so ausgesehen, als wären die Spam-Mails von den AOL-Konten verschickt worden. In Wirklichkeit, so das Unternehmen, hätten die echten Absender der Spam-Mails diese nur entsprechend präpariert.

In der letzten Woche kommentierten wir das bereits als ungewöhnlich, da dies – auch wenn es sich um Spoofing handelte – nicht erklärt, wie die Angreifer an die Kontaktlisten kommen konnten. Und natürlich hat AOL in der vergangenen Woche zugegeben, dass ein Datendiebstahl vorliegt und die Anwender ihre Passwörter ändern sollen. Wenn Sie also ein AOL-Konto haben, sollten Sie das so schnell wie möglich tun.

Facebook und Privatsphäre

Facebook hat eine nette Funktion namens Anonymous Login angekündigt. Mark Zuckerberg sagte Entwicklern auf der F8-Konferenz des Unternehmens, dass Anonymous Login den Anwendern erlauben wird, sich in Apps von Drittanbietern ohne ihre Facebook-Login-Daten und ohne das Teilen ihrer persönlichen Informationen mit dem Drittanbieter einzuloggen.

„Die Idee dahinter ist, dass der Anwender, auch wenn er nicht will, dass eine App weiß, wer er ist, sich trotzdem leicht einloggen möchte, ohne all die Formularfelder ausfüllen zu müssen“, so Zuckerberg. „Damit können Sie Apps ohne Angst ausprobieren.“

Anonymous Login ist momentan im Beta-Stadium und nur für bestimmte Apps verfügbar; die App Flipboard ist zum Beispiel eine davon. Beim Login können die Anwender auswählen, ob sie sich mit Ihren Facebook-Daten einloggen möchten, oder ob sie die App anonym ausprobieren möchten. Anonymous Login erscheint mit einem schwarzen Bildschirm statt dem üblichen Facebook-Blau und bietet den Anwendern die Möglichkeit, keine bereits auf Facebook geteilten Informationen mit einer App von außerhalb zu teilen.

Der neue Firefox

In der vergangenen Woche kam die 29. Version von Moziallas Firefox-Browser, die ein radikales Re-Design bietet. Der neue Firefox, der überraschenderweise Google Chrome sehr ähnlich sieht, hat bereits sehr gemischte Kritiken erhalten. Doch unabhängig davon, empfehlen wir die Installation des Updates, da damit auch über 10 ernste und kritische Sicherheitslücken geschlossen werden.

Tipps