F
Fireglider
PowerUser Sir Henry
- Dabei seit
- 12.12.1999
- Beiträge
- 14.335
- Reaktionspunkte
- 9
Meldungen vom 16.04.2003
Anzeige wegen IP-Adressspeicherung gegen T-Online
Der Prozess um eine Äußerung im Forum des Online-Magazins-Telepolis hat ein juristisches Nachspiel: Nach seinem Freispruch im Januar erstattet der Münsteraner Holger Voss Anzeige gegen T-Online. Der Provider hatte die personenbezogenen Daten gespeichert und weitergegeben.
Nach dem Teledienste-Datenschutzgesetz ist die Speicherung von IP-Nummern nur zu Abrechnungszwecken erlaubt. Da Voss jedoch einen Flatrate-Tarif nutzte, waren konkrete Einwahlprotokolle zur Rechnungsstellung eigentlich nicht nötig.
Die Aussichten für die Anzeige dürften in der ersten Instanz nicht besonders gut stehen. Gemäß dem Rechtsweg landet die Anzeige zuerst auf den Tischen des Regierungspräsidiums Darmstadt. Die hatte als zuständige Aufsichtsbehörde die Praxis von T-Online in anderem Zusammenhang bereits gebilligt. Demnach darf T-Online auch die Daten von Flatrate-Kunden abspeichern, da T-DSL-Kunden sich mit den gleichen Zugangsdaten auch über Modem, ISDN oder GSM einwählen können, was einzeln abgerechnet werden muss.
Rechtsanwalt Stefan Jaeger widerspricht in der Anzeige allerdings dieser Haltung der Aufsichtsbehörde von T-Online: Seiner Ansicht nach müssten die Provider die personenbezogene Zuordnung von IP-Nummern anonymisieren, um nicht gegen geltende Gesetze zu verstoßen. Sollte das Regierungspräsidium seine Entscheidung vom Januar bekräftigen, plant Holger Voss, vor das Verwaltungsgericht zu ziehen. (Torsten Kleinz) / (jk/c't)
HeiseLink
______
Sicherheitslücke in Intrusion-Detection-Software Snort
Angreifer kann beliebigen Code ausführen
Die freie Intrusion-Detection-Software Snort enthält eine Sicherheitslücke, die es Angreifern erlaubt, beliebigen Programmcode mit den Rechte des Users auszuführen, unter dem Snort läuft (gewöhnlich Root). Das meldet das IT-Sicherheitsunternehmen CoreLabs.
Möglich wird dies durch einen Fehler im Stream4-Präprozessor-Modul, das als Add-On TCP-Pakete zusammen setzt, bevor diese zur Analyse weitergereicht werden. CoreLabs hat nach eigener Aussage nun eine Möglichkeit gefunden, einen Heap Overflow in diesem Modul hervorzurufen.
Um diese Sicherheitslücke auszunutzen, ist ausreichend entsprechend aufbereiteter Internetverkehr in die "Nähe" eines Snort-Systems zu bringen, so das dieses den Traffic analysiert. Es ist also nicht notwendig, den Host direkt zu attackieren, auf dem der Snort-Sensor läuft.
Laut CoreLabs sind Versionen bis Snort 2.0 bis zum Release Candidate 1 sowie Snort 1.9.x und Snort 1.8.x verwundbar.
Das am 14. April 2003 veröffentlichte Snort 2.0 soll das Problem beheben.
GolemLink
_________
Sie wollen Ihr Postamt lahmlegen? Sie können Ihr Postamt lahmlegen!
MÜNCHEN (COMPUTERWOCHE) - Spam-Attacken oder Angriffe auf Server-Systeme, die durch massenhafte Anfragen in die Knie gezwungen werden (Denial of Service = DoS), kennt mittlerweile jeder. Mit perfiden Software-Hacks Computersysteme lahmzulegen, gehört zum Internet-Alltag. Nicht so bekannt, aber mindestens genauso fatal sind "Anschläge", bei denen Übelmeinende das Web nutzen, um außerhalb des weltweiten Netzes immensen Schaden anzurichten.
Wie das geht, hat der Wissenschaftler Avriel Rubin jüngst mit zwei Co-Autoren beschrieben. Rubin ist in seiner Funktion als technischer Direktor des Information Security Institute der angesehenen John Hopkins University in den USA ausgewiesener Sicherheitsexperte. Er hat einen Bericht verfasst, in dem er die Gefahr eines Werbeanschlags unter anderem auf Privatpersonen beschreibt. Rubin stellt in seinem Bericht fest, dass jeder halbwegs Kundige sich im Internet über die üblichen Suchmaschinen Software-Werkzeuge besorgen kann. Mit diesen lassen sich im Web solche Seite finden, auf denen Anbieter ihre Kataloge auf Anfrage zum Versand anbieten. Die Tools sind so gehalten, dass die Suche nach Katalogen oder anderen Werbeunterlagen ebenso automatisch erfolgt wie die Eingabe einer Postadresse.
Der Rest ist Chaos: Ähnlich dem üblen Schülerstreich, wonach man einem Mitmenschen 50 Pizzas bei einem Bestellservice ordert und an dessen Adresse liefern lässt, kann man ohne großen Aufwand an eine bestimmte Person beispielsweise tonnenweise Kataloge schicken lassen. Versender solcher Kataloge hat das Software-Tool vorher im Internet aufgespürt und diesen Unternehmen automatisch die Anweisung gegeben, an eine bestimmte Adresse zu liefern. Im schlimmsten Fall sammeln sich auf einem Postamt Hunderte von Katalogen von Versandhäusern aller Art, die an eine einzige Person ausgeliefert werden sollen.
Rubins Schlußfolgerung ist da leicht nachvollziehbar: Würde jemand solch eine Attacke durchführen, wäre nicht nur der Adressat in keiner beneidenswerte Lage. Auch das lokale Postamt würde auf diese Weise an den Rand des Chaos gerückt.
Die Gefahr solch einer Attacke mit Wirkung in das "reale" Leben ist übrigens nicht nur theoretischer Natur. In den USA, zitiert Rubin einen bekannt gewordenen Fall, hatte sich ein Alan Ralsky in der Detroit Free Press ausgesprochen selbstbewusst in die Brust geworfen, er habe mit Spam-Mails an Millionen von Leuten ein Vermögen gemacht. Der Artikel mit dem Interview erschien auf Slashdot.org, einem Online-Nachrichtendienst für technophile Internet-Surfer.
Die Internet-Gemeinde reagierte auf ihre Art: Innerhalb weniger Tage hatten die Leser des Artikels Ralsky bei Tausenden von Katalogversendern als Interessenten gezeichnet. Ab da bekam der etwas zu Forsche täglich tonnenweise Post. Sicherheitsexperte Rubin sagt, etwa über die Suchmaschine Google könne jeder Hunderte von Web-Seiten finden, auf denen sich Kataloge, Broschüren etc. anfordern liessen.
Rubin wäre nicht Amerikaner, wenn er diese Aussichten nicht auch mit einer Prise Gegenwartspolitik und ihren Gefährdungsdrohungen versehen würde: Eine Attacke, mit der sich öffentliche Einrichtungen auf schlichte aber wirkungsvolle Weise paralysieren liessen, könne die erste Stufe für einen größeren terroristischen Anschlag sein. (jm)
ComputerWocheLink
________
Regulierungsbehörde geht gegen 0193-Dialer vor
Die Regulierungsbehörde reagiert auf Meldungen über Gefahren, die von Dialern in der Rufnummerngasse 0191 bis 0195 ausgehen. Würden solche Nummern missbraucht, dann werde man sie einziehen, so ein Sprecher der Regulierungsbehörde. Die Nutzung dieser Nummern für Dialer-Einwahlen entspreche nicht dem Zuteilungsbescheid, sei deshalb nicht zulässig und werde von der Regulierungsbehörde untersagt. Erste Verfahren gegen Betreiber laufen nach Angaben der Behörde bereits.
Unklar bleibt vorerst, ob Kunden, die auf einen solchen Dialer hereingefallen sind, nun um die Zahlung der meist recht hohen Gebühren herumkommen. Die Regulierungsbehörde nimmt dazu keine Stellung, da es sich um eine vertragsrechtliche Frage handelt. Im Streitfall dürfte aber das Vorgehen der Regulierungsbehörde gegen den Missbrauch den betroffenen Kunden gute Argumente in der Auseinandersetzung mit den Anbietern liefern. (uma/c't)
HeiseLink
____________
Windows-Tool rettet zerstörte Word-Dateien
WordFix 2.0 soll alle Informationen in Word-Dateien restaurieren können
Das spanische Software-Haus Cimaware bietet ab sofort eine überarbeitete Version von WordFix an. Die Windows-Software soll defekte Word-Dateien wieder herstellen können. Insgesamt steht WordFix 2.0 in drei verschiedenen Ausbaustufen bereit, die jeweils einen anderen Leistungsumfang liefern.
Die Standard-Ausführung von WordFix 2.0 beherrscht nur die Restauration des Textteils einer defekten Word-Datei, während die Pro-Version weitere Elemente wieder herstellen kann. Dazu gehören Informationen zur Absatz- und Seitenformatierung, zum Inhaltsverzeichnis, zu Tabellen, Hyperlinks, Lesezeichen, Kopf- und Fußzeilen sowie eingebettete Bilddaten. Zusätzlich dazu beherrscht die Enterprise Edition eine Batch-Funktion, um den Programmbetrieb zu automatisieren.
Die Software soll sowohl alle Windows-Fassungen von Word als auch die Word-Ausführungen für MacOS abdecken. Bei der Rettung defekter Dateien arbeitet die Software nur mit einer Kopie der Daten, so dass bei Bedarf noch auf die defekte Datei zugegriffen werden kann.
Cimaware bietet WordFix 2.0 für die Windows-Plattform ab sofort zum Kauf über die Homepage des Herstellers in englischer Sprache an. Die Standard-Version kostet 89,- US-Dollar, für die Pro-Ausführung fallen 149,- US-Dollar an, während die Enterprise Edition auf einen Preis von 199,- US-Dollar für eine Lizenz kommt. Der Hersteller bietet ferner eine Demo-Version zum Download an.
GolemLink
___________
Meldungen vom 17.04.2003
Sicherheitsproblem beim Message-Handling des Windows-Kernels
Microsoft hat ein Advisory veröffentlicht, in dem der Konzern ein potenzielles Sicherheitsleck im Kernel von Windows NT, Windows Terminal Server, Windows 2000 und Windows XP beschreibt. Allerdings muss ein Angreifer, um das Leck ausnutzen zu können, lokalen Zugang zu der Maschine haben oder über eine Terminal-Session mit dem System verbunden sein. Dann ermöglicht ein Buffer Overflow das Ausführen beliebigen Codes; das Problem entsteht durch das Verfahren, mit dem der Kernel Nachrichten an einen Debugger weitergeben könnte. Ein Angreifer kann durch Ausnutzen der Lücke etwa User-Accounts mit Administrator-Privilegien einrichten.
Microsoft stuft das Problem nicht als kritisch ein, sondern gibt ihm nur das Security-Rating important: Bei nächster Gelegenheit solle man den Patch installieren, den Microsoft für alle betroffenen Systeme über das Advisory als Einzelpakete zum Download bereitstellt. Die Redmonder Sicherheitsexperten gehen davon aus, dass bei Server-Installationen die Möglichkeiten zum Login an der lokalen Konsole oder per Terminal-Session restriktiv gehandhabt werden. Daher sei das Leck vor allem bei Client-Systemen oder Terminal-Servern ein Problem.
Das Sicherheitsleck ist vergleichbar zu dem kürzlich aufgetauchten ptrace-Bug im Linux-Kernel, mit dem sich ein Angreifer Root-Rechte verschaffen konnte, wenn er direkten Zugang zum betroffenen System hatte. Im Unterschied zu Linux allerdings dürften die meisten Anwender auf ihren Client-Systemen unter Windows sowieso mit Adminsitrator-Rechten angemeldet sein, ein Angreifer mit lokalem Zugang müsste sich entsprechende Rechte also nicht erst verschaffen. Anders sieht es aber beispielsweise auf Terminal-Servern aus; auch ist die Frage, ob alle Administratoren von Windows-Servern so restriktiv mit interaktivem Zugang zu den Systemen umgehen, wie Microsoft sich das vorstellt. (jk/c't)
Heise Link
_______
Kopfgeld auf Apache
In der IT-Security-Szene kursieren Grüchte über ein Sicherheitsloch in der aktuellen 1.3.x-Version von Apache (1.3.27), für die sogar ein Exploit im Umlauf sein soll. Diese Gerüchte nimmt die Firma iDefense offenbar zum Anlass, Hacker gezielt auf den Open-Source-Webserver anzusetzen. In einem E-Mail-Rundschreiben, das heise online vorliegt, heißt es: "Hat jemand von so einem Exploit gehört? Welche Schwachstelle könnte der ausnutzen? Die Prämie für solche Sachen steigt." ("Bounty is increasing for this kind of stuff.")
iDefense setzt bereits seit August 2002 Prämien für die Aufdeckung von Sicherheitslöchern aus. Ihre Höhe bemisst sich daran, ob es sich lediglich um die Meldung einer Verwundbarkeit handelt oder gar ein Exploit geliefert wird, wie gefährlich das Sicherheitsloch ist, wie detailliert darüber berichtet wird, wie viel Benutzer betroffen sind und auf welche Systeme sich der Angriff anwenden lässt. Der am Vulnerability Contribution Program (VCP) Interessierte darf seine Meldung selber veröffentlichen, alternativ kann er dies iDefense überlassen. Die Anonymität des Meldenden wird auf Wunsch gewahrt.
Gezahlt wird nur bei Erfolg: Nur wenn iDefense das gemeldete Problem reproduzieren kann, gibt es Geld. Vor einer Veröffentlichung wird der Hersteller informiert, um ihm Gelegenheit zu geben, das Loch zu beseitigen. iDefense übernimmt dabei sämtliche Verhandlungen mit dem Hersteller.
Auch die eigenen Kunden informieren die Sicherheitsberater noch vor der breiten Öffentlichkeit über die neueste Angriffsmöglichkeit. Sie sollen so in den Genuss einer Vorlaufzeit kommen, um entsprechende Abwehrmaßnahmen einleiten zu können -- solche Dienste lassen sich die Sicherheitsfirmen natürlich gut bezahlen, und das nicht nur zur Finanzierung der Kopfgelder auf Sicherheitslücken. (ola/c't)
HeiseLink
__________
US-Ministerium: Programmfehler werden vertraulich behandelt
MÜNCHEN (COMPUTERWOCHE) - Das US-Superministerium Department of Homeland Security will Technologie- und Telekommunikationsfirmen dafür gewinnen, den Staat über Schwachstellen in ihren Systemen und Produkten zu informieren. Zu diesem Zweck veröffentlichte die Behörde eine Reihe von Regelungsvorschlägen für den Umgang mit kritischen Infrastrukturinformationen. Sie sehen vor, dass entsprechende freiwillige Mitteilungen streng vertraulich zu behandeln sind.
Die vorgeschlagenen Bestimmungen sollen alle freiwillig übermittelten Daten über reale oder mögliche Angriffe auf kritische Infrastruktur oder geschützten Systeme auf physischem oder computerbasiertem Wege ebenso einschließen wie Hinweise auf Funktionsstörungen oder Programmfehler, die wichtige Dienste wie Versorgungswirtschaft, Telefonnetze oder das Internet gefährden könnten. Damit reagiert der Staat auf die Befürchtungen in vielen Firmen, dass derartige Inhalte an die Presse durchsickern könnten oder von Bürgern unter Berufung auf das Gesetz über die Informationsfreiheit (FOIA = Freedom of Information Act) in Erfahrung und an die Öffentlichkeit gebracht werden. Die jetzt vorgeschlagenen Regelungen sollen über das Department of Homeland Security freiwillig gemachte Angaben über Schwachstellen in der Infrastruktur von der Freigabe unter Berufung auf die Informationsfreiheit ausnehmen.(uk)
ComputerWocheLink
Anzeige wegen IP-Adressspeicherung gegen T-Online
Der Prozess um eine Äußerung im Forum des Online-Magazins-Telepolis hat ein juristisches Nachspiel: Nach seinem Freispruch im Januar erstattet der Münsteraner Holger Voss Anzeige gegen T-Online. Der Provider hatte die personenbezogenen Daten gespeichert und weitergegeben.
Nach dem Teledienste-Datenschutzgesetz ist die Speicherung von IP-Nummern nur zu Abrechnungszwecken erlaubt. Da Voss jedoch einen Flatrate-Tarif nutzte, waren konkrete Einwahlprotokolle zur Rechnungsstellung eigentlich nicht nötig.
Die Aussichten für die Anzeige dürften in der ersten Instanz nicht besonders gut stehen. Gemäß dem Rechtsweg landet die Anzeige zuerst auf den Tischen des Regierungspräsidiums Darmstadt. Die hatte als zuständige Aufsichtsbehörde die Praxis von T-Online in anderem Zusammenhang bereits gebilligt. Demnach darf T-Online auch die Daten von Flatrate-Kunden abspeichern, da T-DSL-Kunden sich mit den gleichen Zugangsdaten auch über Modem, ISDN oder GSM einwählen können, was einzeln abgerechnet werden muss.
Rechtsanwalt Stefan Jaeger widerspricht in der Anzeige allerdings dieser Haltung der Aufsichtsbehörde von T-Online: Seiner Ansicht nach müssten die Provider die personenbezogene Zuordnung von IP-Nummern anonymisieren, um nicht gegen geltende Gesetze zu verstoßen. Sollte das Regierungspräsidium seine Entscheidung vom Januar bekräftigen, plant Holger Voss, vor das Verwaltungsgericht zu ziehen. (Torsten Kleinz) / (jk/c't)
HeiseLink
______
Sicherheitslücke in Intrusion-Detection-Software Snort
Angreifer kann beliebigen Code ausführen
Die freie Intrusion-Detection-Software Snort enthält eine Sicherheitslücke, die es Angreifern erlaubt, beliebigen Programmcode mit den Rechte des Users auszuführen, unter dem Snort läuft (gewöhnlich Root). Das meldet das IT-Sicherheitsunternehmen CoreLabs.
Möglich wird dies durch einen Fehler im Stream4-Präprozessor-Modul, das als Add-On TCP-Pakete zusammen setzt, bevor diese zur Analyse weitergereicht werden. CoreLabs hat nach eigener Aussage nun eine Möglichkeit gefunden, einen Heap Overflow in diesem Modul hervorzurufen.
Um diese Sicherheitslücke auszunutzen, ist ausreichend entsprechend aufbereiteter Internetverkehr in die "Nähe" eines Snort-Systems zu bringen, so das dieses den Traffic analysiert. Es ist also nicht notwendig, den Host direkt zu attackieren, auf dem der Snort-Sensor läuft.
Laut CoreLabs sind Versionen bis Snort 2.0 bis zum Release Candidate 1 sowie Snort 1.9.x und Snort 1.8.x verwundbar.
Das am 14. April 2003 veröffentlichte Snort 2.0 soll das Problem beheben.
GolemLink
_________
Sie wollen Ihr Postamt lahmlegen? Sie können Ihr Postamt lahmlegen!
MÜNCHEN (COMPUTERWOCHE) - Spam-Attacken oder Angriffe auf Server-Systeme, die durch massenhafte Anfragen in die Knie gezwungen werden (Denial of Service = DoS), kennt mittlerweile jeder. Mit perfiden Software-Hacks Computersysteme lahmzulegen, gehört zum Internet-Alltag. Nicht so bekannt, aber mindestens genauso fatal sind "Anschläge", bei denen Übelmeinende das Web nutzen, um außerhalb des weltweiten Netzes immensen Schaden anzurichten.
Wie das geht, hat der Wissenschaftler Avriel Rubin jüngst mit zwei Co-Autoren beschrieben. Rubin ist in seiner Funktion als technischer Direktor des Information Security Institute der angesehenen John Hopkins University in den USA ausgewiesener Sicherheitsexperte. Er hat einen Bericht verfasst, in dem er die Gefahr eines Werbeanschlags unter anderem auf Privatpersonen beschreibt. Rubin stellt in seinem Bericht fest, dass jeder halbwegs Kundige sich im Internet über die üblichen Suchmaschinen Software-Werkzeuge besorgen kann. Mit diesen lassen sich im Web solche Seite finden, auf denen Anbieter ihre Kataloge auf Anfrage zum Versand anbieten. Die Tools sind so gehalten, dass die Suche nach Katalogen oder anderen Werbeunterlagen ebenso automatisch erfolgt wie die Eingabe einer Postadresse.
Der Rest ist Chaos: Ähnlich dem üblen Schülerstreich, wonach man einem Mitmenschen 50 Pizzas bei einem Bestellservice ordert und an dessen Adresse liefern lässt, kann man ohne großen Aufwand an eine bestimmte Person beispielsweise tonnenweise Kataloge schicken lassen. Versender solcher Kataloge hat das Software-Tool vorher im Internet aufgespürt und diesen Unternehmen automatisch die Anweisung gegeben, an eine bestimmte Adresse zu liefern. Im schlimmsten Fall sammeln sich auf einem Postamt Hunderte von Katalogen von Versandhäusern aller Art, die an eine einzige Person ausgeliefert werden sollen.
Rubins Schlußfolgerung ist da leicht nachvollziehbar: Würde jemand solch eine Attacke durchführen, wäre nicht nur der Adressat in keiner beneidenswerte Lage. Auch das lokale Postamt würde auf diese Weise an den Rand des Chaos gerückt.
Die Gefahr solch einer Attacke mit Wirkung in das "reale" Leben ist übrigens nicht nur theoretischer Natur. In den USA, zitiert Rubin einen bekannt gewordenen Fall, hatte sich ein Alan Ralsky in der Detroit Free Press ausgesprochen selbstbewusst in die Brust geworfen, er habe mit Spam-Mails an Millionen von Leuten ein Vermögen gemacht. Der Artikel mit dem Interview erschien auf Slashdot.org, einem Online-Nachrichtendienst für technophile Internet-Surfer.
Die Internet-Gemeinde reagierte auf ihre Art: Innerhalb weniger Tage hatten die Leser des Artikels Ralsky bei Tausenden von Katalogversendern als Interessenten gezeichnet. Ab da bekam der etwas zu Forsche täglich tonnenweise Post. Sicherheitsexperte Rubin sagt, etwa über die Suchmaschine Google könne jeder Hunderte von Web-Seiten finden, auf denen sich Kataloge, Broschüren etc. anfordern liessen.
Rubin wäre nicht Amerikaner, wenn er diese Aussichten nicht auch mit einer Prise Gegenwartspolitik und ihren Gefährdungsdrohungen versehen würde: Eine Attacke, mit der sich öffentliche Einrichtungen auf schlichte aber wirkungsvolle Weise paralysieren liessen, könne die erste Stufe für einen größeren terroristischen Anschlag sein. (jm)
ComputerWocheLink
________
Regulierungsbehörde geht gegen 0193-Dialer vor
Die Regulierungsbehörde reagiert auf Meldungen über Gefahren, die von Dialern in der Rufnummerngasse 0191 bis 0195 ausgehen. Würden solche Nummern missbraucht, dann werde man sie einziehen, so ein Sprecher der Regulierungsbehörde. Die Nutzung dieser Nummern für Dialer-Einwahlen entspreche nicht dem Zuteilungsbescheid, sei deshalb nicht zulässig und werde von der Regulierungsbehörde untersagt. Erste Verfahren gegen Betreiber laufen nach Angaben der Behörde bereits.
Unklar bleibt vorerst, ob Kunden, die auf einen solchen Dialer hereingefallen sind, nun um die Zahlung der meist recht hohen Gebühren herumkommen. Die Regulierungsbehörde nimmt dazu keine Stellung, da es sich um eine vertragsrechtliche Frage handelt. Im Streitfall dürfte aber das Vorgehen der Regulierungsbehörde gegen den Missbrauch den betroffenen Kunden gute Argumente in der Auseinandersetzung mit den Anbietern liefern. (uma/c't)
HeiseLink
____________
Windows-Tool rettet zerstörte Word-Dateien
WordFix 2.0 soll alle Informationen in Word-Dateien restaurieren können
Das spanische Software-Haus Cimaware bietet ab sofort eine überarbeitete Version von WordFix an. Die Windows-Software soll defekte Word-Dateien wieder herstellen können. Insgesamt steht WordFix 2.0 in drei verschiedenen Ausbaustufen bereit, die jeweils einen anderen Leistungsumfang liefern.
Die Standard-Ausführung von WordFix 2.0 beherrscht nur die Restauration des Textteils einer defekten Word-Datei, während die Pro-Version weitere Elemente wieder herstellen kann. Dazu gehören Informationen zur Absatz- und Seitenformatierung, zum Inhaltsverzeichnis, zu Tabellen, Hyperlinks, Lesezeichen, Kopf- und Fußzeilen sowie eingebettete Bilddaten. Zusätzlich dazu beherrscht die Enterprise Edition eine Batch-Funktion, um den Programmbetrieb zu automatisieren.
Die Software soll sowohl alle Windows-Fassungen von Word als auch die Word-Ausführungen für MacOS abdecken. Bei der Rettung defekter Dateien arbeitet die Software nur mit einer Kopie der Daten, so dass bei Bedarf noch auf die defekte Datei zugegriffen werden kann.
Cimaware bietet WordFix 2.0 für die Windows-Plattform ab sofort zum Kauf über die Homepage des Herstellers in englischer Sprache an. Die Standard-Version kostet 89,- US-Dollar, für die Pro-Ausführung fallen 149,- US-Dollar an, während die Enterprise Edition auf einen Preis von 199,- US-Dollar für eine Lizenz kommt. Der Hersteller bietet ferner eine Demo-Version zum Download an.
GolemLink
___________
Meldungen vom 17.04.2003
Sicherheitsproblem beim Message-Handling des Windows-Kernels
Microsoft hat ein Advisory veröffentlicht, in dem der Konzern ein potenzielles Sicherheitsleck im Kernel von Windows NT, Windows Terminal Server, Windows 2000 und Windows XP beschreibt. Allerdings muss ein Angreifer, um das Leck ausnutzen zu können, lokalen Zugang zu der Maschine haben oder über eine Terminal-Session mit dem System verbunden sein. Dann ermöglicht ein Buffer Overflow das Ausführen beliebigen Codes; das Problem entsteht durch das Verfahren, mit dem der Kernel Nachrichten an einen Debugger weitergeben könnte. Ein Angreifer kann durch Ausnutzen der Lücke etwa User-Accounts mit Administrator-Privilegien einrichten.
Microsoft stuft das Problem nicht als kritisch ein, sondern gibt ihm nur das Security-Rating important: Bei nächster Gelegenheit solle man den Patch installieren, den Microsoft für alle betroffenen Systeme über das Advisory als Einzelpakete zum Download bereitstellt. Die Redmonder Sicherheitsexperten gehen davon aus, dass bei Server-Installationen die Möglichkeiten zum Login an der lokalen Konsole oder per Terminal-Session restriktiv gehandhabt werden. Daher sei das Leck vor allem bei Client-Systemen oder Terminal-Servern ein Problem.
Das Sicherheitsleck ist vergleichbar zu dem kürzlich aufgetauchten ptrace-Bug im Linux-Kernel, mit dem sich ein Angreifer Root-Rechte verschaffen konnte, wenn er direkten Zugang zum betroffenen System hatte. Im Unterschied zu Linux allerdings dürften die meisten Anwender auf ihren Client-Systemen unter Windows sowieso mit Adminsitrator-Rechten angemeldet sein, ein Angreifer mit lokalem Zugang müsste sich entsprechende Rechte also nicht erst verschaffen. Anders sieht es aber beispielsweise auf Terminal-Servern aus; auch ist die Frage, ob alle Administratoren von Windows-Servern so restriktiv mit interaktivem Zugang zu den Systemen umgehen, wie Microsoft sich das vorstellt. (jk/c't)
Heise Link
_______
Kopfgeld auf Apache
In der IT-Security-Szene kursieren Grüchte über ein Sicherheitsloch in der aktuellen 1.3.x-Version von Apache (1.3.27), für die sogar ein Exploit im Umlauf sein soll. Diese Gerüchte nimmt die Firma iDefense offenbar zum Anlass, Hacker gezielt auf den Open-Source-Webserver anzusetzen. In einem E-Mail-Rundschreiben, das heise online vorliegt, heißt es: "Hat jemand von so einem Exploit gehört? Welche Schwachstelle könnte der ausnutzen? Die Prämie für solche Sachen steigt." ("Bounty is increasing for this kind of stuff.")
iDefense setzt bereits seit August 2002 Prämien für die Aufdeckung von Sicherheitslöchern aus. Ihre Höhe bemisst sich daran, ob es sich lediglich um die Meldung einer Verwundbarkeit handelt oder gar ein Exploit geliefert wird, wie gefährlich das Sicherheitsloch ist, wie detailliert darüber berichtet wird, wie viel Benutzer betroffen sind und auf welche Systeme sich der Angriff anwenden lässt. Der am Vulnerability Contribution Program (VCP) Interessierte darf seine Meldung selber veröffentlichen, alternativ kann er dies iDefense überlassen. Die Anonymität des Meldenden wird auf Wunsch gewahrt.
Gezahlt wird nur bei Erfolg: Nur wenn iDefense das gemeldete Problem reproduzieren kann, gibt es Geld. Vor einer Veröffentlichung wird der Hersteller informiert, um ihm Gelegenheit zu geben, das Loch zu beseitigen. iDefense übernimmt dabei sämtliche Verhandlungen mit dem Hersteller.
Auch die eigenen Kunden informieren die Sicherheitsberater noch vor der breiten Öffentlichkeit über die neueste Angriffsmöglichkeit. Sie sollen so in den Genuss einer Vorlaufzeit kommen, um entsprechende Abwehrmaßnahmen einleiten zu können -- solche Dienste lassen sich die Sicherheitsfirmen natürlich gut bezahlen, und das nicht nur zur Finanzierung der Kopfgelder auf Sicherheitslücken. (ola/c't)
HeiseLink
__________
US-Ministerium: Programmfehler werden vertraulich behandelt
MÜNCHEN (COMPUTERWOCHE) - Das US-Superministerium Department of Homeland Security will Technologie- und Telekommunikationsfirmen dafür gewinnen, den Staat über Schwachstellen in ihren Systemen und Produkten zu informieren. Zu diesem Zweck veröffentlichte die Behörde eine Reihe von Regelungsvorschlägen für den Umgang mit kritischen Infrastrukturinformationen. Sie sehen vor, dass entsprechende freiwillige Mitteilungen streng vertraulich zu behandeln sind.
Die vorgeschlagenen Bestimmungen sollen alle freiwillig übermittelten Daten über reale oder mögliche Angriffe auf kritische Infrastruktur oder geschützten Systeme auf physischem oder computerbasiertem Wege ebenso einschließen wie Hinweise auf Funktionsstörungen oder Programmfehler, die wichtige Dienste wie Versorgungswirtschaft, Telefonnetze oder das Internet gefährden könnten. Damit reagiert der Staat auf die Befürchtungen in vielen Firmen, dass derartige Inhalte an die Presse durchsickern könnten oder von Bürgern unter Berufung auf das Gesetz über die Informationsfreiheit (FOIA = Freedom of Information Act) in Erfahrung und an die Öffentlichkeit gebracht werden. Die jetzt vorgeschlagenen Regelungen sollen über das Department of Homeland Security freiwillig gemachte Angaben über Schwachstellen in der Infrastruktur von der Freigabe unter Berufung auf die Informationsfreiheit ausnehmen.(uk)
ComputerWocheLink
