enode.de » Sicherheit & Hilfe

Microsoft-Patchday: Nicht alle Lücken gefüllt

matthias — Fri, 05 Mar 2010 14:07:38 +0000

Nur zwei als “wichtig” eingestufte Updates will Microsoft am kommenden Patchday zum Download veröffentlichen. Diese sollen insgesamt acht Schwachstellen in den Microsoft-Produkten Windows und Office schließen.
Die neuen Sicherheitsupdates sind deswegen als “wichtig” eingestuft, da sich die Lücken nicht über das Netzwerk ausnutzen lassen- Der Anwender müsse dazu eine präparierte Datei öffnen.
Bereits Anfang der Woche wurden Lücken im Internet Explorer unter den Versionen für Windows 2000, XP und Server 2003 gemeldet. Diese hängt mit den Hilfedateien und dem VBScript zusammen und wird von Microsoft noch nicht geschlossen. Aus Redmond wird die Lage beobachtet und dem Nutzer wird empfohlen, während des Browsens die F1-Taste nicht zu drücken. Die Versionen unter Windows 7, Vista und Server 2008 sind nicht betroffen und auch in den Vorgängerversionen seien noch keine Angriffe registriert.
Auch für die bereits seit Januar bekannte Lücke im Internet Explorer gibt es noch keine Lösung. Hierbei gibt es Probleme bei der Verarbeitung einiger UNC-Pfade, was ebenfalls Versionen vor Vista betrifft. Aktuelle Windows-Versionen laufen mit Internet Explorer 7 und 8, wo dank des geschützten Modus das Ausnutzen der Lücke verhindert wird.
Außerdem wird aus dem Hause Microsoft darauf hingewiesen, dass dieses Jahr der Support für einige Windows-Versionen ausläuft. Betroffen sind Windows 2000 (ab dem 13. Juli 2010), Windows XP Service Pack 2 (ab dem 13. Juli 2010) und Windows Vista RTM (ab dem 13. April 2010). Windows Vista Service Pack 1 wird noch bis zum 12. Juli 2011 unterstützt.

^{Quelle: heise.de}

Klage gegen Microsoft beendet

matthias — Wed, 10 Feb 2010 20:21:27 +0000

Im US-Bundesbezirksgericht in Seattle wurde nun vom Richter Richard Jones eine Klage gegen Microsoft abgewiesen. In dem genannten Fall ging es um die Echtzeitsprüfung die in Windows XP (WGA) integriert ist. Nach Angaben von US-Medien konnten die Kläger mit ihrem Antrag auf Zulassung von Sammelklageverfahren keinen Erfolg erzielen.
Nach jahrelangem Streit wurde die Klage nun ganz zurückgewiesen. Am Tag zuvor einigten sich die Kläger und Microsoft auf eine Beendigung des Streits. Die Parteien einigten sich darauf, dass jeder selbst seine (Klage-)Kosten zu tragen hat. Die Zahlung von Schadenersatz bleibt in Zukunft aus, die Kläger verzichten zukünftig auf die Forderung.
Hintergrund ist, dass nach Angaben der Kläger die Echtheitsprüfung bei Kontaktaufnahme mit den Microsoft-Servern eine Spyware darstellt und dem Kunden die Gelegenheit gegeben werden müsse, WGA zu entfernen. Wäre die Sammelklage zugelassen worden, hätte jeder US-Bürger der einen PC mit Windows XP besitzt, der Klage beitreten können.

Mittels WGA hat Microsoft geprüft, ob es sich bei der Windows-Installation um einen CD-Key handelt, der nach der Meinung von Microsoft legal ist.
Ein „wichtiges“ Update ergänzte die Prüfung so, dass das Tool immer dann aktiv wurde, wenn ein geklauter Key im System aktiv war.
Ziel von Microsoft ist es, Händler zu finden, die Windows-CDs ohne gültige Lizenz verkaufen.
Für Windows Vista und Windows 7 wurde die Technik überarbeitet und ist nun unter dem Namen „Windows Activation Technology“ bekannt.

Bald Patientenakten bei Google und Microsoft?

matthias — Sun, 31 Jan 2010 19:34:11 +0000

Am 4. Europäischen Datenschutztag der in Berlin abgehalten wurde, waren sich die Experten am Donnerstag-Abend (28. Januar 2010) einig. Die Vorstösse von Microsoft und Google in die nationale Gesundheitswirtschaft entspricht nicht den Sicherheitsanforderungen .

Die Angebote, die von Google, bzw. Microsoft veröffentlicht wurden, entsprechen nicht den Kriterien die Ärzte und Datenschützer stellen. Dies wurde von Franz-Joseph Bartmann, Vorsitzender des Ausschusses für Telematik der Bundesärztekammer,

Kürzlich startete Microsoft mit “HealthVault” einen “Safe” für Kranken- und Patientenakten. Dieser “ist noch nicht sicher genug” wurde von Stefan Etgeton vom Bundesverband der Verbraucherzentralen mitgeteilt. Es sei eine Sicherheitsarchitektur für die höchsten Ansprüche nötig.

Jörg Caumanns vom Fraunhofer-Institut für Software- und Systemtechnik empfindet es “fatal”, dass die “risikoarme elektronische Gesundheitskarte” unnötig von der Politik ausgebremst wird. So ist es möglich, dass die Entwicklung von “HealthVault” oder anderen Angeboten überholt werden.

Auch Thilo Weichert, Leiter des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD), ist dagegen, dass man Google und Microsoft in die Infrastruktur rund um die Gesundheitskarte einbezieht.

Weichert empfindet die Datenschutzbestimmungen von Google “katastrophal”.
Obwohl bei Google noch kein richtiger Datenschutzskandal bekannt geworden ist, kann man einem privaten Anbieter bei einem solchen Dienst Vertrauen entgegen bringen.
Im Gegensatz zur Gesundheitskarte, bei der die Spezifikationen offenlägen, seien diese nämlich “nicht ansatzweise transparent”.