"Same procedure as last week?" - Soll ich, oder soll ich nicht? Schwierige Entscheidung. Ach was, ich machs einfach - und fange so an, wie schon in der vorigen Woche: "Heute gibt es quasi ein Update zum Standpunkt der vergangenen Woche". Der Grund ist einfach: Es gibt zu allen 3 Themen neue Entwicklungen. Den Anfang macht wieder die

URI-Schwachstelle in Windows

Nein, der angekündigte Patch von Microsoft ist noch nicht da, der wird ja sowieso an einem 2. Dienstag irgendeines Monats erscheinen. Ich tippe auf spätestens den übernächsten Patchday, also den 11. Dezember. Warum? Zum einen weil Microsoft den Patch gründlich testen muss, und dafür erscheint mir die Zeit bis zum nächsten Patchday am 13. November zu kurz. Zum anderen, weil die Lücke über verschiedene Programme als Einfallstor aktiv ausgenutzt wird, ein Schließen der Schwachstelle also dringend notwendig ist. Aufgrund der aktuellen Ausnutzung der Schwachstelle wurde von Microsoft sowohl das Security Advisory 943521 aktualisiert als auch ein neuer Eintrag im MSRC-Blog veröffentlicht. Während Microsoft nur 'limited attacks' sieht, meldet das F-Secure-Blog "Malicious PDF file [...] has been massively spammed through email." Wie oft auch immer, die Schwachstelle wird auf jedem Fall durch präparierte PDF-Dateien ausgenutzt. Diese PDF-Dateien enthalten einen präparierten mailto:-Link, über den erst die XP-eigene Firewall deaktiviert und dann über FTP ein Schadprogramm nachgeladen wird. Ein Beispiel einer solchen PDF-Datei wurde auf der Mailingliste Full-disclosure veröffentlicht. Adobe hat Updates für Adobe Reader und Acrobat veröffentlicht, die die Ausnutzung der Schwachstelle verhindern.

Windows Updates, schon wieder

Mit den Update-Funktionen von Windows hat Microsoft in letzter Zeit wirklich kein Glück. Diesmal betrifft es Netze, die ihre Updates über einen WSUS-Server verteilen. Der hat ungefragt Microsofts Desktop-Suchmaschine installiert - auch auf Rechnern, für die das gar nicht vorgesehen war. Ursache ist eine (natürlich mal wieder nicht vorher bekannt gegebene) Änderung der Installations-Politik für das betreffende Update, das ursprünglich bereits im Februar veröffentlicht wurde: Ursprünglich hatten nur die Rechner das Update installiert, auf denen die Desktop-Suche installiert war. Nach der Änderung wurde die neue Version der Desktop-Suche auf allen Rechnern installiert, unabhängig davon, ob sie vorher installiert war oder nicht, sofern das ursprüngliche Update aus dem Februar freigegeben war. Nachdem das Kind nun schon im Brunnen zappelt, hat Microsoft den Vertrieb des betroffenen Updates über WSUS gestoppt. Also noch mal langsam zu mitdenken: Auf einigen Rechnern im lokalen Netz wurde im Februar die Desktop-Suche installiert und das Update dadurch freigegeben. Und im Oktober installiert sich das Update nicht nur auf diesen Rechnern, wie es zu erwarten gewesen wäre, sondern auf allen. Interessant. Wer denkt sich denn sowas aus? Updates werden natürlich nur auf den Rechnern installiert, auf denen bereits das betreffende Programm installiert ist. Die Idee, beim Fehlen des Programms das einfach auch zu installieren ist sowas von abwegig, dass mir kein druckreifer Ausdruck dafür einfällt. Ungefragt Software auf einem Rechner zu installieren - fällt das schon unter Computer-Sabotage? Was ist, wenn dadurch das System instabil wird? Tut mir leid, für so etwas fehlt mir jedes Verständnis.

Diese Woche mal kein Bundestrojaner?

Was ist denn mit Herrn Schäuble los? Er hält eine Rede anlässlich seines Besuchs des Gemeinsamen Internetzentrums (GIZ), und vergisst über all seiner Begeisterung für das dort Geleistete ganz, die sofortige Einführung des Bundestrojaners zu fordern. Hat ihm niemand gesagt, dass schon wieder eine Woche um ist? Oder hatte sein Ghostwriter Probleme damit, in einer Rede gleichzeitig das GIZ zu loben und das Fehlen der Online-Durchsuchung zu bemängeln? Denn das kommt ja wohl ganz gut ohne aus. Ach ja, und dann meinte Herr Schäuble noch, "die Menschen können sich sicher fühlen". Wie jetzt - keine Gefahr eines Anschlags mit nuklearem Material mehr? Da hat der Redenschreiber wohl nicht auf den Redenhalter gehört. Vielleicht hört Herr Schäuble aber endlich auf den Präsidenten des Bundesverfassungsgerichts, Herrn Professor Hans-Jürgen Papier, der sagt, dass die Grundaussagen aus dem Urteil zum NRW-Verfassungsschutzgesetz "natürlich auch für weitere gesetzgeberische Vorhaben auf der Ebene des Bundes oder anderer Länder Bedeutung haben werden".

Und mal was Neues...

Damit nicht schon wieder der ganze Text ein Update des vorhergehenden ist, hier noch etwas Neues: Der recht interessante aktuelle Halbjahresbericht 2007/I (PDF) der Schweizer Melde- und Analysestelle Informationssicherung MELANI wurde veröffentlicht. Im Wesentlichen gibt es nichts wirklich Neues, nur die Angriffe mit Schadprogrammen gegen die Nutzer von Online-Banking haben zugenommen. Interessant finde ich allerdings einen Satz auf Seite 31 im Abschnitt "Online-Durchsuchungen in Deutschland": "Im Rahmen von Ermittlungsverfahren nutzen die deutschen Polizeibehörden auf Landesebene die Möglichkeit der Informationsbeschaffung mittels Eindringen in Computersysteme schon länger." Ach?

Carsten Eilers