Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Hersteller-Patchday — für den Anwender nur ein Patch Event unter vielen
Je nach eingesetzter Software gibt es permanent etwas zu tun. Wer dabei auf Nummer Sicher gehen möchte, muss letztlich täglich prüfen, ob es Infos zu neuen Lücken und deren Wechselwirkungen gibt. Diverse Tools können Betroffenen gute Dienste leisten.
Allein die Meldungen der letzten Tage zeigen eindrucksvoll, wie viele Sicherheitslücken in einem einzigen Monat gefunden werden. Pardon, öffentlich bekannt werden; über die Dunkelziffer lässt sich trefflich streiten, da kein Mensch absehen kann, wie viele es tatsächlich sind. Und auch, wie viele davon aktiv ausgenutzt werden – ohne dass dies bemerkt wird.
Bei denen, die bekannt werden, macht es einen wichtigen Unterschied, ob diese vertraulich an den Hersteller gemeldet wurden oder ob bereits ein Exploit dafür existiert, also ein publizierter bzw. durchgeführter Angriff auf die beschriebenen Sicherheitslücken. Für die einen werden Sicherheitsupdates vorbereitet, bei anderen, so genannten Zero-Day-Exploits, haben die Hersteller nicht so viel Glück. Zero steht für die Zeit, die dem Hersteller zur Verfügung steht um auf eine Lücke zu reagieren, für die bereits Angriffsmethoden bestehen.
In den vergangen Tage hat es zunächst mal wieder Microsoft erwischt. Eine Lücke, für die nur ein Workaround zur Verfügung steht, aber noch kein Patch. Pech für den Anwender aber tröstlich für das Unternehmen ist, dass auch andere Softwarehersteller in gleicher Weise betroffen sind. Bei ebenso beliebten Programme wie Firefox, Thunderbird & SeaMonkey wurden einen Tag nach dem MS-Patchday ebenso Patches für kritische Lücken bereitgestellt. Auch Adobe hat für Flash, den Reader und Acrobat ein großes Update durchgeführt, bei dem diverse kritische Lücken geschlossen wurden.
Wer seit längerem die Adobe Reader-Alternative „Foxit Reader“ einsetzt, um nicht den regelmäßig durch Sicherheitslücken im Gespräch befindlichen Adobe Reader einsetzen zu müssen, hat nun aber ebenso ein großes Problem mit einer kritischen Schwachstelle, für die noch kein Patch vorhanden ist. Das heikle daran ist das Plug-in, welches bei der Installation im jeweiligen Browser (Chrome, Firefox, Opera und Safari) mit installiert wird. Da noch kein Patch vorhanden ist, kann man sich nur schützen, wenn dieses im Browser manuell deaktiviert wird.
Eine echte Hilfe im privaten Bereich ist der für Privatpersonen kostenlose Secunia Personal Software Inspector. Im Unternehmensnetz sollte dagegen auf Tools zurückgegriffen werden, deren Funktionsumfang auf den professionellen Einsatz ausgelegt ist, also die Hard- und Software inventarisieren und auch die Versionsstände installierter Software überwachen. Denn nicht immer werden automatisierte Updates angeboten; und Workarounds müssen ohnehin z.T. manuell durchgeführt werden. Darüber hinaus sollten diese Tools mit einem Security- und Netzwerkscanner ergänzt werden, bzw. diesen bereits beinhalten.
Ergänzender Tipp: Das Sicherheitsbarometer informiert KMU über die aktuelle Gefährdungslage im Internet. Es zeigt den generellen Sicherheitsstatus im Internet und lässt auf einen Blick erkennen, ob neue Software-Updates verfügbar sind.
Bild: © Albrecht E. Arnold / pixelio.de
5 Kommentare zu Hersteller-Patchday - für den Anwender nur ein Patch Event unter vielen
Schreiben Sie einen Kommentar

Bernd Feuchter beschäftigt sich seit 1997 im Hause DATEV mit IT-Themen, anfangs im Produkt- und Service-Management für unterschiedliche DATEV IT-Lösungen. Nach seinem Studium zum Informatik-Betriebswirt (VWA) kümmert er sich seit 2004 um die Kommunikation zu Sicherheitsthemen und die übergreifende Vermarktung der entsprechenden Sicherheitsprodukte bei DATEV. Daneben ist er seit 2006 für DATEV eG als Referent für “Sicherheitsthemen im Unternehmensalltag” tätig; seine Spezialität sind Vorträge mit Live-Demos und –Hacking.

kritische Lücke in Java wird bereits ausgenutzt
Kaum spricht man davon…
Die kritische Lücke in der aktuellen Java-Version hat auch Auswirkung auf das Arbeiten mit diversen Browsern.
Heise vermeldet, dass diese bereits aktiv ausgenutzt wird:
http://www.heise.de/security/meldung/Gefaehrliche-Luecke-in-aktueller-Java-Version-1780850.html
und noch einer — jetzt werden Web-Server gekapert
Nun ist auch noch ein Exploit für ‘Ruby on Rails’ im Umlauf:
http://www.heise.de/security/meldung/Exploit-fuer-Ruby-on-Rails-im-Umlauf-1780936.html
Wenn man alles zusammennimmt, kommt ordentlich was zusammen: Ein Plugin für PDF mit Lücke, ein anfälliger Browser und dann noch manipulierte Webseiten.
Ein Schelm, wer böses dabei denkt
und schon ist er da — der Patch
Oracle patcht kritische Java-Lücke:
http://www.heise.de/security/meldung/Oracle-patcht-kritische-Java-Luecke-1782915.html
… für das US-Cert aber nicht ausreichend für eine Entwarnung
http://www.heise.de/security/meldung/Oracle-patcht-kritische-Java-Luecke-1782915.html
ein paar Abgrenzungen zu den o.g. Meldungen — zur Sicherheit
Was im allgemeinen Sprachgebrauch unter einem Wort zusammengefasst wird, ist von technischer Seite nicht immer ganz richtig. Daher eine kleine Abgrenzung zu “Java”: Die Lücke — ob nun geschlossen oder nicht — betrifft natürlich nicht die Java-Technik als solche, wie Java-Entwicklungsumgebung oder Java-Programme. Es geht letztlich nur um die Java-Laufzeitumgebung (JRE); und dort nur um Java Browser-Plugins, die zum Ausführen von Java-Applets im Browser erforderlich sind.
Pauschale Empfehlungen zum Deinstallieren tragen unter Umständen bei der Gefahrenabwehr eben diesen Feinheiten Rechnung, die der reine “Anwender” und technische Laie schwer auseinander halten kann.
Hier gilt: Sicherheit vor Funktionalität.