Der Thread zu aktuellen Sicherheitsbedrohungen

[Turjan]

Die meisten Plugins in Firefox werden einfach durch die entsprechenden Applikationen installiert ohne Rueckfrage. Ich habe mir mal gerade meine Liste angeschaut, und meine Plugins sind Adobe Acrobat, Google Update, diverser Java-Krempel, zwei Microsoft Office-Eintraege, Picasa, Shockwave Flash, zwei U-Play Plugins und der Foxit-Reader. Bewusst installiert habe ich davon Flash und Foxit-Reader, und Acrobat erinnert mich oft genug an seine Existenz. Plugins, die ich nicht will (wie Uplay) muss ich disablen. Entfernen geht oft nicht (wie Uplay).

Irgendeinen pdf-Reader im Browser brauche ich halt fuer die Journal-Seiten, die ich oft genug anschauen muss. Viele Journale bestehen darauf, die Publikation erst einmal im Browser zu oeffnen.

Extensions sind natuerlich ein anderes Ding, und da habe ich nur Adblock Plus, DownloadHelper, RefControl und Zotero, und die haben alle ihren Sinn.

Oh, und Foxit benutze ich hauptsaechlich deshalb, weil ich damit fuellbare Formulare speichern kann, bei denen sich Akrobat weigert, diese zu speichern. Ein Beispiel sind D&D Charakter Sheets .

 

[Chiburi]

Hmm..

naja, Homebanking wird mir wohl eher nicht das System kompromittieren, aber bei irgendwelchen Helferchen für Computerspiele (Shadowkeeper), ominöse Webseiten, "Freeware", die irgendwelchen Müll mitinstallieren will... da wäre es schön, wenn man das System nach dem Ausschalten immer wieder zurücksetzt ist.

Ram hätte ich 4 GB, aber der Prozessor ist halt ein ULV Core 2 Duo 1,6.

Aber danke, ich schau es mir mal an.


EDIT:

@ Pie

ok, macht Sinn. Wenn du magst, kannst du gerne aufräumen und meine Beiträge löschen.
Eventuell macht es auch Sinn, gleich im ersten Post mal eine Link-Liste reinzubauen a la: "Wie kriegt man seinen Rechner halbwegs sicher - was man außer Virenscanner noch alles haben sollte", oder "Caesar erklärt VM für Dummies". Ich meine, der Thread ist jetzt gerade neu und läuft, aber irgendwann hat keiner mehr Lust, ständig nach Berichen über Sicherheitslücken zu suchen, da wäre es ganz nett, wenn man zumindest mal so eine Art Grundimmunisierung hinbrächte. Also keinen IE, kein Java, Noscript, nicht als Admin surfen... Dann sind plötzlich nur noch 1/3 der Lücken überhaupt interessant.

 

[Sir Darian]

Hmmm... *grübel*

@ Chiburi:

Ich hätte gerne, dass dieser Thread hier übersichtlich bleibt und ausschliesslich Hinweise auf aktuelle Sicherheitslücken enthält.

Wenn Du eine Anleitung zur Installation einer VM haben willst, wäre es mir lieber, wenn Du einen separaten Thread dafür aufmachst, anstatt diesen hier zu hijacken.
Danke!

 

[Sir Darian]

Hmmm... *grübel*

Und schon der nächste wirklich wichtige Hinweis:

Gefährliche Lücke in aktueller Java-Version

Zitat aus dem Artikel:

In der aktuellen Java-Version 7 Update 10 klafft eine kritische Sicherheitslücke, die offenbar bereits im großen Stil für Cyber-Angriffe ausgenutzt wird.
(...)
Die Sicherheitsexperten (...) bestätigen die Brisanz des Funds: Es gelang ihnen damit, Code in ein vollständig gepatches Windows-System mit Java 7 Update 10 einzuschleusen.

Hervorhebungen von mir.

Ich nutze (wie ich weiter oben bereits schrieb) mittlerweile gar kein Java mehr auf meinen Hauptrechnern, und ich habe es seit der Deinstallation überhaupt nicht vermisst. Es entstanden keinerlei Einschränkungen in der Funktionalität meiner Rechner.
Aus dieser Sicht heraus betrachtet, sollte man sich also durchaus überlegen, ob man Java wirklich noch installiert lässt, oder ob man nicht einfach darauf verzichten kann.

 

[Gala]

Java wird sowieso von keiner mir bekannten relevanten Webseite benutzt.

Ich stelle es deshalb grundsätzlich ab.

 

[Diago]

Dankt mal in die Runde für den Java-Hinweis - und hat das mal deaktiviert

 

[Sir Darian]

Hmmm... *grübel*

Hier nochmal ein Artikel von Heise.de zu der Java Sicherheitslücke:
BSI empfiehlt Deinstallation von Java

Java hat in der letzten Zeit ziemlich oft für Schlagzeilen mit seinen Sicherheitslücken gesorgt.
Was mich nur irritiert, ist, dass Oracle zwar einerseits Java als absolutes Must-Have anpreist und sich beweihräuchert, auf wieviel Milliarden Geräten vielfältigster Natur weltweit Java läuft, aber andererseits so schwerfällig reagiert, wenn es um das Patchen der Löcher geht.
So gesehen gefällt es mir ganz gut, wenn da Presse und Bundesinstitute ordentlich öffentlichen Druck auf Oracle durch Negativpublicity ausüben.

 

[Rumpelstilz]

So gesehen gefällt es mir ganz gut, wenn da Presse und Bundesinstitute ordentlich öffentlichen Druck auf Oracle durch Negativpublicity ausüben.

Naja, wenn man bedenkt dass für diese Seiten Java benötigt wird, kann ich das mit dem "Druck-machen" verstehen.

 

[Haskeer]

Ähm, und welches Malware-Software empfiehlt ihr nochmal?

Malwarebate?

Edit:
Irgendwas mach ich falsch: ich deaktiviere die Plug-Ins, aber beim Firefox-"Neustart" sind sie wieder aktiviert...

Edit2: nun klappts... keine Ahnung was los war

 

[Sir Darian]

Hmmm... *grübel*

Hatte ich nicht weiter oben geschrieben, dass dieser Thread bitte nur für Meldungen zu aktuellen Sicherheitsproblemen gedacht ist und nicht durch Nebendiskussionen und -fragen unübersichtlich gemacht werden soll?

@ Haskeer:

Ja, alternativ Spybot S&D.
Als Antivirus Freeware benutze ich Avast.

Wenn Du mehr Beratung möchtest, mach bitte einen neuen Thread auf oder hole über die Suchfunktion einen alten zum passenden Thema hoch. Danke!

 

[Turjan]

Nur zur Info: Die Foxit-Sicherheitsluecke fuer das Firefox-Plugin wurde gefixt. Mein Foxit hat heute das Update runtergeladen (ist wohl schon vom 14.).

 

[Sir Darian]

Hmmm... *grübel*

Wenn das hier stimmt, kann man für Java weiterhin keine Entwarnung geben:

Angeblich neue Zero-Day-Sicherheitslücke in Java
Artikel bei Heise.de

Was die träge Reaktion seitens Oracle auf die immer wiederkehrenden Sicherheitsdefizite von Java anbelangt, da spricht mir der letzte Satz des Artikels besonders aus der Seele:

Und mit seinem Service "scheint Oracle eine Nachricht zu verbreiten: Oracle möchte keine Hunderte von Millionen Kunden - und diese sollten bei dieser Nachricht aufhorchen und dementsprechend reagieren."

 

[Lilith]

Vielleicht nicht direkt Sicherheitslücke aber doch sehr interessant über die Sicherheit von Browsern allgemein http://www.chip.de/news/Browser-im-Security-Check-Firefox-faellt-durch_59931970.html

 

[Sir Darian]

Hmmm... *grübel*

Update-Probleme mit Microsofts Gratis-Virenscanner
Quelle: Heise.de

Mir scheint, das ist ein recht altes Problem, das Microsoft wohl immer noch nicht im Griff hat.
Jedenfalls war es für mich unter WinXP Zeiten damals der Grund, die Microsoft Security Essentials nicht mehr weiter zu verwenden, sondern auf Avast umzusteigen.

Aber falls von Euch jemand die MSE verwendet: Schaut lieber nach, ob Eure Signaturen aktuell sind.

 

[Sir Darian]

Hmmm... *grübel*

Heute schreibe ich nur einen Sammelbeitrag lesenswerter Artikel über aktuelle Sicherheitsbedrohungen, da ich nicht so ausführlich zum Posten komme, wie ich gerne würde:

BSI warnt vor virenverseuchten ELSTER-Steuerbescheiden

Aktuelle VLC-Version mit kritischer Lücke

Millionen Geräte über UPnP angreifbar
Router unsicher: Universal Plug and Play als Einfallstor

Nächstes mal wirds wieder ausführlicher, versprochen.

 

[Sir Darian]

Hmmm... *grübel*

Es gibt eine neue App für Android Smartphones, deren Schadfunkionen auf den Windows PC übertragen werden kann.
Es wird dann sowohl der Inhalt des Telefones als auch der PC ausspioniert.
Die Übertragung der Malware vom Handy auf den PC wird durch Konnektieren der beiden Geräte via USB erreicht.
Interessanterweise haben die Schaffer der Malware diese gleich unter verschiedenen Namen im Google Play Store platziert und ihr auch viele gute Bewertungen verschafft, um sie attraktiv zu machen.

Artikel dazu:
Neue Android-App will mithören bei Heise.de
Neue Android Malware entdeckt: Installiert Trojaner auch auf dem PC in Caschys Blog

 

[Vernochan]

Man sollte sowieso NIE eine App installieren, ohne sich die benötigten Rechte anzugucken. Und wenn z.B. ein Spiel auf die SMS/Kontakte zugreifen will, dann sollte man sich das schon 2mal überlegen, oder direkt abbrechen. Wer sich eine App installiert, die so ziemlich alles an Rechten braucht, die es gibt, darf sich (IMHO) nich wundern. (Deswegen gibts auf meinem Smartphone auch kein Skype).

 

[Sir Darian]

Hmmm... *grübel*

Flash-Notfallupdate gegen Angriffe auf Macs und Windows

 

[Lord Assis]

Anscheinend sind D-Link-Router, welche von Unitymedia etc. vertrieben werden, von einer schweren Sicherheitslücke betroffen.

http://www.unitymedia.de/hilfe_service/aktuelles_anderungen

Ich habe dazu heute eine Mail von Unitymedia erhalten. Mal davon abgesehen, dass diese gar nicht mal so unwichtige Meldung 1 Woche zu spät kam, sind alle Seiten, bei denen ich bisher versucht habe, die neue Firmware zu bekommen, wohl gerade offline.
Bei so viel Inkompetenz könnte ich echt das Kotzen kriegen.

 

[Sir Darian]

Hmmm... *grübel*

Das ist eines der Themen, die ich in Beitrag 55 verlinkt hatte.

Laut diesem Beitrag sind noch viele Geräte mehr unsicher, nicht nur die von D-Link.
Die Firma D-Link hat allerdings bereits auf das Problem reagiert.

Hier bietet Heise Security einen Netzwerkcheck an, mit dem man testen kann, ob das eigene Gerät bei Angriffen via UPnP verwundbar ist.