IT-News
11. April 2002
Neuer Web-Sicherheitsstandard von IBM, Microsoft und Verisign
IBM, Microsoft und Verisign wollen den Austausch von Daten über das Web
noch sicherer machen. Die drei Unternehmen haben dafür gemeinsam eine neue
Spezifikation namens WS-Security entwickelt. Mit ihr sollen Daten besser
verschlüsselt sowie unabhängig vom Betriebssystem beim Austausch beispielsweise
zwischen Unternehmen eindeutig identifizierbar sein und vertraulich gehalten
werden können. Bei der Spezifikation handelt es sich um eine Erweiterung des
Simple Object Access Protocol (SOAP ), das Ende 1999 von Microsoft ins Leben
gerufen wurde. WS-Security baut ebenso wie SOAP auf XML auf. Laut Microsoft
soll der Standard unter anderem dafür sorgen, dass Entwickler sichere
Web-Anwendungen erstellen können.Für Softwarefirmen wie Microsoft und Sun
liegt die Zukunft erklärtermaßen im Internet. Gleichzeitig ist vielen Unternehmen
und Anwendern der Austausch von Daten über das Web zu heikel. Im Februar wurde
bereits in so genannten gut informierten Kreisen gemunkelt , Microsoft plane
eine Internet-Allianz mit IBM und anderen Firmen, um Industrie-Standards für
mehr "Security in a Web Services World" zu entwickeln. Große Bedeutung hat
dabei die Verträglichkeit des Standards mit verschiedenen Software- und
Hardware-Plattformen.
Microsoft und IBM wollen künftig zusammen mit anderen Unternehmen Anwendungen
für das Internet entwickeln, die sich an WS-Security orientieren. Die Bedeutung
solcher Standards unterstreicht Phillip Hallam-Baker, Forscher bei Verisign.
Er meint, die Industrie wisse, dass sie via Internet ihre Produktivität und
Effektivität steigern könne. Mangelnde Kompatibilität und fehlendes Vertrauen
ständen aber noch im Weg. Welche Rolle WS-Security in der .NET-Strategie von
Microsoft spielt, dazu hielten sich die Beteiligten bislang bedeckt. Einblick
in die Spezifikation kann man sowohl bei IBM, bei Microsoft als auch bei Verisign
nehmen. (anw/c't)
11. April 2002
Microsoft macht mit Mac-Software unverändert weiter
Die Verlängerung eines im Sommer auslaufenden Technologieabkommens zwischen
Microsoft und Apple ist ungewiss. Trotzdem will Microsofts Macintosh Business
Unit ihre Arbeit fortsetzen. Das vor rund fünf Jahren geschlossene Abkommen
regelt den Austausch bestimmter Patente und andere Geschäftsbeziehungen. Es
läuft am 4. August aus und konnte bisher nicht verlängert werden, was einige
Fachmedien und Softwareentwickler aus dem Macintosh-Umfeld zu besorgten
Kommentaren über die Zukunft der Macintosh-Anwendungen aus Redmond veranlasst
hat.
Kevin Browne, General Manager von Microsofts Mac-Abteilung stellte daher auf
einer eigens aus diesem Anlass anberaumten Veranstaltung klar: "Die
Mac-Anwendungen sind für uns ein lukratives Geschäft, und so lange es Gewinn
bringt, werden wir es fortführen." Tatsächlich ist ausgerechnet Microsoft --
Apples fast schon übermächtiger Betriebssystemkonkurrent -- der erfolgreichste
Softwarelieferant für die Macintosh-Plattform. Die seit November ausgelieferte
Office-Version für Mac OS X gilt als ausgesprochen gelungen und erfolgreich,
ebenso die Mac-Varianten von Internet Explorer und Outlook Express.
Alle diese Entwicklungen wurden von dem jetzt endenden Vertrag nicht berührt,
betonte Browne. Er würde ein neuerliches Abkommen mit Apple begrüßen, sagte
der Manager. Sein Entwicklerteam könne jedoch seine Produktpläne unabhängig
davon verfolgen. Alle 18 bis 24 Monate plant die Abteilung jeweils neue Releases
von Office, Internet Explorer und Outlook Express für Mac OS. Für Ende Mai
kündigte Browne das erste Office Service Release an -- ein Update, das rund
1.000 Änderungen und Fehlerkorrekturen sowie ODBC-Unterstützung für relationale
Datenbanken enthalten wird.
Apples Marketingchef Phil Schiller, der unter den Zuhörern des Vortrags war,
stimmte Brownes Darstellung zu: "Wir sind sehr glücklich mit den Mac-Produkten
von Microsoft, und wir sehen keinen Grund zur Besorgnis, dass die Unterstützung
nicht fortgesetzt wird. Das Technologieabkommen war vor fünf Jahren notwendig,
bei unseren heutigen Geschäftsbeziehungen mit Microsoft geht es auch ohne."
(Erich Bonnert) / (jes/c't)
10. April 2002
Zehn neue Sicherheitslücken im Internet Information Server
Microsoft hat einen Sicherheitspatch für den Internet Information Server
(IIS) herausgebracht, der zehn neu entdeckte Sicherheitslücken beheben
soll. Die Löcher werden von Microsoft als kritisch eingestuft, es handelt
sich um mehrere Möglichkeiten für Buffer Overflows , Anfälligkeiten gegen
Denial-of-Service-Attacken sowie Cross-Site-Scripting-Fehler. Im schlimmsten
Fall könne ein Angreifer beliebigen Code auf dem betroffenen System ausführen.
Anfällig sind laut Microsoft IIS 4.0, 5.0 sowie 5.1. Der Patch gegen die
Sicherheitslücken ist wie üblich auf den Microsoft-Seiten erhältlich (pab/c't)
Hier
geht es zum Download des Patches.
9. April 2002
Kostenloses Sicherheits-Tool von Microsoft
Mit dem Baseline Security Analyzer 1.0 (MBSA) will Microsoft die Fahndung
nach bekannten, offenen Sicherheitslücken in zahlreichen Microsoft-Produkten
auf Systemen mit Windows NT 4.0, 2000 und XP erleichtern und zudem Empfehlungen
für Sicherheitseinstellungen liefern. Anwender erhalten eine Übersicht
der fehlenden Sicherheits-Patches der betreffenden Systeme und können
diese dann nachinstallieren.
MBSA funktioniert nur auf PCs mit Windows 2000 oder XP, kann aber über
ein Netzwerk auch Maschinen mit Windows NT 4.0 auf Sicherheitslecks überprüfen.
Neben der Maus-Bedienung stehen zahlreiche Kommandozeilen-Parameter zur
Wahl, die Microsoft in einem dazugehörigen Knowledge-Base-Artikel
auflistet.
Das kostenlose Tool steht derzeit nur in englischer Sprache zur Verfügung.
Hier
können Sie das 2,5-MByte-Archiv downloaden.
4. April 2002
Trotz E-Mail: Die Chefs telefonieren munter weiter
Nach einer repräsentativen Umfrage des Emnid-Instituts schnitt die Kommunikation
über E-Mails alles andere als gut ab. Über die Hälfte der befragten 500
Führungskräfte telefonieren genauso viel wie vor der E-Mail-Flut, 36 Prozent
sogar mehr. Erstaunlich ist ein weiteres Ergebnis, wonach Frauen seit
der Einführung von E-Mails häufiger (47 Prozent) als Männer (33 Prozent)
zum Telefonhöhrer greifen. Nur knapp die Hälfte der Befragten fühlen sich
durch Emails nicht genervt, immerhin 39 Prozent jedoch empfinden die tägliche
Email-Flut als Streß.
4. April 2002
Frauen überrunden Männer am PC
Der Computer ist schon lange keine Männerdomäne mehr. Laut einer Online-Umfrage
von PC-Spezialist und Microtrend nutzen 15 Prozent der Frauen ihren PC
beruflich sowie privat über 80 Stunden die Woche. Bei den Männern kamen
gerade einmal acht Prozent auf diese extreme Nutzungsdauer. Unabhängig
vom Geschlecht sind die Heavy-User zwischen 30 und 39 Jahre alt.
2. April 2002
Subtiles Sicherheitsloch in Windows NT und 2000
Die meisten Sicherheitslücken, die dieser Tage entdeckt werden, kommen durch Pufferüberläufe ,
ungeprüfte Aufrufparameter oder fehlerhafte Treiber zu Stande. Anders bei dem bereits Mitte März
von Radim "EliCZ" Picha entdeckten Loch in Windows NT und 2000, das zumindest seit der Veröffentlichung
von NT 4.0 im Jahr 1996 existieren soll: Hier kann sich jeder Benutzer, der mitgebrachte Programme auf
einem System ausführen kann, Administratorrechte verschaffen, ohne solche Fehler ausnutzen zu müssen.
Die Angriffsfläche bietet eine Schnittstelle, die Microsoft eigentlich für das Debugging ins System
eingebaut hat, aber nur ungenügend mit den Sicherheitsmechanismen belegt hat, die das System eigentlich
schützen sollen. Ende März wurde das Sicherheitsloch auf der BugTraq-Mailingliste veröffentlicht. Ein
ZIP-Archiv , in dem der Entdecker die genauere Wirkweise erläutert, enthält inzwischen auch verschiedene
Fixes, um das Loch zu schließen. Eine alternative Implementierung stellt auch das CERT-Team an der Uni
Stuttgart bereit. Von Microsoft selbst gibt es derzeit weder eine Bestätigung noch eine Korrektur.
Windows XP soll von dieser Lücke nicht betroffen sein. (ps/c't)
3. April 2002
Deutscher Städte- und Gemeindebund setzt auf Microsoft
Der Deutsche Städte- und
Gemeindebund hat mit Microsoft Deutschland einen Rahmenvertrag über
den Erwerb von Softwareprodukten des Unternehmens abgeschlossen. "Wir
wollen den Städten und Gemeinden in Deutschland die Möglichkeit bieten,
kostengünstig moderne Software- produkte zu nutzen, um Verwaltungsleistungen
Bürgern und Unternehmen effektiver und effizienter anbieten zu können.
Gerade kleinere und mittlere Gemeinden können so ihre E-Government-Dienstleistungen
schneller umsetzen", sagte das geschäftsführende Präsidialmitglied,
Dr. Gerd Landsberg, in Berlin.
Zu der Software zählen neben Microsoft-Betriebssystemen Office-Software
und der Portal Server. Die Integration des Internet in die Verwaltungs-
prozesse soll es erlauben, daß Verwaltungen ihre Informationen schneller
untereinander austauschen und den Bürgern und Unternehmern ganzheitliche
Dienstleistungen aus einer Hand zur Verfügung stellen. Microsoft engagiert
sich darüber hinaus in kommunalen Projekten mit eigenen Consulting- und
Projektbeiträgen bei der Realisierung von IT-gestützten Verwaltungs- aufgaben.
Dabei geht es um die Implementierung von Technologien unter der .NET-Architektur,
aber auch um den Wissens- und Technologietransfer zwischen einzelnen Gemeinden.
29. März 2002
Neuer Sicherheitspatch für den Internet Explorer erschienen
Microsoft hat wieder einmal einen Sicherheitspatch für den Internet Explorer
veröffentlicht. Der sogenannte "28 March 2002 Cumulative Patch for Internet
Explorer" enthält - neben älteren Patches - zwei weitere, bislang
unveröffentlichte Berichtigungen. Es handelt sich dabei einmal um eine
Schwachstelle in der Zonen-Sicherheitsstufen-Implementierung, zum anderen
um eine Sicherheitslücke, die es Angreifern ermöglicht, vorhandene Programme
auf einem eigenen Rechner zu starten. Windows-Anwendern wird dringend
empfohlen, den Sicherheitspatch herunterzuladen und zu installieren.
Hier
geht es zum Download des Patches.
