IT-News 11. April 2002 IBM, Microsoft und Verisign wollen den Austausch von Daten über das Web
noch sicherer machen. Die drei Unternehmen haben dafür gemeinsam eine neue
Spezifikation namens WS-Security entwickelt. Mit ihr sollen Daten besser
verschlüsselt sowie unabhängig vom Betriebssystem beim Austausch beispielsweise
zwischen Unternehmen eindeutig identifizierbar sein und vertraulich gehalten
werden können. Bei der Spezifikation handelt es sich um eine Erweiterung des
Simple Object Access Protocol (SOAP ), das Ende 1999 von Microsoft ins Leben
gerufen wurde. WS-Security baut ebenso wie SOAP auf XML auf. Laut Microsoft
soll der Standard unter anderem dafür sorgen, dass Entwickler sichere
Web-Anwendungen erstellen können.Für Softwarefirmen wie Microsoft und Sun
liegt die Zukunft erklärtermaßen im Internet. Gleichzeitig ist vielen Unternehmen
und Anwendern der Austausch von Daten über das Web zu heikel. Im Februar wurde
bereits in so genannten gut informierten Kreisen gemunkelt , Microsoft plane
eine Internet-Allianz mit IBM und anderen Firmen, um Industrie-Standards für
mehr "Security in a Web Services World" zu entwickeln. Große Bedeutung hat
dabei die Verträglichkeit des Standards mit verschiedenen Software- und
Hardware-Plattformen.
Microsoft und IBM wollen künftig zusammen mit anderen Unternehmen Anwendungen
für das Internet entwickeln, die sich an WS-Security orientieren. Die Bedeutung
solcher Standards unterstreicht Phillip Hallam-Baker, Forscher bei Verisign.
Er meint, die Industrie wisse, dass sie via Internet ihre Produktivität und
Effektivität steigern könne. Mangelnde Kompatibilität und fehlendes Vertrauen
ständen aber noch im Weg. Welche Rolle WS-Security in der .NET-Strategie von
Microsoft spielt, dazu hielten sich die Beteiligten bislang bedeckt. Einblick
in die Spezifikation kann man sowohl bei IBM, bei Microsoft als auch bei Verisign
nehmen. (anw/c't)
11. April 2002 Die Verlängerung eines im Sommer auslaufenden Technologieabkommens zwischen
Microsoft und Apple ist ungewiss. Trotzdem will Microsofts Macintosh Business
Unit ihre Arbeit fortsetzen. Das vor rund fünf Jahren geschlossene Abkommen
regelt den Austausch bestimmter Patente und andere Geschäftsbeziehungen. Es
läuft am 4. August aus und konnte bisher nicht verlängert werden, was einige
Fachmedien und Softwareentwickler aus dem Macintosh-Umfeld zu besorgten
Kommentaren über die Zukunft der Macintosh-Anwendungen aus Redmond veranlasst
hat. 10. April 2002 Microsoft hat einen Sicherheitspatch für den Internet Information Server
(IIS) herausgebracht, der zehn neu entdeckte Sicherheitslücken beheben
soll. Die Löcher werden von Microsoft als kritisch eingestuft, es handelt
sich um mehrere Möglichkeiten für Buffer Overflows , Anfälligkeiten gegen
Denial-of-Service-Attacken sowie Cross-Site-Scripting-Fehler. Im schlimmsten
Fall könne ein Angreifer beliebigen Code auf dem betroffenen System ausführen.
Anfällig sind laut Microsoft IIS 4.0, 5.0 sowie 5.1. Der Patch gegen die
Sicherheitslücken ist wie üblich auf den Microsoft-Seiten erhältlich (pab/c't)
Hier
geht es zum Download des Patches.
9. April 2002 Mit dem Baseline Security Analyzer 1.0 (MBSA) will Microsoft die Fahndung
nach bekannten, offenen Sicherheitslücken in zahlreichen Microsoft-Produkten
auf Systemen mit Windows NT 4.0, 2000 und XP erleichtern und zudem Empfehlungen
für Sicherheitseinstellungen liefern. Anwender erhalten eine Übersicht
der fehlenden Sicherheits-Patches der betreffenden Systeme und können
diese dann nachinstallieren. 4. April 2002 Nach einer repräsentativen Umfrage des Emnid-Instituts schnitt die Kommunikation
über E-Mails alles andere als gut ab. Über die Hälfte der befragten 500
Führungskräfte telefonieren genauso viel wie vor der E-Mail-Flut, 36 Prozent
sogar mehr. Erstaunlich ist ein weiteres Ergebnis, wonach Frauen seit
der Einführung von E-Mails häufiger (47 Prozent) als Männer (33 Prozent)
zum Telefonhöhrer greifen. Nur knapp die Hälfte der Befragten fühlen sich
durch Emails nicht genervt, immerhin 39 Prozent jedoch empfinden die tägliche
Email-Flut als Streß. 4. April 2002 Der Computer ist schon lange keine Männerdomäne mehr. Laut einer Online-Umfrage
von PC-Spezialist und Microtrend nutzen 15 Prozent der Frauen ihren PC
beruflich sowie privat über 80 Stunden die Woche. Bei den Männern kamen
gerade einmal acht Prozent auf diese extreme Nutzungsdauer. Unabhängig
vom Geschlecht sind die Heavy-User zwischen 30 und 39 Jahre alt. 2. April 2002 Die meisten Sicherheitslücken, die dieser Tage entdeckt werden, kommen durch Pufferüberläufe ,
ungeprüfte Aufrufparameter oder fehlerhafte Treiber zu Stande. Anders bei dem bereits Mitte März
von Radim "EliCZ" Picha entdeckten Loch in Windows NT und 2000, das zumindest seit der Veröffentlichung
von NT 4.0 im Jahr 1996 existieren soll: Hier kann sich jeder Benutzer, der mitgebrachte Programme auf
einem System ausführen kann, Administratorrechte verschaffen, ohne solche Fehler ausnutzen zu müssen.
Die Angriffsfläche bietet eine Schnittstelle, die Microsoft eigentlich für das Debugging ins System
eingebaut hat, aber nur ungenügend mit den Sicherheitsmechanismen belegt hat, die das System eigentlich
schützen sollen. Ende März wurde das Sicherheitsloch auf der BugTraq-Mailingliste veröffentlicht. Ein
ZIP-Archiv , in dem der Entdecker die genauere Wirkweise erläutert, enthält inzwischen auch verschiedene
Fixes, um das Loch zu schließen. Eine alternative Implementierung stellt auch das CERT-Team an der Uni
Stuttgart bereit. Von Microsoft selbst gibt es derzeit weder eine Bestätigung noch eine Korrektur.
Windows XP soll von dieser Lücke nicht betroffen sein. (ps/c't) 3. April 2002 Der Deutsche Städte- und
Gemeindebund hat mit Microsoft Deutschland einen Rahmenvertrag über
den Erwerb von Softwareprodukten des Unternehmens abgeschlossen. "Wir
wollen den Städten und Gemeinden in Deutschland die Möglichkeit bieten,
kostengünstig moderne Software- produkte zu nutzen, um Verwaltungsleistungen
Bürgern und Unternehmen effektiver und effizienter anbieten zu können.
Gerade kleinere und mittlere Gemeinden können so ihre E-Government-Dienstleistungen
schneller umsetzen", sagte das geschäftsführende Präsidialmitglied,
Dr. Gerd Landsberg, in Berlin. 29. März 2002 Microsoft hat wieder einmal einen Sicherheitspatch für den Internet Explorer
veröffentlicht. Der sogenannte "28 March 2002 Cumulative Patch for Internet
Explorer" enthält - neben älteren Patches - zwei weitere, bislang
unveröffentlichte Berichtigungen. Es handelt sich dabei einmal um eine
Schwachstelle in der Zonen-Sicherheitsstufen-Implementierung, zum anderen
um eine Sicherheitslücke, die es Angreifern ermöglicht, vorhandene Programme
auf einem eigenen Rechner zu starten. Windows-Anwendern wird dringend
empfohlen, den Sicherheitspatch herunterzuladen und zu installieren. |