Pwn2Own-Gewinner will Apple bei der Bug-Suche helfen
Charlie Miller, dem es in dieser Woche gelungen ist, im Rahmen des Wettbewerbs Pwn2Own auf der Sicherheitskonferenz CanSecWest via Safari über ein Macbook mit Mac-OS X 10.6 Kontrolle zu gewinnen, will Herstellern helfen, selbst Fehler in ihrer Software zu finden. Laut unserer Kollegen von Computerworld will Miller diesmal nicht, wie sonst üblich, die von ihm gefunden rund 20 Schwachstellen in Software von Apple, Adobe und Microsoft an die Hersteller aushändigen, sondern sie lehren, diese Fehler selbst zu finden. Miller zeigt sich von dem üblichen Vorgehen in Sachen Sicherheit genervt: “Wir finden einen Bug, sie patchen ihn. Wir finden einen weiteren Bug, sie patchen ihn wieder. Das erhöht die Sicherheit der Software nicht. Sicher, mit der zeit wird sie Stück für Stück besser, aber die Hersteller müssten größere Verbesserungen machen. Ich kann das nicht für sie tun.”
Miller arbeitet mit einer Fuzzing genannten Technik. Dabei setzt sein Tool Code automatisch an verschiedene Stellen der Software ein und testet deren Reaktion darauf. Versagt die untersuchte Software an gewissen Stellen, war die Suche nach einem Bug erfolgreich. Mit seinem Fuzzer fand Miller aktuell 20 Lücken in Mac-OS X 10.6, Safari, Powerpoint und Adobe Reader, ebenso in Open Office.
Den Herstellern will Miller seine Methode nahe bringen, anstatt die konkreten Sicherheitslücken zu benennen. Miller habe die jüngsten Sicherheitslücken ohne große Anstrengung gefunden, was ihn darauf schließen lasse, die Hersteller würden bei der Entwicklung Fuzzing vernachlässigen.
Weiteres Update für Aperture
Apple hat für Aperture 3 nur kurz nach Version 3.0.1 ein weiteres Update für seine Raw-Software herausgebracht. Aperture 3.0.2 bringt laut Apples Release-Notes vor allen Dingen Kompatibilität mit dem iPad, Anwender sollen Fotos vom iPad importieren und ebenso die Aperture-Bibliothek mit dem iPad synchronisieren können. Weitere kleinere Features hat Apple in das Update eingebaut, dazu gehört die Möglichkeit, wieder im Viewer mittels Scrolling durch Bidler navigieren zu können oder eine Anzeige, wie viel Festplattenspeicher für den Import einer existierenden Apterure- oder iPhotot-Bibliothek benötigt wird. Weiter nennt Apple diverse Fixes, welche die Stabilität des Programms verbessern helfen sollen. Dazu passend hat Apple auch noch ein kleines Update für iMovie herausgebracht. iMovie 8.0.2 verspricht bessere Wiedergab von Filmen, die in der Aperture-Bibliothek gespeichert sind.
Googlemail warnt vor verdächtigen Aktivitäten
Google hat seinem E-Mail-Service Googlemail eine neue Funktion spendiert, die Anwender vor verdächtigen Aktivitäten in ihrem Mail-Verkehr warnen soll. Als Beispiel gibt Googles Enginereering-Director Pavni Diwanji im Google-Blog einen Fall, den er selbst erlebt haben will: Ein Scammer habe Zugang über den E-Mail-Account eines Freundes erhalten und ihn um Geld in einer vermeintlichen Notlage angeschrieben. Fälle wie diesen soll der neue Alarm erkennen. Dabei überwache Google verschiedene Parameter, unter anderem die IP-Adresse, von der der Zugriff auf einen Mail-Account erfolgt. Erfolge etwa der Login innerhalb kurzer Zeit aus zwei vollkommen unterschiedlichen Ländern, sei die Warnung angebracht, erläutert Diwanji. Die Neue Funktion reiche jedoch nur aus, den Anwender zu warnen und ersetze nicht alle anderen Sicherheitsmaßnahmen.
iPhone-Wecker iA5 von iHome
iHome hat einen iPhone-Wecker vorgestellt, der sich mit einer iPhone App steuern lässt. Das Gerät iA5 kommuniziert mit der kostenlosen App iHome+Sleep, die Nutzern ermöglicht, 18 zusätzliche Alarme und Einschlafphasen zu programmieren oder Informationen über die Wetterbedingungen vor Ort einzuholen. Die App ist zudem in der Lage, Schlaf- und Wachzeiten zu protokollieren und die Ergebnisse auf Twitter und Facbook zu veröffentlichen. Das Gerät lässt sich mit Netzteil oder drei AAA-Batterien betreiben und kostet rund 100 US-Dollar.
Bundesländer wollen freiwillige Internet-Kontrollen
Selbstkontrolle statt Zensur: Mit einer Reform des Jugendmedienschutzes wollen die Bundesländer die Betreiber von Internetseiten zur freiwilligen Alterskennzeichnung ihrer Angebote bewegen. Besondere PC-Schutzprogramme sollen dabei die Altersangaben für die Seiteninhalte lesen und die Seiten dann entweder freigeben oder stoppen. Das sieht die Novellierung des Jugendmedienschutz- Staatsvertrags vor, die am Donnerstag von den Ministerpräsidenten in Berlin beschlossen wurde.
Anders als beim «Zugangserschwerungsgesetz» des Bundes, das eine Kontrolle durch die Internet-Provider vorsieht, setze die Initiative der Länder vor allem auf die Eltern. «Allein die Erziehungsberechtigten entscheiden, ob sie ein Jugendschutzprogramm auf dem Rechner installieren wollen», sagte der rheinland-pfälzische Regierungschef Beck. Wenn Seiten-Betreiber Angaben verweigerten, gingen die Programme davon aus, dass die Inhalte nur für Volljährige erlaubt seien. Es gehe wie schon im Kino, bei DVDs oder Video-Spielen um eine «kontrollierte Selbstkontrolle», sagte Beck. Der Vorwurf der «Netzzensur» sei in diesem Fall Unsinn.
Anbieter von Internetzugängen sollten für die Verbreitung der Schutzprogramme sorgen und sie ihren Kunden anbieten. Die in Internetbrowsern eingerichteten Sperrfunktionen reichten nicht aus. «Nicht alle Eltern sind fit im Umgang mit solchen Technologien», sagte Beck. Der neue Staatsvertrag soll am 10. Juni unterschrieben und am 1. Januar 2011 in Kraft treten. (dpa)