Ausgerechnet auf den Business-Notebooks von HP machten Sicherheitsforscher eine beunruhigende Entdeckung: Auf den Geräten arbeitete im Auslieferungszustand ein Keylogger, der alle Tastatureingaben aufzeichnete. Ihre darauffolgende Analyse ergab, dass dahinter kein Schädling steckte, sondern der vorinstallierte Audio-Treiber des Chip-Zulieferers Conexant. Er schreibt sämtliche Eingaben in einen öffentlich lesbaren Bereich, auf den auch Trojaner zugreifen können.

HP bestätigte das Problem und erklärte gegenüber c’t: „Diese Software hätte nicht in der final an die Kunden ausgelieferten Version enthalten sein dürfen.“ Der Keylogger war Bestandteil einer internen Debugging-Funktion. Inzwischen steht auf der Herstellerseite für die betroffenen Modellreihen EliteBook, ProBook, Elite x2 und ZBook ein Update bereit, das die Keylogging-Funktion abschaltet. (rei@ct.de)

HP-Treiber ohne Keylogger:ct.de/yfxg

Die Google-Forscher Tavis Ormandy und Natalie Silvanovich entdeckten in der Antiviren-Engine von Microsoft eine fatale Sicherheitslücke, die Angreifer auf vielfältige Weise ausnutzen können, um volle Kontrolle über das System zu übernehmen. Die Angreifer müssen die Engine lediglich dazu bringen, ihren Angriffscode zu untersuchen. Das geschieht etwa, wenn der Mail-Client neue Nachrichten abruft oder der Browser eine Webseite aufruft.

Die betroffene AV-Engine kommt vielerorts zum Einsatz: Die größte Verbreitung erzielt sie durch den Windows Defender, der seit Windows 8 fester Bestandteil des Microsoft-Betriebssystems ist. Aber auch etwa die Microsoft Security Essentials (MSE) sowie Business-Produkte wie die Microsoft Endpoint Protection sind betroffen. Es gibt aber auch etwas Positives zu berichten: Microsoft hat schnell auf den Fund der Google-Forscher reagiert und innerhalb weniger Tage ein Update verteilt, das die Lücke schließt. Meldet der Virenwächter, dass er auf dem aktuellen Stand ist, ist man auf der sicheren Seite. (rei@ct.de)

Im Rahmen einer Podiumsdiskussion zur Sicherheit im Internet der Dinge auf dem BSI-Kongress sprach sich BSI-Präsident Arne Schönbohm für eine Verschärfung der Gesetze zur Produkthaftung aus. Das BSI sei zwar eine ausführende Behörde, die den Vorgaben der Politik folgen müsse, „doch ich bestärke die Politik, diesen Weg zu gehen“, erklärte Schönbohm seine Position.

Ein Weg dorthin könnte ein Cyber-CE-Siegel sein, mit dem sich ein Hersteller verpflichtet, grundsätzliche Sicherheitsregeln für Produkte einzuhalten, die ans Internet angeschlossen werden, schlug heise-Security-Chefredakteur Jürgen Schmidt vor. Auch für diese Idee zeigte sich Schönbohm durchaus aufgeschlossen. Sehr kritisch gegenüber „staatlichen Eingriffen ins Internet“ zeigte sich hingegen Renate Radon, die für Microsoft auf dem Podium saß. (rei@ct.de)