{"id":20013,"date":"2019-08-30T15:45:05","date_gmt":"2019-08-30T13:45:05","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=20013"},"modified":"2019-11-22T12:01:10","modified_gmt":"2019-11-22T10:01:10","slug":"offen-transparent-unabhangig","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/offen-transparent-unabhangig\/20013\/","title":{"rendered":"Wir stehen dazu: offen, transparent, unabh\u00e4ngig"},"content":{"rendered":"

Kaspersky hat in den letzten Monaten Patches f\u00fcr einige seiner Produkte aufgespielt. Das ist nichts Besonderes. Das tun wir jedes Jahr diverse Male, wie andere Unternehmen \u2013 beispielsweise Microsoft und Adobe \u2013 auch. Denn unser Anspruch ist, uns und unsere Produkte und L\u00f6sungen stetig zu verbessern. Wir arbeiten seit \u00fcber 20 Jahren jeden Tag daf\u00fcr, unsere Kunden \u2013 vom Heimanwender bis hin zu gro\u00dfen Unternehmen und Regierungsorganisationen \u2013 in die Lage zu versetzen, das zu sch\u00fctzen, was ihnen am wichtigsten ist. Egal, ob Privatsph\u00e4re, Familie, Finanzen, Kunden, Unternehmenserfolg oder kritische Infrastrukturen \u2013 wir haben es uns zur Aufgabe gemacht, all das zu sch\u00fctzen.<\/p>\n

Transparenz steht bei uns an erster Stelle<\/h3>\n

Alle Schwachstellen, die wir behoben haben, listen wir umgehend und \u00f6ffentlich in unserem Vulnerability Report: List of Advisories<\/a>. Das ist ein branchen\u00fcbliches Vorgehen. Dort stehen f\u00fcr 2019 bisher vier behobene Schwachstellen, die wir aus aktuellem Anlass hier noch einmal darlegen m\u00f6chten:<\/p>\n

XSS-Angriffsschwachstelle \u2013 behoben am 18. April 2019<\/u><\/p>\n

Kaspersky hat ein Sicherheitsproblem in seinen Produkten behoben, das es Cyberkriminellen potentiell erm\u00f6glicht h\u00e4tte, im Microsoft-Edge-Browser \u00fcber eine URL-Advisor-Komponente sch\u00e4dliche Skripte in den Kontext anderer Domains zu injizieren und auszuf\u00fchren. Um dies zu erreichen, h\u00e4tte der Angreifer den Nutzer auf eine speziell hierf\u00fcr erstellte Webseite locken m\u00fcssen.<\/p>\n

Kaspersky hat zudem die Web-Schutzkomponente mit zus\u00e4tzlichen Sicherheitsma\u00dfnahmen verbessert, um Anwender vor MITM-Angriffen (Man-in-the-Middle-Angriffen) zu sch\u00fctzen \u2013 einschlie\u00dflich solcher, die auf HSTS-Webressourcen (HTTP Strict Transport Security) ausgerichtet sind.<\/p>\n

Diese Sicherheitsprobleme wurden in den Versionen 2019 unserer Produkte, darunter Kaspersky Anti-Virus, Kaspersky Internet Security, Kaspersky Total Security, Kaspersky Free Anti-Virus und Kaspersky Small Office Security, durch Patch E behoben, der am 18. April 2019 ver\u00f6ffentlicht wurde und an die Kunden im Rahmen eines automatischen Aktualisierungsverfahrens ausgeliefert wurde. Anwender der neuesten Versionen unserer Produkte (ab 2020) sind von diesen Problemen nicht betroffen.<\/p>\n

Wir danken dem Forscher Wladimir Palant, der das Sicherheitsproblem entdeckt und uns verantwortungsbewusst gemeldet hat.<\/p>\n

Ronald Eikenberg, Journalist des Magazins f\u00fcr Computertechnik c\u2019t magazine, hat diese schon seit langem behobene Schwachstelle nun \u201eentdeckt\u201c und heute als \u201eweitere L\u00fccke\u201c ver\u00f6ffentlicht.<\/p>\n

Wir sind der festen \u00dcberzeugung, dass es f\u00fcr die gesamte Sicherheits-Branche wichtig ist, dass Schwachstellen gefunden, gemeldet und schnellstm\u00f6glich behoben werden und wir sch\u00e4tzen die kontinuierlichen Bem\u00fchungen der unabh\u00e4ngigen Forscher und weiterer Experten wie Journalisten, die uns helfen, unsere Produkte und L\u00f6sungen effizienter und besser gesch\u00fctzt zu machen. Deshalb haben wir \u2013 wir andere Unternehmen der Technologiebranche auch, darunter Apple, Microsoft und Adobe \u2013\u00a0 2016 unser Bug-Bounty-Programm<\/a> ins Leben gerufen. Wer uns auf schwerwiegende Schwachstellen in unseren Produkten hinweist, kann sich dar\u00fcber eine Belohnung sichern. Wir sind jedoch auch der Meinung, dass Vertrauen unn\u00f6tig unterminiert wird und es dem Schutz der Allgemeinheit nicht dienlich ist, wenn Altes als vermeintlich aktuelle Neuigkeit kommuniziert wird.<\/p>\n

Datenleck in Kasperskys Verbraucherprodukten und Kaspersky Small Office Security \u2013 behoben am 7. <\/u>Juni 2019<\/u><\/p>\n

Kaspersky hat den Prozess der \u00dcberpr\u00fcfung von Webseiten auf b\u00f6sartige Aktivit\u00e4ten ge\u00e4ndert, indem die Verwendung spezifischer Kennungen \/ Identifikatoren in URLs f\u00fcr Skripte, die im Kontext einer Website laufen, entfernt wurden. Diese \u00c4nderung wurden umgehend vorgenommen, nachdem Ronald Eikenberg uns mitgeteilt hatte, dass die Verwendung eindeutiger Identifikatoren f\u00fcr GET-Anfragen m\u00f6glicherweise zur Offenlegung der personenbezogenen Daten eines Benutzers f\u00fchren kann.<\/p>\n

Unsere L\u00f6sungen f\u00fcr Unternehmen sind \u2013 mit Ausnahme von Kaspersky Small Office Security bis Version 6 \u2013 nicht betroffen.<\/p>\n

Details zur behobenen Schwachstelle und Informationen f\u00fcr Anwender haben wir in einem vorhergehenden Post dargelegt.<\/a><\/p>\n

Schwachstelle durch Speicher\u00fcberlauf (Buffer-Overflow) auf dem Heap \u2013 behoben am 4. April 219<\/u><\/p>\n

Kaspersky Lab hat ein Sicherheitsproblem in seinen Produkten behoben, das es Dritten potentiell erm\u00f6glicht h\u00e4tte, beliebigen Code auf dem PC eines Nutzers mit Systemprivilegien auszuf\u00fchren. Der Sicherheitsfix wurde am 4. April 2019 durch ein Produkt-Update zur Verf\u00fcgung gestellt.<\/p>\n

DLL Hijacking Bug \u2013 behoben am 13. M\u00e4rz 2019<\/u><\/p>\n

Kaspersky hat eine Schwachstelle in Kaspersky Endpoint Security Version 11.0.1 behoben, die es Cyberkriminellen potentiell erm\u00f6glicht h\u00e4tte, beliebigen Code mit Nutzerberechtigungen und ohne Berechtigungserweiterung lokal auszuf\u00fchren. Diese Schwachstelle wurde als DLL Hijacking Bug registriert und der Sicherheitsfix wurde in der aktualisierten Version Kaspersky Endpoint Security 11.1, die seit 13. M\u00e4rz 2019 zur Verf\u00fcgung steht, vorgenommen.<\/p>\n

Wir lassen auf Worte Taten folgen<\/h3>\n

Das Vertrauen der Kunden in uns und unsere Produkte ist unser h\u00f6chstes Gut. Deshalb haben wir im Oktober 2017 unsere Globale Transparenzinitiative<\/a> ins Leben gerufen, um Skeptikern zu beweisen, dass man uns als Sicherheitsunternehmen vollstes Vertrauen schenken kann \u2013 nicht nur aufgrund unserer Worte, sondern vor allem aufgrund unserer Taten.<\/p>\n

Die Globale Transparenzinitiative hat das Ziel, die Informationssicherheits-Community sowie weitere Interessensgruppen in die Validierung und Verifizierung der Vertrauensw\u00fcrdigkeit seiner Produkte, internen Prozesse und Gesch\u00e4ftsabl\u00e4ufe einzubeziehen. Zu den konkreten Ma\u00dfnahmen geh\u00f6ren:<\/p>\n