Feeds zu allgemeiner IT-Sicherheit/-Security

Die Java Platform, Standard Edition (SE) ist eine Sammlung von Java-APIs (JDK) und der Java Laufzeit Umgebung (JRE). Java Standard Edition (SE) Embedded ist die Laufzeitumgebung für die Java-Plattform des US-Unternehmens Oracle Corporation für Embedded Systems. Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Oracle Java SE und Oracle Java SE Embedded ausnutzen, um dadurch die Integrität, Vertraulichkeit und Verfügbarkeit zu gefährden. […]

Die GNU libc ist die Basis C Bibliothek unter Linux sowie anderen Unix-Betriebssystemen, welche die Systemaufrufe sowie Basisfunktionalität bereitstellt. Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in GNU libc ausnutzen, um einen Denial of Service Angriff durchzuführen, möglicherweise Code mit den Privilegien des angegriffenen Dienstes auszuführen und weitere Angriffe mit nicht spezifizierten Auswirkungen durchzuführen. […]

Der Kernel stellt den Kern des Linux Betriebssystems dar. Ein lokaler Angreifer kann eine Schwachstelle im Linux Kernel ausnutzen, um seine Privilegien zu erhöhen oder Daten zu manipulieren. […]

Der Kernel stellt den Kern des Linux Betriebssystems dar. Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen im Linux Kernel ausnutzen, um beliebigen Code mit Kernelrechten auszuführen oder um einen Denial-of-Service Zustand herbeizuführen. […]

PostgreSQL ist eine frei verfügbare Datenbank für unterschiedliche Betriebssysteme. Ein entfernter, authentisierter Angreifer kann mehrere Schwachstellen in PostgreSQL ausnutzen, um seine Privilegien zu erhöhen, um Informationen offenzulegen und um die Konfiguration zu manipulieren. […]

Red Hat OpenShift ist eine "Platform as a Service" (PaaS) Lösung zur Bereitstellung von Applikationen in der Cloud. Ein Angreifer kann mehrere Schwachstellen in Red Hat OpenShift ausnutzen, um dadurch die Integrität, Vertraulichkeit und Verfügbarkeit zu gefährden. […]

Die Red Hat OpenShift Container Platform bietet Unternehmen die Möglichkeit der Steuerung ihrer Kubernetes Umgebungen. Ein entfernter, anonymer Angreifer kann eine Schwachstelle in Red Hat OpenShift Container Platform ausnutzen, um Sicherheitsvorkehrungen zu umgehen. […]

Der Kernel stellt den Kern des Linux Betriebssystems dar. Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen im Linux Kernel ausnutzen, um die Verfügbarkeit, Vertraulichkeit und Integrität gefährden. […]

Der Kernel stellt den Kern des Linux Betriebssystems dar. Ein lokaler Angreifer kann eine Schwachstelle im Linux Kernel ausnutzen, um seine Privilegien zu erhöhen oder einen Denial of Service Angriff durchzuführen. […]

MediaWiki ist ein freies Wiki, das ursprünglich für den Einsatz auf Wikipedia entwickelt wurde. Ein entfernter, authentisierter Angreifer kann mehrere Schwachstellen in MediaWiki ausnutzen, um Sicherheitsvorkehrungen zu umgehen oder vertrauliche Daten einzusehen. […]

Der Kernel stellt den Kern des Linux Betriebssystems dar. Ein lokaler Angreifer kann mehrere Schwachstellen im Linux Kernel ausnutzen, um beliebigen Programmcode auszuführen, einen Denial of Service Zustand herbeizuführen oder Informationen offenzulegen. […]

bzip2 ist ein frei verfügbares Komprimierungsprogramm zur verlustfreien Kompression von Dateien. Ein entfernter, anonymer Angreifer kann eine Schwachstelle in bzip2 ausnutzen, um beliebigen Programmcode mit den Rechten des Dienstes auszuführen. […]

Der Kernel stellt den Kern des Linux Betriebssystems dar. Ein entfernter, anonymer Angreifer kann eine Schwachstelle im Linux Kernel ausnutzen, um Informationen offenzulegen. […]

Der Kernel stellt den Kern des Linux Betriebssystems dar. Ein lokaler Angreifer kann mehrere Schwachstellen im Linux Kernel ausnutzen, um beliebigen Programmcode mit Administratorrechten auszuführen oder um einen Denial of Service Zustand herbeizuführen. […]

Identity Services Engine (ISE) bietet eine attributbasierte Zugangs-Kontroll-Lösung. Sie kombiniert Authentifikation, Authorisation und Accounting (AAA) und zudem "posture", Profilerstellung und Verwaltung sowie "guest management" Services auf einer Plattform. Ein entfernter, authentisierter Angreifer kann mehrere Schwachstellen in Cisco Identity Services Engine (ISE) ausnutzen, um einen Cross-Site Scripting Angriff durchzuführen oder Informationen offenzulegen. […]

Die Java Platform, Standard Edition (SE) ist eine Sammlung von Java-APIs (JDK) und der Java Laufzeit Umgebung (JRE). Java Standard Edition (SE) Embedded ist die Laufzeitumgebung für die Java-Plattform des US-Unternehmens Oracle Corporation für Embedded Systems. Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Oracle Java SE und Oracle Java SE Embedded ausnutzen, um dadurch die Integrität, Vertraulichkeit und Verfügbarkeit zu gefährden. […]

Drupal ist ein freies Content-Management-System, basierend auf der Scriptsprache PHP und einer SQL-Datenbank. Über zahlreiche Extensions kann der Funktionsumfang der Core-Installation individuell erweitert werden. Ein entfernter, authentisierter Angreifer kann eine Schwachstelle in Drupal ausnutzen, um Sicherheitsvorkehrungen zu umgehen. […]

Sudo ist ein Linux System Werkzeug um Befehle unter anderem Benutzernamen/Gruppennamen (UID/GID) auszuführen. Ein lokaler Angreifer kann eine Schwachstelle in sudo ausnutzen, um beliebigen Programmcode mit Administratorrechten auszuführen. […]

BIND (Berkeley Internet Name Domain) ist ein Open-Source-Softwarepaket, das einen Domain-Name-System-Server implementiert. Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Internet Systems Consortium BIND ausnutzen, um Sicherheitsvorkehrungen zu umgehen. […]

Firepower ist eine Firewall-Plattform von Cisco Ein entfernter, authentisierter Angreifer kann mehrere Schwachstellen in Cisco Firepower ausnutzen, um einen Cross-Site Scripting Angriff durchzuführen. […]

Die Java Platform, Standard Edition (SE) ist eine Sammlung von Java-APIs (JDK) und der Java Laufzeit Umgebung (JRE). Java Standard Edition (SE) Embedded ist die Laufzeitumgebung für die Java-Plattform des US-Unternehmens Oracle Corporation für Embedded Systems. […]

Adobe Acrobat ist ein Programm für die Erstellung und Betrachtung von Dokumenten im Adobe Portable Document Format (PDF). Acrobat Reader ist ein Programm für die Anzeige von Dokumenten im Adobe Portable Document Format (PDF). Adobe Reader ist ein Programm für die Anzeige von Dokumenten im Adobe Portable Document Format (PDF). […]

HP Touchpoint Analytics ist eine vorinstallierte Software auf HP-Rechnern, welche dazu dient Diagnose-Informationen über die Hardware einzusammeln und zu HP zu senden. […]

WordPress ist ein PHP basiertes Open Source Blog-System. […]

Router der Firma D-LINK enthalten eine Firewall und in der Regel eine WLAN-Schnittstelle. Die Geräte sind hauptsächlich für private Anwender und Kleinunternehmen konzipiert. […]

Chrome ist ein Internet-Browser von Google. […]

Apple macOS ist ein Betriebssystem, das auf FreeBSD und Mach basiert. […]

Das Android Betriebssystem von Google ist eine quelloffene Plattform für mobile Geräte. Die Basis bildet der Linux-Kernel. […]

iTunes ist ein Multimedia-Verwaltungsprogramm von Apple zum Abspielen, Konvertieren, Organisieren und Kaufen von Musik, Filmen und Spielen. […]

ClamAV ist ein Open Source Virenscanner. […]

Googles neue Pixel-4-Modelle haben keinen Fingerabdrucksensor mehr, sondern nur noch eine Gesichtsentsperrung. Diese basiert auf Infrarotwellen, was vermeintlich sicher ist - allerdings müssen die Augen des Nutzers nicht geöffnet sein, was ein Problem ist. (Pixel 4, Smartphone) […]

Auch nach über einem Jahr DSGVO sammeln Facebook und Google munter weiter Daten, ebenso Nachrichtenportale und viele Blogseiten. Die Datenschutz-Aufsichtsbehörden sehen sich im Moment nicht imstande, dem einen Riegel vorzuschieben. (DSGVO, Google) […]

Der neue Fingerabdrucksensor des Galaxy S10 lässt sich offenbar umgehen, wenn ein Displayschutz von einem Dritthersteller genutzt wird. Der Hersteller arbeitet an einem Update. (Galaxy S10, Sicherheitslücke) […]

Die Android-App des freien Wireguard-VPN ist von Google aus dem Play Store entfernt worden. Der Grund dafür ist offenbar ein Spendenaufruf der Entwickler in ihrer eigenen App. (Open Source, Google) […]

In einem neuen Update wird Microsoft das Feature Tamper Protection in Windows 10 integrieren. Dieses sperrt die Sicherheitssoftware Windows Defender vor äußeren Zugriffen durch Malware. Die Funktion kann in den Systemeinstellungen aktiviert und deaktiviert werden. (Microsoft, Windows) […]

Russland hat den Bundestag gehackt! China wollte die Bayer AG ausspionieren! Bei großen Hackerangriffen ist oft der Fingerzeig auf den mutmaßlichen Täter nicht weit. Knallharte Beweise dafür gibt es selten, Hinweise sind aber kaum zu vermeiden. (Hacker, Server) […]

Ein Sicherheitsforscher zeigt, wie er mit Equipment für unter 200 US-Dollar mit einem Mikrochip eine Hardware-Firewall übernehmen konnte. Damit beweist er, wie günstig und realistisch solche Angriffe sein können. Vor einem Jahr berichtete Bloomberg von vergleichbaren chinesischen Spionagechips. (Spionage, Server) […]

Stabilo und der Bund wollen einen Stift entwickeln, der Kinder bei Defiziten mit der Handschrift unterstützt. Mit Hilfe von Machine Learning und einer mobilen App analysiert das System das Geschriebene und passt Übungen an. Das Projekt ist mit 1,77 Millionen Euro beziffert. (Schulen, Eingabegerät) […]

Der Datenschützer Johannes Caspar will den 5G-Quellcode von Huawei einsehen lassen, was der Ausrüster bereits zugesichert hat. Europäische Lösungen seien kaum vorhanden. Und US-Lösungen von Cisco könnten auch "Bedenken auslösen". (Huawei, Datenschutz) […]

Das Security-Team von Mozilla will den Firefox-Browser besser gegen Code-Injection-Lücken härten, verzichtet dafür auf Inline-Aufrufe in den eigenen About-Seiten und hat die Nutzung der eval()-Funktion überarbeitet. (Firefox, Browser) […]

Es habe nicht am Datenschutz gelegen, dass Terroristen in den vergangenen Jahren nicht aufgehalten wurden, erklärt der Datenschutzbeauftragte Kelber. Derweil streitet die Regierung um Datenschutzabbau und Hintertüren in Messengern. Diese könnten aber auch von Kriminellen genutzt werden, warnt Kelber. (Überwachung, Instant Messenger) […]

Auf Drängen des Kanzleramts verzichtet Berlin auf ein Verbot der chinesischen Mobilfunk-Technik. Koalitionspolitiker kritisieren die Entscheidung. (5G, Datenschutz) […]

In China soll es ab Dezember Telefonnummern oder Internet-Anschlüsse nur noch mit Identitätsfeststellung per Gesichtserkennung geben. Eine entsprechende Regelung wurde kürzlich erlassen und soll auch für bereits registrierte Anschlüsse gelten. (Gesichtserkennung, Datenschutz) […]

Nach einem weltweiten Stopp möchte Apple die Sprachbefehle der Siri-Nutzer wieder auswerten - diesmal jedoch mit expliziter Zustimmung durch den Nutzer. Das gilt allerdings nur für Audioaufnahmen, die in Text umgewandelten Mitschnitte möchte Apple weiter ungefragt auswerten. (Siri, Apple) […]

Mit einer präparierten SMS können Daten aus dem Mobiltelefon ausgelesen werden. Die Sicherheitsfirma Adaptive Mobile hat den Simjacker genannten Angriff entdeckt und die betroffenen Staaten veröffentlicht. Demnach nutzte in drei Ländern eine Überwachungsfirma die Lücke aktiv aus. (Sicherheitslücke, Malware) […]

Schon vor der ersten Nutzereingabe hat die Gesundheitsapp Ada Daten an die Tracker von Amplitude und Facebook übermittelt. Später gab sie sogar Symptome weiter. Der Hersteller behauptet jedoch, keine Daten mit Dritten zu teilen. (Tracking, Datenschutz) […]

E-Mail-Adressen, Nutzernamen und Passwörter von rund 330.000 Nutzern stehen zum Verkauf. Ein Angreifer konnte die Daten bei einem niederländischen und einem italienischen Escort-Forum über eine Sicherheitslücke in der Forensoftware auslesen. Kriminelle könnten die Betroffen erpressen. (Datenleck, Datenschutz) […]

Das Aufladen von Elektroautos an einer öffentlichen Ladesäule kann bisweilen teuer sein. Golem.de hat mit dem Ladenetzbetreiber Allego über die Tücken bei der Ladeinfrastruktur und den schwierigen Kunden We Share gesprochen. (Ladesäule, RFID) […]

Nicht nur die Sprachbefehle an die Sprachassistentin Alexa werden transkribiert, auch die Videoaufnahmen von Amazons Cloud Cam werden von Mitarbeitern ausgewertet. Laut Amazon werden die Aufnahmen freiwillig eingereicht, ehemalige Mitarbeiter zweifeln jedoch daran. (Amazon, Datenschutz) […]

Die COM-Schnittstelle ist eines der ältesten Bestandteile von Windows. Als Teil der Suche nach sicheren Sprachen gibt es nun eine quelloffene COM-Bibliothek von Microsoft, die in Rust geschrieben wurde. (Microsoft, Programmiersprache) […]

Unternehmen mit kleinem Geldbeutel verzichten häufig auf eine Firewall. Das sollten sie aber nicht tun, wenn ihnen die Sicherheit ihres Netzwerks wichtig ist. (Datensicherheit, Spam) […]

Eigentlich sollte sie nur die Sicherheit erhöhen, doch Twitter nutzte die Zwei-Faktor-Telefonnummer auch zu Werbezwecken, darunter gezielte Nutzer-Ansprachen von Unternehmen. Es ist nicht das erste Mal, dass Twitter Probleme mit Telefonnummern oder 2FA hat. (Twitter, Datenschutz) […]

Google plant, dass der Chrome-Browser künftig Mixed Content in Webseiten komplett blockiert. Das heißt, HTTP-Subressourcen können dann nicht mehr in HTTPS-Seiten geladen werden. (Chrome, Google) […]

Das Fraunhofer SIT hat eine Sicherheitslücke im eingestellten Twitterkit entdeckt, die nicht mehr geschlossen werden soll. Über diese kann ein Man-in-the-Middle-Angriff durchgeführt werden. Einige iOS-Apps verwenden die Software noch, um auf Tweets zuzugreifen oder einen Login mit Twitter anzubieten. (Twitter, API) […]

Die Desktop-App des Messengers Signal darf nicht auf Rechnern von EU-Abgeordneten installiert werden, stattdessen verweist die IT-Abteilung auf Whatsapp. Bei diesem Anbieter werden die Metadaten jedoch mit Facebook und Drittanbietern geteilt. (Europaparlament, Instant Messenger) […]

Mussten sich Nutzer früher Enigmail und GnuPG installieren, soll Thunderbird bald alles, was man zur Verschlüsselung von E-Mails mit PGP braucht, mitbringen. Das bedeutet aber auch das Ende von Enigmail in Thunderbird. (OpenPGP, Thunderbird) […]

Nicht nur GPS-Tracker und Kameras sind Teil des chinesischen Klassenraumexperiments der Zukunft. Schüler tragen Stirnbänder, die Gehirnaktivitäten messen. Lehrer und Eltern können so immer sehen, wie sich Kinder im Unterricht verhalten. Diese EEG-Messungen sind allerdings fehleranfällig. (Gesichtserkennung, KI) […]

Für die Teilnahme an einem Minispiel bekamen Freiwillige einen Gutschein über 5 US-Dollar. Dass es sich dabei um einen Gesichtsscan im Auftrag von Google handelte, wurde ihnen verheimlicht. Mit den Scans soll eine neue Funktion für das Pixel 4 realisiert werden. (Google, Datenschutz) […]

Erstmals haben die USA mit einem anderen Staat den schnellen Austausch von elektronischen Beweismitteln vereinbart. Großbritannien akzeptiert den Zugriff von US-Behörden "ohne rechtliche Hürden". (Polizei, Instant Messenger) […]

Ein Fehler in Signal ermöglicht es, einen Sprachanruf aufzubauen, ohne dass der Empfänger diesen annehmen muss. Damit könnten Personen belauscht werden. Ein Update steht bereit. (Signal, Android) […]

Facebooks Bemühungen um einen besseren Datenschutz scheinen nicht allen Regierungen zu gefallen. Die USA, Großbritannien und Australien wollen weiterhin Zugriff auf Textnachrichten haben. Das beschütze "unsere Kinder", heißt es in einem Brief an Mark Zuckerberg. (Datenschutz, Instant Messenger) […]

Googles Project Zero berichtet über einen Bug im Linux-Kernel, mit dem sich Android-Telefone angreifen lassen. Laut Google wird offenbar ein Exploit für den Bug bereits aktiv ausgenutzt. Pikant: Gefunden wurde der Bug bereits 2017 - von Google selbst. (Android, Google) […]

Die kürzlich angekündigten Echo-Produkte bringen Amazons Sprachassistentin Alexa auf die Straße und damit Datenschutzprobleme in die U-Bahn oder in bisher Alexa-freie Wohnzimmer. Mehrere Landesdatenschutzbeauftragte haben Golem.de erklärt, ob und wie die Geräte eingesetzt werden dürfen. (Amazon Alexa, Amazon) […]

Ein ehemaliger Yahoo-Mitarbeiter hat vor Gericht zugegeben, auf Tausende private Konten von Yahoo-Nutzern zugegriffen zu haben. Über diese soll er auch an die Daten bei anderen Anbietern gelangt sein. Sein Ziel: intime Bilder und Videos. (Yahoo, Internet) […]

Ein Redakteur von XDA Developers hat wohl aus Versehen eine neue Version der Personal-Safety-App von Google erhalten, mit der im Falle eines Autounfalls automatisch Hilfe gerufen werden kann. Mit den Sensoren eines Smartphones soll ein Unfall erkannt werden. (Google, Android) […]

Der Europäische Gerichtshof hat den Datenschutz im Internet gestärkt. Er fordert eine aktive Einwilligung der Nutzer beim Setzen und Abrufen von Cookies. Technische Cookies sind nicht betroffen. (Cookies, Datenschutz) […]

Eine Versicherungsgruppe bietet Autofahrern einen Rabatt bei ihrer Kfz-Versicherung, wenn diese eine Dashcam ins Auto einbauen. Der Preisnachlass ist beträchtlich. (Auto, Datenschutz) […]

Wie Simjacker kann auch die Schadsoftware Wibattack Daten aus dem Mobiltelefon ausleiten. Auch hier kommt die Schadsoftware per SMS und läuft auf der SIM-Karte, sie nutzt allerdings eine andere Sicherheitslücke. (SIM-Karte, Telekom) […]

Passwortgeschützte PDF-Dateien bieten wenig Sicherheit. Ein Angreifer, der die Dateien manipulieren kann, kann dafür sorgen, dass deren Inhalt geleakt wird. Abhilfe gibt es nicht, dafür müsste das Dateiformat geändert werden. (PDF, Technologie) […]

Ein Abkommen zwischen den USA und Großbritannien soll der Polizei den einfacheren Zugriff auf die Social-Media-Plattformen ermöglichen. Das Abkommen enthält jedoch mehrere Beschränkungen und soll bereits im Oktober unterzeichnet werden. (Whatsapp, Instant Messenger) […]

Insbesondere im Vergleich zu Datensätzen von US-Bürgern rufen Kriminelle im Darknet ein Vielfaches für europäische Daten auf. […]

Angreifer könnten verschiedene Netzwerkgeräte und Software von Cisco attackieren und schlimmstenfalls die Kontrolle übernehmen. […]

Der Fingerabdruckscanner des Galaxy S10 verträgt sich nicht mit inoffiziellen Display-Schutzfolien – und lässt im Zweifelsfall jeden Finger zu. […]

Eine neue Funktion soll Malware daran hindern die Windows-Schutzlösung Microsoft Defender zu deaktivieren. Das Feature soll nun standardmäßig aktiv sein. […]

Die Kreditkartenbetrüger-Szene ist angeschlagen: Unbekannte haben die Datenbank des Umschlagplatz BriansClub kopiert und an diversen Stellen veröffentlicht. […]

Forscher entdecken Crypto-Miner und Backdoors, die sich in WAV-Dateien verstecken. […]

Facebook winkt mit Belohnungen für das aktive Aufspüren und Melden von sicherheitsrelevanten Problemen -- auch bei Dritt-Herstellern. […]

Es gibt wichtige Updates, die eine gefährliche Schwachstelle in VMware Cloud Foundations und Harbor Container Registry for PCF schließen. […]

Eine offenbar aus Asien stammende Gruppe versucht, macOS-Maschinen zu übernehmen, hat der bekannte Sicherheitsforscher Patrick Wardle entdeckt. […]

Das Webinterface von Ada, das eine US-Gesundheitsfirma nutzt, sendet nach wie vor Krankheitsdaten an Amplitude – trotz anders lautender Beteuerungen. […]

Ein Signaturupdate für Endpoint Protection von Symantec hat auf Windows-Systemen einen Blue Screen of Death ausgelöst. Nun gibt es ein Update. […]

Das Content Management System WordPress ist in einer aktualisierten Version erschienen, in der die Entwickler mehrere Sicherheitslücken geschlossen haben. […]

Im Linux-Tool sudo schlummerte über Jahre ein fataler Bug. Allerdings lässt sich das Problem nur in wenigen Installationen ausnutzen. […]

Es gibt abgesicherte Versionen von unter anderem Fusion Middleware und NoSQL Database, in denen Oracle kritische Sicherheitslücken geschlossen hat. […]

Außerdem gibt es auch Updates für den Experience Manager, Experience Manager Forms und den Adobe Download Manager. […]

Have you considered a career in Cybersecurity? It is a fast-paced, highly dynamic field with a huge number of specialties to choose from, including forensics, endpoint security, critical infrastructure, incident response, secure coding, and awareness and training. In addition, a career in cybersecurity allows you to work almost anywhere in the world, with amazing benefits and an opportunity to make a real difference. However, the most exciting thing is you do NOT need a technical background, anyone can get started. […]

Privacy settings on social networks have limited value. They are confusing to configure and change often. Ultimately, if you do not want your parents or boss reading it, do not post it. […]

Be careful: the more information you post online about yourself, the easier it is for a cyber attacker to target you and create custom attacks against you or your organization. […]

When shopping online, always use your credit cards instead of a debit card. If any fraud happens, it is far easier to recover your money from a credit card transaction. Gift cards and one-time-use credit card numbers are even more secure. […]

[…]

More and more scams and attacks are happening over the phone. Whenever you get an urgent phone call on the phone pressuring you to do something (such as a caller pretending to be the tax department or Microsoft Tech Support) be very suspicious. It's most likely a scammer trying to trick you out of money or pressure you into making a mistake. Protect yourself, simply hang up the phone. You are not being rude, the person on the other line is trying to take advantage of you. […]

[…]

[…]

[…]

[…]

[…]

[…]

[…]

[…]

[…]

[…]

[…]

[…]

[…]

[…]

[…]

[…]

[…]

[…]

[…]

[…]

[…]

[…]

[…]

[…]

[…]

[…]

[…]

[…]

[…]

[…]

[…]

[…]

[…]

[…]

[…]

[…]

[…]

[…]

[…]

[…]

[…]

[…]

[…]

[…]