Feeds zu allgemeiner IT-Sicherheit/-Security

Dovecot ist ein Open Source IMAP und POP3 E-Mail Server. Ein entfernter, anonymer Angreifer kann eine Schwachstelle in Dovecot ausnutzen, um einen Denial of Service Angriff durchzuführen.

Der Prozessor ist das zentrale Rechenwerk eines Computers. Ein entfernter, anonymer oder authentisierter Angreifer kann mehrere Schwachstellen in Intel Prozessoren ausnutzen, um seine Privilegien zu erhöhen, einen Denial of Service Angriff durchzuführen oder vertrauliche Daten einzusehen.

Der Kernel stellt den Kern des Linux Betriebssystems dar. Ein lokaler Angreifer kann mehrere Schwachstellen im Linux Kernel ausnutzen, um Informationen offenzulegen und weitere, nicht spezifizierte, Auswirkungen zu erzielen.

Der Kernel stellt den Kern des Linux Betriebssystems dar. Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen im Linux Kernel ausnutzen, um einen Denial of Service Angriff durchzuführen.

Der Kernel stellt den Kern des Linux Betriebssystems dar. Ein lokaler Angreifer kann eine Schwachstelle im Linux Kernel ausnutzen, um beliebigen Programmcode mit den Rechten des Dienstes auszuführen oder einen Denial of Service Zustand zu verursachen.

Der Kernel stellt den Kern des Linux Betriebssystems dar. Ein lokaler Angreifer kann eine Schwachstelle im Linux Kernel ausnutzen, um beliebigen Programmcode mit den Rechten des Dienstes auszuführen oder einen Denial of Service Zustand zu verursachen.

OpenBSD ist ein Unix-artiges Betriebssystem, abgeleitet von BSD-Unix. Ein lokaler Angreifer kann eine Schwachstelle in OpenBSD ausnutzen, um seine Privilegien zu erhöhen.

libssh ist eine C Bibliothek für das Anbieten von SSH Diensten auf Client- und Serverseite. Sie kann genutzt werden, um aus der Ferne Programme auszuführen, Dateien zu übertragen oder als sicherer und transparenter Tunnel für entfernte Programme genutzt werden. Ein entfernter, authentisierter Angreifer kann eine Schwachstelle in libssh ausnutzen, um beliebigen Programmcode auszuführen.

iTunes ist ein Multimedia-Verwaltungsprogramm von Apple zum Abspielen, Konvertieren, Organisieren und Kaufen von Musik, Filmen und Spielen.

Xen ist ein Virtueller-Maschinen-Monitor (VMM), der Hardware (x86, IA-64, PowerPC) für die darauf laufenden Systeme (Domains) paravirtualisiert. Ein lokaler Angreifer kann mehrere Schwachstellen in Xen ausnutzen, um einen Denial of Service Angriff durchzuführen Informationen offenzulegen oder seine Rechte zu erweitern.

Symantec Messaging powered by Brightmail ist eine Messaging-Sicherheitslösung, die den Schutz ein- und ausgehender Nachrichten mit Technologien für Spam- und Virenschutz, Content Filtering, Data Loss Prevention und E-Mail-Verschlüsselung verbessert. Ein Angreifer aus dem angrenzenden Netzbereich kann eine Schwachstelle in Symantec Messaging Gateway ausnutzen, um Sicherheitsvorkehrungen zu umgehen und um einen Cross-Site-Scripting- oder SSRF-Angriff durchzuführen.

Red Hat OpenShift ist eine "Platform as a Service" (PaaS) Lösung zur Bereitstellung von Applikationen in der Cloud. Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Red Hat OpenShift Service Mesh ausnutzen, um beliebigen Programmcode auszuführen, seine Rechte zu erweitern, Informationen offenzulegen oder einen Denial of Service zu verursachen.

Firefox ist ein Open Source Web Browser. ESR ist die Variante mit verlängertem Support. Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Mozilla Firefox und Mozilla Firefox ESR ausnutzen, um beliebigen Programmcode auszuführen, seine Privilegien zu erhöhen, Informationen offenzulegen oder einen Denial of Service Zustand zu verursachen.

Der Kernel stellt den Kern des Linux Betriebssystems dar. Hostapd (Host Access Point Daemon) ist eine Software, mit der eine Netzwerkkarte als Access Point und Authentifizierungsserver fungieren kann. Ein anonymer Angreifer aus dem angrenzenden Netzbereich kann mehrere Schwachstellen im Linux Kernel und in hostapd ausnutzen, um einen Denial of Service Angriff durchzuführen.

Drupal ist ein freies Content-Management-System, basierend auf der Scriptsprache PHP und einer SQL-Datenbank. Über zahlreiche Extensions kann der Funktionsumfang der Core-Installation individuell erweitert werden. Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Drupal ausnutzen, um beliebigen Programmcode auszuführen, Sicherheitsvorkehrungen zu umgehen oder einen Cross-Site-Scripting-Angriff durchzuführen.

iTunes ist ein Multimedia-Verwaltungsprogramm von Apple zum Abspielen, Konvertieren, Organisieren und Kaufen von Musik, Filmen und Spielen. Ein entfernter, anonymer Angreifer kann eine Schwachstellen in Apple iTunes ausnutzen, um seine Privilegien zu erhöhen, beliebigen Programmcode ausführen oder Informationen offenlegen.

Der Kernel stellt den Kern des Linux Betriebssystems dar. Ein entfernter, anonymer Angreifer kann eine Schwachstelle im Linux Kernel ausnutzen, um Informationen offenzulegen.

Der Kernel stellt den Kern des Linux Betriebssystems dar. Ein lokaler Angreifer kann mehrere Schwachstellen im Linux Kernel ausnutzen, um einen Denial of Service Angriff durchzuführen, beliebigen Programmcode auszuführen, Informationen offenzulegen oder Sicherheitsvorkehrungen zu umgehen.

Strongswan ist eine IPSec Implementierung für verschiedene Unix Derivate. Debian ist eine Linux-Distribution, die ausschließlich Freie Software enthält. Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in strongSwan ausnutzen, um Sicherheitsvorkehrungen zu umgehen.

Der Kernel stellt den Kern des Linux Betriebssystems dar. Ein lokaler Angreifer kann eine Schwachstelle im Linux Kernel ausnutzen, um beliebigen Programmcode auszuführen oder einen Denial of Service Zustand hervorzurufen.

Samba ist eine Open Source Software Suite, die Druck- und Dateidienste für SMB/CIFS Clients implementiert. Ein entfernter, authentisierter Angreifer kann mehrere Schwachstellen in Samba ausnutzen, um einen Denial of Service Angriff durchzuführen oder Sicherheitsvorkehrungen zu umgehen.

Photoshop ist eine Bildbearbeitungssoftware von Adobe.

Apple macOS ist ein Betriebssystem, das auf FreeBSD und Mach basiert.

Die Virtualisierungssoftware von VMware ermöglicht die simultane Ausführung von verschiedenen Betriebssystemen auf einem Host-System.

Thunderbird ist ein Open Source E-Mail Client.

Firefox ist ein Open Source Web Browser. ESR ist die Variante mit verlängertem Support.

Trend Micro Internet Security ist eine Firewall und Antivirus Lösung. Trend Micro AntiVirus ist eine Anti-Viren-Software.

Das Android Betriebssystem von Google ist eine quelloffene Plattform für mobile Geräte. Die Basis bildet der Linux-Kernel.

Kaspersky ist ein Hersteller von Antivirus Software. Kaspersky Software wird auch in den Produkten vieler anderer Hersteller eingesetzt. Kaspersky Total Security ist ein Sicherheitspaket mit Antivirus und Firewall und mit zusätzlichen Funktionen zur Verschlüsselung und integriertem Passwortmanager

Kaspersky ist ein Hersteller von Antivirus Software. Kaspersky Software wird auch in den Produkten vieler anderer Hersteller eingesetzt. Kaspersky Total Security ist ein Sicherheitspaket mit Antivirus und Firewall und mit zusätzlichen Funktionen zur Verschlüsselung und integriertem Passwortmanager

Zum Ende des Windows-7-Supports wird auch das kostenlose Antivirenprogramm Microsoft Security Essentials eingestellt. Da hilft auch der erweiterte Support nicht weiter. Ein Umstieg auf andere Anbieter ist daher wohl unvermeidbar. (Security Essentials, Microsoft)

Ein bösartiges Git-Repository kann von Angreifern unter Umständen dazu genutzt werden, Code auf Client-Rechnern auszuführen. Diese und einige weitere Lücken sind auf Eigenheiten von Windows zurückzuführen und von Microsoft gefunden worden. (Git, Microsoft)

Ein Ausschluss von Huawei vom Aufbau des 5G-Netzes bedeutet nach Darstellung des Vodafone-Sicherheitschefs jahrelange Verzögerungen für die Provider. Zudem benötigten die Geräte der Konkurrenz deutlich mehr Strom. (Vodafone, Huawei)

Das Portal Berlin.de verbindet Tracking und einen Termin beim Einwohnermeldeamt, Privates und Staatliches. Die neuen Eigentümer nennen es einen "Schatz", die Datenschutzbeauftragte "absolut inakzeptabel". (Tracking, Datenschutz)

Die aktuelle Version 79 von Chrome warnt Nutzer aktiv vor gehackten Zugangsdaten und fordert dazu auf, diese zu ändern. Außerdem wird der Phishing-Schutz deutlich ausgeweitet. (Chrome, Google)

Äußerlich unterscheidet es nicht viel von einem sauberen Android 10 - nur die Google-Apps fehlen. Doch im Inneren von GrapheneOS stecken einige Sicherheitsfunktionen. Wir haben den Nachfolger von Copperhead OS ausprobiert. (AOSP, Android)

In einer Software für Arztpraxen ist der Updateprozess ungeschützt über eine Rsync-Verbindung erfolgt. Der Hersteller der Software versucht, Berichterstattung darüber zu verhindern. (Medizin, Server)

Der Telekomanbieter 1&1 hat nach Ansicht des Bundesdatenschutzbeauftragten seine Kundendaten nicht ausreichend geschützt. Das Unternehmen kritisiert nun die Bußgeldregelung der deutschen Datenschutzbehörden. (DSGVO, Datenschutz)

Nach der Aufnahme des angepassten Krypto-Codes ist auch die VPN-Technik Wireguard in einen wichtigen Entwicklungszweig des Linux-Kernels eingepflegt worden. Wireguard erscheint damit im kommenden Frühjahr wohl erstmals mit Linux 5.6. (Linux-Kernel, Linux)

Durch eine gezielte Analyse und Manipulation von TCP-Paketen könnten Angreifer eigene Daten in VPN-Verbindungen einschleusen und diese so übernehmen. Betroffen sind fast alle Unix-artigen Systeme sowie auch VPN-Protokolle. Ein Angriff ist in der Praxis wohl aber eher schwierig. (Security, Server)

Einwohner der niederländischen Gemeinde Gouda können sich ihre WLAN-Überwachungskameras subventionieren lassen. Kleiner Haken: Sie müssen die Bilder per Cloud für die Polizei zugänglich machen. (Videoüberwachung, WLAN)

Das auf Sicherheit fokussierte Betriebssystem OpenBSD hat eine Sicherheitslücke geschlossen, mit der sich die Authentifizierung auch aus der Ferne umgehen lässt. Das betrifft den SMTP-, LDAP- und Radius-Daemon. (OpenBSD, Sicherheitslücke)

Die Gesundheitsapp Ada hat Nutzereingaben an Facebook und Aplitude übermittelt. Die Techniker Krankenkasse konnte dies nicht ausräumen und stellt nun ihre Kooperation mit Ada ein. Das freut den Entdecker: Er hofft, dass die Gesundheitsbranche endlich wachgerüttelt wird. (Medizin, Datenschutz)

Der IT-Konzern Google erweitert seinen Aktionsradius in das Gesundheitswesen. Mit der Fitbit-Übernahme und Deepmind-Projekten zur Analyse von Patientendaten stellen sich aber Datenschutzfragen. (Google, Datenschutz)

Forscher haben auf einem Rechencluster eine 795 Bit große Zahl faktorisiert. Das RSA-Verschlüsselungs- und Signaturverfahren basiert darauf, dass Faktorisierung schwierig ist. Für die praktische Sicherheit von RSA mit modernen Schlüssellängen hat dieser Durchbruch heute aber wenig Bedeutung. (Wissenschaft, Technologie)

Das iPhone 11 Pro erlaubt es Nutzern, für jede App und jeden Systemdienst explizit die Standortlokalisierung zu deaktivieren. Ganz ausschalten lässt sich diese aber nicht: Apple zufolge gibt es Dienste, die immer Zugriff auf den Standort haben. (iPhone 11, Apple)

Erster Erfolg für die klagenden Journalisten: Das Bundesverfassungsgericht will sich zwei Tage lang mit der Auslandsüberwachung des BND befassen. (BND, Datenschutz)

Legt die EU-Kommission einen neuen Vorschlag zur E-Privacy-Verordnung vor, weil sich die Mitgliedstaaten nicht einigen können? Der neue EU-Kommissar Breton will eine entsprechende Behauptung später nicht so gemeint haben. (E-Privacy, Datenschutz)

Ein nichtöffentliches CVS-Repository, FTP-Downloads, defekte Links, Diskussionen übers Usenet: Der Mailserver Sendmail zeigt alle Anzeichen eines problematischen und in der Vergangenheit stehengebliebenen Softwareprojekts. (E-Mail, Server-Applikationen)

Zusätzlich zur Verwendung der Programmiersprache Rust erforscht Microsoft eine eigene sichere Sprache, die für Infrastruktur genutzt werden soll. Das Project Verona soll bald Open Source sein. (Microsoft, Programmiersprache)

In Frankreich und der Schweiz gibt es sie schon, in Deutschland sucht man noch danach: Messenger für die Bundesbehörden. Der Bundesdatenschutzbeauftragte schlägt vor, sich an der französischen Lösung zu orientieren, während die Bundespolizei mit XMPP experimentiert. (Instant Messenger, Datenschutz)

Unter Android können sich Schad-Apps als legitime Apps tarnen und weitere Berechtigungen anfordern. Die Strandhogg genannte Sicherheitslücke wird bereits aktiv ausgenutzt und eignet sich beispielsweise für Banking-Trojaner. Einen Patch gibt es nicht. (Android, Google)

Dass Überwachungskameras nicht legal eingesetzt werden, ist keine Seltenheit. Ob aus Nichtwissen oder mit Absicht: Werden Privatsphäre oder Datenschutz verletzt, gehören die Kameras weg. Doch dazu müssen sie erst mal entdeckt, als legal oder illegal ausgemacht und gemeldet werden. (Überwachung, Datenschutz)

Die Informatikerin Saskia Esken und der frühere NRW-Minister Norbert Walter-Borjans sollen künftig die SPD führen. Das stärkt die Netzpolitik in der SPD, könnte aber ein Ende der großen Koalition im Bund bedeuten. (Netzpolitik, Google)

Mit dem SMS-Nachfolger RCS werden SMS und Telefonanrufe über das Internet abgewickelt - mit einem vorgegebenen Passwort. Mit diesem können auch klassische SMS unbemerkt mitgelesen werden. Eine entsprechende Konfigurationsdatei lässt sich von jeder App empfangen. (Joyn, Datenschutz)

Viele bekannte Online-Plattformen erfüllen die Datenschutz-Grundverordnung nur unzureichend. Die Anbieter müssten dringend nacharbeiten, fordert Justizstaatssekretär Billen. (DSGVO, Google)

Ist die E-Privacy-Verordnung endgültig gescheitert? Nachdem sich die EU-Mitgliedstaaten wieder nicht auf einen Vorschlag einigen konnten, droht zumindest eine weitere jahrelange Verzögerung. Datenschutzjuristen zeigen sich ratlos. (E-Privacy, Datenschutz)

Mit dem Nitrokey Fido2 ist erstmals passwortloses Anmelden mit Webauthn möglich. Auch eine starke Zwei-Faktor-Authentifizierung unterstützt der nun offiziell veröffentlichte Sicherheitsschlüssel. Eine Besonderheit ist die aktualisierbare Firmware, die er sich mit den Solokeys teilt. (Webauthn, Datenschutz)

Zugeparkte Ladesäulen und erhöhte Stromkosten: Berlins einziger Taxifahrer mit Elektroauto hadert mit der Elektromobilität. Der Berliner Senat will inzwischen stärker gegen die Fehlnutzung durch Carsharing-Anbieter vorgehen. (Elektroauto, RFID)

Datenschutzvorfall bei Oneplus: Der Smartphone-Hersteller weist darauf hin, dass Kundendaten in falsche Hände gelangt sind. Das ist bereits der zweite Vorfall in zwei Jahren. (Oneplus, Smartphone)

Facebook bietet schon seit längerem Gesichtserkennung für die Nutzer seines sozialen Netzes an. Das Unternehmen hat zudem vor einigen Jahren eine Smartphone-App entwickelt, um Facebook-Nutzer auf der Straße zu erkennen. Die App war laut Facebook nur ein Test und nicht zur Veröffentlichung gedacht. (Facebook, Smartphone)

Als Teil des Project Zero erklärt Google nun erstmals die Suche nach 0-Day-Lücken. Geholfen hat im Fall einer Kernel-Lücke etwa auch Marketing-Material des Exploit-Verkäufers. Die Community soll mithelfen. (Security, Google)

Nur zwei von 13 getesteten Smartwatches haben in einer Übersicht der Stiftung Warentest mit "Gut" abgeschnitten. In Armbändern der Uhren von Samsung, Swisstone und Xyle haben die Prüfer den Schadstoff Bisphenol A gefunden. (Smartwatch, Apple)

Über die Kamera-Apps von Google und Samsung konnten andere Apps auch ohne eine entsprechende Berechtigung Bild- und Tonaufnahmen erstellen. Auch ein Zugriff auf GPS und das Mitschneiden von Telefongesprächen war möglich. Andere Hersteller könnten ebenfalls betroffen sein. (Android, Google)

Die Debatte um Huawei geht weiter, während die Netzbetreiber bereits 5G-Netze mit deren Technik errichten. (Huawei, Datenschutz)

Der Elektronikhändler Conrad meldet, dass ein Angreifer Zugang zu Kundendaten und Kontonummern gehabt habe. Grund dafür war eine ungesicherte Elasticsearch-Datenbank. (Elasticsearch, Datenbank)

Was ist das Hacken einer Bank gegen die Gründung einer Bank? Dieses abgewandelte Brecht-Zitat scheint das Motto von Phineas Fisher zu sein. Mit dem erbeuteten Geld will er antikapitalistische Hacks anstiften. (Hackback, Datenschutz)

Die Ransomware Nextcry verschlüsselt die Daten im Cloudspeicher von Nextcloud-Installationen. Auf den Server gelangt sie nicht über die Nextcloud, sondern über eine bereits gepatchte Sicherheitslücke in PHP. (Malware, PHP)

Statt der eigenen Kryptobibliothek Zinc wird das neue Wireguard-VPN künftig die Krypto-API des Linux-Kernels verwenden. Die notwendigen Anpassungen dazu sind nun im Kernel gelandet. (Linux-Kernel, Linux)

Unter dem Druck der Datenschutz-Grundverordnung (DSGVO) kommt Microsoft den europäischen Kunden peu à peu entgegen. Wenn sich Windows 10 nicht datenschutzkonform nutzen lässt, könnten Behörden auf Open-Source-Programme umsteigen. (Windows 10, Microsoft)

Im Netz des Krankenhauses treibt offenbar ein Trojaner sein Unwesen. Das Klinikum hat sich von der Notfallversorgung abgemeldet.

Mit dem Support für Windows 7 endet auch der MSE-Support. Auch Nutzer des ESU-Programms müssen auf alternative Schutzsoftware umsteigen.

Anti-Tracking-Techniken von Browsern lassen sich für Tracking missbrauchen, warnt Apple – nach einem Hinweis von Google.

Mittels lokalem Zugriff oder Malware hätten sich Angreifer Root-Rechte unter OpenBSD 6.5 und 6.6 verschaffen können. Die Lücke wurde zügig gefixt.

Wer sein Smartphone mit Windows 10 Mobile weiter benutzen möchte sollte wissen, dass ab sofort keine Sicherheitslücken mehr geschlossen werden.

Der unpatchbare Exploit ist ein "Durchbruch" für das Erfassen "digitaler Beweise", so Cellebrite. Auch auf gesperrte iPhones sei begrenzter Zugriff möglich.

Am vergangenen Montag konnten Miles-and-More-Kunden zeitweise vertrauliche Daten anderer, zeitgleich im Portal eingeloggter Kunden sehen.

Der von den Machern der Ransomware "Ryuk" bereitgestellte Decryptor macht große Dateien mitunter kaputt, statt sie zu entschlüsseln.

Die Verlagsgruppe Mairdumont ist Opfer von Hackern geworden. Davon sind verschiedene Onlineshops und wahrscheinlich die dort hinterlegten Kundendaten betroffen.

Die Deepfake Detection Challenge ist ein Wettbewerb für Techniken, die mit Machine Learning erstellte Fälschungen identifizieren.

Mit Verweis auf eine Urheberrechtsverletzung hat Apple versucht, die Verbreitung des Keys zu stoppen – zog die DMCA-Beschwerde dann aber zurück.

Der Verfassungsgerichtshof in Österreich hat Teile des "Sicherheitspakets" von ÖVP und FPÖ gekippt. Unter anderem ist der Bundestrojaner verfassungswidrig.

Eine Schwachstelle in Apples Kommunikationsdienst FaceTime erlaubt, Code einzuschleusen. Auch ältere iPhones erhalten ein Update.

Seit Montag kämpft die CG Car-Garantie Versicherungs AG mit den Folgen eines bislang nicht näher bezeichneten Cyberangriffs.

Google hat in der aktuellen Chrome-Version mehrere Sicherheitslücken geschlossen. Außerdem soll der Browser nun effektiver u.a. vor Phising-Websites warnen.

A password is only as secure as the computer or network it is used on. As such, never log in to a sensitive account from a public computer, such as computers in a cyber cafe, hotel lobby or conference hall. Bad guys target public computers such as these and infect them on purpose. The moment you type your password on an infected computer, these cyber criminals can harvest your passwords.

The number one step for protecting your mobile device is making sure it has a strong screenlock on it so only you can access it.

Have you considered a career in Cybersecurity? It is a fast-paced, highly dynamic field with a huge number of specialties to choose from, including forensics, endpoint security, critical infrastructure, incident response, secure coding, and awareness and training. In addition, a career in cybersecurity allows you to work almost anywhere in the world, with amazing benefits and an opportunity to make a real difference. However, the most exciting thing is you do NOT need a technical background, anyone can get started.

If you have kids with mobile devices, create a central home charging station in your bedroom. Before the kids go to bed at night, have them put their mobile devices there so they are not tempted to play with them when they should be sleeping.

When shopping online, always use your credit cards instead of a debit card. If any fraud happens, it is far easier to recover your money from a credit card transaction. Gift cards and one-time-use credit card numbers are even more secure.