IT-Sicherheit

Ein gespaltener US-Kongress könnte dazu führen, dass Gesetze zur Kontrolle von Google oder Facebook in den USA keine Mehrheit finden. Doch das könnte für die IT-Konzerne sogar zum Nachteil werden.

Die vergleichsweise neue VPN-Technik Wireguard entsteht unter anderem für den Linux-Kernel und soll dort endlich eingepflegt werden. Das zuständige Team hat darüber hinaus nun eine erste experimentelle Version einer Wireguard-App für iOS vorgestellt.

Um Nutzer vor eventuellen Angriffen zu schützen, führt Google einen Prüfalgorithmus ein, der vor der Anmeldung mit dem Konto ausgeführt wird. Das erfordert jedoch, dass Kunden dazu Javascript einschalten.

Eine Sicherheitslücke ermöglicht Angreifern das Ausführen von Schadcode auf iOS-Geräten der Opfer per Facetime-Anruf. Apple hat die Lücke geschlossen, ebenso wie verschiedene Kernel-Bugs, einen Fehler in einem wichtigen Primzahlentest in MacOS und iOS und eine Spectre-Variante behoben.

Microsoft bewirbt seine Antivirensoftware Windows Defender als erste kostenlose Software mit Sandbox. Dadurch ist sie vom Betriebssystem abgeschottet, was eine Ausnutzung von erhöhten Rechten erschwert, die ein solches Programm benötigt. Momentan befindet sich die Funktion noch in einer Testphase.

16 zivilgesellschaftliche Organisationen und Verbände haben Wirtschaftsminister Peter Altmaier und mehrere seiner Kollegen aufgefordert, in Brüssel die geplante E-Privacy-Verordnung voranzutreiben und so gegen "aufdringliche und missbräuchliche Praktiken auf dem digitalen Markt vorzugehen".

Nach Beschwerden über eine Sicherheitslücke in der Berliner Polizeidatenbank Poliks hat die Berliner Datenschutzbeauftragte Maja Smoltczyk das System überprüft und die interne Passwortrichtlinie beanstandet.

Eine Sicherheitslücke in der kabellosen Kransteuerung Telecrane F25 ermöglicht es, Signale mitzuschneiden und mit diesen anschließend den Kran fernzusteuern. Ein Sicherheitsupdate steht bereit.

Eine Sicherheitslücke im Displayserver X.org erlaubt unter bestimmten Umständen das Überschreiben von Dateien und das Ausweiten der Benutzerrechte. Der passende Exploit passt in einen Tweet.

Von dem Datenleck im Buchungssystem von British Airways waren deutlich mehr Kunden betroffen als bisher bekannt. Die Fluggesellschaft rät betroffenen Kunden, ihre Bank zu kontaktieren. Kreditkarten werden in diesem Fall häufig komplett ausgetauscht.

Im Skandal um Cambridge Analytica hat die britische Datenschutzbehörde die Höchststrafe von 500.000 Pfund verhängt. Facebook habe einen schweren Verstoß gegen geltendes Recht zugelassen.

Wolf Intelligence verkauft Schadsoftware an Staaten. Eine Sicherheitsfirma hat sensible Daten des Unternehmens öffentlich zugänglich im Internet gefunden. In einer Präsentation wurden die Funde gezeigt.

Wichtige Patches, die in stabilen Kernel-Versionen landen sollten, werden von der Linux-Community oft vergessen oder übersehen. Abhilfe schaffen soll offenbar Machine Learning, wie die Entwickler Sasha Levin und Julia Lawall erklären.

Um zu erreichen, dass Hersteller von Android-Smartphones Googles monatliche Sicherheitsupdates auch auf ihre Geräte bringen, soll Google eine neue Vorgabe machen: Die Updates müssen zwei Jahre lang regelmäßig verteilt werden, sonst droht Google mit Problemen bei der Veröffentlichung künftiger Geräte.

Der Security-Entwickler Alexander Popov berichtet auf dem Open Source Summit von seiner Zusammenarbeit mit der Linux-Kernel-Community. Er fühle sich dabei wie zwischen Mühlsteinen zermalmt. Das liege wohl auch daran, dass die Community zwischen normalen Menschen und Security-Leuten trenne.

Ein jQuery-Plugin erlaubt es, unter bestimmten Bedingungen PHP-Dateien auf den Server zu laden und auszuführen. Das Problem sitzt jedoch tiefer: Viele Webapplikationen bauen auf den Schutz von Apaches .htaccess-Dateien. Der ist jedoch häufig wirkungslos.

In der Python-Paketverwaltung PyPi wurde eine Software gefunden, die versucht, Bitcoin-Adressen in der Windows-Zwischenablage zu manipulieren. Dabei versuchten die Autoren des Pakets colourama, Verwechslungen von US-englischer und britischer Schreibweise auszunutzen.

Facebook reagiert auf die jüngsten Datenskandale mit der Kaufabsicht einer großen Sicherheitsfirma. Der ehemalige britische Vize-Premierminister wird außerdem Facebooks neuer PR-Chef. Das soziale Netzwerk versucht Vertrauen zurückzugewinnen.

Laser könnten Daten von Satelliten viel besser übertragen als Radiowellen. Aber was tun bei schlechtem Wetter? Forscher aus der Schweiz haben einen Weg gefunden und machen sich dabei jahrzehntealte Forschung zunutze.

In Eigenregie entwickelte ein Berliner Polizist eine Software, die seit 15 Jahren im Land Berlin eingesetzt wird. Das Problem: Das Programm stürzt häufig ab, und da der Beamte mittlerweile in Pension ist, sind Updates schwierig umsetzbar.

Die aktuelle Version 6.4 des Betriebssystems OpenBSD deaktiviert automatisch Hyperthreading auf Intel-Chips. Ein neuer Systemaufruf verschleiert Dateisystemzugriffe, was direkt für den eigenen Hypervisor genutzt wird. Das Team hat außerdem viel Hardware-Unterstützung hinzugefügt.

Update Update: Dieser Artikel beruhte auf einem Irrtum, wir haben ihn entfernt.

Dürfen Vermieter noch die Namen ihrer Mieter auf die Klingel schreiben? In der Debatte um die Auswirkungen der Datenschutzgrundverordnung gibt es nun eine Klarstellung.

Mit einfachsten Mitteln können aus Routern von D-Link Zugangsdaten ausgelesen oder Code ausgeführt werden. Die Sicherheitslücken wurden veröffentlicht, Patches jedoch nicht.

Durch ein Update können Epson-Drucker nur noch mit originalen Tintenpatronen drucken. Die EFF wendet sich an die texanische Staatsanwaltschaft. Der Vorwurf: Verbrauchertäuschung und Sicherheitsbedenken.

Mit der aktuellen Version 70 des Chrome-Browsers erhalten Nutzer die Wahl, ob der Google-Login an den Chrome-Login gekoppelt werden soll oder nicht. Außerdem gibt es nun PWAs auf Windows, TLS 1.3 und die Standardunterstützung für den AV1-Decoder.

Der Suchmaschinenhersteller Google reagiert auf die zunehmende Bedeutung der Elektromobilität. Die neue Anzeige von Ladestationen auf Google Maps kann mit einem anderen Angebot jedoch nicht konkurrieren.

Eine sehr schwerwiegende Sicherheitslücke in der Bibliothek LibSSH erlaubt es Angreifern, die Authentifizierung beim Login zu überspringen. Doch die Auswirkungen dürften begrenzt sein: Kaum jemand nutzt LibSSH für Server.

Trotz Updates klafft eine Sicherheitslücke in Hundertausenden Mikrotik-Routern. Ein Hacker nimmt sich dieser an: Er dringt ungefragt in die Router ein und schließt die Lücke. Die Aktion ist umstritten.

Durch eine Sicherheitslücke in der Pretty-Easy-Privacy-Funktion hat die Thunderbird-Erweiterung Enigmail manchmal unverschlüsselte E-Mails versendet, die eigentlich verschlüsselt sein sollten. Die Ursache wurde gefunden und das Problem behoben.

Die neue Bundesbehörde Zitis sucht immer noch händeringend nach Hackern. Von den geplanten Haushaltsmitteln sollen Hochleistungsrechner angeschafft werden, um Verschlüsselung zu knacken.

In einer gemeinsamen Aktion kündigen die vier großen Browserhersteller an, dass sie die TLS-Versionen 1.0 und 1.1 im Jahr 2020 nicht mehr unterstützen wollen.

Mit Pacbot legt T-Mobile seine Policy-as-Code-Plattform offen. Diese bemerkt und behebt zum Teil Verstöße gegen Compliance- und Security-Richtlinien auf Cloudplattformen. Zunächst läuft Pacbot in AWS.

Besitzer eines mit Face ID gesperrten iPhones können in den USA zum öffnen ihres Gerätes gezwungen werden. Mit jedem Blick von Polizisten schwinden jedoch die Login-Versuche.

Der Wahl-O-Mat zu den Landtagswahlen in Bayern und Hessen wird auch von mehreren Medienpartnern angeboten. Diese verwenden allerdings zahlreiche Tracker. Die Bundeszentrale für politische Bildung (bpb) sieht sich nicht in der Verantwortung.

Schlechte Nachrichten für Millionen Facebook-Nutzer: Das soziale Netzwerk hat den Angriff auf seine Nutzerkonten untersucht. Danach hatten die Angreifer Zugriff auf 30 Millionen Konten, inklusive vertraulicher Informationen wie Kontaktdaten, Nutzerverhalten und Freundeslisten.

Obwohl bei der Entwicklung von TLS 1.3 versucht wurde, Probleme mit bestehenden fehlerhaften Geräten zu vermeiden, gibt es beim Start erneut Schwierigkeiten. Verantwortlich dafür: Vorab-Versionen von OpenSSL und Geräte von Cisco und Palo Alto Networks.