Security-Alert

Apple: MacOS weiter für Sudo-Lücke verwundbar

Apple hat die trivial ausnutzbare Sicherheitslücke in Sudo offenbar noch nicht in MacOS behoben. Darauf weisen Sicherheitsforscher hin.

/ 10 Kommentare

Unzureichende Fixes für Lücken führen dazu, dass später ähnliche Bugs in Angriffen ausgenutzt werden. (Bild: Piqsels) (Piqsels)

Sicherheitslücken: Unzureichende Bugfixes führen zu Zerodays

Googles Project Zero hat Angriffe mit Zeroday-Exploits analysiert. In einem Viertel der Fälle ähneln diese deutlich früheren, bereits geschlossenen Bugs.

/ 2 Kommentare

Seminar: Penetration Testing Fundamentals: virtueller Zwei-Tage-Workshop

zum Kurs

E-Learning: Linux-Befehlszeile für Anfänger:innen - Der Einstieg in die Welt der Linux-Befehlszeile (E-Learning)

zum Kurs

Seminar: Kurs: KI Use Cases für den Mittelstand

zum Kurs

IT Service und Incident Manager (m/w/d) Simon Hegele Gesellschaft für Logistik und Service mbH, Karlsdorf-Neuthard,Homeoffice (öffnet im neuen Fenster)

Service - Monteur Rechenzentrum (w/m/d) im Großraum Aachen und deutschlandweit Rosenberger OSI, Aachen (öffnet im neuen Fenster)

Projektleiter (m/w/d) Verwaltung / ERP-Systeme Landesapothekerkammer Hessen, Frankfurt am Main (öffnet im neuen Fenster)

Fachadministrator (m/w/d) für First-Level-Support Personaleinsatzplanungssysteme - E 6 TV-L Berliner Feuerwehr, Berlin (öffnet im neuen Fenster)

Service Owner IT Asset & Contract Management (ServiceNow) (m/w/d) enercity Netz GmbH, Hannover (öffnet im neuen Fenster)

IT Service Owner - Cloud & Infrastructure enercity Netz GmbH, Hannover (öffnet im neuen Fenster)

Mitarbeit in der Systemadministration Leibniz Universität Hannover Dezernat 2 - Personal und Recht 21.23, Hannover (öffnet im neuen Fenster)

Gruppenleiter (m/w/d) Produktmanagement Data Driven Business Solutions EPLAN GmbH & Co. KG, (öffnet im neuen Fenster)

Die Sicherheit von GnuPG ist immer wieder Kritik ausgesetzt. (Bild: darkday, flickr.com) (darkday, flickr.com)

Verschlüsselung: GPG muss endlich weg

Das Team von GnuPG missachtet grundlegende Sicherheitspraktiken und reagiert bei Hinweisen obendrein pampig. Zum Glück gibt es Ersatz.

/ 160 Kommentare / Ein IMHO von Sebastian Grüner

In der Verschlüsselungsbibliothek Libgcrypt wurde offenbar ein schwerer Fehler gefunden, ihr Autor warnt vor der Benutzung der aktuellen Version. (Bild: Fæ, Wikimedia Commons) (Fæ, Wikimedia Commons)

Libgcrypt: Warnung vor schwerem Fehler in GnuPG-Kryptobibliothek

Update Die jüngste Version der Verschlüsselungsbibliothek Libgcrypt, die unter anderem von GnuPG verwendet wird, soll eine schwere Sicherheitslücke haben.

/ Kommentare

IT-Sicherheit ist wichtig, an der Umsetzung hapert es jedoch. (Bild: Ryan McGuire/Pixabay) (Ryan McGuire/Pixabay)

IT-Sicherheitsgesetz: "BSI wird zum Ersatz-Nachrichtendienst"

Doch das IT-Sicherheitsgesetz 2.0 löse die Probleme nicht, kritisierte die Opposition in einer Bundestagsdebatte. Es sei sogar kontraproduktiv.

/ Kommentare

Security: Speicherfehler in Sudo ermöglicht Root-Rechte

Die Lücke in Sudo ist trivial ausnutzbar und dürfte jede aktuelle Linux-Distribution betreffen. Updates stehen bereit.

/ 58 Kommentare

Googles Threat Analysis Group berichtet über gezielte Angriffe auf Personen, die IT-Sicherhetislücken untersuchen. (Bild: Piqsels) (Piqsels)

Visual Studio: Angriff aus Nordkorea auf IT-Sicherheitsforscher

Google berichtet über gezielte Angriffe auf IT-Sicherheitsforscher, die mit einigem Aufwand erfolgten und möglicherweise eine unbekannte Chrome-Lücke nutzten.

/ 4 Kommentare

Bahnhof von Dalian: Nichts ging mehr. (Bild: Xiquinhosilva/Wikipedia) (Xiquinhosilva/Wikipedia)

Adobe: Flash-Abschaltung legt Züge in China lahm

Trotz des vor drei Jahren von Adobe angekündigten Endes von Flash ist die Software noch im Einsatz. Oder auch nicht.

/ 56 Kommentare

Seminar: LPIC-1 Vorbereitungskurs LPI 101 und LPI 102: virtueller Fünf-Tage-Workshop

zum Kurs

Seminar: KI-Bilderkennung in Python - Deep Learning mit Keras: virtueller Drei-Tage-Workshop

zum Kurs

Seminar: ITIL Foundation (Version 5): virtueller Zwei-Tage-Workshop

zum Kurs

Seminar: 1x1 des Schwachstellenmanagements: Vulnerabilities & Patches – Ein-Tages-Workshop

zum Kurs

Telemedizin an der Universitätsklinik Aachen im Januar 2021 (Bild: Ina Fassbender/AFP via Getty Images) (Ina Fassbender/AFP via Getty Images)

Digitalisierung: Papier löst nicht unsere Datenschutzprobleme!

Bessere Technologien statt alter Antworten: Auch im sensiblen Gesundheitsbereich können ausgedruckte Patientenakten nicht den Weg weisen.

/ 8 Kommentare / Ein IMHO von Peter Steinlechner

Einen Anspruch auf einen Papierersatz zur Plastikkarte haben Versicherte nicht. (Bild: Martin Wolf/Golem.de) (Martin Wolf/Golem.de)

Gericht: Kein Anspruch auf Papier-Alternative zur Gesundheitskarte

Absolute Datensicherheit könne es nicht geben, erwiderte das Gericht auf Datenschutz- und Sicherheitsbedenken der Kläger.

/ 8 Kommentare

Trojanische Pferde sind nicht leicht auf Endgeräten zu platzieren. (Bild: Pixabay) (Pixabay)

Untersuchungsbericht: Mehrere Fehler führten zu falscher Staatstrojaner-Statistik

Aus 53 wird 3: Die Statistiken zum Einsatz von Staatstrojanern wurden in Nordrhein-Westfalen völlig falsch erhoben.

/ 11 Kommentare

DNSpooq nennt sich eine Sammlung von Sicherheitslücken im DNS-Server Dnsmasq. (Bild: JSOF) (JSOF)

DNSpooq: Mehrere Sicherheitslücken in Dnsmasq

DNS-Spoofing und Buffer Overflows: In Dnsmasq wurden viele Schwachstellen entdeckt. Die Software kommt häufig in Embedded-Geräten zum Einsatz.

/ 5 Kommentare

Nicht überall, wo Sicherheit draufsteht, ist auch Sicherheit drin. (Bild: Pete Linforth/Pixabay) (Pete Linforth/Pixabay)

Antivirus: Das Jahr der unsicheren Sicherheitssoftware

Antivirus-Software soll uns eigentlich schützen, doch das vergangene Jahr hat erneut gezeigt: Statt Schutz gibt es Sicherheitsprobleme frei Haus.

/ 44 Kommentare / Von Moritz Tremmel

Über eine Schwachstelle in Windows 10 lässt sich das Dateisystem beschädigen. (Bild: Willfried Wende/Pixabay) (Willfried Wende/Pixabay)

Windows 10: Schwachstelle kann Dateisystem beschädigen

Mit einer bisher ungepatchten Schwachstelle im aktuellen Windows 10 lässt sich das Dateisystem über eine präparierte Datei beschädigen.

/ 8 Kommentare

Der CBM 8296 ist ein Nachfolger des PET 2001. (Bild: Montage: Golem) (Montage: Golem)

Podcast Besser Wissen: Der PET und die Demoszene

Bluetooth ist allgegenwärtig - und angreifbar. (Bild: Martin Wolf/Golem) (Martin Wolf/Golem)

Podcast Besser Wissen: Der Fokus auf mobile Security

Der Whirlwind wurde am MIT entwickelt. (Bild: Montage: Golem.de) (Montage: Golem.de)

Podcast Besser Wissen: Der digitale Wirbelwind

Der Elektor Junior Computer war in Europa sehr erfolgreich. (Bild: Wolfgang Robel / Montage: Golem) (Wolfgang Robel / Montage: Golem)

Podcast Besser Wissen: Eine Platine, viel Potenzial

Lara Croft, wie sie auf dem Cover des ersten Tomb Raider aussah. (Bild: Eidos / Montage: Golem) (Eidos / Montage: Golem)

Podcast Besser Wissen: Happy Birthday, Lara!

Der MUPID war viel mehr als ein BTX-Terminal. (Bild: Montage: Golem.de) (Montage: Golem.de)

Podcast Besser Wissen: Apps und Mail per BTX

Im US-Kapitol wird eine recht offene Sicherheitspolitik betrieben. (Bild: Pixabay.com) (Pixabay.com)

IT-Security: Beim Sturm auf das Kapitol wurde IT-Ausrüstung gestohlen

Die USA gehen von einem Risiko aus, das die nationale Sicherheit betrifft. IT-Experten haben viel Arbeit vor sich.

/ 87 Kommentare

Ein trojanisches Pferd (Bild: Ruth Archer/Pixabay) (Ruth Archer/Pixabay)

Staatstrojaner: Wenn Überwacher nicht wissen, was sie tun

Die Staatsanwaltschaften im Land haben es nicht geschafft, eine einfache Frage richtig zu beantworten. Dabei geht es um nichts Geringeres als den Staatstrojaner.

/ 9 Kommentare / Ein IMHO von Moritz Tremmel

Ein Swat-Einsatz der Polizei. (nachgestellt) (Bild: tommy pixel/Pixabay) (tommy pixel/Pixabay)

Swatting: Polizeieinsätze über gehackte Kameras gestreamt

Das FBI warnt vor Swatting, bei dem die Täter die teils gefährlichen Polizeieinsätze über gehackte Kameras verfolgen oder streamen.

/ 39 Kommentare

Monero-Mining benötigt weit weniger Schaufelradbagger und ist trotzdem für die Angreifer lukrativ. (Bild: Pixabay.com) (Pixabay.com)

Malware: Wurm macht Windows- und Linux-Server zu Monero-Minern

Die Schadsoftware nutzt offene Ports von Diensten wie MySQL aus und setzt darauf, dass sie mit schwachen Passwörtern gesichert sind.

/ 23 Kommentare

Microsoft zeigt sich nach dem Solarwinds-Vorfall weiterhin positiv. (Bild: Pixabay.com/Montage: Golem.de) (Pixabay.com/Montage: Golem.de)

Solarwinds: Angreifer hatten Zugriff auf Quellcode bei Microsoft

Microsoft beruhigt aber. Codeeinsicht sei schließlich in der eigenen Open-Source-Strategie normal. Die Solarwinds-Aktie fällt indes weiter.

/ 6 Kommentare

Wie impft man eigentlich Gesundheits-IT? (Bild: Mohamed Hassan/Pixabay) (Mohamed Hassan/Pixabay)

Gesundheits-IT: Tut mal kurz weh

rC3 Röntgenbilder auf ungeschützten Servern und aus dem Internet erreichbare Praxen: Die Gesundheits-IT hat viele Sicherheitsprobleme.

/ 7 Kommentare / Ein Bericht von Moritz Tremmel

Die Verschlüsselung soll aufgeweicht und umgangen werden. (Bild: TanteTati/Pixabay) (TanteTati/Pixabay)

Crypto Wars: Entschlüsselungspläne stehen schon in EU-Richtlinie

rC3 Gerade erst hat sich der EU-Ministerrat auf eine Umgehung der Ende-zu-Ende-Verschlüsselung geeinigt, da taucht sie schon in einer Richtlinie auf. Die Crypto Wars gehen also weiter.

/ 31 Kommentare / Ein Bericht von Moritz Tremmel

Bei einigen unvollständigen Patches muss nochmal nachgearbeitet werden. (Bild: Pixabay) (Pixabay)

Project Zero: Schlecht gepatchte Windows-Lücke weiter ausnutzbar

Eine aktiv ausgenutzte Sicherheitslücke in Windows ist trotz Hinweisen von Google und einem unzureichenden Patch immer noch nicht behoben.

/ 6 Kommentare

Contact Tracing in Aktion (Bild: Markus Winkler/Pixabay) (Markus Winkler/Pixabay)

Covid-19: Ist Contact Tracing mit Bluetooth eine gute Idee?

rC3 Normalerweise stellt Jiska Classen neue Bluetooth-Lücken vor. Auf dem rC3 erklärte sie hingegen, warum Bluetooth für Corona-Apps sinnvoll ist.

/ 9 Kommentare / Ein Bericht von Moritz Tremmel

Vor allem bei Ermittlungen gegen Drogendealer werden Staatstrojaner eingesetzt. (Bild: Michael Dalder/Reuters) (Michael Dalder/Reuters)

Staatstrojaner: Ermittler hacken jährlich Hunderte Endgeräte

Erstmals hat die Justiz eine Statistik zum Einsatz von Staatstrojanern veröffentlicht. Drei Bundesländer sind besonders aktiv.

/ 33 Kommentare

Die Regierung könnte Firmen wie Huawei vom 5G-Ausbau ausschließen. (Bild: Matthew Childs/Reuters) (Matthew Childs/Reuters)

IT-Sicherheitsgesetz: Regierung beschließt Regeln für kritische Infrastruktur

Update Die Bundesregierung macht den Herstellern und Betreibern kritischer IT-Strukturen neue Vorgaben. Doch mit ihrem Vorgehen verärgert sie die Verbände.

/ 6 Kommentare / Ein Bericht von Friedhelm Greis

Die EU-Staaten wollen auf verschlüsselte Inhalte zugreifen können. (Bild: Yves Herman/Reuters) (Yves Herman/Reuters)

Crypto Wars: EU-Staaten fordern Zugriff auf verschlüsselte Inhalte

Die EU-Mitgliedstaaten haben eine umstrittene Resolution zur Verschlüsselung von Kommunikation gebilligt. Deren Umsetzung dürfte schwierig werden.

/ 37 Kommentare

Das endgültige Aus kommt für den Flash Player am 12. Januar 2021. (Bild: geralt/Pixabay/Montage: Golem.de) (geralt/Pixabay/Montage: Golem.de)

Adobe Flash Player: Jetzt ist endgültig Schluss

Seit Jahren wird das Ende des Adobe Flash Players verkündet. Im Januar 2021 soll es tatsächlich so weit sein.

/ 21 Kommentare

Test mit automatisierter Gesichtserkennung am Berliner Bahnhof Südkreuz (Bild: Friedhelm Greis/Golem.de) (Friedhelm Greis/Golem.de)

Terrorbekämpfung: Neue Pläne gegen Verschlüsselung und für Gesichtserkennung

Im Kampf gegen den Terrorismus stört sich nun auch die EU-Kommission an verschlüsselter Kommunikation.

/ 12 Kommentare

Der Stand von Fireeye auf der Security-Messe Black Hat (Bild: David Becker/Reuters) (David Becker/Reuters)

IT-Security: Hacker klauen Hacking-Werkzeuge von Fireeye

Das Security-Unternehmen versucht nun, das Schlimmste zu verhindern und gibt Tipps gegen die eigenen Angriffswerkzeuge.

/ 7 Kommentare

Empfehlungen der NSA in Sachen IT-Sicherheit sollte man mit Vorsicht genießen, dem Ratschlag, ein wichtiges VMware-Update schnell zu installieren, kann man aber wohl bedenkenlos folgen. (Bild: National Security Agency, Wikimedia Commons) (National Security Agency, Wikimedia Commons)

Command Injection: NSA warnt vor VMware-Lücke

Der US-Geheimdienst NSA sieht russische Akteure hinter Angriffen auf eine Sicherheitslücke in VMware-Produkten

/ 10 Kommentare

Salesforce gibt gefährliche Ratschläge, weil die eigenen Services darauf angewiesen sind, unsichere Inhalte auf HTTPS-Webseiten zu laden. (Bild: Raysonho/Wikimedia Commons) (Raysonho/Wikimedia Commons)

Mixed Content: Salesforce empfiehlt Nutzern unsichere Browser

Seiten von Salesforce haben Probleme mit Mixed Content, doch statt diese zu beheben, gibt die Firma gefährliche Ratschläge.

/ 4 Kommentare / Von Hanno Böck

Trojanische Pferde sind aufwendig zu bauen. (Bild: Royalbroil) (Royalbroil)

Verschlüsselung: Bundesregierung räumt Probleme mit Staatstrojanern ein

Weil die Überwachung durch Staatstrojaner zu schwierig ist, setzt die Regierung auf neue "Lösungsvorschläge". Doch Experten sind skeptisch.

/ 3 Kommentare

Microsoft stufte eine extrem kritische Sicherheitslücke im Desktop-Client von Teams in die niedrigste Kategorie seines Bugbounty-Programms ein. (Bild: Dcoetzee, Wikimedia Commons) (Dcoetzee, Wikimedia Commons)

Sicherheitslücke: Remote Code Execution in Microsoft Teams

Im Desktop-Client von Microsoft Teams fand sich eine extrem kritische Sicherheitslücke, aber Microsoft hat das Problem heruntergespielt.

/ 1 Kommentare

Treffen sich zwei Androiden ... (Bild: andrekheren/Pixabay) (andrekheren/Pixabay)

Android: Viele Apps verwenden Google-Bibliothek mit Sicherheitslücke

Die Lücke wurde bereits im März gepatcht, dennoch setzen viele Apps ältere Versionen ein. Mit ihr lassen sich beispielsweise Messenger-Nachrichten auslesen.

/ 4 Kommentare

Der Project-Zero-Exploit zeigt beeindruckend, was Speicherfehler für Probleme verursachen können. (Bild: Martin Wolf/Golem.de) (Martin Wolf/Golem.de)

Project Zero: Exploit zeigt Komplettübernahme von iPhones per WLAN

Ohne Bugfix hätten iPhones vollständig per WLAN ausgelesen werden können - über eine triviale Lücke. Apple hat den Fehler bereits behoben.

/ 4 Kommentare

Der Messenger Threema setzt auf Ende-zu-Ende-Verschlüsselung. (Bild: Thomas Ulrich/Pixabay) (Thomas Ulrich/Pixabay)

Threema-Chef: Hintertüren können kein gesellschaftliches Problem lösen

Eine Schwächung der Messenger-Verschlüsselung kriminalisiere Millionen Menschen, betont Threema. Backdoors seien ausgeschlossen.

/ 29 Kommentare

Die Entschlüsselungspläne der Bundesregierung werden viel kritisiert. (Bild: Sanam Maharjan/Pixabay) (Sanam Maharjan/Pixabay)

Überwachung: JU-Politiker warnen vor Entschlüsselungsplänen der CDU

Eine Initiative innerhalb der Jungen Union warnt die CDU vor einer erneuten "digitalen Katastrophe" wie bei Artikel 13 der Urheberrechtsreform.

/ 26 Kommentare

Amazon, EU, Open Access: Sonst noch was?

Was am 26. November 2020 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

/ Kommentare

Über eine Sicherheitslücke konnte herausgefunden werden, wer hinter einem Gamertag steckt. (Bild: Mohamed Hassan/Pixabay) (Mohamed Hassan/Pixabay)

Datenleck: Xbox-Lücke ermöglichte Auslesen von E-Mail-Adressen

Die E-Mail-Adressen von anderen Xbox-Nutzern konnten über einen einfachen Trick ausgelesen werden.

/ Kommentare

Tesla Model X (Symbolbild): 5.500 US-Dollar Belohnung von Tesla (Bild: Werner Pluta/Golem.de) (Werner Pluta/Golem.de)

Sicherheit: Auch der Schlüssel für Teslas Model X lässt sich hacken

Ein Team aus Belgien hat bereits zwei Mal das Schließsystem von Tesla überlistet. Was beim Model S möglich ist, geht auch beim Model X.

/ 27 Kommentare

Vom heimischen Küchentisch aus nahm Verteidigungsministerin Ank Bijleveld an dem Treffen teil. (Bild: twitter.com/MinBijleveld) (twitter.com/MinBijleveld)

EU-Videokonferenz: Journalist dringt in Treffen von Verteidigungsministern ein

Wieder einmal ein Beispiel dafür, dass man seine privaten Zugangsdaten nicht aus Versehen in den sozialen Medien posten sollte.

/ 55 Kommentare

Wer da wohl alles am anderen Ende lauscht? (Bild: Stefan Kuhn/Pixabay) (Stefan Kuhn/Pixabay)

Sicherheitslücke: Facebook-Messenger erlaubt Belauschen von Nutzern

Ein Fehler im Facebook Messenger unter Android ermöglichte es, einen Sprachanruf aufzubauen, ohne dass der Empfänger diesen annehmen muss.

/ 2 Kommentare

In der Serverkomponente der Corona-Warn-App wurde eine Remote Code Execution gefunden. (Bild: Bundesregierung) (Bundesregierung)

CodeQL: Github findet Sicherheitslücke in Corona-Warn-App-Server

Das Sicherheitsteam von Github hat eine Remote Code Execution im Server-Code der Corona-Warn-App gefunden

/ 26 Kommentare

Ob an dieser Videokonferenz auch Geister teilnehmen? (Bild: Alexandra_Koch/Pixabay) (Alexandra_Koch/Pixabay)

Cisco Webex: Geister können unautorisiert an Videokonferenzen teilnehmen

In Ciscos Videokonferenzsoftware Webex konnten Eindringlinge an Meetings teilnehmen - ohne in der Teilnehmerliste aufzutauchen.

/ 3 Kommentare

Ein Schlüssel für die Polizei? (Bild: Mahesh Patel/Pixabay) (Mahesh Patel/Pixabay)

Überwachung: EU-Innenminister wollen Verschlüsselung umgehen

Die Polizei soll an alle Informationen kommen, die sie benötigt - auch wenn sie verschlüsselt sind. Damit würde allerdings die E2E-Verschlüsselung abgeschafft.

/ 122 Kommentare

Ein Bugfix für eine Sicherheitslücke in der von Libreoffice verwendeten Bibliothek Raptor kam über Jahre bei Linux-Anwendern nicht an. (Bild: Benjamint444, Wikimedia Commons) (Benjamint444, Wikimedia Commons)

Linux-Distributionen: Warum ein Sicherheitsfix drei Jahre nicht ankam

Ein Buffer Overflow in der Bibliothek Raptor zeigt, wie es bei Linux-Distributionen im Umgang mit Sicherheitslücken manchmal hakt.

/ 19 Kommentare / Von Hanno Böck

Boeing 737, Angular: Sonst noch was?

Was am 12. November 2020 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

/ 2 Kommentare

Ein gebrochener Schlüssel schließt nicht mehr richtig. (Bild: Musicaline) (Musicaline)

Crypto Wars: Die Quadratur des Verschlüsselungskreises

Die Regierung will Messengerdienste selbst über den Zugriff auf verschlüsselte Inhalte entscheiden lassen. Doch die Anbieter stehen vor unlösbaren Problemen.

/ 15 Kommentare / Eine Analyse von Friedhelm Greis und Moritz Tremmel

Videokonferenz: FTC verlangt Sicherheitsverbesserungen bei Zoom

Über Jahre hatte Zoom mit falschen Angaben zur Sicherheit geworben. Die FTC verpflichtet das Unternehmen nun zu mehr Sicherheit statt einer Strafe.

/ 5 Kommentare

Kurse

Podcast Besser Wissen