Security-Alert

MGM Grand Hotel in Las Vegas (Bild: RJA1988/Pixabay) (RJA1988/Pixabay)

Hacker-Forum: Daten von 10,6 Millionen Hotelgästen veröffentlicht

Nach einem Datenleck bei der Hotel- und Casinokette MGM sind die persönlichen Daten von Millionen Hotelgästen an die Öffentlichkeit gelangt. Unter den Betroffenen sind auch bekannte Persönlichkeiten wie Justin Bieber und Jack Dorsey.

/ 5 Kommentare

Citrix vertreibt Netzwerk-Hardware. (Bild: OpenClipart-Vectors/Pixabay) (OpenClipart-Vectors/Pixabay)

Datenleck: Citrix informiert Betroffene über einen Hack vor einem Jahr

Sechs Monate hatten Angreifer Zugriff auf das interne Netz Citrix und konnten dabei umfangreich Daten kopieren. Mitbekommen hatte der Netzwerkdienstleister den Angriff erst nach einem Hinweis des FBI. Rund ein Jahr später informiert Citrix nun die Betroffenen - zumindest in den USA.

/ 5 Kommentare

Seminar: Ausbildung: KI-Spezialist (TÜV)

zum Kurs

E-Learning: IT Sicherheitstests und Ethical Hacking mit Kali Linux (E-Learning)

zum Kurs

Seminar: IT-Grundschutz-Praktiker mit Zertifikat: Drei-Tage-Workshop

zum Kurs

Teamleitung IT Server Operations & Azure Cloud (m/w/d) Simon Hegele Gesellschaft für Logistik und Service mbH, Karlsdorf-Neuthard,Homeoffice (öffnet im neuen Fenster)

Support Information Security Risk Management / IT-Compliance (w/m/d) HUK-COBURG Versicherungsgruppe, Coburg (öffnet im neuen Fenster)

Expert (m/w/d) Analytics LIMS Merz Lifecare, Frankfurt am Main (öffnet im neuen Fenster)

R&D Hardware Qualifications Ingenieur (m/f/d) Advantest Europe GmbH, Böblingen (öffnet im neuen Fenster)

Referent Daten- und Prozessmanagement in der Energiewirtschaft (m/w/d) Thyssengas GmbH, Dortmund (öffnet im neuen Fenster)

Teil-Projektleitung Infrastruktur im Stabsprojekt SAP S/4HANA (w/m/d) Berliner Wasserbetriebe, Berlin (öffnet im neuen Fenster)

Bachelor Informatik (m/w/d) für IT-Sicherheit Technische Universität München (TUM), Garching (öffnet im neuen Fenster)

Head of Global IT Transformation & Program Management (m/w/d) Jumo GmbH & Co. KG, Fulda (öffnet im neuen Fenster)

Und plötzlich sind alle Daten weg: Ein Wordpress-Plugin der Firma Themegrill hat eine gefährliche Sicherheitslücke. (Bild: Heiko Tobien/Wikimedia Commons) (Heiko Tobien/Wikimedia Commons)

Sicherheitslücke: Wordpress-Plugin Themegrill löscht Datenbank

Update Ein Wordpress-Plugin hat eine Funktion, mit der man die komplette Datenbank neu aufsetzen kann. Das Problem dabei: Diese Funktion lässt sich auch ohne Authentifizierung erreichen - und ermöglicht in manchen Fällen ein Übernehmen des Wordpress-Systems.

/ 19 Kommentare

Patienten von Schönheitsoperationen werden davon nicht amüsiert sein. (Bild: Photo by Vidal Balielo Jr. from Pexels) (Photo by Vidal Balielo Jr. from Pexels)

Gesichter, Körper, Operationen: Patientendaten von Schönheits-OPs in ungeschützter Datenbank

Das französische Unternehmen Nextmotion hat wichtige Daten seiner Kunden in einer komplett offenen Datenbank abgelegt. Angreifer konnten darauf per IP-Adresse zugreifen. Dazu gehörten Hunderttausende Bilder von Gesichtern und Körperregionen von Patienten, die sich einer Schönheitsoperation unterzogen hatten.

/ 16 Kommentare

Jann Horn beschreibt einen vermeidbaren Fehler von Samsung und zieht daraus Schlüsse für das Android-Ökosystem. (Bild: Samsung) (Samsung)

Google: Android-Hersteller bauen Fehler in Security-Funktionen ein

Mit eigenen Änderungen der Android-Gerätehersteller am Kernel und an Sicherheitsfunktionen schleichen sich auch vermeidbare Fehler ein, schreibt ein Google-Entwickler. Grund sei die fehlenden Zusammenarbeit mit der Linux-Kernel-Community.

/ 12 Kommentare

Microsoft hat eine Vielzahl Sicherheitslücken geschlossen und warnt vor einer Zero-Day-Lücke im IE. (Bild: Tony Webster, flickr.com) (Tony Webster, flickr.com)

Zero-Day: Microsoft warnt vor kritischen Lücken in IE und Edge

Im mittlerweile dritten Anlauf warnt Microsoft vor einer kritischen Sicherheitslücke im Internet Explorer, die aktiv ausgenutzt wird. Eine weitere kritische Lücke in Edge ermöglicht ebenfalls das Ausführen von Code. Das Unternehmen hat zudem eine Vielzahl anderer Lücken geschlossen.

/ Kommentare

Chinesische Hacker sollen in Equifax-Server eingedrungen sein. (Bild: Tami Chappell/Reuters) (Tami Chappell/Reuters)

Militär-Hacker: USA klagen vier Chinesen wegen Equifax-Hack an

Hinter dem Hack des US-Scoring-Dienstes Equifax stehen nach Ansicht von US-Ermittlern chinesische Militär-Hacker. Mehrere Monate lang sollen sie eine Sicherheitslücke in Apache Struts ausgenutzt haben.

/ 3 Kommentare

Cisco hat Lücken in seinen Geräten geschlossen. (Bild: GABRIEL BOUYS/AFP via Getty Images) (GABRIEL BOUYS/AFP via Getty Images)

CDPwn: Fehler in Cisco-Protokoll ermöglicht Codeausführung

Mehrere Sicherheitslücken in Cisco-Geräten ermöglichen es Angreifern, im Netzwerk Schadcode auszuführen. Die Lücke betrifft wohl Millionen von Geräten und könnte in Verbindung mit weiteren Lücken gravierende Folgen haben.

/ 3 Kommentare

Seminar: LPIC-1 Vorbereitungskurs LPI 101 und LPI 102: virtueller Fünf-Tage-Workshop

zum Kurs

Seminar: ISO 27001 Foundation: 2-Day Virtual Seminar (English)

zum Kurs

Seminar: KI-Einsatz in der IT-Sicherheit: Pentesting, Schwachstellenscans, Reporting – virtueller Zwei-Tage-Workshop

zum Kurs

Seminar: 1x1 des Schwachstellenmanagements: Vulnerabilities & Patches – Ein-Tages-Workshop

zum Kurs

Bluetooth-Kopfhörer lassen sich auch mit Audiokabeln nutzen, was die Gefahr für Angriffe reduziere, sagen die Sicherheitsforscher. (Bild: Dirk Haun, flickr.com) (Dirk Haun, flickr.com)

Google: Bluetooth-Lücke in Android ermöglicht Codeausführung

Mit den Februar-Updates für Android schließt Google eine Sicherheitslücke im Bluetooth-Stack, die das Ausführen von Code durch Angreifer ermöglicht. Dazu müssen diese nur in der Nähe der Geräte sein. Weitere Fehler in Android ermöglichen die Rechteausweitung.

/ 22 Kommentare

Sicherheitslücke in Whatsapp Desktop (Bild: Maret Hosemann/Pixabay) (Maret Hosemann/Pixabay)

Sicherheitslücke: Dateien auslesen mit Whatsapp Desktop

Über präparierte Whatsapp-Nachrichten konnte ein Sicherheitsforscher auf lokale Dateien unter Windows und MacOS zugreifen. Der Angriff funktionierte, da Whatsapp Desktop auf einer völlig veralteten Version von Chrome basiert hat - mit weiteren Sicherheitslücken.

/ 6 Kommentare

Private Videos auf Google Fotos gespeichert? Dann könnten diese bei anderen Nutzern im Datenexport gelandet sein. (Bild: Phil Roeder/Wikimedia Commons) (Phil Roeder/Wikimedia Commons)

Google Fotos: Google exportierte fremde Privatvideos

Für einen kurzen Zeitraum im November hat ein Bug bei Google Fotos dafür gesorgt, dass beim Export der persönlichen Daten Videos vertauscht wurden. Einige Nutzer erhielten Zugriff auf die Privatvideos von anderen.

/ 11 Kommentare

Protest für Demokratie in Hong Kong. (Bild: Anthony Kwan/Getty Images) (Anthony Kwan/Getty Images)

Winnti: Wenn eine APT protestierende Studenten angreift

Bisher hatte es die Hackergruppe Winnti auf Unternehmen wie Bayer oder Siemens abgesehen, nun haben sich die Ziele verändert. Statt Wirtschaftsspionage geht die APT gegen protestierende Studenten in Hong Kong vor.

/ 16 Kommentare

Avast trackt die Nutzer über ein Browserplugin und verkauft die Daten. (Bild: Mohamed Hassan/Pixabay) (Mohamed Hassan/Pixabay)

Datenverkauf: Avast überwacht den Browser und verkauft Nutzerdaten

Update Mittels eines Browserplugins überwacht die Anti-Viren-Software Avast die Internetnutzung seiner Anwender bis hin zu Suchen auf Pornowebseiten. Die detaillierten Informationen werden anschließend an Firmen wie Microsoft und Google verkauft.

/ 94 Kommentare

Das Internet der Dinge (Symbolbild) (Bild: Jeferrb/Pixabay) (Jeferrb/Pixabay)

Großbritannien: Gesetz soll für mehr IoT-Sicherheit sorgen

Standard-Passwörter, fehlende Sicherheitsupdates - IoT-Geräte haben immer wieder mit Sicherheitsproblemen zu kämpfen. Großbritannien stellt in einem Gesetzesentwurf Sicherheitsanforderungen. Erfüllen Geräte die Vorgaben nicht, dürfen sie laut den Plänen nicht mehr verkauft werden.

/ 7 Kommentare

Der CBM 8296 ist ein Nachfolger des PET 2001. (Bild: Montage: Golem) (Montage: Golem)

Podcast Besser Wissen: Der PET und die Demoszene

Bluetooth ist allgegenwärtig - und angreifbar. (Bild: Martin Wolf/Golem) (Martin Wolf/Golem)

Podcast Besser Wissen: Der Fokus auf mobile Security

Der Whirlwind wurde am MIT entwickelt. (Bild: Montage: Golem.de) (Montage: Golem.de)

Podcast Besser Wissen: Der digitale Wirbelwind

Der Elektor Junior Computer war in Europa sehr erfolgreich. (Bild: Wolfgang Robel / Montage: Golem) (Wolfgang Robel / Montage: Golem)

Podcast Besser Wissen: Eine Platine, viel Potenzial

Lara Croft, wie sie auf dem Cover des ersten Tomb Raider aussah. (Bild: Eidos / Montage: Golem) (Eidos / Montage: Golem)

Podcast Besser Wissen: Happy Birthday, Lara!

Der MUPID war viel mehr als ein BTX-Terminal. (Bild: Montage: Golem.de) (Montage: Golem.de)

Podcast Besser Wissen: Apps und Mail per BTX

Supportdatenbank mit Kundendaten von Microsoft im Netz (Bild: Toshiyuki IMAI) (Toshiyuki IMAI)

Datenleck: Microsoft-Datenbank mit 250 Millionen Support-Fällen im Netz

Rund einen Monat konnte auf eine Datenbank des Microsoft-Supports über das Internet zugegriffen werden. Die Fälle reichen bis in das Jahr 2005 zurück.

/ 15 Kommentare

Die Firmware von Netgear-Routern enthält private Schlüssel für TLS-Zertifikate. (Bild: Netgear) (Netgear)

TLS: Netgear verteilt private Schlüssel in Firmware

Sicherheitsforscher haben private Schlüssel für TLS-Zertifikate veröffentlicht, die Netgear mit seiner Router-Firmware verteilt. Der Hersteller hatte nur wenige Tage Reaktionszeit. Die Forscher lehnen die Praktiken von Netgear prinzipiell ab, was zur Veröffentlichung geführt hat.

/ 127 Kommentare

Sicherheitsexperte und Kryptograph Bruce Schneier (Bild: Terry Robinson) (Terry Robinson)

Bruce Schneier: "Es ist zu spät, um 5G wirklich sicher zu machen"

Die Diskussion um Huawei und China greift laut dem Kryptographen Bruce Schneier zu kurz. Vielmehr habe 5G zentrale Sicherheitsprobleme, die nicht mehr gelöst werden könnten.

/ 37 Kommentare

Ob dieser Router auch auf der Liste steht? (Bild: moebiusdream/Pixabay) (moebiusdream/Pixabay)

Datenleck: Passwörter zu 515.000 Servern und IoT-Geräten veröffentlicht

Der Betreiber eines DDoS-Dienstes hat eine lange Liste mit Zugangsdaten und IP-Adressen von Servern, Routern und IoT-Geräten veröffentlicht. Die Daten könnten zum Aufbau eines Botnetzwerkes missbraucht werden - oder um die Geräte zu zerstören.

/ 21 Kommentare

Microsoft hatte seine Parkhäuser offen im Netz. (Bild: Mike Mozart) (Mike Mozart)

Sicherheitslücken: Microsoft-Parkhäuser ungeschützt im Internet

Eigentlich sollte die Parkhaussteuerung nicht aus dem Internet erreichbar sein. Doch auf die Parkhäuser am Microsoft-Hauptsitz in Redmond konnten wir problemlos zugreifen. Nicht das einzige Sicherheitsproblem auf dem Parkhaus-Server.

/ 16 Kommentare / Von Moritz Tremmel

Tschechische Darstellerin mit offiziellen Dokumenten (Bild: VPNmentor) (VPNmentor)

Datenleck: Ausweiskopien von Pornodarstellern ungeschützt im Netz

Eine Pornofirma hat die Vertragsdaten mit ihren Darstellern ungeschützt im Netz gelassen. Rund 4.000 Darsteller sind von dem umfangreichen Datenleck betroffen. Das Missbrauchspotenzial sei hoch, schreiben die Entdecker.

/ 41 Kommentare

Patch Tuesday: Windows patzt bei Zertifikatsprüfung

Eine Lücke in der Zertifikatsvalidierung von Windows ermöglicht es, die Codesignaturprüfung auszutricksen und TLS-Verbindungen anzugreifen. Zudem gibt es eine Sicherheitslücke im Remote Desktop Gateway.

/ 8 Kommentare

Seit Freitag sind Exploits für die Shitrix-Lücke öffentlich verfügbar - wer jetzt noch verwundbar ist, kann davon ausgehen, dass die Systeme bereits kompromittiert sind. (Bild: Screenshot Exploit / Hanno Böck) (Screenshot Exploit / Hanno Böck)

Shitrix: Das Citrix-Desaster

Eine Sicherheitslücke in Geräten der Firma Citrix zeigt in erschreckender Weise, wie schlecht es um die IT-Sicherheit in Behörden steht. Es fehlt an den absoluten Grundlagen.

/ 126 Kommentare / Ein IMHO von Hanno Böck

Cable Haunt: Millionen Kabelmodems von Sicherheitslücke betroffen

Viele Kabelrouter und -modems mit Broadcom-Chip lassen sich mit der Sicherheitslücke Cable Haunt übernehmen. Die Entdecker schätzen, dass allein in Europa 200 Millionen Geräte betroffen sind.

/ 47 Kommentare

Netscaler-Geräte der Firma Citrix sind zur Zeit extrem gefährdet - über die Perl-Template-Engine lässt sich trivial Code ausführen. (Bild: Alexey Komarov, Wikimedia Commons) (Alexey Komarov, Wikimedia Commons)

Perl-Injection: Citrix-Geräte mit schwerer Sicherheitslücke und ohne Update

Geräte aus der Netscaler-Serie der Firma Citrix sind für eine Remote-Code-Execution-Lücke anfällig, die sich sehr leicht ausnutzen lässt. Ein Update gibt es bislang nicht, Nutzer müssen die Konfiguration selbst anpassen, um Angriffe zu filtern.

/ 7 Kommentare

Mozilla schließt eine Sicherheitslücke in Firefox. (Bild: Alexas_Fotos/Pixabay) (Alexas_Fotos/Pixabay)

Schnell updaten: Sicherheitslücke in Firefox wird aktiv ausgenutzt

Firefox hat mit Version 72.0.1 ein wichtiges Sicherheitsupdate herausgegeben. Geschlossen wird eine Sicherheitslücke, die bereits aktiv ausgenutzt wird. Gemeldet wurde sie von einer chinesischen Sicherheitsfirma.

/ 3 Kommentare

Googles Project Zero ändert den Umgang mit der Veröffentlichung von Sicherheitslücken. (Bild: REUTERS/Charles Platiau/File Photo) (REUTERS/Charles Platiau/File Photo)

Project Zero: Googles Bug-Jäger wollen weniger schludrige Patches

Im laufenden Jahr wollen Googles Security-Bug-Forscher des Project Zero die Disclosure-Richtlinien ändern. Das soll betroffenen Unternehmen nicht nur Updates erleichtern, sondern vor allem die Qualität der Patches verbessern.

/ 5 Kommentare

Rest in Peace SHA-1. (Bild: Gábor Bejó/Pixabay) (Gábor Bejó/Pixabay)

Hashfunktion: SHA-1 ist endgültig kaputt

Ein Hashwert soll eindeutig sein, doch für SHA-1 gilt das nicht mehr. Forscher zeigten, dass sie verschiedene Dateien auffüllen können, um den gleichen SHA-1-Hash zu erzeugen und illustrierten dies anhand von GnuPG-Signaturen.

/ 19 Kommentare

Schadsoftware in Android nutzte eine von Google entdeckte Sicherheitslücke. (Bild: Nina Stock/Pixabay) (Nina Stock/Pixabay)

Android-Schadsoftware: Die Tricks mit der Google-Sicherheitslücke

Sicherheitsforscher haben Schad-Apps im Play Store gefunden, die über eine Google lange bekannte Android-Sicherheitslücke und weitere Tricks Nutzer ausspionierten. Die im Oktober aktiv ausgenutzte Lücke hatte Google eineinhalb Jahre vorher selbst entdeckt.

/ 20 Kommentare

Ein analoger Schlüsselbund (Bild: Thomas B./Pixabay) (Thomas B./Pixabay)

Elcomsoft: Mit Checkra1n Passwörter aus dem gesperrten iPhone auslesen

Eigentlich sind die Nutzerdaten unter iOS verschlüsselt, auch mit einem Jailbreak sollten sie nicht gelesen werden können. Der Forensiksoftware-Hersteller Elcomsoft will mit der Jailbreak-Software Checkra1n dennoch an Teile des iOS-Schlüsselbundes gelangen können.

/ 3 Kommentare

Kann leicht gehackt werden: Das Gehirn. (Bild: Gerd Altmann/Pixabay) (Gerd Altmann/Pixabay)

Social Engineering: Mit Angst und Langeweile Hirne hacken

36C3 Warum funktionieren Angriffe mit Word-Makros seit 20 Jahren? Der CCC-Sprecher Linus Neumann erklärt auf dem Hackerkongress, warum es so schwer fällt, sich dagegen zu schützen. Dabei gibt es viele Ansatzmöglichkeiten, die IT wirklich sicherer zu machen.

/ 10 Kommentare / Von Moritz Tremmel

Stammen die Mails vom richtigen Absender? (Bild: Tumisu/Pixabay) (Tumisu/Pixabay)

DKIM: Mit Sicherheit gefälschte Mails versenden

36C3 Gefälschte E-Mails zu verschicken ist einfach. Etwas komplizierter wird es, wenn Mailserver auf Anti-Spoofing-Techniken wie SPF, DKIM oder DMARC setzen. Doch auch diese lassen sich umgehen.

/ 16 Kommentare / Ein Bericht von Moritz Tremmel

Mit den Sicherheitslücken bekommt Free Wi-Fi Zone eine ganz neue Bedeutung. (Bild: Gerd Altmann/Pixabay) (Gerd Altmann/Pixabay)

Sicherheitslücken: Per Bluetooth das WLAN ausknipsen

36C3 Sicherheitsforschern ist es gelungen, Code auf Wi-Fi- und Bluetooth-Chips von Broadcom auszuführen - sogar aus der Ferne. Mit einer neuen Software könnten sie in Zukunft noch mehr solcher Sicherheitslücken in Funkchips entdecken.

/ 11 Kommentare / Ein Bericht von Moritz Tremmel

SIM-Karten können von Mobilfunkanbietern aktualisiert werden. (Bild: Narcis Ciocan/Pixabay) (Narcis Ciocan/Pixabay)

Mobilfunk: Eine SIM-Karte - viele merkwürdige Funktionen

36C3 Eine SIM-Karte meldet unser Smartphone im Mobilfunknetz an - doch der kleine Computer im Chipkartenformat kann deutlich mehr, zum Beispiel TLS oder Java-Applikationen updaten.

/ 25 Kommentare / Ein Bericht von Moritz Tremmel

Fortschritt oder Datenschutz-Alptraum? Die elektronische Patientenakte (Bild: gematik/Screenshot: Golem.de) (gematik/Screenshot: Golem.de)

Elektronische Patientenakte: Zu unsicher, um gehackt werden zu müssen

36C3 Von 2021 an soll jeder Kassenpatient auf Wunsch eine elektronische Patientenakte erhalten. Doch die Zugangssysteme sind nach Ansicht des CCC nicht so gut geschützt, wie Politik und Anbieter es versprechen.

/ 14 Kommentare

Wer diese App installiert hat, sollte sie möglichst schnell wieder löschen. (Bild: Huawei.com/Screenshot: Golem.de) (Huawei.com/Screenshot: Golem.de)

Millionenfach verbreitet: Messenger-App Totok soll für die Emirate spionieren

Warum Sicherheitslücken für Smartphones suchen, wenn man viel einfacher an die Kommunikation der Nutzer gelangen kann? Das hat sich offenbar die Spionageorganisation der Vereinigten Arabischen Emirate gedacht.

/ 1 Kommentare

Die Bug-Bountys von Apple stehen künftig allen offen. (Bild: ALASTAIR PIKE/AFP via Getty Images) (ALASTAIR PIKE/AFP via Getty Images)

Security: Apple öffnet Bug-Bountys und zahlt bis zu 1,5 Millionen

Wie angekündigt hat Apple sein Bug-Bounty-Programm für alle Sicherheitsforscher geöffnet. Für eine entdeckte Sicherheitslücke zahlt das Unternehmen unter Umständen bis zu 1,5 Millionen US-Dollar.

/ 3 Kommentare

Verschlüsselungssoftware: BSI verschweigt Truecrypt-Sicherheitsprobleme

Update Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Jahr 2010 eine umfangreiche Analyse der Verschlüsselungssoftware Truecrypt erstellen lassen. Die Ergebnisse landeten in der Schublade, die Öffentlichkeit wurde über die zahlreichen gefundenen Sicherheitsrisiken nicht informiert.

/ 81 Kommentare / Ein Bericht von Hanno Böck

Encryption software: German BSI withholds Truecrypt security report

Update The German Federal Office for Information Security has created a detailed analysis of the software Truecrypt in 2010. The results ended up in the drawer, the public was not informed about the found security risks.

/ 4 Kommentare

Das NPM-Maskottchen ist ein Wombat. (Bild: Phil Whitehouse, Flickr.com) (Phil Whitehouse, Flickr.com)

Javascript: Node-Pakete können Binärdateien unterjubeln

Eine Sicherheitslücke in den Paketmanangern für Node.js, NPM und Yarn, ermöglicht das Unterschieben und Manipulieren von Binärdateien auf dem Client-System. Updates stehen bereit.

/ 4 Kommentare

Microsoft hat einige spezielle Fehler in Git gefunden. (Bild: VESA MOILANEN/AFP via Getty Images) (VESA MOILANEN/AFP via Getty Images)

Code-Verwaltung: Windows-Eigenheiten verursachen Lücken in Git

Ein bösartiges Git-Repository kann von Angreifern unter Umständen dazu genutzt werden, Code auf Client-Rechnern auszuführen. Diese und einige weitere Lücken sind auf Eigenheiten von Windows zurückzuführen und von Microsoft gefunden worden.

/ 2 Kommentare

In Arztpraxen werden häufig sehr private Daten verarbeitet, daher sollte deren Software besonders auf Sicherheit und Datenschutz achten. (Bild: Pixnio) (Pixnio)

Medizin: Updateprozess bei Ärztesoftware Quincy war ungeschützt

In einer Software für Arztpraxen ist der Updateprozess ungeschützt über eine Rsync-Verbindung erfolgt. Der Hersteller der Software versucht, Berichterstattung darüber zu verhindern.

/ 67 Kommentare / Ein Bericht von Hanno Böck

Angreifer, die den Access Point eines Nutzers kontrollieren, können damit VPN-Verbindungen manipulieren. (Bild: Alexander Baxevanis, flickr.com) (Alexander Baxevanis, flickr.com)

Unix-artige Systeme: Sicherheitslücke ermöglicht Übernahme von VPN-Verbindung

Durch eine gezielte Analyse und Manipulation von TCP-Paketen könnten Angreifer eigene Daten in VPN-Verbindungen einschleusen und diese so übernehmen. Betroffen sind fast alle Unix-artigen Systeme sowie auch VPN-Protokolle. Ein Angriff ist in der Praxis wohl aber eher schwierig.

/ 29 Kommentare

Subventionen für WLAN-Kameras mit Cloud und Polizei (Bild: Gerd Altmann/Pixabay) (Gerd Altmann/Pixabay)

Überwachungskameras: Geld gegen Polizeizugriff

Einwohner der niederländischen Gemeinde Gouda können sich ihre WLAN-Überwachungskameras subventionieren lassen. Kleiner Haken: Sie müssen die Bilder per Cloud für die Polizei zugänglich machen.

/ 21 Kommentare

Der Kugelfisch ist das Maskottchen von OpenBSD. (Bild: jim, flickr.com) (jim, flickr.com)

Security: Authentifizierung in OpenBSD aus der Ferne umgehbar

Das auf Sicherheit fokussierte Betriebssystem OpenBSD hat eine Sicherheitslücke geschlossen, mit der sich die Authentifizierung auch aus der Ferne umgehen lässt. Das betrifft den SMTP-, LDAP- und Radius-Daemon.

/ 4 Kommentare

Microsoft erforscht im Project Verona eine neue Programmiersprache. (Bild: Mi duke/Reuters) (Mi duke/Reuters)

Project Verona: Microsoft forscht an sicherer Infrastruktur-Sprache

Zusätzlich zur Verwendung der Programmiersprache Rust erforscht Microsoft eine eigene sichere Sprache, die für Infrastruktur genutzt werden soll. Das Project Verona soll bald Open Source sein.

/ Kommentare

Die Sicherheitslücke Strandhogg wurde nach einer Wikinger-Taktik benannt. (Bild: Promon) (Promon)

Strandhogg: Sicherheitslücke in Android wird aktiv ausgenutzt

Unter Android können sich Schad-Apps als legitime Apps tarnen und weitere Berechtigungen anfordern. Die Strandhogg genannte Sicherheitslücke wird bereits aktiv ausgenutzt und eignet sich beispielsweise für Banking-Trojaner. Einen Patch gibt es nicht.

/ 95 Kommentare

Wer da wohl mitliest? (Bild: Dean Moriarty/Pixabay) (Dean Moriarty/Pixabay)

Sicherheitslücken: So einfach lassen sich SMS mitlesen

Mit dem SMS-Nachfolger RCS werden SMS und Telefonanrufe über das Internet abgewickelt - mit einem vorgegebenen Passwort. Mit diesem können auch klassische SMS unbemerkt mitgelesen werden. Eine entsprechende Konfigurationsdatei lässt sich von jeder App empfangen.

/ 15 Kommentare

Oneplus hatte seinen Online-Shop nicht ausreichend gegen Angriff abgesichert. (Bild: Martin Wolf/Golem.de) (Martin Wolf/Golem.de)

Oneplus: Unbefugte greifen erneut auf Kundendaten zu

Datenschutzvorfall bei Oneplus: Der Smartphone-Hersteller weist darauf hin, dass Kundendaten in falsche Hände gelangt sind. Das ist bereits der zweite Vorfall in zwei Jahren.

/ 6 Kommentare

Google sucht auch ungewöhnliche Wege, um Zero-Day-Lücken zu finden. (Bild: STR/AFP via Getty Images) (STR/AFP via Getty Images)

Sicherheitslücke: Google jagt Zero-Day-Lücken auch mit Marketing-Material

Als Teil des Project Zero erklärt Google nun erstmals die Suche nach 0-Day-Lücken. Geholfen hat im Fall einer Kernel-Lücke etwa auch Marketing-Material des Exploit-Verkäufers. Die Community soll mithelfen.

/ Kommentare

Kurse

Podcast Besser Wissen