Security-Alert

Electron sollte auf die aktuelle Version gepatcht werden. (Bild: electronjs.org/Screenshot Golem.de) (electronjs.org/Screenshot Golem.de)

Windows: Electron-Apps für Codeausführung anfällig

Wer Windows-Apps mit Electron anbietet, sollte das Update auf die aktuellste Version des Frameworks installieren. Sonst kann aus der Ferne Schadcode ausgeführt werden. Betroffen sind Windows-Apps, die als Protokoll-Handler eingetragen sind.

/ 7 Kommentare

Heatspreader des Core i5-5675C mit Broadwell-Architektur (Bild: Marc Sauter/Golem.de) (Marc Sauter/Golem.de)

Spectre: Neuer Microcode für Haswell und Broadwell ist fast fertig

Intel startet einen zweiten Anlauf für Microcode-Updates der Haswell- und Broadwell-CPUs. Innerhalb einer Woche soll es neue Updates geben, die nicht mehr zu unkontrollierten Neustarts führen sollen.

/ 44 Kommentare

Seminar: Microsoft Copilot im Unternehmen implementieren: virtueller Ein-Tages-Workshop

zum Kurs

E-Learning: Linux-Befehlszeile für Anfänger:innen - Der Einstieg in die Welt der Linux-Befehlszeile (E-Learning)

zum Kurs

Seminar: LDAP Identitätsmanagement Fundamentals: virtueller Drei-Tage-Workshop

zum Kurs

IT Service und Incident Manager (m/w/d) Simon Hegele Gesellschaft für Logistik und Service mbH, Karlsdorf-Neuthard,Homeoffice (öffnet im neuen Fenster)

Referent Informationssicherheitsmanagement in der Energiewirtschaft (m/w/d) Thyssengas GmbH, Dortmund (öffnet im neuen Fenster)

Ausbildung Fachinformatikerin / Fachinformatiker der Fachrichtung Systemintegration (m/w/d) Stadt Kleve, Kleve (öffnet im neuen Fenster)

Buchhalter (m/w/d) mit DATEV-Kenntnissen FC-Gruppe GmbH, Karlsruhe (öffnet im neuen Fenster)

IT-Service Continuity Manager (m/w/d) Verband der Ersatzkassen e. V. (vdek), Berlin (öffnet im neuen Fenster)

Sales Manager (m/w/d) PSI Software SE Grid & Energy Management, Aschaffenburg,Berlin (öffnet im neuen Fenster)

Anwendungsbetreuer*in (w/m/d) für unser Krankenhausinformationssystem (KIS) Vollzeit/Teilzeit Universitätsklinikum Düsseldorf, Düsseldorf (öffnet im neuen Fenster)

Bachelor Informatik (m/w/d) für IT-Sicherheit Technische Universität München (TUM), Garching (öffnet im neuen Fenster)

Die beiden Werkzeuge auf einem unserer Fujitsu-Notebooks. Einen Spectre-Patch gibt es noch nicht. (Bild: Screenshot Golem.de) (Screenshot Golem.de)

Spectre und Meltdown: Kleine Helferlein überprüfen den Rechner

Wer sich kurz über den Status der Meltdown- und Spectre-Patches informieren will, der muss nicht unbedingt den aufwendigen Weg über die Powershell unter Windows gehen. Mit zwei kleinen Werkzeugen lassen sich auch Rechner von Familienmitgliedern fix überprüfen. Eines kann die Patches sogar deaktivieren.

/ 41 Kommentare

Hacker One gibt Einblick in die eigenen Zahlen. (Bild: Hacker One) (Hacker One)

Hacker One: Nur 20 Prozent der Bounty-Jäger hacken in Vollzeit

Das US-Unternehmen Hacker One hat aktuelle Zahlen vorgestellt: Die meisten Bounties werden nach wie vor von US-Unternehmen gezahlt. Die Daten zeigen außerdem, dass das Finden von Schwachstellen für die meisten ein Nebenberuf oder Hobby ist.

/ 4 Kommentare

Beispielcode, der mit dem Spectre-Schutz erstellt worden ist. (Bild: Microsoft) (Microsoft)

Sicherheitsupdate: Microsoft-Compiler baut Schutz gegen Spectre

Eine neue Funktion in Microsofts Compiler für C und C++ soll Schutzmaßnahmen gegen eine Variante des Spectre-Angriffs in Code einbauen. Diese Vorgehen wird zwar von Intel empfohlen, hat aber offensichtlich Grenzen und wird deshalb von der Linux-Community kritisiert.

/ 19 Kommentare

Daniel Gruß erzählt im Interview von seinen Forschungen zu Meltdown und Spectre. (Bild: Helmut Lunghammer/TU Graz mit freundlicher Genehmigung) (Helmut Lunghammer/TU Graz mit freundlicher Genehmigung)

Meltdown und Spectre: "Dann sind wir performancemäßig wieder am Ende der 90er"

Wir haben mit einem der Entdecker von Meltdown und Spectre gesprochen. Er erklärt, was spekulative Befehlsausführung mit Kochen zu tun hat und welche Maßnahmen Unternehmen und Privatnutzer ergreifen sollten.

/ 234 Kommentare / Ein Interview von Hauke Gierow

Das Fall Creators Update ist mittleweile für alle Geräte verfügbar. (Bild: Pexels.com/Montage: Golem.de) (Pexels.com/Montage: Golem.de)

Microsoft: Fall Creators Update ist final für alle Geräte verfügbar

Laut Microsoft können mittlerweile alle unterstützten Windows-PCs das Fall Creators Update installieren. Es sei der schnellste Rollout bisher. Mit dem Hintergrund von Spectre und Meltdown rät das Unternehmen auch dazu, das System immer aktuell zu halten.

/ 13 Kommentare

Die Brak arbeitet den BeA-Ausfall auf. (Bild: Martin Wolf/Golem.de (Montage)) (Martin Wolf/Golem.de (Montage))

BeA: Bundesrechtsanwaltskammer stellt Zahlungen an Atos ein

Der Softwaredienstleister Atos und damit indirekt auch dessen Partner Governikus werden laut Medienberichten von der Bundesrechtsanwaltskammer nicht mehr für das Besondere elektronische Anwaltspostfach bezahlt. Die mit Sicherheitsproblemen behaftete Lösung für Anwälte soll umfassend geprüft werden.

/ 18 Kommentare

Seminar: KI-Einsatz in der IT-Sicherheit: Pentesting, Schwachstellenscans, Reporting – virtueller Zwei-Tage-Workshop

zum Kurs

Seminar: LPIC-1 Vorbereitungskurs LPI 101 und LPI 102: virtueller Fünf-Tage-Workshop

zum Kurs

Seminar: 1x1 des Schwachstellenmanagements: Vulnerabilities & Patches – Ein-Tages-Workshop

zum Kurs

Seminar: Mastering Claude Code: virtueller Drei-Tage-Workshop

zum Kurs

Der Auslandsgeheimdienst NSA will nichts von Spectre und Meltdown gewusst haben. (Bild: NSA) (NSA)

Meltdown und Spectre: NSA will nichts von Prozessor-Schwachstelle gewusst haben

Der US-Geheimdienst NSA versichert, die Prozessor-Sicherheitslücken Meltdown und Spectre nicht zum Ausspähen von Daten genutzt zu haben. In den USA wurden bereits die ersten Sammelklagen gegen Intel eingereicht.

/ 92 Kommentare

Ein Patch gegen Spectre ist in Arbeit. (Bild: Pexels.com/Montage: Golem.de) (Pexels.com/Montage: Golem.de)

Spectre und Meltdown: 90 Prozent der aktuellen Intel-CPUs werden gepatcht

Update In einer Woche wird Intel den Großteil seiner CPUs der vergangenen fünf Jahre mit einem Update gegen Spectre und Meltdown versehen. Google testet eine eigene Lösung bereits erfolgreich. Die Leistungseinbußen sollen marginal sein.

/ 204 Kommentare

Nicht nur Intel-Prozessoren haben eine gefährliche Sicherheitslücke. (Bild: TOSHIFUMI KITAMURA/AFP/Getty Images) (TOSHIFUMI KITAMURA/AFP/Getty Images)

Spectre und Meltdown: All unsere moderne Technik ist kaputt

Man kann sich auf Hardware nicht mehr verlassen - Spectre und Meltdown zeigen das überdeutlich. Bevor neue Grundlagentechniken wie spekulative Befehlsausführung massenhaft eingeführt werden, müssen sie ab jetzt anders getestet werden.

/ 208 Kommentare / Ein IMHO von Nico Ernst

Wie es genau mit dem Anwaltspostfach weitergeht, ist im Moment nicht abzusehen. (Bild: Martin Wolf / Golem.de (Montage)) (Martin Wolf / Golem.de (Montage))

BeA: Noch mehr Sicherheitslücken im Anwaltspostfach

Das besondere elektronische Anwaltspostfach hat mehr als nur eine Sicherheitslücke. Die Probleme reichen von einer falschen Ende-zu-Ende-Verschlüsselung über Cross Site Scripting bis hin zu ROBOT und veralteten Java-Libraries. Dabei hat die Firma SEC Consult einen Sicherheitsaudit durchgeführt.

/ 51 Kommentare / Von Hanno Böck

Thunderbird bekommt ein wichtiges Sicherheitsupdate. (Bild: Pexels.com) (Pexels.com)

Mozilla: Neue Thunderbird-Version behebt Abstürze unter Windows

Das Update 52.5.2 behebt einen Fehler, der zum Absturz des E-Mail-Programms führen kann. Windows-Nutzer sollten sich das Update installieren. Auch mehrere Sicherheitslücken im RSS Feed werden behoben - das gilt für alle Betriebssysteme.

/ 2 Kommentare

Das besondere elektronische Anwaltspostfach soll ab Januar verpflichtend von Anwälten genutzt werden - doch es kommt mit Sicherheitsproblemen. (Bild: Bundesrechtsanwaltskammer) (Bundesrechtsanwaltskammer)

BeA: Bundesrechtsanwaltskammer verteilt HTTPS-Hintertüre

Im Rahmen des besonderen elektronischen Anwaltspostfachs (BeA) forderte die Bundesrechtsanwaltskammer ihre Mitglieder dazu auf, ein Root-Zertifikat zu installieren, zu dem der private Schlüssel öffentlich ist. Ein gravierendes Sicherheitsrisiko, das die Funktion von HTTPS aushebelt.

/ 79 Kommentare / Von Hanno Böck

Der CBM 8296 ist ein Nachfolger des PET 2001. (Bild: Montage: Golem) (Montage: Golem)

Podcast Besser Wissen: Der PET und die Demoszene

Bluetooth ist allgegenwärtig - und angreifbar. (Bild: Martin Wolf/Golem) (Martin Wolf/Golem)

Podcast Besser Wissen: Der Fokus auf mobile Security

Der Whirlwind wurde am MIT entwickelt. (Bild: Montage: Golem.de) (Montage: Golem.de)

Podcast Besser Wissen: Der digitale Wirbelwind

Der Elektor Junior Computer war in Europa sehr erfolgreich. (Bild: Wolfgang Robel / Montage: Golem) (Wolfgang Robel / Montage: Golem)

Podcast Besser Wissen: Eine Platine, viel Potenzial

Lara Croft, wie sie auf dem Cover des ersten Tomb Raider aussah. (Bild: Eidos / Montage: Golem) (Eidos / Montage: Golem)

Podcast Besser Wissen: Happy Birthday, Lara!

Der MUPID war viel mehr als ein BTX-Terminal. (Bild: Montage: Golem.de) (Montage: Golem.de)

Podcast Besser Wissen: Apps und Mail per BTX

Über VNC kann man aus der Ferne auf ein anderes System zugreifen - das sollte aber natürlich nicht ohne Authentifizierung über das Internet erlaubt werden. (Bild: Wikimedia Commons) (Wikimedia Commons)

Myloc/Webtropia: Offene VNC-Ports ermöglichten Angriffe auf Server

Golem.de hat den Serverhoster Webtropia über eine kritische Schwachstelle informiert: Über eine Lücke in den Ports der Kontrollserver hätten Angreifer ohne Passwort die Kontrolle übernehmen können - zumindest bei einigen Systemen.

/ 44 Kommentare / Von Hanno Böck

Keeper Security verklagt Journalist Dan Goodin. (Bild: Ars Technica/Screenshot) (Ars Technica/Screenshot)

Keeper Security: Passwortmanager-Hersteller verklagt Journalist Dan Goodin

Update Wenige Tage, nachdem in der Browsererweiterung des Passwortmanagers Keeper eine kritische Sicherheitslücke gefunden wurde, verklagt dessen Hersteller den Journalisten Dan Goodin. Es ist offenbar nicht das erste Mal, dass Keeper juristisch gegen die Veröffentlichung von Schwachstellen vorgeht.

/ 47 Kommentare

Die Enigma ist Namenspate für Enigmail. (Bild: Antoine Taveneaux, Wikimedia) (Antoine Taveneaux, Wikimedia)

Verschlüsselung: Audit findet schwerwiegende Sicherheitslücken in Enigmail

Mozillas Secure Open Source Fund und der Berliner E-Mail-Anbieter Posteo haben einen Security-Audit für Thunderbird und die Erweiterung Enigmail in Auftrag gegeben. Dabei sind einige kritische und schwerwiegende Lücken gefunden worden.

/ 8 Kommentare

Windows-Hello-Geräte lassen sich mit einem Ausdruck entsperren. (Bild: Syss GmbH) (Syss GmbH)

Windows Hello: Notebooks lassen sich mit A4-Gesichtsausdruck entsperren

Ein Foto aus dem Laserdrucker reicht, um Windows-Hello-Geräte zu entsperren. Tester der Syss GmbH konnten das bei einem Dell-Notebook und dem Surface Pro 4 bestätigen. Sicher sind nur aktuelle Geräte mit aktiviertem Anti-Spoofing.

/ 13 Kommentare

Kritische Lücke im Passwortmanager Keeper ermöglichte das Auslesen von Passwörtern. (Bild: Pixabay/tmsr) (Pixabay/tmsr)

Windows 10: Kritische Lücke in vorinstalliertem Passwortmanager

Keeper-Nutzer sollten unbedingt die gepatchte Version installieren. Der aktuell in Windows 10 vorinstallierte Passwortmanager Keeper hatte einen Fehler, der es bösartigen Webseiten ermöglichte, über Clickjacking beliebige Passwörter auszulesen.

/ 22 Kommentare

Windows Defender muss gepatcht werden. (Bild: Montage: Golem.de) (Montage: Golem.de)

Antivirus: Microsoft bringt Extra-Patch für kritische Lücke in Defender

Erneut trifft es Windows Defender: Ein Speicherfehler kann Angreifer in die Lage versetzen, den Virenscanner zum Ausführen von Code zu nutzen. Microsoft hält aktive Exploits allerdings für unwahrscheinlich, Patches werden verteilt.

/ 9 Kommentare

Intels ME läuft auf dem Chipsatz aktueller Intel-Platformen wie hier in einem Razor-Laptop. (Bild: Martin Wolf/Golem.de) (Martin Wolf/Golem.de)

Firmware-Bug: Codeausführung in deaktivierter Intel-ME möglich

Sicherheitsforscher demonstrieren einen Angriff auf Intels ME zum Ausführen von beliebigem Code, gegen den weder das sogenannte Kill-Bit noch die von Google geplanten Sicherheitsmaßnahmen für seine Server helfen. Theoretisch lassen sich Geräte so auch aus der Ferne angreifen.

/ 16 Kommentare / Von Sebastian Grüner

Dreckige Kühe (Bild: Juni Kriswanto/AfP/Getty Images) (Juni Kriswanto/AfP/Getty Images)

Linux: Weiterer Patch für Dirty-Cow-Sicherheitslücke

Das Kernel-Team patcht erneut gegen Dirty Cow - allerdings in einer weniger schlimmen Variante. Angreifer können das verwundbare Linux-System gezielt zum Absturz bringen.

/ 3 Kommentare

Android-Sicherheits-Patch für Pixel-Smartphones (Bild: Werner Pluta/Golem.de) (Werner Pluta/Golem.de)

Android: Patch für Pixel-Smartphones schließt Krack-Lücke

Google will in dieser Woche aktuelle Sicherheitspatches für Android veröffentlichen. Damit erhalten nun auch Pixel-Smartphones einen Schutz gegen die Krack-Sicherheitslücke. Außerdem müssen weitere Sicherheitslöcher beseitigt werden.

/ 4 Kommentare

Paypal hat den Betrieb von TIO vorläufig gestoppt. (Bild: TIO/Paypal) (TIO/Paypal)

TIO-Networks: Datenleck bei Paypal-Zukauf betrifft 1,6 Millionen Kunden

Das Unternehmen TIO-Networks ist erst vor einem halben Jahr von Paypal gekauft worden - jetzt stoppt das Unternehmen die Geschäfte wegen einer Sicherheitslücke. Bis zu 1,6 Millionen Nutzer könnten betroffen sein.

/ 6 Kommentare

Eine Webseite von Flixbus nutzt uralte Crypto. (Bild: Thomas Samson/AfP/Getty Images) (Thomas Samson/AfP/Getty Images)

Poodle und Drown: Flixbus-Webseite für jahrealte TLS-Fehler anfällig

Ein 2011 gegründetes Unternehmen setzt auf Kryptographie aus den 90ern: Eine Subdomain mit Sonderangeboten von Flixbus unterstützt nur veraltete Verschlüsselungsstandards - und das seit Monaten. Kunden können auf der Seite Ticketgutscheine kaufen und müssen dafür persönliche Daten hinterlassen.

/ 16 Kommentare / Von Hauke Gierow

Benutzeranmeldungung MacOS (Bild: Alexander Merz/Golem.de) (Alexander Merz/Golem.de)

Privilege Escalation: MacOS High Sierra ermöglicht Root-Anmeldung ohne Passwort

Update Schon wieder ein kritischer Fehler in MacOS High Sierra: Angreifer können sich auf einem entsperrten PC als Administrator einloggen, ohne ein Passwort zu kennen. Es gibt bislang keinen Patch, aber einen einfachen Workaround.

/ 109 Kommentare

Das Admin-Passwort sollte man schon richtig prüfen! (Bild: Alex E. Proimos) (Alex E. Proimos)

Sicherheitslücke: Fortinet vergisst, Admin-Passwort zu prüfen

Ein peinlicher Fehler bei einem Sicherheitsunternehmen: Fortinets Webmanager hat das Admin-Passwort nicht korrekt geprüft und lässt daher jeden Nutzer mit beliebiger Zeichenfolge in das System. Ein Patch steht bereit.

/ 23 Kommentare

Github warnt vor Sicherheitslücken in Abhängigkeiten. (Bild: Github) (Github)

Projekthoster: Github zeigt Sicherheitswarnungen für Projektabhängigkeiten

Vor wenigen Wochen hat der Projekthoster Github ein Werkzeug vorgestellt, das die Abhängigkeiten eines Projekts besser darstellen soll. Das Konzept wird nun um Sicherheitshinweise und Warnungen erweitert, was die Pflege deutlich erleichtern sollte.

/ 9 Kommentare

Die mögliche Jamaika-Koalition will über den Umgang mit Sicherheitslücken nachdenken. (Bild: Jonathan Daniel/Getty Images) (Jonathan Daniel/Getty Images)

Mögliche Jamaika-Koalition: Behörden sollen kritische Sicherheitslücken künftig melden

Wie soll die Regierung mit Sicherheitslücken umgehen? An diesem Thema arbeiten die möglichen Koalitionäre eines Jamaika-Bündnisses.

/ 1 Kommentare

Entscheidungen über Schwachstellen werden auch künftig im Weißen Haus getroffen. (Bild: Diego Cambiaso/Flickr.com) (Diego Cambiaso/Flickr.com)

VEP Charter: Trump will etwas transparenter mit Sicherheitslücken umgehen

Die USA entwickeln ihren Prozess zum Umgang mit Sicherheitslücken durch die Regierung weiter. Kritikern wird das nicht genügen, trotzdem ist die Veröffentlichung der Vulnerabilities Equities Charter ein Meilenstein.

/ 9 Kommentare / Eine Analyse von Hauke Gierow

Der kleine Androide wird im November wieder ordentlich gepatcht. (Bild: Werner Pluta/Golem.de) (Werner Pluta/Golem.de)

Android-Updates: Krack-Patches für Android, aber nicht für Pixel-Telefone

Mit dem November-Patch für Android schließt Google wieder zahlreiche Sicherheitslücken. Traditionell dabei: der Medienserver. Aber auch einen Patch für Krack gibt es - doch diesen bekommen noch nicht einmal die Pixel-Geräte von Google selbst.

/ 11 Kommentare

Für die Sicherheit von Intels ME sieht es nicht mehr gut aus. (Bild: Pascal Volk, flickr.com) (Pascal Volk, flickr.com)

Reverse Engineering: Hackern gelingt Vollzugriff auf Intel ME per USB

Sicherheitsforscher, die Intels Management Engine (ME) seit mehr als einem Jahr analysieren, melden nun: "Game over!" für Intel. Die Forscher haben vollen Debug-Zugriff auf die ME über eine spezielle USB-Schnittstelle.

/ 41 Kommentare

Linux-Nutzer sollten Kernel-Updates immer einspielen. (Bild: Harald Koenig) (Harald Koenig)

Fuzzing: Google zerlegt USB-Stack des Linux-Kernels

Mit einem speziellen Fuzzer für Kernel-Systemaufrufe von Google sind extrem viele Fehler im USB-Stack des Linux-Kernels gefunden worden. Viele davon werden als kritische Sicherheitslücken eingestuft, was aber eigentlich für alle Kernel-Fehler gilt.

/ 29 Kommentare

Eine Sicherheitslücke im Tor-Browser ist geschlossen worden. (Bild: David Bates/Golem.de) (David Bates/Golem.de)

Linux und Mac: Tor-Browser-Exploit verrät IP-Adresse einiger Nutzer

Unter bestimmten Voraussetzungen verrät der Tor-Browser die unverschleierte IP-Adresse der Nutzer. Betroffen sind nur Mac und Linux-Versionen des Firefox-Bundles, in der täglichen Nutzung dürfte der Fehler nur wenige Personen betreffen.

/ 4 Kommentare

Die Sicherheitsforscher haben auch die Firmware des Staubsaugers analysiert. (Bild: Check Point) (Check Point)

Check Point: LGs smarter Staubsauger lässt sich heimlich fernsteuern

LG hat eine Sicherheitslücke in seiner Smart-Home-App gepatcht, die eine volle Kontrolle über alle verbundenen Geräte ermöglicht hat. Dazu ist nur die Mailadresse der Besitzer erforderlich. Betroffen ist unter anderem die Kamera in einem smarten Staubsauger.

/ 12 Kommentare

Bei Yubikey setzte man statt auf offenes Design lieber auf zertifizierte Hardware-Krypto von Infineon. Das ging gehörig schief. (Bild: Yubico / Wikimedia Commons) (Yubico / Wikimedia Commons)

RSA-Sicherheitslücke: Infineon erzeugt Millionen unsicherer Krypto-Schlüssel

Update RSA-Schlüssel von Hardware-Kryptomodulen der Firma Infineon lassen sich knacken. Das betrifft unter anderem Debian-Entwickler, Anbieter qualifizierter Signatursysteme, TPM-Chips in Laptops und estnische Personalausweise.

/ 28 Kommentare

Microsofts privater Bugtracker war im Jahr 2013 kompromittiert. (Bild: The Conmunity - Pop Culture Geek) (The Conmunity - Pop Culture Geek)

Datenbank: Microsofts privater Bugtracker ist 2013 gehackt worden

Es ist erst der zweite bekannte Angriff dieser Art: Microsofts interner Bugtracker ist im Jahr 2013 gehackt worden. Unklar ist, ob und welche Informationen über Sicherheitslücken die Angreifer dabei erbeuten konnten.

/ 3 Kommentare

Schon abgesichert: Ubiquitis Amplifi. (Bild: Martin Wolf/Golem.de) (Martin Wolf/Golem.de)

Ubiquiti Amplifi und Unifi: Erster Consumer-WLAN-Router wird gegen Krack gepatcht

Ubiquiti hat binnen eines Tages seinen WLAN-Router Amplifi gepatcht. Die neue Firmware soll verschiedene Schwächen bei der Verwendung von WLAN-Schlüsseln beheben und dürfte damit der erste Patch gegen Krack für ein Endkunden-Gerät sein. Die Profi-Geräte wurden ebenfalls mit einer neuen Firmware ausgestattet.

/ 30 Kommentare

Ein Sicherheitsforscher hat Angriffe auf WPA 2 demonstriert. (Bild: Montage Golem.de) (Montage Golem.de)

Krack: WPA2 ist kaputt, aber nicht gebrochen

Update Schwachstellen in der Implementierung von WPA2 ermöglichen das Mitlesen verschlüsselter Kommunikation per WLAN - ohne Zugriff auf das Passwort. Linux- und Windows-Nutzer können patchen, Android-User müssen hoffen.

/ 179 Kommentare / Von Hauke Gierow und Sebastian Grüner

Microsoft hat eine Sicherheitslücke in Outlook geschlossen. (Bild: Martin Wolf/Golem.de) (Martin Wolf/Golem.de)

Verschlüsselung: Outlook versendet S/MIME-Mails auch unverschlüsselt

Eine Sicherheitslücke in Outlook hat zur Folge, dass per S/MIME verschlüsselte Mails auch im Klartext mitgesendet werden. Microsoft hat den Fehler am Patchday behoben.

/ 14 Kommentare

NSA-Mitarbeiter packen vorsichtig ein Cisco-Gerät aus. (Bild: Glenn Greenwald/No place to hide) (Glenn Greenwald/No place to hide)

Cisco und Lancom: Wenn Spionagepanik auf Industriepolitik trifft

Weil das Deutsche Zentrum für Luft- und Raumfahrt Angst vor Spionage hat, wirft es alle Cisco-Router raus. Doch wer IT-Produkte nur nach ihrem Herkunftsland bewertet, macht es sich zu leicht.

/ 80 Kommentare / Ein IMHO von Hauke Gierow

IP-Überwachungskameras sind häufig schlecht abgesichert. (Bild: Technaxx) (Technaxx)

Stiftung Warentest: Die meisten Überwachungskameras haben Sicherheitsmängel

Ungeschützte IoT-Kameras gehören zu den großen Problemen bei der IT-Sicherheit. Aus den Vorfällen der vergangenen Monate scheinen einige Hersteller jedoch nicht viel gelernt zu haben.

/ 27 Kommentare

Deloitte muss seine eigenen Systeme wohl erneut prüfen. (Bild: Daniel Leal-Olivas/Getty Images) (Daniel Leal-Olivas/Getty Images)

Nach Hack: Viele Deloitte-Systeme im Internet auffindbar

Angebliche Zugangsdaten für Deloitte-Systeme sind aufgetaucht, wo sie nicht sein sollten: bei Github und auf Google Plus. Außerdem haben Sicherheitsforscher zahlreiche Systeme des Unternehmens im Netz gefunden - mit offenen Ports für SMB und RDP.

/ 8 Kommentare

Adobe hat seine privaten PGP-Schlüssel veröffentlicht. (Bild: Screenshot Golem.de) (Screenshot Golem.de)

E-Mail: Adobe veröffentlicht versehentlich privaten PGP-Key im Blog

PGP gilt nicht als übertrieben benutzerfreundlich. Warum, musste jetzt auch Adobe feststellen, als ein Mitarbeiter im Sicherheitsblog des Unternehmens den privaten PGP-Schlüssel des Teams veröffentlichte.

/ 24 Kommentare

TNT hat durch NotPetya viel Geld verloren. (Bild: Brian) (Brian)

FedEX: TNT verliert durch NotPetya 300 Millionen US-Dollar

Angriffe auf die IT-Infrastruktur sind teuer: Nach Maersk hat auch das Logistikunternehmen TNT einen erheblichen Verlust durch NotPetya bekannt gegeben. Die Reparatur aller Systeme soll bis Ende September abgeschlossen werden.

/ 5 Kommentare

Trotz der großen Aufregung um Heartbleed wurde Optionsbleed 2014 übersehen. (Bild: EFF) (EFF)

Apache-Sicherheitslücke: Optionsbleed bereits 2014 entdeckt und übersehen

Der Optionsbleed-Bug im Apache-Webserver wurde 2014 bereits in einem wissenschaftlichen Paper beschrieben. Allerdings hatte offenbar niemand bemerkt, dass es sich um eine kritische Sicherheitslücke handelt, obwohl kurz zuvor der ähnliche Heartbleed-Bug entdeckt worden war.

/ 11 Kommentare

Zufällige Speicherfragmente finden sich in der Ausgabe einer HTTP-OPTIONS-Anfrage an einen verwundbaren Apache-Server. (Bild: Screenshot Hanno Böck) (Screenshot Hanno Böck)

Optionsbleed: Apache-Webserver blutet

Beim Apache-Webserver lassen sich in bestimmten Konfigurationen Speicherfragmente durch einen Angreifer auslesen. Besonders kritisch ist diese Lücke in Shared-Hosting-Umgebungen.

/ 25 Kommentare / Von Hanno Böck

Richard F. Smith, Chairman und CEO von Equifax (Bild: Equifax) (Equifax)

Apache Struts: Monate alte Sicherheitslücke führte zu Equifax-Hack

Die Kundendaten von Equifax haben durch eine mehrere Monate ungepatchte Sicherheitslücke gehackt werden können. Auch sonst macht das Unternehmen beim Thema Sicherheit wenig richtig - wie die Zugangskombination "admin/admin" auf einer Mitarbeiterseite zeigt.

/ 13 Kommentare

Eine Schwachstelle wird genutzt, um Finfisher-Software aufzuspielen. (Bild: Andreas Donath) (Andreas Donath)

Finspy: Neuer Staatstrojaner-Exploit in RTF-Dokument gefunden

Ein verseuchtes Word-Dokument oder eine Spam-E-Mail zu öffnen reicht, um einen aktuellen Exploit in .Net zu triggern. Die Sicherheitslücke soll bereits genutzt worden sein, um Finfisher-Staatstrojaner zu verteilen.

/ Kommentare

Kurse

Podcast Besser Wissen