Security-Alert

Um die Sicherheit von Routern ist es schlecht bestellt, wie zahlreiche Berichte über Sicherheitslücken zeigen. Das BSI will jetzt mit einem neuen Prüfkonzept für bessere Router sorgen. Im Detail könnte noch nachgebessert werden.

Die Verschlüsselung ist gerade bei externen Festplatten sinnvoll, da sie verloren gehen können. Doch zahlreiche Modelle von Western Digital mit eingebauter Verschlüsselungsfunktion sind mit einfachen Methoden angreifbar.

Eine Sicherheitslücke in der Teamspeak-Software soll es Angreifern ermöglicht haben, Dateien auf die Rechner der Betroffenen hochzuladen. Ein Update ist bereits verfügbar.

Eine Sicherheitslücke in Netgear-Routern soll administrativen Fernzugriff durch nicht autorisierte Nutzer erlauben. Der Hersteller arbeitet offenbar bereits an einem Patch - hat aber noch kein Datum genannt.

Eine Sicherheitslücke in der OAuth-Implementation ermöglichte einem Angreifer, E-Mail-Accounts zu übernehmen. Microsoft hat die Sicherheitslücke geschlossen und ein Bug-Bounty ausgezahlt.

Eine seit einem Jahr bekannte Sicherheitslücke in einem VPN-Dienst von Cisco wird offenbar weiterhin ausgenutzt, weil nicht alle Systeme gepatcht sind. Sicherheitsforscher haben noch weitere Angriffe auf Cisco-Produkte vorgestellt, die mittels Javascript Nutzerdaten abgreifen.

Der Amerikachef von HTC bezeichnet monatliche Sicherheitsupdates für Android-Geräte als unrealistisches Versprechen. Google hat unterdessen für die Nexus-Geräte einen Patch für Stagefright 2.0 veröffentlicht.

Outlook-Web-Access wird von vielen Firmenkunden eingesetzt, um Mitarbeitern von unterwegs einen einfachen Zugriff auf Mails zu ermöglichen. In einem konkreten Fall ist es Angreifern jetzt gelungen, über eine mit Malware infizierte DLL mehr als 11.000 Zugangsdaten zu kopieren.

Virenscanner sollen Nutzer eigentlich vor Bedrohungen schützen. Doch durch schlampige Programmierung hätten viele von ihnen selbst Sicherheitslücken, sagt Google-Forscher Tavis Ormandy. Jetzt hat er weitere Details zu Mängeln bei Kaspersky veröffentlicht.

Nutzer des Flash Players sollten aktiv werden: Adobe hat außer der Reihe ein Sicherheitsupdate für den Videoplayer bereitgestellt. Mit dem Patch sollen zahlreiche Sicherheitslücken gestopft werden.

Die Bugverwaltung von Firefox gibt schon zum zweiten Mal im September vertrauliche Daten preis - doch diesmal sind auch andere Projekte betroffen. Ein Patch steht bereit.

Dem Hardwarehersteller D-Link ist ein peinlicher Fehler unterlaufen. Im Quellcode der Firmware für eine Überwachungskamera vergaßen die Entwickler private Code-Signing-Schlüssel. Der Hersteller hat bereits reagiert.

Google-Ingenieure aus dem Project-Zero-Team haben einen neuen Exploit vorgestellt, der die Stagefright-Sicherheitslücke ausnutzt. Darin demonstrieren sie eine Schwäche von ASLR, das der Konzern lange als Sicherheitsfeature angepriesen hat. Auch Zimperium hat neue Stagefright-Exploits gefunden.

Zusammen mit iOS 9 hat Apple auch eine neue Version von iTunes freigegeben. Apple beseitigte insbesondere unter Windows Sicherheitslücken, die sogar das Abgreifen von verschlüsselten Zugangsdaten im Netzwerk erlaubten. Zudem erhöht Apple die Sicherheit bei der Verwendung von Apple IDs.

Router von Cisco sind weltweit von Hackern mit einer spezialisierten Firmware angegriffen worden. Fireeye vermutet hinter den Angriffen staatliche Akteure wie Geheimdienste, nennt aber keine Namen.

Die Login-Dateien im Ashley-Madison-Fundus galten bislang als sicher, weil der Anbieter eine sichere Hashfunktion verwendet haben soll. Doch jetzt haben Hacker eine Schwachstelle gefunden, um einen Teil der Passwörter zu knacken.

Die Stagefright-Entdecker legen nach: Sie haben einen Exploit zur Ausnutzung der Sicherheitslücke veröffentlicht. Die meisten Gerätehersteller haben die Lücke bislang nicht gepatcht.

Ein priviligierter Account für den Mozilla-Bugtracker ist unter der Kontrolle eines Angreifers gewesen. Dadurch gelang es diesem, Informationen über noch nicht behobene Sicherheitslücken in Firefox zu erhalten.

Eine Optimierung von RSA-Signaturen kann bei fehlerhaften Berechnungen den privaten Schlüssel verraten. Bekannt ist dieser Angriff schon seit 1996, ein Red-Hat-Entwickler hat jetzt herausgefunden, dass es immer noch verwundbare Hard- und Software gibt.

Microsoft hat einen Sicherheits-Patch für den Internet Explorer veröffentlicht. Der Besuch einer entsprechend modifizierten Webseite erlaubt es Angreifern, beliebigen Code auf dem fremden System auszuführen. Das Sicherheitsloch wird bereits aktiv ausgenutzt.

Black Hat 2015 Wer moderne Technik zerlegt, um sie und damit die Welt verstehen zu können, macht sich strafbar. Dabei müsste das Hacken gefördert werden, sagt die Anwältin Jennifer Granick.

Black Hat 2015 Auf der Black-Hat-Konferenz hat Joshua Drake die Hintergründe zu den Stagefright-Sicherheitslücken erläutert. Über mindestens elf verschiedene Wege lässt sich ein Android-System seinem Vortrag zufolge angreifen. Fortschritte gibt es bei den Android-Updates.

Update Black Hat 2015 Die Sicherheitslücke in Androids Stagefright-Framework bewirkt ein Umdenken: Sowohl Google als auch Samsung führen einen monatlichen Patchday ein, an dem Sicherheits-Updates unabhängig von eigentlichen Systemaktualisierungen bereitgestellt werden sollen.

Kaum online kamen schon die ersten Zugriffe: Das Sicherheitsunternehmen TÜV Süd hat eine Wasserwerkssimulation als Honeynet aufgesetzt und acht Monate lang ins Internet gestellt. Auch Betreiber von kleinen und unbedeutenden Anlagen mit Internetanschluss seien unmittelbar gefährdet, folgern die Sicherheitsexperten.

Fehlerhaft arbeitende Speicherchips sind möglicherweise ein größeres Sicherheitsrisiko als bisher gedacht. Einem Forscherteam ist es nun gelungen, einen sogenannten Rowhammer-Angriff mittels Javascript durchzuführen. Gegenmaßnahmen sind schwierig.

Cisco, F5, Juniper, Fortinet: Ein Sicherheitsforscher hat eine Reihe von TLS-Servern entdeckt, die den sogenannten Message Authentication Code (MAC) von Verbindungen nicht prüfen. Andere Serverimplementierungen prüfen eine Checksumme am Ende des Handshakes nicht.

Ein OpenSSL-Update behebt eine kritische Sicherheitslücke. Mittels einiger Tricks kann ein Angreifer damit ein gewöhnliches Zertifikat zu einer Zertifizierungsstelle machen. Betroffen sind vor allem Clients.

Programme testweise mit massenhaft fehlerhaften Daten zu füttern, ist eine effektive Methode, um Fehler zu finden. Das sogenannte Fuzzing ist schon seit Jahrzehnten bekannt, doch bessere Tools und einige spektakuläre Funde von Sicherheitslücken haben zuletzt das Interesse daran erneut geweckt.

Über eine Schwachstelle in Android können Unbefugte Zugriff auf Daten auf dem Gerät erhalten. Die meisten verwendeten Android-Geräte weisen den Fehler weiterhin auf, obwohl Google schon vor Monaten darauf hingewiesen wurde.

Adobe muss außerplanmäßig patchen. Laufende Angriffe auf IE- und Firefox-Nutzer mit Flash Player machen es notwendig, die Sicherheitslücke möglichst schnell zu schließen.

Wer in Android eine Schwachstelle findet, wird von Google entlohnt. Der Suchmaschinenanbieter erweitert sein Bounty-Programm auf das mobile Betriebssystem - allerdings mit einigen Einschränkungen.

Update OpenSSL veröffentlicht Updates für kleinere Sicherheitslücken - dabei ist den Entwicklern ein Fehler unterlaufen: Durch eine veränderte Datenstruktur ändert sich die Binärschnittstelle der Bibliothek, was zu Fehlfunktionen führen kann.

Sicherheitslücken in Adobes Flashplayer sollten Anwender zum Handeln zwingen. Bereits existierende Exploit-Kits werden derzeit sehr schnell an Patches angepasst. Für das letzte Update brauchten Angreifer nicht einmal zwei Wochen, um die abgesicherte Sicherheitslücke auszunutzen.

Ein Debian-Bug aus dem Jahr 2008 hinterlässt immer noch Spuren. Eine Analyse der öffentlichen SSH-Schlüssel bei Github zeigt: Mittels angreifbarer Schlüssel hätten Angreifer die Repositories von Projekten wie Python und Firmen wie Spotify oder Yandex manipulieren können.

Hitb 2015 Wie viel Toner benötigen US-Universitäten, welche Windkraftanlagen laufen gerade und welche Autokennzeichen werden gerade in New Orleans erfasst? John Matherly berichtet, wie freigiebig das Internet der Dinge mit Informationen umgeht.

Hitb 2015 Mit relativ simplen Methoden ist es dem 18-jährigen Webentwickler Bas Venis gelungen, schwerwiegende Sicherheitslücken im Chrome-Browser und im Flash-Plugin aufzudecken. Er ruft andere dazu auf, nach Bugs in der Logik von Browsern zu suchen.

Die offiziellen Abbilder im sogenannten Docker-Hub enthielten in über 30 Prozent aller Fälle schwere Sicherheitslücken, heißt es in einer Studie. Darunter seien auch sehr schwerwiegende, die lange bekannt seien.

Wer Sicherheitslücken findet, fliegt: Die Fluggesellschaft United Airlines startet ein Bug-Bounty-Programm und zahlt mit Bonusmeilen statt Geld. Es darf jedoch nicht überall nach Schwachstellen gesucht werden.

Update Ein Fehler im Diskettentreiber von QEMU kann in verschiedenen Virtualisierungslösungen zu einer Sicherheitslücke führen. Sie lässt sich selbst dann ausnutzen, wenn überhaupt kein virtuelles Diskettenlaufwerk genutzt wird.

In der Blog-Software Wordpress ist erneut eine Cross-Site-Scripting-Sicherheitslücke gefunden worden. Ursache ist eine Beispieldatei eines Icon-Sets. Betroffen sind das Default-Theme Twenty Fifteen und das Jetpack-Plugin.

Update Eine Cross-Site-Scripting-Sicherheitslücke gefährdet Nutzer von Wordpress-Blogs. Einen Fix gibt es noch nicht. Laut dem Entdecker der Lücke wurden seine Warnungen von Wordpress ignoriert.

Verschiedene Antiviren-Programme enthalten Features, um verschlüsselte HTTPS-Verbindungen zu scannen. Dabei gefährden sie die Sicherheit der Verschlüsselung. Besonders drastisch: In der aktuellen Version von Kaspersky ist die Freak-Sicherheitslücke noch nicht geschlossen.