Security

Die Mehrheit der Sicherheitslücken, die Microsoft behebt, sind auf die Speicherprobleme von C und C++ zurückzuführen. Das Sicherheitsteam von Microsoft untersucht deshalb nun den Einsatz der Sprache Rust.

50 Terabyte NSA-Daten wurden bei dem ehemaligen Geheimdienstmitarbeiter Harold T. Martin III 2016 entdeckt. Nun wurde er zu neun Jahren Gefängnis verurteilt. Ob ein Zusammenhang mit den Leaks von The Shadow Brokers besteht, konnte nicht endgültig geklärt werden.

Forscher haben mehr als 22.000 Pornowebseiten auf Trackingdienste untersucht - und dort auch Google und Facebook gefunden. Diese geben jedoch an, die Daten nicht zu verwenden.

Ein Fehler auf der Petitionsplattform WeAct von Campact ermöglichte den Zugriff auf die Daten der Unterstützer. Rund 1,8 Millionen Unterzeichner sind betroffen. Die Nichtregierungsorganisation hat die Hintergründe des Fehlers veröffentlicht.

Wer sich im Aktionszeitraum des Prime Day die Browser-Erweiterung Amazon Assistant installiert hat, erhält 10 Euro von Amazon. Doch die Software überwacht das Surf-Verhalten des Kunden.

Keine E-Mail, kein Internet, keine Patientendatenbank: Eine Ransomware hat das Netzwerk von etlichen Krankenhäusern und Altenpflegeeinrichtungen im Südwesten Deutschlands befallen. Unklar ist, ob ein Lösegeld gefordert wurde.

Der Quartals-Patchday von Oracle fällt dieses Quartal etwas umfangreicher aus als in den letzten Quartalen. Der Datenbankanbieter schließt an diesem Tag mehr als 300 Sicherheitslücken. Aufgrund von Fehlern in Weblogic musste Oracle aber teils schon vorher patchen.

Der EU-Rat diskutiert die Ausweitung der Fluggastdatenspeicherung auf Bahn, Bus und Schiff. Datenschützer und Juristen kritisieren den Vorstoß. Die Datenspeicherung sei bereits in ihrer jetzigen Form unverhältnismäßig und führe effektiv zu weniger Sicherheit.

Cloudflare erzählt in einem ausführlichen Blogpost die Geschichte des vergangenen Ausfalls, der einen Teil der Internetinfrastruktur belastete und sogar das eigene Team bei der Fehlersuche behinderte. Das Unternehmen schämt sich für den Fehler.

Google ist nicht begeistert, dass ein Mitarbeiter aufgezeichnete Google-Assistant-Gespräche von Kunden an die Presse weitergeleitet hat. Ermittlungen dazu laufen - und Google rechtfertigt und verteidigt das Vorgehen.

Einige Windows-10-Nutzer wundern sich über einen Updatehinweis, der auch nach Installation des aktuellen Updates immer wieder auftaucht. Auch nach einem Neustart verschwindet die Nachricht nicht. Allerdings gibt es ein paar Workarounds.

Nach mehreren Monaten hat sich die US-Behörde FTC festlegen können: Facebook muss fünf Milliarden US-Dollar Strafe zahlen, wegen Cambridge Analytica und anderen Vorfällen. Nach Ansicht einiger Kritiker ist diese Summe im Verhältnis zum Einkommen des Unternehmens zu niedrig - der Aktienkurs steigt.

Eigentlich haben Nutzer sich vom aktuellen Sicherheitspatch für Windows 7 erhofft, nur Security-Fixes zu erhalten. Allerdings hat ein anonymer Nutzer entdeckt, dass Microsoft auch ein Diagnosetool verteilt, das Daten an das Unternehmen schicken kann. ZDnet hält das nicht für einen Zufall.

Angreifer verteilen wahllos Schadcode auf Amazon-S3-Buckets. Sie infizieren jeden Bucket, der ungeschützt im Netz hängt. Bislang sollen 17.000 Domains betroffen sein. Obwohl die Angriffe nur in einem Bruchteil der Fälle effektiv sein dürften, offenbaren sie ein größeres Problem.

Ein Entwickler stellt eine neue Version einer Zip-Bombe vor, die sehr effizient entpackt. Den Trick dokumentiert er anschaulich in einem Artikel. Dabei wird die immer gleiche gepackte Information beliebig oft aufgerufen.

In fünf Wochen dürfen US-Bundesbehörden keine chinesischen Überwachungskameras mehr einsetzen - doch diese sind nur schwer zu identifizieren. Rund 60 Prozent der Kameras enthalten zudem Huawei-Chips.

Jeder 500. Sprachbefehl wird von Google-Mitarbeitern ausgewertet. Ein Leak aus Belgien zeigt, dass sich darunter auch viele ungewollt aufgenommene Gespräche und Telefonanrufe befinden - mit privaten und intimen Inhalten.

Der VRR will seine flexible ÖPNV-Preisberechnung per Check-in und -out im Verbund weiterführen. Die Erfahrungen der ersten Testversion sollen für Pläne des Nextticket 2.0 verwendet werden. Außerdem wird auf ein Be-out-System gewechselt.

Mit einer neuen Methode können Daten von Air-Gapped-Computern, die nicht an das Internet angeschlossen sind, ausgeleitet werden. Dafür verwendet ein Sicherheitsforscher die LEDs einer Tastatur.

Nach mehreren Angriffen auf OpenPGP-Schlüssel auf Schlüsselservern zieht GnuPG die Reißleine und akzeptiert keine Signaturen mehr von diesen. Damit dürfte sich auch das Web of Trust erledigt haben.

Mit Dropbox Transfer können Nutzer künftig sogar große Dateien einfach verschicken - auch an Empfänger, die nicht bei Dropbox angemeldet sind. Der Dienst kopiert mehr oder weniger direkt Wetransfer, bietet aber mehr Speicherplatz und erweiterte Optionen.

Die Nominierung Mozillas als "Internetschurke" hat der Provider-Verband des Vereinigten Königreichs nun offiziell zurückgenommen. Die Umsetzungspläne für DoH will der Verband aber weiter "genau hinterfragen".

Der Juli-Patchday von Adobe betrifft dieses Mal keine populären Endanwender. Weder der Flash Player noch die PDF-Werkzeuge haben Sicherheitslücken, die beseitigt werden müssen. Dafür gibt es Lücken in anderen Werkzeugen.

Über das Krankenhausnetzwerk lassen sich Befehle an Anästhesie- und Beatmungsgeräte des Herstellers GE senden. Eine Sicherheitslücke ermöglicht unter anderem, Dosierung und Typ des Narkosemittels zu ändern.

Zum Erstellen illegaler Kopien von Inhalten der Streaminganbieter Netflix oder Amazon greifen die zuständigen Gruppen offenbar direkt die genutzte Verschlüsselung an. Das geht aus einem Medienbericht hervor, der Insider zitiert.

Nach einer langen Diskussion hat sich Mozilla entschieden, TLS-Zertifikaten der Firma Dark Matter nicht mehr zu trauen. Dark Matter war laut Medienberichten in Spionage der Vereinigten Arabischen Emirate verwickelt.

Der Landesdatenschutzbeauftragte aus Hessen warnt vor Microsofts Cloud: Der Zugriff von Dritten könne nicht ausgeschlossen werden, daher dürften Schulen die Software Office 365 nicht einsetzen. Das ist aber nicht der einzige Grund.

Nutzer der Software Zoom können auf dem Mac ungefragt zu Videokonferenzen hinzugefügt werden - mitsamt Videostream. Selbst das Deinstallieren der Software schützt davor nicht.

Wer die aktuellen Betaversionen von iOS 13, iPad OS oder MacOS Catalina installiert hat, kann sich auf der Beta-Webseite von iCloud mit Gesichtsscan oder Fingerabdruck einloggen. Dabei kommt wohl kein Webauthn zum Einsatz.

30 Millionen US-Dollar zahlt Argentinien für ein regionales Videoüberwachungssystem, das vom chinesischen Unternehmen ZTE stammt. Die Chinesen wollen dies als Ausgangspunkt für eine Expansion auf dem südamerikanischen Markt nutzen. Kritik kommt aus den USA.

Das Github-Konto von Canonical wurde zwischenzeitlich von Angreifern übernommen, diese hätten die dort gehostete Software verändern können. Ubuntus Infrastruktur soll nicht betroffen sein.

Mit der Datenschutzgrundverordnung können Datenschutzverstöße und Datenlecks teurer werden. Die Fluggesellschaft British Airways gibt sich überrascht und will Widerspruch gegen eine Strafzahlung einlegen.

Ermittlungsbehörden sollen künftig viel einfacher auf elektronische Beweismittel in anderen EU-Staaten zugreifen können. Die Bundesregierung warnt intern vor den Gefahren für Presse- und Meinungsfreiheit.

Update Gleich mehrere Sicherheitslücken in kabellosen Tastaturen und Mäusen von Logitech ermöglichen nicht nur das Mitlesen der Eingaben, es kann auch Schadcode an den Rechner übermittelt werden. Logitech möchte nicht alle Lücken schließen.

Nutzer des aktuellen Windows-10-Updates 1903 könnten Probleme mit dem VPN-Dienst Rasman und dem Sandbox-Modus haben. Microsoft arbeitet an einer Lösung. Das Wirtschaftsmagazin Forbes hält die konstanten Fehler nach Updates für gefährlich. Windows 10 sei weiterhin eine Gefahrenzone.

Der Verschlüsselungsexperte und Golem.de-Redakteur Hanno Böck gibt einen Workshop zum wichtigsten Verschlüsselungsprotokoll im Netz. Am 24. und 25. September klärt er Admins, Pentester und IT-Sicherheitsexperten in Berlin über Funktionsweisen und Gefahren von TLS auf.

Die japanische Einzelhandelskette 7-Eleven hat Anfang Juli 2019 ein eigenes Bezahlsystem eingeführt, das sich durch einfache Bedienung auszeichnet. Dummerweise ist der mit einer Kreditkarte verknüpfte Dienst nur unzureichend gesichert gewesen.

Die Daten von Millionen Smart-Home-Geräten und ihren Eigentümern waren öffentlich über das Internet abrufbar. Mit den Zugangsdaten hätten Angreifer die Konten und Geräte übernehmen können. Auch Einbrecher hätten leichtes Spiel gehabt.

Keine rechtliche Grundlage, wenig Feingefühl für Privatsphäre und dazu auch noch grottenschlechte Ergebnisse: Zwei britische Wissenschaftler haben den Einsatz von Echtzeit-Gesichtserkennung durch die Londoner Polizei untersucht. Die sollte wohl darauf hoffen, dass sich kein Gericht damit befasst.

Die Betreiber von Plattformen im Darknet können laut einer Studie bereits nach geltendem Recht geahndet werden, wenn dort mit Illegalem gehandelt wird. Ein eigens dafür geschaffener Straftatbestand könne jedoch den Betrieb von Plattformen im Internet und Anonymisierungsdiensten gefährden.