Als Teil der neuen Passwortverwaltung soll der Firefox-Browser künftig auch zufällige Passwörter erzeugen können. Die Funktion kann in aktuellen Nightly-Builds des Browsers getestet werden.

Schutz gegen Microarchitectural Data Sampling wie Zombieload: Wer noch Windows 10 oder Windows Server in einer älteren Version auf einem Intel-Prozessor nutzt, erhält nun direkt über das Betriebssystem passenden Microcode, um das System gegen Seitenkanalangriffe zu härten.

Firefox-Hersteller Mozilla hat eine kritische Sicherheitslücke in seinem Browser geschlossen, die wohl aktiv ausgenutzt wird. Updates stehen bereit und werden von Mozilla bereits verteilt.

Ohne Lösegeld zu bezahlen und Daten zu verlieren, lässt sich auch die aktuelle Version 5.2 der Ransomware Gandcrab umgehen. Ein Tool von Strafverfolgungsbehörden und Sicherheitsfirmen hilft dabei.

Im Linux-Kernel und in FreeBSD sind mehrere Fehler bei der Verarbeitung von TCP-Paketen gefunden worden. Eine Sicherheitslücke in der Funktion Selective Acknowledgement (SACK) kann von Angreifern dazu genutzt werden, bei Linux einen Kernelabsturz zu verursachen.

Über die API des Zahlungsdienstes Venmo lassen sich die Transaktionen inklusive persönlicher Daten abrufen. Ein Informatikstudent hat laut einem Bericht sieben Millionen Transaktionen heruntergeladen und auf Github veröffentlicht.

Mit Hilfe des Werkzeugs ME-Cleaner können Nutzer die Intel ME auf ihrem Rechner deaktivieren. Das Team arbeitet nun an dem Support für Version 12 und für die Coffee-Lake-Plattformen.

Der Hersteller Yubico muss einige seiner Sticks zur Zwei-Faktor Authentifizierung wegen Sicherheitslücken zurückziehen und bei Kunden austauschen. Kurioserweise nur jene mit einer besonderen Zertifizierungen der US-Regierung.

Der Zugriff auf die Daten im Smart Home war ebenso Thema auf der Innenministerkonferenz wie eine Abhörschnittstelle bei Whatsapp. Auch die Vorratsdatenspeicherung ist noch nicht vom Tisch. Bei den meisten Themen konnten sich die Innenminister einigen.

Die Lidl Plus App bietet auf den Kunden zugeschnittene Rabatte gegen Daten. Der Landesdatenschutzbeauftragte aus Baden-Württemberg kündigte an, das Programm genau zu prüfen und warnt vor dem gläsernen Kunden.

Over-the-Top-Webmailer wie Gmail sind laut Europäischem Gerichtshof keine Telekommunikationsdienste und damit auch nicht verpflichtet, Geheimdiensten Schnittstellen zur Überwachung bereitzustellen. Eine Expertin sieht dennoch keinen Grund zur Entwarnung.

Über eine Sicherheitslücke in der Verschlüsselungsbibliothek Symcrypt lassen sich Windows-Server lahmlegen. Project Zero veröffentlichte die Sicherheitslücke nach 90 Tagen. Patches von Microsoft sollen erst im Juli folgen.

Das bisherige Konzept der PGP-Keyserver ist an seine Grenzen gelangt, die bestehenden Keyserver werden immer unzuverlässiger. Nun gibt es einen neuen Keyserver mit einem anderen Konzept. Persönliche Daten werden nur nach einer Prüfung der E-Mail-Adresse verteilt.

Microsoft blockiert mit seinem Juni-Update unsichere Bluetooth-Geräte wie Googles Fido-Stick Titan. Über eine Sicherheitslücke könnten Angreifer ihre Tastatur an einem Rechner oder Smartphone per Bluetooth anmelden.

Mehrere Sicherheitslücken betreffen Adobes Produkte Coldfusion, Flash Player und das Kampagnenwerkzeug Campaign. Entsprechende Patches stehen bereit. Für Coldfusion muss aber auch Java aktualisiert werden.

Mit Angriffen durch RAM-Bitflips lassen sich unberechtigt Speicherinhalte auslesen. Als Demonstration zeigen Forscher, wie sie mit Nutzerrechten einen RSA-Key eines SSH-Daemons auslesen können.

Das Innenministerium möchte Messengerdienste zur Herausgabe entschlüsselter Inhalte zwingen - und damit die Ende-zu-Ende-Verschlüsselung untergraben. Über 100 Vereine, Informatiker und Bürgerrechtler argumentieren in einem offenen Brief dagegen.

Über ein Bug-Bounty-Programm der EU wurden mehrere Sicherheitslücken im VLC-Player gemeldet und geschlossen. Mit den Bounty Huntern habe man nicht nur gute Erfahrungen gemacht, schreibt ein VLC-Entwickler.

In zahlreichen Java-Projekten werden Abhängigkeiten ungeprüft über HTTP ohne TLS heruntergeladen. Ein Netzwerkangreifer kann dadurch trivial die Downloads manipulieren und Schadcode ausführen.

Automatische Gesichtserkennung wird immer mehr zum Standard bei Grenzkontrollen. Doch die Daten der Reisenden wurden in den USA offenbar nicht gut geschützt.

Die EU-Ratstagung ist ohne greifbare Ergebnisse zur E-Privacy zu Ende gegangen. Schneller ist man hingegen bei den Verhandlungen mit den USA über ein E-Evidence-Abkommen zur Strafverfolgung.

Mit dem Smart Lock 2.0 macht Nuki Türschlösser schlauer und Türen bequemer. Kritisierte Sicherheitsprobleme sind beseitigt worden, aber die Software zeigt noch immer Schwächen.
Ein Test von Ingo Pakalski

Bürgerrechtsorganisationen setzen Datenschutzbehörden mit Massenbeschwerden unter Druck. So wollen sie den Kontrollverlust der Nutzer bei Echtzeit-Auktionen für verhaltensbasierte Internetwerbung beenden.
Von Christiane Schulzki-Haddouti

Polizisten nutzten die im Rahmen von Ermittlungen erhobenen Handynummern von Minderjährigen, um diese zu kontaktieren und ihnen "sexuelle Avancen" zu machen. Abgeordnete im Schweriner Landtag sind fassungslos und fordern zumindest dienstrechtliche Konsequenzen.

Nach den Plänen der Innenminister sollen Strafverfolgungsbehörden zukünftig auf die Daten von Sprachassistenten und Smart Home zugreifen können. Politiker und Datenschützer sind entsetzt.

Eine Sicherheitslücke im Exim-Mailserver lässt sich auch übers Netz zur Codeausführung ausnutzen, der Angriff dauert aber in der Standardkonfiguration mehrere Tage. Lokal ist er trivial und emöglicht es Nutzern, Root-Rechte zu erlangen.

Im Texteditor VIM wurde eine Sicherheitslücke gefunden, bei der ein speziell präpariertes Dokument Code ausführen kann. Die dafür genutzte Funktion der Modelines ist nur auf manchen Systemen aktiv.

Sprachassistenten wie Alexa oder Siri und andere Smart-Home-Geräte produzieren massig Daten. Auf diese sollen zukünftig auch Sicherheitsbehörden zugreifen können. Eine entsprechende Beschlussvorlage soll auf der Innenministerkonferenz verabschiedet werden.

Es ist wieder Patchzeit für Android-Nutzer. Im Juni-Update beseitigt Google erneut zahlreiche Sicherheitsprobleme. Zwei der Fehler der höchsten Kategorie betreffen fast alle Anwender neuerer Android-Versionen. Andere wiederum sind nur in Android 9 zu finden.

Die Entwickler des Exim-Mailservers informieren über eine Sicherheitslücke, Details gibt es aber bisher nicht. Die sollen in einer Woche folgen.

In einer Sammelklage gehen Nutzer gegen Facebook im Skandal um Cambridge Analytica vor. Das soziale Netzwerk will jedoch keinen Schaden seiner Mitglieder durch die Datenweitergabe anerkennen.

Amazon will das Löschen von Alexa-Sprachaufnahmen für die Nutzer smarter Lautsprecher und smarter Displays bequemer machen. Künftig kann etwa der letzte Befehl auf Zuruf gelöscht werden.

Die Angriffsserie Nansh0u nutzt Hacking-Techniken, die sonst eher bei staatlichen Angreifern zu finden sind. Mit signierter Treibersoftware und einem Kernelrootkit schürfen die Angreifer die Kryptowährung Monero. Betroffen waren 50.000 Windows-Datenbankserver.

In vielen Apps steckt fehlerhafte Kryptographie. Auf der Sicherheitskonferenz Ruhrsec wurde eine Lösung vorgestellt: Cognicrypt. Die Open-Source-Software sucht nach Fehlern im Code und generiert sichere Krypto-Funktionen. Neben Java sollen bald auch weitere Programmiersprachen folgen.
Von Moritz Tremmel

Knapp eine Million im Internet erreichbare Windows-Computer sind für eine Sicherheitslücke anfällig, die laut Microsoft das Potenzial hat, Schäden wie Wanna Cry zu verursachen.

Das TCP überträgt Daten bislang unverschlüsselt. Die IETF hat nun zwei RFCs zur TCP-Verschlüsselung veröffentlicht. Diese sind als experimentell gekennzeichnet und dienen zur Dokumentation der Forschung.

Huawei will eine schnellere Entscheidung in seiner Klage gegen die "verfassungswidrigen" US-Sanktionen. US-Politiker nutzten den gesamten Staatsapparat, um ein privates Unternehmen zu verfolgen, sagte der Chefjustiziar.

Seit den 90ern lassen sich E-Mails mit GPG verschlüsseln, doch nur wenige nutzen das System täglich. Zu kompliziert sagen Kritiker. Pep tritt an, die E-Mail-Verschlüsselung radikal zu vereinfachen - und macht alles noch komplizierter.
Ein Erfahrungsbericht von Moritz Tremmel

Eine TLS-Erweiterung sollte die Nutzung von DANE und DNSSEC im Browser erleichtern und die Validierung beschleunigen. Der Vorschlag wird nun aber offenbar nicht weiter verfolgt.

Die CDU hat sich offenbar sehr über die Kritik aus der Youtuber-Szene vor den Europawahlen geärgert. Nun überlegt die Parteivorsitzende Kramp-Karrenbauer eine Einschränkung der Meinungsfreiheit im Wahlkampf. Weitere CDU-Politiker fordern eine Regulierung.

Der in Microsoft Defender umbenannte Windows Defender kann auch Macs vor Schadsoftware schützen. Fertig ist die Software noch nicht, wer will, kann sie aber dennoch bereits anschauen.

Die aktuelle Version 0.8 von ZFS on Linux (ZoL) verschlüsselt das Dateisystem nativ. Auch sind verschlüsselte Backups möglich und für SSD-Nutzer gibt es TRIM-Support.

Nicht nur in Deutschland, auch auf EU-Ebene haben Konservative und Sozialdemokraten bei der Europawahl 2019 stark verloren. Da sie nicht mehr über eine Mehrheit im Europaparlament verfügen, wächst der Einfluss von Grünen und Liberalen.
Von Friedhelm Greis

Bei der Europawahl 2019 haben die Regierungsparteien Union und SPD historisch schlecht abgeschnitten. Besonders profitieren konnten die Grünen. Während die Piraten viele Stimmen verloren, legte eine andere Kleinstpartei besonders stark zu.

Die Verschlüsselung von vielen Messengern gilt als unknackbar. Der Spiegel berichtet von Plänen des Innenministers, die Messengerdienste zur Weitergabe entschlüsselter Nachrichten zu zwingen - sonst könnte ihnen in Deutschland die Sperrung drohen.

Im ersten Jahr nach Inkrafttreten der DSGVO haben Nutzer von ihrem Beschwerderecht intensiv Gebrauch gemacht. Die Zahl der gemeldeten Datenpannen ist ebenfalls sehr hoch, vor allem in Deutschland. Auch die Internetbank N26 soll nun ein Bußgeld zahlen.

Die Funktion zur Sicherheitswarnung von Github wird so erweitert, dass die Plattform auch direkt die Patches zum Einpflegen bereitstellt. Entwickler können Lücken und deren Lösung zudem in geschlossenen Gruppen betreuen.

Der Streit über die Auswahlfunktion beim Wahl-O-Mat ist beigelegt. Allerdings sollen die vereinbarten Änderungen nicht mehr vor der Europawahl 2019 umgesetzt werden.

Ein Jahr nach Inkrafttreten der DSGVO wird die irische Datenschutzbehörde gegen Google tätig. Dabei geht es um die Kategorisierung von Nutzern in Werbenetzwerken.

Für bessere Statistiken geht Transport for London einen gewagten Schritt. Die Behörde wird alle angemeldeten Geräte anhand der MAC-Adresse verfolgen, um mit den so erhobenen Daten Fahrgastströme besser zu verstehen und etwa vor Überfüllungssituationen zu warnen.