Die automatischen Updates von Drupal können so manipuliert werden, dass recht leicht Malware eingeschleust werden kann. Bekannt ist dies wohl schon seit Jahren, Lösungen dafür werden nun erneut diskutiert.
Nutzer, die auf die Installation von Android-Apps aus Drittanbieter-Quellen verzichten, gehen damit einem Sicherheitsrisiko aus dem Weg. Doch auch der Play Store bietet keine absolute Sicherheit: Jetzt ist es Malware-Entwicklern wieder gelungen, Googles Sicherheitsmechanismen zu umgehen.
Neue Angriffe gegen TLS: Krypto-Forscher präsentieren mit Sloth mehrere Schwächen in TLS-Implementierungen und im Protokoll selbst. Am kritischsten ist ein Angriff auf Client-Authentifizierungen mit RSA und MD5.
Mehrere hunderttausend Ukrainer waren kurz vor Weihnachten von einem Stromausfall betroffen. Dahinter sollen Hacker stehen, die eine seit langem bekannte Malware modifizierten.
Dediziert oder integriert, wie viel Videospeicher, welcher Sockel, vier Intel-Kerne oder lieber acht AMD-Kerne? Rückblick, Überblick plus Ausblick zu CPUs und Grafikkarten der Jahre 2015 bis 2016.
Malware-Entwickler sind ständig dabei, neue Versionen ihrer Schadsoftware zu programmieren. Eine neue Ransomware erinnert an Cryptolocker, ist aber komplett in NW.js umgesetzt. Damit könnte die Malware auch Linux- und Mac-Systeme befallen.
Die Zeit zwischen Weihnachten und Neujahr war für die Administratoren des Hosting-Providers Linode offenbar wenig besinnlich: Das Unternehmen war schweren Denial-of-Service-Attacken ausgesetzt. Mittlerweile funktionieren die meisten Server wieder.
Auf den Installationsimages für Server der Firma Hetzner fanden sich für mehrere Monate vorinstallierte SSH-Keys. Die betroffenen Server sind somit für Man-in-the-Middle-Angriffe anfällig.
32C3 Ihr Vater habe sie aufs Programmieren gebracht, sagt Leeloo. In der Schule lernt sie nur, Word-Dokumente auszudrucken. Darum macht die 13-Jährige bei "Jugend hackt" mit.
32C3 Wie verhindert man einen DDoS-Angriff nicht? Dieser Frage ging der Sicherheitsforscher Moshe Ziono in seinem Vortrag auf dem 32C3 nach. Demnach wird das teure Anti-DDoS-Equipment offenbar manchmal selbst zur Falle.
32C3 Der Geheimdienstausschuss des US-Senats plant offenbar eine gesetzliche Pflicht für Hintertüren in Verschlüsselungsprogrammen. Aktivisten sind aber der Ansicht, auch die nächsten Crypto Wars gewinnnen zu können.
32C3 Chinas Internetzensoren sind offenbar erfindungsreich: Statt stumpf alle verschlüsselten Verbindungen zu blockieren, suchen die Zensoren aktiv nach Tor-Bridges, um diese zu unterbinden. Doch es gibt Möglichkeiten, die Zensur zu trollen.
Zum Wohl der Entwickler und der Kunden haben in diesem Jahr ehemalige Open-Source-Gegner wie Microsoft oder Apple stark auf offenen Quellcode gesetzt. Einige der offenen Mobilbetriebssysteme straucheln dagegen und selbst Android-Hersteller beklagen Probleme bei der Entwicklung.
Fujitsu teilt sein Geschäft mit Mobilfunktelefonen, PCs und Notebooks auf. Das japanische Unternehmen wird die Produkte in zwei Tochterfirmen unterbringen: Fujitsu Connected Technologies Limited beziehungsweise Fujitsu Client Computing Limited.
Autofahren und Nahkampf im frei zugänglichen Hongkong: Das war die Idee hinter Triad Wars, einem Free-to-Play-Ableger von Sleeping Dogs. Nun geben die Entwickler die Einstellung des von Square Enix finanzierten Projektes bekannt.
Es gebe zurzeit ungefähr eine Milliarde Menschen, die Ubuntu nutzten, sagt ein Produktstratege von Canonical und reagiert damit auf einen kritischen Medienbericht. Die Zählweise lässt allerdings sehr viel Raum für Interpretationen und Diskussionen.
Die VLC-App für Apples Mobilgeräte unterstützt nun iOS 9 und damit auch das iPad Pro. Zudem ist die Anwendung für die Apple Watch überarbeitet worden, und aus der App heraus lässt sich leichter suchen.
Zu Weihnachten reparieren wir alljährlich die IT der gesamten Familie. Wir fluchen, lästern - und fühlen uns gebraucht. Was für ein Schock, wenn man plötzlich feststellt, dass sich die Angehörigen hinterrücks digitalisiert haben!
Wegen einer anonymen Bombendrohung mussten kürzlich alle Schulen in Los Angeles schließen. Nun haben deutsche Behörden offenbar Amtshilfe bei der Suche nach dem Urheber der Drohmails geleistet.
Die HTTP-Fehlermeldung "404 - Seite nicht gefunden" kennt jeder. Jetzt gibt es einen neuen Statuscode für zensierte Inhalte. Seine Zahlenfolge ist keineswegs zufällig gewählt.
Mit Let's Encrypt können Webseitenbetreiber kostenfreie SSL-/TLS-Zertifikate erstellen. Wir haben bei großen deutschen Webhostern nachgefragt, ob sie den Dienst nutzerfreundlich in ihre Angebote integrieren wollen. Spoiler: Es wird wohl noch etwas dauern.
Zahlreiche interne Datensätze der Europäischen Raumfahrtagentur Esa sind gehackt worden und jetzt im Internet einsehbar. Offenbar benutzen viele der Esa-Nutzer kurze und unsichere Passwörter.
Die Cloud-Variante von Libreoffice kann nun auch aus Owncloud heraus genutzt werden. Dafür kooperieren die Entwickler beider Projekte eng miteinander. Es steht ein VM-Abbild bereit, mit dem ein Server getestet werden kann. Die kommerzielle Vermarktung ist bereits in Planung.
Offenbar sind Erpresser in den USA jetzt dazu übergegangen, ehemalige Ashley-Madison-Nutzer per Post zu erpressen - und nicht mehr nur per Mail. Das könnte jedoch zum Problem für die Kriminellen werden.
Eigentlich sollen mit SHA1 signierte TLS-Zertifikate bald der Vergangenheit angehören. Doch in Entwicklungsländern sind noch viele Geräte in Benutzung, die den besseren SHA256-Algorithmus nicht unterstützen. Facebook und Cloudflare wollen daher alten Browsern ein anderes Zertifikat ausliefern.
Derzeit gebe es rund 25 Millionen Thunderbird-Nutzer, schreibt der Chef des zuständigen Entwicklergremiums. Ihre Zahl wachse stetig. Die Pläne zur Loslösung des E-Mail-Clients von Mozilla werden zudem konkreter, die Entwickler damit aber auch abhängiger von ihren Nutzern.
AMD hat angekündigt, CPUs mit Zen-Architektur zuerst für den High-End-Desktop und nicht den Servermarkt zu veröffentlichen. Das ist ein ungewöhnliches Vorgehen, uns erscheint es aber logisch.
Apple hat nach mehreren Betas die finale Version von iOS 9.2 für iPhones, iPads und den iPod Touch veröffentlicht. Das Update des mobilen Betriebssystems enthält zahlreiche Fehlerbehebungen. Siri unterstützt jetzt die arabische Sprache.
Windows 10 sieht nicht nur anders aus als seine Vorgänger, auch im Inneren hat sich viel geändert: Besonders beim Thema Security im Consumer- und Enterprise-Segment hat Microsoft für Anwender einige Neuerungen wie eine Zwei-Faktor-Authentifizierung entwickelt.
Die Anzahl der Kerne pro CPU steigt, die Anzahl der Sockel hingegen kaum noch. Microsoft passt seine Lizenzpolitik entsprechend an: Bei der Familie des Windows Server 2016 wird pro Kern bezahlt.
Update Das Festnetz der Telekom ist bundesweit gestört. Über die Ursache schweigt das Unternehmen noch, räumt aber Störungen bei Telefonie, im Internet und TV im Festnetz ein.
Zertifikate für alle, und zwar kostenfrei! Let's Encrypt hat die öffentliche Beta gestartet. Jetzt kann jeder Webseitenbetreiber eigene Zertifikate für seine Domain erstellen - wenn sein Server die Voraussetzungen erfüllt.
Update Vodafones neuer E-Mail-Dienst Secure E-Mail soll den Austausch verschlüsselter E-Mails kinderleicht machen. Das Unternehmen macht jedoch in seiner Ankündigung kaum Angaben zur Sicherheit der verwendeten Verfahren. Deshalb haben wir nachgefragt - und sind verwirrt.
Version 7 des populären PHP-Interpreters ist erschienen. Mit diesem Release wird die Skriptsprache vor allem deutlich schneller und gleichzeitig sparsamer im Speicherverbrauch.
72Kommentare/Ein Test von Benjamin Eberlei,Kore Nordmann
Nicht nur Vtech-Spielzeug ist unsicher: Die umstrittene WLAN-Barbie von Mattel hält es mit der Sicherheit ebenfalls nicht so genau. Ein Hacker konnte aus der Puppe zahlreiche Informationen auslesen - und glaubt, auch die Serveranbindung manipulieren zu können.
Für seine Dienste verzichtet Github komplett auf typische Cloud-Software und setzt stattdessen auf die Verwaltung eigener Hardware im Rechenzentrum. Das bringt zwar einige Probleme mit sich, die Github aber mit einem speziellen Werkzeug und der Anbindung an einen Chatbot weitgehend gelöst haben will.
Update Kinder und Eltern schlecht geschützt: Der Hacker des Spielzeugherstellers Vtech hat offenbar nicht nur Zugriff auf Zugangsdaten und Adressen, sondern auch auf Porträtfotos, Chatprotokolle und Audiodateien gehabt. "Das macht mich krank", sagt er.
Auf die gefährlichen Root-Zertifikate hat Dell inzwischen reagiert, doch zu einer weiteren Sicherheitslücke in vorinstallierter Dell-Software ist die Informationslage ausgesprochen verwirrend: Die Dell Foundation Services erlauben eine eindeutige Identifizierung von Dell-Nutzern.
Schon seit mindestens Mai 2015 gibt es sie, eine Option für Hetzner-Kunden, die ihre Server für Kunden der Telekom zwischen 19 und 22 Uhr besser erreichbar machen wollen. Im Zuge der Debatte rund um Netzneutralität wird die Option zu einem aktuellen Beitrag.
Update Die nächsten Wochen sind die umsatzstärksten im Onlinehandel. Umso ärgerlicher, wenn der Zahlungsdienst Paypal am 1. Advent teilweise ausfällt. Die Probleme sollen jetzt wieder behoben sein.
Die Gesellschaft zur Verfolgung von Urheberrechtsverletzungen (GVU) verfolgt für die Filmindustrie weiter illegale Onlineangebote. Trotz einiger Erfolge der polizeiähnlich arbeitenden Gruppe gibt es weiterhin viele illegale Plattformen.
Zahlreiche Embedded-Geräte, darunter Router, Kameras, Telefone und vieles mehr, nutzen in der Firmware hardcodierte Schlüssel für HTTPS- und SSH-Verbindungen. Die Schlüssel werden in Kürze öffentlich bekannt sein, die verschlüsselten Verbindungen bieten damit kaum noch Schutz.
Insgesamt 144 Dies verteilt auf drei Dutzend Packages: Samsung hat angekündigt, die ersten DDR4-Arbeitsspeichermodule für Server zu produzieren. Die Südkoreaner sind aber nicht die ersten.
Update Wenige Tage vor der Veröffentlichung kämpfen die Entwickler beim Taktik-Actionspiel Rainbow Six Siege noch mit technischen Problemen - sogar der offene Betatest wird verschoben.
Zeit, Abschied zu nehmen: Microsoft beendet die Unterstützung für ältere Versionen des Internet Explorers ab Januar 2016. Es gibt jedoch einige Ausnahmen.
Forscher der Ruhr-Universität Bochum haben einen schon lange bekannten Angriff auf Verschlüsselungsverfahren mit elliptischen Kurven in der Praxis umsetzen können. Verwundbar ist neben Java-Bibliotheken auch ein Hardware-Verschlüsselungsgerät von Utimaco.
Das Sicherheitstool Nmap bringt in Version 7 viele Verbesserungen mit - etwa zahlreiche neue Skripte. Nutzer können nicht nur nach offenen Netzwerkports suchen, sondern Netzwerk und Server auf zahlreiche bekannte Schwachstellen testen.
Die Schaltsekunde bleibt fürs Erste: Die Fernmeldeunion ITU hat wieder keine Entscheidung getroffen, ob die Schaltsekunde abgeschafft wird. Systemadministratoren müssen weitere acht Jahre damit klarkommen, dass die Uhr angehalten wird.
Der Axel-Springer-Verlag geht juristisch gegen eine Werbeblocker-App für iPhones vor. Vor Gericht fiel ihm offenbar die Adblockersperre auf Bild.de vor die Füße.
