Sicherheitslücke

Das Bash Bunny im Einsatz (Bild: Hak5) (Hak5)

Rubber Ducky: Vom Hacken und Absichern der USB-Ports

BadUSB-Sticks geben sich als Tastatur aus und hacken im Vorbeigehen Rechner. Mit der richtigen Software können sie entschärft werden.

36 Kommentare / Ein Test von Moritz Tremmel

Sicherheitslücke durch unterschiedliche XML-Parser: Apple schließt einen Bug in iOS, der offenbar manchen schon seit Jahren bekannt war. (Bild: Drapplesi/Wikimedia Commons) (Drapplesi/Wikimedia Commons)

iOS: Fehlerhaftes XML trickst Apple-Betriebssystem aus

Ein Bug in iOS erlaubt es Apps, beliebige Berechtigungen zu erhalten.

12 Kommentare

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Effiziente Containerverwaltung mit Kubernetes

zum Artikel

Karriere Ratgeber: Microsoft Cloud verwalten auf höchstem Niveau

zum Ratgeber

Seminar: Source Code Management und CI / CD: virtueller Drei-Tage-Workshop

zum Kurs

E-Learning: Exclusive: Modern Desktop Administrator - Manage Windows 11 with Microsoft Intune (E-Learning in English)

zum Kurs

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Systemadministrator (w/m/d) WetterOnline Meteorologische Dienstleistungen GmbH, Bonn (öffnet im neuen Fenster)

IT-Spezialist ERP-Schnittstellen (m/w/d) A.T.U Auto-Teile-Unger GmbH & Co. KG, Weiden,Home Office (öffnet im neuen Fenster)

Softwareentwickler (w/m/d) Embedded Software Bernstein AG, Porta Westfalica (öffnet im neuen Fenster)

IT-Projektmanager (m/w/d) Martin Hartl Elektro-Fachgroßhandel GmbH, Freising (öffnet im neuen Fenster)

IT-Techniker/in (m/w/d) Großleitstelle Oldenburger Land AöR, Oldenburg (Oldb) (öffnet im neuen Fenster)

Prozessmanager & IT (m/w/d) Longial GmbH, Düsseldorf (öffnet im neuen Fenster)

Head of Cybersecurity / Leiter Cybersicherheit (m/w/d) HITS.NRW – Hochschule IT Services NRW, Düsseldorf (öffnet im neuen Fenster)

Platform Engineer / Plattformingenieur (m/w/d) HITS.NRW – Hochschule IT Services NRW, Düsseldorf (öffnet im neuen Fenster)

Verkaufsstart der Wii am 2. Dezember 2006 in Tokio (Bild: Yoshikazu Tsuno/AFP via Getty Images) (Yoshikazu Tsuno/AFP via Getty Images)

Spielkonsole: Die Nintendo Wii ist jetzt tatsächlich gecrackt

Mehr Sicherheitslücke geht im Grunde nicht: Hacker haben unter anderem den Quellcode des Betriebssystems der Nintendo Wii veröffentlicht.

17 Kommentare

Hacker nutzen schwerwiegende Sicherheitslücken in Saltstack aus. (Bild: Saltstack) (Saltstack)

Sicherheitslücke: Digicert- und LineageOS-Server gehackt

Über schwerwiegende Sicherheitslücken in dem Servermanagement-Tool Saltstack wurden mehrere Server gehackt.

3 Kommentare

DSGVO: Proton vergisst Git-Zugang auf Datenschutzwebseite

Die Webseite Gdpr.eu wird von der Firma hinter Protonmail und Protonvpn betrieben und von der EU mitfinanziert.

14 Kommentare

Manchmal ist ein Sprint nötig, um Sicherheitsupdates zeitnah bereitzustellen. (Bild: tableatny, Wikimedia Commons) (tableatny, Wikimedia Commons)

Sicherheitslücken: Updates müssen schneller kommen

Wenn Sicherheitslücken bekannt werden, heißt es updaten. Oft dauert es aber zu lange, bis eine Aktualisierung überhaupt bereitsteht.

4 Kommentare / Ein IMHO von Hanno Böck

Kostenlose Spiele erfordern einen zweiten Faktor. (Bild: Epic Games/Montage: Golem.de) (Epic Games/Montage: Golem.de)

Epic Games Store: Spielegeschenke benötigen künftig Zweifaktor-Anmeldung

Entwickler Epic Games will wohl mehr Spieler zu einer sichereren Anmeldung ermutigen. Das dürfte eine Reaktion auf das Nintendo-Datenleck sein.

4 Kommentare

Zero Day in Sophos XG Firewall (Bild: Sophos) (Sophos)

Zero Day: Sicherheitslücke in Sophos XG Firewall aktiv ausgenutzt

Auf gehackten Sophos XG Firewalls müssen die Konten zurückgesetzt werden.

1 Kommentare

Seminar: KI-Bilderkennung in Python - Deep Learning mit Keras: virtueller Drei-Tage-Workshop

zum Kurs

E-Learning: Linux Administration: Troubleshooting (E-Learning)

zum Kurs

E-Learning: Linux Administration: Skripte, Container und Automatisierung (E-Learning)

zum Kurs

Seminar: LDAP Identitätsmanagement Fundamentals: virtueller Drei-Tage-Workshop

zum Kurs

Antivirensoftware löscht Systemdateien oder sich selbst. (Bild: Clker-Free-Vector-Images/Pixabay) (Clker-Free-Vector-Images/Pixabay)

Sicherheitslücke: 28 Antivirenprogramme konnten sich selbst zerstören

Ein einfacher Trick ließ Antivirensoftware wichtige Dateien löschen.

110 Kommentare

Super Mario und Luigi (Bild: Alexas_Fotos/Pixabay) (Alexas_Fotos/Pixabay)

Datenleck bei Nintendo: "Unautorisierter Zugriff auf 160.000 Konten"

Laut Nintendo konnten Daten abgerufen und Einkäufe im eShop getätigt werden.

2 Kommentare

Ein iPhone (Bild: hurk/Pixabay) (hurk/Pixabay)

Zero Day: iOS wird über präparierte E-Mails gehackt

Zwei Sicherheitslücken in iOS werden seit mehreren Jahren aktiv ausgenutzt. Ein Patch wurde noch nicht ausgespielt.

53 Kommentare

Ein neues GCC-Feature findet Bugs beim Kompilieren. (Bild: Bj.schoenmakers/Wikimedia Commons) (Bj.schoenmakers/Wikimedia Commons)

Null-Pointer: Statisches Codeanalysewerkzeug von GCC findet OpenSSL-Bug

Ein Bug in OpenSSL kann Server und Clients zum Absturz bringen.

8 Kommentare

Microsoft setzt auf KI und Machine Learning, auch für die eigene Entwicklung. (Bild: Josh Edelson/AFP via Getty Images) (Josh Edelson/AFP via Getty Images)

Machine Learning: Microsoft setzt auf KI zum Finden von Sicherheitslücken

Die Datenlage bei Microsoft ist offenbar groß genug für Machine Learning. Das Modell soll Open Source werden.

2 Kommentare

Allseits beliebt, bei Nutzern und Angreifern gleichermaßen (Bild: Gabriel Benois/unsplash.com) (Gabriel Benois/unsplash.com)

Videokonferenzen: Teure Zero-Day-Lücken für Zoom auf dem Schwarzmarkt

Bis zu 500.000 US-Dollar kostet eine Sicherheitslücke für die Videokonferenz-Software Zoom. Das scheint überteuert, doch die Plattform ist ein attraktives Ziel.

Kommentare

Woher der Begriff Acid eigentlich kommt, ist etwas unklar. (Bild: Montage: Golem.de) (Montage: Golem.de)

Podcast Besser Wissen: 303 für alle!

Seit Jahrhunderten fragen sich die Menschen, wie weit die Sterne eigentlich entfernt sind. (Bild: Public Domain / Montage: Golem.de) (Public Domain / Montage: Golem.de)

Podcast Besser Wissen: Wie messen wir Entfernungen im Weltraum?

Der VC20 sollte besonders einsteigerfreundlich sein. (Bild: Public Domain / Montage: Golem.de) (Public Domain / Montage: Golem.de)

Podcast Besser Wissen: Volkscomputer - der erste Millionär

Auch eine Strickanleitung ist eine Art Algorithmus. (Bild: Pixabay / Montage: Golem.de) (Pixabay / Montage: Golem.de)

Podcast Besser Wissen: Wie geht Informatik für die moderne Hausfrau?

Der K.I.T.T. von Andreas sieht sehr originalgetreu aus. (Bild: Martin Wolf/Golem.de) (Martin Wolf/Golem.de)

Podcast Besser Wissen: Der eigene K.I.T.T.

Podcast Besser Wissen: Wie man freie Software betreut

Der Zeilenvorschub (Linefeed, LF) stammt aus der Zeit der Schreibmaschinen. Und sorgt in URLs für Sicherheitslücken. (Bild: Kolossos/Wikimedia) (Kolossos/Wikimedia)

Sicherheitslücke: Zeilenumbruch ermöglicht Ausleiten von Git-Zugängen

Ein Fehler im URL-Parsing des Git-Clients ermöglicht unter Umständen eine Sicherheitslücke. Die Entwickler verteilen Updates.

Kommentare

Kein sicheres Passwort: Mit dem Standardpasswort "passw0rd" kann man sich in interne XMPP-Accounts von Jitsi Meet einloggen. (Bild: Screenshot / Hanno Böck) (Screenshot / Hanno Böck)

Sicherheitslücke: Unsichere Standardpasswörter in Jitsi Meet

Die Installation der Videokonferenzsoftware Jitsi Meet mittels Docker nutzte ein Standardpasswort für eigentlich interne XMPP-Accounts.

49 Kommentare

Facebook wollte mit Pegasus-Funktionen spionieren. (Bild: Glen Carrie/Unsplash) (Glen Carrie/Unsplash)

Whatsapp-Klage: Facebook wollte Funktionen der NSO-Spyware Pegasus nutzen

Im Gerichtsverfahren der Facebook-Tochter Whatsapp gegen den Trojaner-Hersteller NSO kommen neue Details ans Licht.

6 Kommentare

Zoom will seine Meetings besser schützen. (Bild: Zoom) (Zoom)

Videokonferenz: Zoom schützt Meetings mit Passwort und Warteräumen

Der Videokonferenz-Anbieter Zoom will mit Passwörtern und verpflichtender Zugangskontrolle das sogenannte Zoombombing verhindern.

7 Kommentare

Firefox-Nutzer aufgepasst: Ein wichtiges Sicherheitsupdate steht bereit. (Bild: Malene Thyssen, Wikimedia Commons) (Malene Thyssen, Wikimedia Commons)

Browser: Sicherheitslücke in Firefox wird bereits angegriffen

Ein Update für den Firefox-Browser schließt zwei kritische Sicherheitslücken.

13 Kommentare

Sicherheitslücken und Datenschutzprobleme in Zoom nehmen zu. (Bild: Zoom) (Zoom)

Homeoffice: Neue Sicherheitslücken in Zoom entdeckt

Zugriff auf die Kamera, Root-Rechte und bösartige Links - in Sachen Sicherheit steht Zoom nicht gut da.

17 Kommentare

Die elektronische Patientenakte soll mehr Funktionen bekommen. (Bild: gematik/Screenshot: Golem.de) (gematik/Screenshot: Golem.de)

E-Rezept: Mehr Funktionen für elektronische Patientenakte beschlossen

Die elektronische Patientenakte soll schon von 2021 an Gesundheitsdaten speichern. Ein sinnvoller Datenschutz folgt erst ein Jahr später.

5 Kommentare

Coronavirus: Covid-19-App der Telekom prüft Zertifikate nicht

Update Bei der Entwicklung einer App, mit der Patienten ihre Covid-19-Testergebnisse abrufen können, wurde wenig Wert auf Sicherheit gelegt.

18 Kommentare

Zoom: hier ohne Zoombombing (Bild: Zoom) (Zoom)

Zoombombing: Trolle übernehmen Zoom-Konferenzen

Die New Yorker Generalstaatsanwältin hinterfragt die Sicherheitsmaßnahmen von Zoom.

64 Kommentare

Aus media.cccc.de wurde Microsoft US. (Bild: Screenshot Golem.de) (Screenshot Golem.de)

CCC: Youtube-Kanal des Chaos Computer Clubs gehackt

Update Angreifer haben den Kanal in "Microsoft US" umbenannt und bewerben ein Bitcoin-Gewinnspiel.

45 Kommentare

Saudis tracken Handys über SS7. (Bild: Pexels/Pixabay) (Pexels/Pixabay)

SS7: Saudi-Arabien trackt Handys im Ausland

Über das internationale Netzwerk der Mobilfunk-Betreiber lässt sich jedes Handy tracken - die Saudis nutzen dies laut einem Whistleblower aus.

5 Kommentare

Jetzt ohne Facebook-Tracker: Zoom unter iOS (Bild: Zoom) (Zoom)

Datenschutz: Zoom entfernt Facebook-Tracker aus iOS-App

Von der Datenübermittlung an Facebook will der Hersteller der Videokonferenz-Software Zoom nichts gewusst haben.

15 Kommentare

"Warteschlange" heißt es zur Zeit für Kleinunternehmen, die Wirtschaftshilfen in Berlin beantragen. (Bild: Screenshot Webseite IBB) (Screenshot Webseite IBB)

Investitionsbank Berlin: Antragsunterlagen für Corona-Hilfen falsch zugestellt

Die Investitionsbank stellt Hilfen für Unternehmen bereit, die durch die Coronavirus-Pandemie in eine schwierige finanzielle Lage kommen - und hat dabei eine größere Datenschutzpanne verursacht.

2 Kommentare

iOS mit VPN-Bug (Bild: Gino Crescoli/Pixabay) (Gino Crescoli/Pixabay)

Bug: Kein durchgängiges VPN unter iOS

Alte Verbindungen werden unter Apples iOS derzeit am VPN vorbeigeleitet.

10 Kommentare

Die Videokonferenzsoftware Zoom hat Datenschutzprobleme. (Bild: Zoom) (Zoom)

Tracking: Zoom übermittelt heimlich Daten an Facebook

Die Videokonferenz-Software Zoom hat etliche Datenschutzprobleme.

91 Kommentare

Schadsoftware statt Vireninfos der WHO (Bild: Mohamed Hassan/Pixabay) (Mohamed Hassan/Pixabay)

DNS: Gehackte Router zeigen Coronavirus-Warnung mit Schadsoftware

Gehackte Router leiten bekannte Domains auf eine gefälschte Warnung der WHO um und versuchen, ihren Opfern eine Schadsoftware unterzujubeln.

8 Kommentare

Die App Tracetogether aus Singapur verfolgt enge Kontakte zwischen Nutzern. (Bild: tracetogether.gov.sg/Screenshot: Golem.de) (tracetogether.gov.sg/Screenshot: Golem.de)

Corona-App: Per Bluetooth Kontaktpersonen von Infizierten ermitteln

Viele Details der geplanten Coronavirus-App sind noch unklar. Standortdaten sollen aber nicht dafür erforderlich sein.

5 Kommentare

Scannt teilweise keine Netzwerkdateien mehr: Windows Defender (Bild: Gerd Altmann/Pixabay) (Gerd Altmann/Pixabay)

Microsoft: Windows Defender scannt plötzlich nicht mehr alles

Ein vollständiger Scan lässt sich mit einem Powershell-Befehl aktivieren. Microsoft rät jedoch davon ab.

19 Kommentare

Eine gefährliche Sicherheitslücke in Windows - und von Microsoft gibt es keinen Patch und Workarounds mit unklarem Nutzen. (Bild: Jiaqian AirplaneFan/Wikimedia Commons) (Jiaqian AirplaneFan/Wikimedia Commons)

Adobe-Fontbibliothek: Font-Sicherheitslücke in Windows ohne Fix

Eine Windows-Sicherheitslücke wird bereits angegriffen. Microsoft beschreibt verschiedene Workarounds.

6 Kommentare

Sicherheitslücken in der Sicherheitssoftware von Trend Micro (Bild: Behrouz Mehri/AFP via Getty Images) (Behrouz Mehri/AFP via Getty Images)

Zero Day: Lücken in Trend Micros Sicherheitssoftware aktiv ausgenutzt

Insgesamt fünf Sicherheitslücken hat Trend Micro in seiner Anti-Viren-Software geschlossen.

3 Kommentare

Bankdaten + Handynummer = Geld (Bild: Willfried Wende/Pixabay) (Willfried Wende/Pixabay)

mTAN abgefangen: Betrüger räumten Konten in Österreich leer

Mit SIM-Swapping haben Kriminelle bei Dutzenden Österreichern Geld abgehoben. Nun wurden sie verhaftet.

59 Kommentare

Avast schaltet Javascript-Komponente ab. (Bild: Gerd Altmann/Pixabay) (Gerd Altmann/Pixabay)

Project Zero: Avast deaktiviert Javascript in Sicherheitssoftware

Der Antivirensoftware-Hersteller Avast reagiert auf eine schwerwiegende Sicherheitslücke, die von Googles Project Zero entdeckt wurde.

12 Kommentare

Whisper ist eine App für intime Geständnisse. (Bild: Whisper.sh/Screenshot: Golem.de) (Whisper.sh/Screenshot: Golem.de)

Whisper: Datenleck bei App für intime Geständnisse

Mehr als 900 Millionen Datensätze waren im Netz offen zugänglich. Auch Kinder und Jugendliche waren betroffen.

20 Kommentare

Panne bei Veröffentlichung von Sicherheitslücke: Microsoft gibt Ratschläge, wie man sich auch ohne Patch schützen kann. (Bild: The Conmunity - Pop Culture Geek/Wikimedia Commons) (The Conmunity - Pop Culture Geek/Wikimedia Commons)

Remote Code Execution: Sicherheitslücke in Windows 10 geleakt

Update Microsoft hat einen Patch für eine gefährliche Lücke im SMBv3-Protokoll veröffentlicht. Dieser sollte schnell eingespielt werden.

28 Kommentare

Ein Hacker hat die Domain-Validierung von Google beleuchtet und eine Sicherheitslücke gefunden. (Bild: FABRICE COFFRINI/AFP via Getty Images) (FABRICE COFFRINI/AFP via Getty Images)

Google: Eine Regex gegen die Domain-Validierung

Ein Hacker überlistet die Domain-Validierung von Google dank einer kaputten Regex. Die stammt offenbar aus einem IETF-Standard.

8 Kommentare

Der Google Authenticator (Bild: Oliver Nickel/Golem.de) (Oliver Nickel/Golem.de)

Google Authenticator: 2FA-Codes lassen sich einfach abgreifen

Google Authenticator, Microsoft Authenticator und etliche andere Apps zur Zwei-Faktor-Authentifizierung haben keinen Schutz vor Screenshots eingerichtet. Eine Schadsoftware soll dies bereits ausnutzen.

88 Kommentare

Ob sich die Wegfahrsperre dieses Toyota ohne Schlüssel knacken lässt? (Bild: IngoMoringo/Pixabay) (IngoMoringo/Pixabay)

Sicherheitslücke: RFID-Wegfahrsperre von Toyota und Hyundai gehackt

Neben einem Schlüssel setzen Toyota, Hyundai und Kia bei einigen Modellen auf eine RFID-basierte Wegfahrsperre. Diese konnten Sicherheitsforscher jedoch einfach umgehen. Die Autos seien wieder so unsicher, wie in den 80ern.

25 Kommentare

Auch Ryzen-Prozessoren von AMD sind betroffen. (Bild: anirudhlv/Pixabay) (anirudhlv/Pixabay)

AMD widerspricht: Forscher finden Sicherheitslücken in AMD-Prozessoren

Mit zwei Sicherheitslücken in AMD-Prozessoren seit 2011 sollen sich Speicherverwürfelung aushebeln und Daten auslesen lassen. AMD kritisiert die Forschungsergebnisse jedoch als nichts Neues.

57 Kommentare

Bei Intels ME ist das Chaos ist vorprogrammiert. (Bild: Intel) (Intel)

Security: Das Intel-ME-Chaos kommt

Bis zum Chaos sei es nur eine Frage der Zeit, schreiben die ME-Hacker. Intel versucht, das zu verschweigen, und kann das Security-Theater eigentlich auch gleich sein lassen.

63 Kommentare / Ein IMHO von Sebastian Grüner

Let's-Encrypt-Zertifikate, die trotz eines Fehlers ausgestellt wurden, bleiben zunächst gültig, es ist aber unklar, wie lange. (Bild: DerHHO/Wikimedia Commons) (DerHHO/Wikimedia Commons)

CAA-Fehler: Let's-Encrypt-Zertifikate werden nicht sofort zurückgezogen

Eigentlich wollte Let's Encrypt letzte Nacht drei Millionen Zertifikate zurückziehen. Viele sind aber nach wie vor gültig. Let's Encrypt hat sich offenbar entschieden, noch in Benutzung befindliche Zertifikate vorerst auszunehmen.

13 Kommentare

Mit einem Android-Smartphone lässt sich ein iPhone-Jailbreak durchführen. (Bild: Pixabay.com) (Pixabay.com)

Apples iOS: Jailbreak für iPhone mittels Android-Smartphone möglich

Das Jailbreak-Werkzeug Checkra1n ist in einer neuen Version erschienen. Damit kann ein iPhone-Jailbreak mit einem Android-Smartphone durchgeführt werden. Dabei müssen allerdings bestimmte Bedingungen erfüllt werden und es gibt eine Einschränkung.

5 Kommentare

Emotet legt Behörden lahm. (Symbolbild) (Bild: Paul Sherlock) (Paul Sherlock)

Emotet: Unsere Behörde bleibt wegen Cyberangriffs leider geschlossen

Heute kein neuer Pass und kein Elterngeld: Die Schadsoftware Emotet hat in den vergangenen Monaten etliche Behörden in Deutschland lahmgelegt. Doch woher kommt dieser Fokus auf die Behörden, ist die Sicherheit so desaströs?

38 Kommentare / Ein Bericht von Moritz Tremmel

Hersteller von Android-Smartphones lassen sich Zeit mit den Sicherheitsupdates. (Bild: Gerd Altmann/Pixabay) (Gerd Altmann/Pixabay)

Google-März-Patch: Android Sicherheitslücke wird seit einem Jahr ausgenutzt

Seit fast einem Jahr lassen sich auf vielen Android-Smartphones mit Mediatek-Chip leicht Root-Rechte erlangen. Schad-Apps nutzen diese bereits aus, dennoch gibt es kaum Hersteller, die einen Patch ausliefern. Nun will Google ihn selbst verteilen.

35 Kommentare

Drei Millionen Zertifikate von Let's Encrypt wurden nicht korrekt ausgestellt und müssen jetzt schnellstmöglich ersetzt werden. (Bild: Pxfuel) (Pxfuel)

TLS: Let's Encrypt muss drei Millionen Zertifikate zurückziehen

Ein Fehler bei Let's Encrypt hat dazu geführt, dass der Check von CAA-DNS-Records nicht korrekt durchgeführt wurde. Die Zertifizierungsstelle zieht jetzt kurzfristig betroffene Zertifikate zurück, was für einige Probleme sorgen dürfte.

40 Kommentare

Troy Hunt will Have I Been Pwned? nun doch selbst weiterbetreiben. (Bild: Have I Been Pwned?/Screenshot: Golem.de) (Have I Been Pwned?/Screenshot: Golem.de)

Password-Leak-Checker: Have I Been Pwned? wird doch nicht verkauft

Troy Hunt wollte seinen Passwort-Leak-Checker Have I been Pwned? verkaufen. Doch nach einem für Hunt frustrierenden Prozess entschied er sich letztendlich, das Projekt nun doch unabhängig selbst weiterzubetreiben.

7 Kommentare

Kurse

Podcast Besser Wissen