Sicherheitslücke

Ein analoger Schlüsselbund (Bild: Thomas B./Pixabay) (Thomas B./Pixabay)

Elcomsoft: Mit Checkra1n Passwörter aus dem gesperrten iPhone auslesen

Eigentlich sind die Nutzerdaten unter iOS verschlüsselt, auch mit einem Jailbreak sollten sie nicht gelesen werden können. Der Forensiksoftware-Hersteller Elcomsoft will mit der Jailbreak-Software Checkra1n dennoch an Teile des iOS-Schlüsselbundes gelangen können.

3 Kommentare

Immer nachdenklich und im schwarzen Hoodie: Rami Malek als Elliot Alderson (Bild: USA Network/Amazon) (USA Network/Amazon)

Mr. Robot rezensiert: Domo Arigato, Mr. Robot!

Wie im Achtziger-Klassiker Mr. Roboto von Styx hat auch Elliot in Mr. Robot Geheimnisse. Die Dramaserie um den Hacker ist nicht nur wegen Rami Malek grandios. Sie hat einen ganz eigenen beeindruckenden visuellen Stil und zeigt Hacking, wie es wirklich ist. Wir blicken nach dem Serienfinale zurück.

87 Kommentare / Eine Rezension von Oliver Nickel,Moritz Tremmel

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Der ultimative Python-Grundkurs im E-Learning-Format

zum Artikel

Karriere Ratgeber: Mullvad, Firefox, Brave und Co.: Die besten Browser-Alternativen zu Chrome und Edge im Überblick

zum Ratgeber

Seminar: LPIC-1 Vorbereitungskurs LPI 101 und LPI 102: virtueller Fünf-Tage-Workshop

zum Kurs

E-Learning: digitalize your business - starter course for digital transformation (e-learning in english)

zum Kurs

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Hardwaretechniker / IT-Systemelektroniker (m/w/d) – Computer- & Servermontage sowie Reparatur Systerra Computer GmbH, Wiesbaden (öffnet im neuen Fenster)

Backend Developer (m/w/d) TCC GmbH, Hamburg,Berlin,Homeoffice (öffnet im neuen Fenster)

IT-Sicherheitsmanager (m/w/d) Mainzer Stadtwerke AG, Mainz (öffnet im neuen Fenster)

Entwicklungsingenieur (m/w/d) Software Orbitalum Tools GmbH, Singen (öffnet im neuen Fenster)

Referatsleitung für den Bereich Informationssicherheits- und Notfallmanagement, Geheim- und Sabotageschutz (w/m/d) Informationstechnikzentrum Bund, Bonn,Frankfurt,Wiesbaden,Düsseldorf,Berlin,Nürnberg,Karlsruhe,Stuttgart,Hannover,Hamburg,Köln,Ilmenau (öffnet im neuen Fenster)

Werkstudent Detection Engineering (m/w/d) Schwarz IT, Neckarsulm (öffnet im neuen Fenster)

System Engineer Implementation (m/w/d) VAPS GmbH, Isernhagen (öffnet im neuen Fenster)

IT Support Mitarbeiter / Telefonsupport (m/w/d) MVZ Labor Ravensburg - Labor Dr. Gärtner, Ravensburg (öffnet im neuen Fenster)

Apple will nicht, dass Corellium seine iOS-Virtualisierungen weiter anbietet. (Bild: Martin Wolf/Golem.de) (Martin Wolf/Golem.de)

Corellium: Apple "dämonisiert Jailbreaks"

Im August 2019 reichte Apple eine Urheberrechtsklage gegen den iOS-Virtualisierer Corellium ein. Dessen Chefin wehrt sich nun gegen die Vorwürfe und verweist auf die Notwendigkeit von Jailbreaks für die Sicherheitsforschung.

5 Kommentare

Kann leicht gehackt werden: Das Gehirn. (Bild: Gerd Altmann/Pixabay) (Gerd Altmann/Pixabay)

Social Engineering: Mit Angst und Langeweile Hirne hacken

36C3 Warum funktionieren Angriffe mit Word-Makros seit 20 Jahren? Der CCC-Sprecher Linus Neumann erklärt auf dem Hackerkongress, warum es so schwer fällt, sich dagegen zu schützen. Dabei gibt es viele Ansatzmöglichkeiten, die IT wirklich sicherer zu machen.

10 Kommentare / Von Moritz Tremmel

Stammen die Mails vom richtigen Absender? (Bild: Tumisu/Pixabay) (Tumisu/Pixabay)

DKIM: Mit Sicherheit gefälschte Mails versenden

36C3 Gefälschte E-Mails zu verschicken ist einfach. Etwas komplizierter wird es, wenn Mailserver auf Anti-Spoofing-Techniken wie SPF, DKIM oder DMARC setzen. Doch auch diese lassen sich umgehen.

16 Kommentare / Ein Bericht von Moritz Tremmel

Mit den Sicherheitslücken bekommt Free Wi-Fi Zone eine ganz neue Bedeutung. (Bild: Gerd Altmann/Pixabay) (Gerd Altmann/Pixabay)

Sicherheitslücken: Per Bluetooth das WLAN ausknipsen

36C3 Sicherheitsforschern ist es gelungen, Code auf Wi-Fi- und Bluetooth-Chips von Broadcom auszuführen - sogar aus der Ferne. Mit einer neuen Software könnten sie in Zukunft noch mehr solcher Sicherheitslücken in Funkchips entdecken.

11 Kommentare / Ein Bericht von Moritz Tremmel

SIM-Karten können von Mobilfunkanbietern aktualisiert werden. (Bild: Narcis Ciocan/Pixabay) (Narcis Ciocan/Pixabay)

Mobilfunk: Eine SIM-Karte - viele merkwürdige Funktionen

36C3 Eine SIM-Karte meldet unser Smartphone im Mobilfunknetz an - doch der kleine Computer im Chipkartenformat kann deutlich mehr, zum Beispiel TLS oder Java-Applikationen updaten.

25 Kommentare / Ein Bericht von Moritz Tremmel

Fortschritt oder Datenschutz-Alptraum? Die elektronische Patientenakte (Bild: gematik/Screenshot: Golem.de) (gematik/Screenshot: Golem.de)

Elektronische Patientenakte: Zu unsicher, um gehackt werden zu müssen

36C3 Von 2021 an soll jeder Kassenpatient auf Wunsch eine elektronische Patientenakte erhalten. Doch die Zugangssysteme sind nach Ansicht des CCC nicht so gut geschützt, wie Politik und Anbieter es versprechen.

14 Kommentare

Seminar: CRA, AI Act, NIS 2, KRITIS, DORA & Co. – Regulatorik, Cyber Resilience & Compliance: virtueller Ein-Tages-Workshop

zum Kurs

Seminar: Grundlagen der Barrierefreiheit im Web: virtueller Zwei-Tage-Workshop

zum Kurs

Seminar: Source Code Management und CI / CD: virtueller Drei-Tage-Workshop

zum Kurs

Seminar: ITIL 4 Foundation mit Zertifikat: virtueller Zwei-Tage-Workshop

zum Kurs

Wer diese App installiert hat, sollte sie möglichst schnell wieder löschen. (Bild: Huawei.com/Screenshot: Golem.de) (Huawei.com/Screenshot: Golem.de)

Millionenfach verbreitet: Messenger-App Totok soll für die Emirate spionieren

Warum Sicherheitslücken für Smartphones suchen, wenn man viel einfacher an die Kommunikation der Nutzer gelangen kann? Das hat sich offenbar die Spionageorganisation der Vereinigten Arabischen Emirate gedacht.

1 Kommentare

Die Berliner Polizei hat Ärger wegen ihrer Datenbanknutzung. (Bild: Carsten Koall/Getty Images) (Carsten Koall/Getty Images)

Ärger mit Datenschützerin: Berliner Polizei löscht seit Jahren keine Daten mehr

Die Berliner Polizei hatte schon öfter Ärger wegen ihrer Datenbank Poliks. Nun wurden weitere Missstände bei der Nutzung des Systems bekannt.

18 Kommentare

Die Bug-Bountys von Apple stehen künftig allen offen. (Bild: ALASTAIR PIKE/AFP via Getty Images) (ALASTAIR PIKE/AFP via Getty Images)

Security: Apple öffnet Bug-Bountys und zahlt bis zu 1,5 Millionen

Wie angekündigt hat Apple sein Bug-Bounty-Programm für alle Sicherheitsforscher geöffnet. Für eine entdeckte Sicherheitslücke zahlt das Unternehmen unter Umständen bis zu 1,5 Millionen US-Dollar.

3 Kommentare

Verschlüsselungssoftware: BSI verschweigt Truecrypt-Sicherheitsprobleme

Update Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Jahr 2010 eine umfangreiche Analyse der Verschlüsselungssoftware Truecrypt erstellen lassen. Die Ergebnisse landeten in der Schublade, die Öffentlichkeit wurde über die zahlreichen gefundenen Sicherheitsrisiken nicht informiert.

81 Kommentare / Ein Bericht von Hanno Böck

Encryption software: German BSI withholds Truecrypt security report

Update The German Federal Office for Information Security has created a detailed analysis of the software Truecrypt in 2010. The results ended up in the drawer, the public was not informed about the found security risks.

4 Kommentare

Das NPM-Maskottchen ist ein Wombat. (Bild: Phil Whitehouse, Flickr.com) (Phil Whitehouse, Flickr.com)

Javascript: Node-Pakete können Binärdateien unterjubeln

Eine Sicherheitslücke in den Paketmanangern für Node.js, NPM und Yarn, ermöglicht das Unterschieben und Manipulieren von Binärdateien auf dem Client-System. Updates stehen bereit.

4 Kommentare

Die ersten Telegrafen übertrugen Morsecode. (Bild: Public Domain / Montage: Golem.de) (Public Domain / Montage: Golem.de)

Podcast Besser Wissen: Das Internet des 19. Jahrhunderts

Die Schwebebahn ist ein Wahrzeichen von Wuppertal. (Bild: Public Domain / Montage: Golem.de) (Public Domain / Montage: Golem.de)

Podcast Besser Wissen: Monorail! Monorail!

Die Nationalbibliothek bekommt Exemplare eines jeden in Deutschland veröffentlichten Buches. (Bild: Pixabay / Montage: Golem.de) (Pixabay / Montage: Golem.de)

Podcast Besser Wissen: Wie man Millionen von Büchern sortiert

Blick über die Stadtsilhouette von Berlin (Bild: Pixabay) (Pixabay)

Podcast Besser Wissen: Zeit für Berlin

Die CP3-F auf einem Board von Bernhard Köglmeier (Bild: Martin Wolf/Golem.de) (Martin Wolf/Golem.de)

Podcast Besser Wissen: Die rätselhafte deutsche CPU

Der goldene Aluhut hatte einige Jahre lang sogar eine eigene Preisverleihung. (Bild: Pixabay / Montage: Golem.de) (Pixabay / Montage: Golem.de)

Podcast Besser Wissen: Giulia Silberberger und der goldene Aluhut

Microsoft hat einige spezielle Fehler in Git gefunden. (Bild: VESA MOILANEN/AFP via Getty Images) (VESA MOILANEN/AFP via Getty Images)

Code-Verwaltung: Windows-Eigenheiten verursachen Lücken in Git

Ein bösartiges Git-Repository kann von Angreifern unter Umständen dazu genutzt werden, Code auf Client-Rechnern auszuführen. Diese und einige weitere Lücken sind auf Eigenheiten von Windows zurückzuführen und von Microsoft gefunden worden.

2 Kommentare

In Arztpraxen werden häufig sehr private Daten verarbeitet, daher sollte deren Software besonders auf Sicherheit und Datenschutz achten. (Bild: Pixnio) (Pixnio)

Medizin: Updateprozess bei Ärztesoftware Quincy war ungeschützt

In einer Software für Arztpraxen ist der Updateprozess ungeschützt über eine Rsync-Verbindung erfolgt. Der Hersteller der Software versucht, Berichterstattung darüber zu verhindern.

67 Kommentare / Ein Bericht von Hanno Böck

Angreifer, die den Access Point eines Nutzers kontrollieren, können damit VPN-Verbindungen manipulieren. (Bild: Alexander Baxevanis, flickr.com) (Alexander Baxevanis, flickr.com)

Unix-artige Systeme: Sicherheitslücke ermöglicht Übernahme von VPN-Verbindung

Durch eine gezielte Analyse und Manipulation von TCP-Paketen könnten Angreifer eigene Daten in VPN-Verbindungen einschleusen und diese so übernehmen. Betroffen sind fast alle Unix-artigen Systeme sowie auch VPN-Protokolle. Ein Angriff ist in der Praxis wohl aber eher schwierig.

29 Kommentare

Subventionen für WLAN-Kameras mit Cloud und Polizei (Bild: Gerd Altmann/Pixabay) (Gerd Altmann/Pixabay)

Überwachungskameras: Geld gegen Polizeizugriff

Einwohner der niederländischen Gemeinde Gouda können sich ihre WLAN-Überwachungskameras subventionieren lassen. Kleiner Haken: Sie müssen die Bilder per Cloud für die Polizei zugänglich machen.

21 Kommentare

Der Kugelfisch ist das Maskottchen von OpenBSD. (Bild: jim, flickr.com) (jim, flickr.com)

Security: Authentifizierung in OpenBSD aus der Ferne umgehbar

Das auf Sicherheit fokussierte Betriebssystem OpenBSD hat eine Sicherheitslücke geschlossen, mit der sich die Authentifizierung auch aus der Ferne umgehen lässt. Das betrifft den SMTP-, LDAP- und Radius-Daemon.

4 Kommentare

Früher hat man versucht, Zahlensiebe mit mechanischen Geräten zu berechnen, heute verwendet man Computercluster. (Bild: Marcin Wichary, Wikimedia Commons) (Marcin Wichary, Wikimedia Commons)

RSA-240: Faktorisierungserfolg gefährdet RSA nicht

Forscher haben auf einem Rechencluster eine 795 Bit große Zahl faktorisiert. Das RSA-Verschlüsselungs- und Signaturverfahren basiert darauf, dass Faktorisierung schwierig ist. Für die praktische Sicherheit von RSA mit modernen Schlüssellängen hat dieser Durchbruch heute aber wenig Bedeutung.

1 Kommentare

Werden zu oft an die falsche Adresse geschickt: Patientendaten. (Bild: vjohns1580/Pixabay) (vjohns1580/Pixabay)

Datenschutz: Sensible Patientendaten werden häufig falsch verschickt

Im Gesundheitsbereich machen Fehlversendungen häufig den größten Anteil an Datenschutz-Verstößen aus. Dabei gelangen sensible Patientendaten in die falschen Hände. Neben den gemeldeten Fällen gibt es eine hohe Dunkelziffer.

5 Kommentare

Microsoft erforscht im Project Verona eine neue Programmiersprache. (Bild: Mi duke/Reuters) (Mi duke/Reuters)

Project Verona: Microsoft forscht an sicherer Infrastruktur-Sprache

Zusätzlich zur Verwendung der Programmiersprache Rust erforscht Microsoft eine eigene sichere Sprache, die für Infrastruktur genutzt werden soll. Das Project Verona soll bald Open Source sein.

Kommentare

Die Sicherheitslücke Strandhogg wurde nach einer Wikinger-Taktik benannt. (Bild: Promon) (Promon)

Strandhogg: Sicherheitslücke in Android wird aktiv ausgenutzt

Unter Android können sich Schad-Apps als legitime Apps tarnen und weitere Berechtigungen anfordern. Die Strandhogg genannte Sicherheitslücke wird bereits aktiv ausgenutzt und eignet sich beispielsweise für Banking-Trojaner. Einen Patch gibt es nicht.

95 Kommentare

Datenleck beim Musikstreaming-Dienst Mixcloud (Bild: Mixcloud) (Mixcloud)

Datenleck: Daten von 20 Millionen Mixcloud-Nutzern im Darknet

Ein Krimineller bietet die Daten von Millionen Mixcloud-Nutzern zum Verkauf an. Laut Mixcloud soll es sich nicht um alle User handeln.

3 Kommentare

Wer da wohl mitliest? (Bild: Dean Moriarty/Pixabay) (Dean Moriarty/Pixabay)

Sicherheitslücken: So einfach lassen sich SMS mitlesen

Mit dem SMS-Nachfolger RCS werden SMS und Telefonanrufe über das Internet abgewickelt - mit einem vorgegebenen Passwort. Mit diesem können auch klassische SMS unbemerkt mitgelesen werden. Eine entsprechende Konfigurationsdatei lässt sich von jeder App empfangen.

15 Kommentare

Der neue Nitrokey Fido2 im Einsatz. (Bild: Nitrokey) (Nitrokey)

Webauthn: Nitrokey kann Fido2

Mit dem Nitrokey Fido2 ist erstmals passwortloses Anmelden mit Webauthn möglich. Auch eine starke Zwei-Faktor-Authentifizierung unterstützt der nun offiziell veröffentlichte Sicherheitsschlüssel. Eine Besonderheit ist die aktualisierbare Firmware, die er sich mit den Solokeys teilt.

12 Kommentare

Oneplus hatte seinen Online-Shop nicht ausreichend gegen Angriff abgesichert. (Bild: Martin Wolf/Golem.de) (Martin Wolf/Golem.de)

Oneplus: Unbefugte greifen erneut auf Kundendaten zu

Datenschutzvorfall bei Oneplus: Der Smartphone-Hersteller weist darauf hin, dass Kundendaten in falsche Hände gelangt sind. Das ist bereits der zweite Vorfall in zwei Jahren.

6 Kommentare

Google sucht auch ungewöhnliche Wege, um Zero-Day-Lücken zu finden. (Bild: STR/AFP via Getty Images) (STR/AFP via Getty Images)

Sicherheitslücke: Google jagt Zero-Day-Lücken auch mit Marketing-Material

Als Teil des Project Zero erklärt Google nun erstmals die Suche nach 0-Day-Lücken. Geholfen hat im Fall einer Kernel-Lücke etwa auch Marketing-Material des Exploit-Verkäufers. Die Community soll mithelfen.

Kommentare

Die Kamera-App von Google konnte von anderen Apps ausgenutzt werden. (Bild: Pathum Danthanarayana/Unsplash) (Pathum Danthanarayana/Unsplash)

Google & Samsung: Sicherheitslücke ermöglichte Apps Zugriff auf die Kamera

Über die Kamera-Apps von Google und Samsung konnten andere Apps auch ohne eine entsprechende Berechtigung Bild- und Tonaufnahmen erstellen. Auch ein Zugriff auf GPS und das Mitschneiden von Telefongesprächen war möglich. Andere Hersteller könnten ebenfalls betroffen sein.

Kommentare

Datenpanne bei Conrad: Ein Unbekannter hatte Zugriff auf Adressen und IBANs. (Bild: Graf Foto, Wikimedia Commons) (Graf Foto, Wikimedia Commons)

Elasticsearch: Datenleak bei Conrad

Der Elektronikhändler Conrad meldet, dass ein Angreifer Zugang zu Kundendaten und Kontonummern gehabt habe. Grund dafür war eine ungesicherte Elasticsearch-Datenbank.

42 Kommentare

Mit viel Geld gegen ausbeuterische Firmen (Bild: Pixabay) (Pixabay)

Phineas Fisher: 100.000 Dollar für antikapitalistische Firmen-Hacks

Was ist das Hacken einer Bank gegen die Gründung einer Bank? Dieses abgewandelte Brecht-Zitat scheint das Motto von Phineas Fisher zu sein. Mit dem erbeuteten Geld will er antikapitalistische Hacks anstiften.

12 Kommentare

Eine Ransomware hat es auf Nextcloud abgesehen. (Bild: Nextcloud) (Nextcloud)

Ransomware: Nextcry hat es auf Nextcloud-Installationen abgesehen

Die Ransomware Nextcry verschlüsselt die Daten im Cloudspeicher von Nextcloud-Installationen. Auf den Server gelangt sie nicht über die Nextcloud, sondern über eine bereits gepatchte Sicherheitslücke in PHP.

6 Kommentare

Magic-Karten mit D20-Würfeln (Bild: janka00simka0/Pixabay) (janka00simka0/Pixabay)

Leak: 500.000 Magic-Karten-Spieler von Datenleck betroffen

Neben Sammelkarten konnten auch Nutzerdaten bei dem Hersteller des Spiels "Magic: The Gathering" gesammelt werden. Das Unternehmen ließ eine Backup-Datenbank mit den Nutzerdaten von hunderttausenden Spielern frei zugänglich im Internet.

3 Kommentare

Etliche Hacker-Teams gewannen Preise für die gefundenen Sicherheitslücken. (Bild: TianfuCup) (TianfuCup)

Hackerwettbewerb: Chinesische Hacker finden Zero Days in Chrome und Edge

Etliche Zero-Day-Exploits in verschiedenen Softwareprojekten sind im Rahmen des Hackerwettbewerbs TianfuCup gezeigt worden, der chinesischen Version von Pwn2Own. Insgesamt gewannen die Hacker mehrere 100.000 US-Dollar.

Kommentare

Kleine Zeitunterschiede bei der Signaturerzeugung können dazu genutzt werden, mit einem Seitenkanalangriff private Schlüssel aus TPM-Chips zu extrahieren. (Bild: Ansgar Koreng/Wikimedia Commons) (Ansgar Koreng/Wikimedia Commons)

TPM-Fail: Schlüssel aus TPM-Chips lassen sich extrahieren

Mit einem Timing-Angriff lassen sich Signaturschlüssel auf Basis elliptischer Kurven aus TPM-Chips extrahieren. Mal wieder scheiterten Zertifizierungen daran, diese Fehler frühzeitig zu finden.

12 Kommentare

Der Deutsche Journalistenverband fordert Aufklärung über die Spionagesoftware Pegasus. (Bild: Alexas_Fotos/Pixabay) (Alexas_Fotos/Pixabay)

Aufklärung gefordert: Setzten deutsche Behörden die Spionagesoftware Pegasus ein?

Update Der Deutsche Journalistenverband fordert Aufklärung von Innenminister Horst Seehofer. Bisher habe sich dieser nicht zu der Frage geäußert, ob auch deutsche Sicherheitsbehörden die NSO-Spionage-Software Pegasus eingesetzt haben. Es gehe um mögliche Verstöße gegen die Grundrechte.

14 Kommentare

TSX Asynchronous Abort (TAA): Intel verheimlichte gravierende Xeon-Sicherheitslücke

Intel hat seit April 2019 von Zombieload v2 alias TSX Asynchronous Abort (TAA) gewusst, dennoch sind neue CPUs wie Cascade Lake SP als geschützt beworben worden. Hinzu kommt mit Jump Conditional Code (JCC) ein Bug, dessen Microcode-Fix selbst in Spielen die Leistung reduziert.

18 Kommentare

Mit der Software Checkra1n wird Jailbreaken einfach. (Bild: Screenshot/Golem.de) (Screenshot/Golem.de)

Checkra1n: Jailbreak-Software für iOS 13 veröffentlicht

Mit der Software Checkra1n kann auf vielen iPhones und iPads ein Jailbreak durchgeführt werden. Das funktioniert ab iOS 12.3 bis hin zur aktuellen Version 13.2. Verhindern lässt sich das Jailbreaken auch mit iOS-Updates nicht.

6 Kommentare

Der Prototyp des Yubikey Bio. (Bild: Yubico) (Yubico)

Fido2 und Biometrie: Yubikey mit Fingerabdrucksensor angekündigt

Auf Knopfdruck anmelden, ohne Passwort und PIN, aber mit Fingerabdruck: Genau das soll der neue Yubikey Bio unterstützen. Die Sicherheit von biometrischen Merkmalen ist allerdings umstritten.

19 Kommentare

Deutsche Wohnen speicherte widerrechtlich personenbezogene Daten der Mieter. (Bild: Tierra Mallorca/Unsplash) (Tierra Mallorca/Unsplash)

DSGVO: Millionen-Bußgeld gegen Deutsche Wohnen verhängt

Über Jahre speicherte die Immobiliengesellschaft Deutsche Wohnen personenbezogene Daten ihrer Mieter. Eine Löschung war nicht vorgesehen. Die Berliner Landesdatenschutzbeauftragte hat nun ein Bußgeld in Millionenhöhe verhängt.

20 Kommentare

Durch Messen der Zeit bei Webanfragen lässt sich herausfinden, ob Dateien im Cache liegen. Das wollen Browser jetzt unterbinden. (Bild: Chris Desmond, Wikimedia Commons) (Chris Desmond, Wikimedia Commons)

Cache-Partitionierung: Javascript selber zu hosten, lohnt sich bald mehr

Aus Sicherheitsgründen planen mehrere Browserhersteller, künftig ihre Caches nach Webseiten zu trennen. Das Laden von Resourcen über CDN-Netze lohnt sich danach nicht mehr.

72 Kommentare

Klein & groß: Nitrokey Fido2 und Somu von Solokeys (Bild: Martin Wolf/Golem.de) (Martin Wolf/Golem.de)

Nitrokey und Somu im Test: Zwei Fido-Sticks für alle Fälle

Sie sind winzig und groß, sorgen für mehr Sicherheit bei der Anmeldung per Webauthn und können gepatcht werden: Die in Kürze erscheinenden Fido-Sticks von Nitrokey und Solokeys machen so manches besser als die Konkurrenz von Google und Yubico. Golem.de konnte bereits vorab zwei Prototypen testen.

25 Kommentare / Ein Test von Moritz Tremmel

Eine Schadsoftware nutzt erstmals die Bluekeep-Sicherheitslücke unter Windows aus. (Bild: Gerd Altmann/Pixabay) (Gerd Altmann/Pixabay)

Windows: Schadsoftware nutzt erstmals Bluekeep-Sicherheitslücke aus

Als eine Sicherheitslücke wie Wanna Cry beschreibt Microsoft Bluekeep. Nun entdeckten Sicherheitsforscher die erste Schadsoftware, die die Lücke ausnutzt. Diese ist jedoch noch weit entfernt von dem Worst-Case-Szenario.

1 Kommentare

Ein Whatsapp-Anruf reichte, um die NSO-Schadsoftware zu installieren. (Bild: Antonbe/Pixabay) (Antonbe/Pixabay)

Trojaner: NSO soll Regierungsbeamte per Whatsapp gehackt haben

Whatsapp hat den Trojaner-Hersteller NSO verklagt. Dieser soll 1.400 Whatsapp-Nutzer gehackt haben. Laut Reuters waren darunter neben Journalisten und Menschenrechtsaktivisten auch hochrangige Regierungsbeamte aus mindestens 20 Staaten. Laut NSO wurden nur Kriminelle und Terroristen angegriffen.

17 Kommentare

Achtung: Google warnt vor einer Sicherheitslücke in Chrome, die bereits aktiv ausgenutzt wird. (Bild: NickyPe/Pixabay) (NickyPe/Pixabay)

Sicherheitsupdate: Exploit nutzt Sicherheitslücke in Chrome aus

Google hat zwei Sicherheitslücken in seinem hauseigenen Browser Chrome geschlossen. Für eine der beiden Lücken soll ein Exploit existieren, der bereits aktiv eingesetzt wird. Nutzer des Browsers und seiner Derivate sollten schnellstmöglich das Update einspielen.

2 Kommentare

Oft massiv übertrieben: Sicherheitswarnungen von Cert-Bund (Bild: Cert-Bund/Screenshot: Golem.de) (Cert-Bund/Screenshot: Golem.de)

Websicherheit: Cert-Bund war anfällig für CSRF-Angriff

Die Webseite des zum BSI gehörenden Cert-Bund war verwundbar für sogenannte Cross-Site-Request-Forgery-Angriffe. Damit wäre ein Zugriff auf die nichtöffentlichen Sicherheitswarnungen des Cert möglich gewesen.

2 Kommentare / Eine Exklusivmeldung von Hanno Böck

Der Trojaner-Hersteller NSO wird von Whatsapp verklagt. (Bild: Succo/Pixabay) (Succo/Pixabay)

Sicherheitslücke: Whatsapp verklagt Trojaner-Hersteller NSO

In 1.400 Fällen soll der Trojaner-Hersteller NSO eine Sicherheitslücke in Whatsapp für die Installation der Spyware Pegasus genutzt haben. Unter den Opfern sind Menschenrechtsaktivisten und Journalisten. Der Trojaner-Hersteller muss sich nun vor Gericht verantworten.

5 Kommentare

Darf's ein bisschen mehr sein? (Bild: Xiaomi) (Xiaomi)

Sicherheitslücke: Forscherin kann smarte Futterstationen von Xiaomi übernehmen

Update Mit der smarten Tierfutterstation Furrytail von Xiaomi lassen sich nicht nur die eigenen Haustiere füttern. Rund 11.000 Geräte konnte eine Sicherheitsforscherin weltweit einsehen - und fernsteuern.

62 Kommentare

Der CPDoS-Angriff zielt auf das Zusammenspiel von Web-Caches und Web-Servern. (Bild: CPDoS-Webseite) (CPDoS-Webseite)

CPDoS-Angriff: Cache-Angriffe können Webseiten lahmlegen

Manche HTTP-Caches können dazu gebracht werden, Serverfehlermeldungen zu speichern, die sich durch bestimmte Anfragen auslösen lassen. Das funktioniert beispielsweise mit besonders langen Headern.

2 Kommentare / Von Hanno Böck

Kurse

Podcast Besser Wissen