Sicherheitslücke

Auf Windows-Systemen, auf denen der Spiele-Launcher Steam installiert ist, können einfache Nutzer Programme mit Systemrechten ausführen. Der Entdecker der Lücke meldete diese über die Plattform Hackerone, dort erklärte man den Bug für ungültig und wollte eine Veröffentlichung verhindern.

Apple öffnet sich der Sicherheitszene und lobt ein umfangreiches Programm für das Entdecken von Sicherheitslücken bei seinen Betriebssystemen aus. Dazu wird auch eine Spezialversion des iPhones angeboten.

Hacker sind Männer in Hoodies, die im Keller vorm Computer sitzen: Mit diesem Klischee will Openideo aufräumen. Daher schreibt die Organisation einen Wettbewerb aus, um alternative Symbolbilder für Hacks, Sicherheitslücken und IT-Sicherheit zu finden. Die ersten fünf Plätze erhalten 7.000 US-Dollar.

Cisco soll wissentlich unsichere Software an die US-Streitkräfte, die US-Regierung und einige US-Bundesstaaten verkauft haben. Das Unternehmen zahlt mehrere Millionen Schadenersatz. Die Kläger behaupten, Cisco habe von den Problemen gewusst.

Sicherheitsforschern ist es gelungen, Steuerungsbefehle an Überwachungskameras und Philips-Hue-Lampen zu schicken. Die Geräte übertragen Daten und Befehle standardmäßig auf eine unsichere Weise.

Immer mehr Datenlecks werden dem Datenschutzbeauftragten Baden-Württembergs gemeldet. Bisher verhängte er in zehn Fällen Bußgelder. Besonders besorgt ist er über den unzureichenden Schutz von Arztpraxen.

Die US-Bank Capital One wurde durch einen "Konfigurationsfehler" bei einem Cloud-Anbieter gehackt. Sensible Daten von Millionen Bankkunden sind betroffen. Durch den Tipp eines Github-Nutzers konnte eine Verdächtige festgenommen werden.

Das Sicherheitsupdate 2019-004 für Sierra- und High-Sierra-Systeme ist als aktualisierte Version wieder da. Apple hat die beiden Updates mit neuem Datum in den Downloadbereich gestellt.

Ein Modul für die Pentesting-Software Canvas kann die gefährliche Sicherheitslücke Bluekeep ausnutzen. Auch eine Schadsoftware scannt bereits nach verwundbaren Systemen.

Nach den Falschmeldungen um eine angeblich kritische Sicherheitslücke im VLC-Player wollen die Entwickler des Videolan-Projekts künftig eigene CVE-Nummern vergeben.

Das Sicherheitsupdate 2019-004 ist nicht mehr auf den Apple-Servern im Downloadbereich gelistet. Betroffen sind aber nur die älteren Betriebssystemversionen Sierra und High Sierra.

Mit der Firmware Logitacker und einem USB-Funk-Stick für rund 10 Euro lassen sich kabellose Mäuse und Tastaturen von Logitech leicht hacken. Angreifer können mit der Software Schadcode per Funk eintippen lassen. Logitech wird nur ein Teil der Sicherheitslücken schließen.

Update Ein eher unbedeutender Fehler in einer Abhängigkeit des VLC-Players wird von Behörden fälschlich als schwere Sicherheitslücke klassifiziert und viele Medien übernehmen dies ungeprüft. Das Videolan-Projekt ist nicht erfreut.

In den vergangenen Jahren wurden mehrere Industriegrößen wie Siemens, BASF und Henkel von der Hackergruppe Winnti attackiert. Sicherheitsforscher konnten die Angriffe aus Schadsoftware-Samples von Winnti herauslesen.

Apples iOS 12.4 beseitigt zahlreiche Sicherheitslücken in dem Mobilsystem. Besonders betroffen ist dieses Mal die Webkit-Engine des Browsers. Zudem ließ sich Verkehr des Samba-Servers abhören.

Apple hat die wegen einer Sicherheitslücke vorübergehend abgeschaltete Walkie-Talkie-Funktion auf der Apple Watch mit WatchOS 5.3 wieder aktiviert.

Ein Fehler im Bootloader der Tegra X1 von Nvidia ermöglicht das komplette Umgehen der Verifikation des Systemboots. Das betrifft wohl alle Geräte außer der Switch. Nvidia stellt ein Update bereit.

50 Terabyte NSA-Daten wurden bei dem ehemaligen Geheimdienstmitarbeiter Harold T. Martin III 2016 entdeckt. Nun wurde er zu neun Jahren Gefängnis verurteilt. Ob ein Zusammenhang mit den Leaks von The Shadow Brokers besteht, konnte nicht endgültig geklärt werden.

Rund 7,5 TByte Daten konnten Hacker bei dem Dienstleister Sytech erbeuten. Darin enthalten sind geheime Forschungsarbeiten und Programme für den russischen Geheimdienst FSB. Unter anderem will dieser Tor-Nutzer deanonymisieren.

In Kasachstan müssen Internetnutzer ab sofort ein spezielles TLS-Zertifikat installieren, um verschlüsselte Webseiten aufrufen zu können. Das Zertifikat ermöglicht eine staatliche Überwachung des gesamten Internetverkehrs in dem Land.

Sind seit Jahren nicht mehr geänderte, im Browser hinterlegte Zugangsdaten geleakt worden? Ab Firefox 70 soll der Browser dies mit Firefox Monitor und Have I been pwned überprüfen - und im Fall des Falles den Nutzer warnen.

Ein Fehler auf der Petitionsplattform WeAct von Campact ermöglichte den Zugriff auf die Daten der Unterstützer. Rund 1,8 Millionen Unterzeichner sind betroffen. Die Nichtregierungsorganisation hat die Hintergründe des Fehlers veröffentlicht.

Der Quartals-Patchday von Oracle fällt dieses Quartal etwas umfangreicher aus als in den letzten Quartalen. Der Datenbankanbieter schließt an diesem Tag mehr als 300 Sicherheitslücken. Aufgrund von Fehlern in Weblogic musste Oracle aber teils schon vorher patchen.

Angreifer haben auf die Daten von rund 67.000 Vitrado-Nutzern zugreifen können. Diese sollten besser ihr Bankkonto im Auge behalten, rät die Freenet-Tochter.

Eigentlich haben Nutzer sich vom aktuellen Sicherheitspatch für Windows 7 erhofft, nur Security-Fixes zu erhalten. Allerdings hat ein anonymer Nutzer entdeckt, dass Microsoft auch ein Diagnosetool verteilt, das Daten an das Unternehmen schicken kann. ZDnet hält das nicht für einen Zufall.

Mit Dropbox Transfer können Nutzer künftig sogar große Dateien einfach verschicken - auch an Empfänger, die nicht bei Dropbox angemeldet sind. Der Dienst kopiert mehr oder weniger direkt Wetransfer, bietet aber mehr Speicherplatz und erweiterte Optionen.

Der Juli-Patchday von Adobe betrifft dieses Mal keine populären Endanwender. Weder der Flash Player noch die PDF-Werkzeuge haben Sicherheitslücken, die beseitigt werden müssen. Dafür gibt es Lücken in anderen Werkzeugen.

Über das Krankenhausnetzwerk lassen sich Befehle an Anästhesie- und Beatmungsgeräte des Herstellers GE senden. Eine Sicherheitslücke ermöglicht unter anderem, Dosierung und Typ des Narkosemittels zu ändern.

Nutzer der Software Zoom können auf dem Mac ungefragt zu Videokonferenzen hinzugefügt werden - mitsamt Videostream. Selbst das Deinstallieren der Software schützt davor nicht.

Das Github-Konto von Canonical wurde zwischenzeitlich von Angreifern übernommen, diese hätten die dort gehostete Software verändern können. Ubuntus Infrastruktur soll nicht betroffen sein.

Mit der Datenschutzgrundverordnung können Datenschutzverstöße und Datenlecks teurer werden. Die Fluggesellschaft British Airways gibt sich überrascht und will Widerspruch gegen eine Strafzahlung einlegen.

Update Gleich mehrere Sicherheitslücken in kabellosen Tastaturen und Mäusen von Logitech ermöglichen nicht nur das Mitlesen der Eingaben, es kann auch Schadcode an den Rechner übermittelt werden. Logitech möchte nicht alle Lücken schließen.

Die Daten von Millionen Smart-Home-Geräten und ihren Eigentümern waren öffentlich über das Internet abrufbar. Mit den Zugangsdaten hätten Angreifer die Konten und Geräte übernehmen können. Auch Einbrecher hätten leichtes Spiel gehabt.

Fast jeder Dritte nutzt laut einer Umfrage der KKH eine Gesundheitsapp oder einen Fitnesstracker. Deutlich mehr haben Bedenken beim Datenschutz. Die Krankenkasse KKH findet die Bedenken durchaus berechtigt.

Apple hat in iOS 12.3 eine Lücke geschlossen, die es Angreifern ermöglicht hat, mit einer einzigen iMessage ein iPhone oder iPad vorübergehend unbrauchbar zu machen.

Mit dem Juli-Update patcht Google wieder Sicherheitslücken aus seinem Android-Betriebssystem. Dieses Mal betrifft es vor allem Medien. Wegen Fehlern beim Bounds-Check lässt sich Schadsoftware in HEVC-Dateien verstecken.

Ein SSH-Schlüssel, der einfach extrahiert werden kann. Passwörter, die man leicht auslesen kann. Keine guten Voraussetzungen für ein smartes Türschloss, fanden auch Sicherheitsforscher.

Vor zwei Jahren formulierte das Bundesamt für Sicherheit in der Informationstechnik Anforderungen an sichere Browser. Nun soll das Dokument aktualisiert werden, um Kommentierung wird gebeten.

Fast alle modernen Geräte synchronisieren ihre Uhrzeit übers Internet. Das dafür genutzte Network Time Protocol ist nicht gegen Manipulationen geschützt - bisher. Mit der Erweiterung Network Time Security soll sich das ändern.

Der Chief Technology Officer von Nokia hat in einem Interview die Sicherheit des Konkurrenten Huawei kritisiert. Davon hat sich Nokia öffentlich distanziert, was sehr ungewöhnlich ist.