Warnungen vor dem Wordpress-Plugin WP Multilingual sind am Wochenende auf dessen eigener Webseite zu lesen gewesen. Auch in Rundmails wurden Kunden gewarnt. Laut dem Plugin-Hersteller ist ein ehemaliger Mitarbeiter verantwortlich.
Let's Encrypt wird in Kürze die Domain-Validierungsmethode TLS-SNI-01 aufgrund von Sicherheitsbedenken nicht mehr anbieten. Für Nutzer älterer Versionen der Certbot-Software wird das zum Problem - beispielsweise für Debian-Anwender.
Um Seitenkanalangriffe wie Spectre besser zu verstehen und zu verhindern, will Google ein spezialisiertes LLVM-Team für Programmiersprachen und Compiler aufbauen. Weitere Entwickler sollen die Unterstützung für eine interne Plattform umsetzen.
Der Sicherheitsforscher Troy Hunt konnte an eine der größten Sammlungen von Passwörtern und E-Mail-Adressen gelangen. Betroffen sind Millionen Nutzer. Die Sammlung könnte sogar unvollständig sein.
Die aktuelle Labor-Version für einige Fritzbox-Modelle von Hersteller AVM unterstützt endlich das Netzwerkprotokoll SMB3. Bisher pflegte der Hersteller einen eigenen Fork der Open-Source-Software Samba. Nun wird offenbar eine proprietäre Lösung verwendet.
Über eine Sicherheitslücke und Phishing sollen Hacker an unveröffentlichte Dokumente der US-Börsenaufsicht gelangt sein. Händler sollen mit den Insiderinformationen über vier Millionen US-Dollar verdient haben. Gegen die Hacker wurde nun Anklage erhoben.
Bergbaumaschinen, Kräne und andere Industriegeräte lassen sich fernsteuern oder durch einen DoS-Angriff unbenutzbar machen. Das ist laut einer Studie nicht nur gefährlich, sondern auch vergleichsweise einfach.
Ein bösartiger Server kann Dateien austauschen, die mittels SCP über SSH heruntergeladen werden - im schlimmsten Fall Schadcode. Insgesamt fünf Sicherheitslücken klaffen in den aktuellen Versionen von OpenSSH, Putty und WinSCP.
Sicherheitslücken wie Spectre, Rowhammer und Heist lassen sich kaum vollständig beheben, ohne gravierende Performance-Einbußen zu akzeptieren. Daher bleiben sie ungefixt. Trotzdem werden sie bisher kaum ausgenutzt.
Update Weil Politiker die Zwei-Faktor-Authentifizierung ihrer Accounts bislang meiden, prüft Facebook nun eine Pflicht bei den Europawahlen. Die Bundesregierung erwägt inzwischen eine eingeschränkte Meldepflicht für Sicherheitslücken.
Die Telekom und Politiker mehrerer Parteien wollen Hacker als Folge der illegalen Veröffentlichung der Daten von Prominenten und Politikern strenger bestrafen. Bundesjustizministerin Barley bringt nach dem Politiker-Hack eine Musterfeststellungsklage gegen Twitter und Facebook ins Gespräch.
Golem-Wochenrückblick Neue Prozessoren, Grafikkarten, Notebooks, TVs und Autos: Das Jahr startet in Las Vegas mit neuer Technik - und in Deutschland mit einem umfassenden Datenleak eines Scriptkiddies auf politischem Feldzug.
Er ließ sich bei einem Hack erwischen, vermischte seine Pseudonyme und redete zu viel - Johannes S. hinterließ viele Spuren. Trotzdem brauchte die Polizei offenbar einen Hinweisgeber, um ihn als mutmaßlichen Täter im Politiker-Hack zu überführen.
Ein polizeibekanntes Skriptkiddie hat offenbar jahrelang unbemerkt Politiker und Prominente ausspähen können und deren Daten veröffentlicht. Welche Konsequenzen sollten für die Sicherheit von Daten aus dem Datenleak gezogen werden?
Ein Mitarbeiter der NSA hatte geheime Daten kopiert. Auf die Schliche kamen ihm die US-Behörden durch einen Tipp von Kaspersky. Der Antivirenspezialist hatte merkwürdige Twitter-Nachrichten erhalten.
Mit einer bösartigen E-Mail lässt sich der Exchange Server von Microsoft komplett übernehmen, Windows-Systeme können ebenso über ein DHCP-Paket angegriffen und übernommen werden. Diese und weitere Lücken hat Microsoft mit aktuellen Updates geschlossen.
Nach der Aufklärung des Politiker-Hacks will die Bundesregierung ähnliche Vorfälle künftig besser verhindern. Dazu soll eine bessere Aufklärung der Verbraucher vor den Gefahren im Netz gehören. Und ein "IT-Sicherheitskennzeichen".
Hinter einem täuschend echten Anruf des Apple-Supports stecken in Wahrheit Betrüger. Der Anruf könnte auch Menschen mit technischem Hintergrund zur Preisgabe sensibler Daten bringen.
Update Im Zusammenhang mit den geleakten Daten von Politikern und Prominenten ist ein Mann aus Mittelhessen festgenommen worden. Der 20-Jährige hat die Taten gestanden. Schon vor zwei Jahren war er der Polizei wegen ähnlicher Vergehen aufgefallen.
Mit einem einfachen Skype-Anruf lassen sich trotz PIN-Sperre Fotos, Kontakte und mehr auf einem Android-Smartphone einsehen. Ein Update wurde veröffentlicht, steht aber noch nicht für alle Geräte zur Verfügung.
Der Youtuber Unge hatte bei seinem Twitter-Account Zwei-Faktor-Authentifizierung aktiviert. Doch sie half ihm nichts, sein Account wurde trotzdem gehackt. Der Twitter-Support schaltete diese einfach auf Anfrage hin ab.
Linus Torvalds hat die erste Vorabversion von Linux 5.0 freigegeben. Sicherheit steht abermals im Vordergrund, der AMDGPU bringt Freesync mit und für das Touchscreen der Raspberry Pi Foundation gibt es einen Treiber.
Das Datenleck bei zahlreichen Politikern und Prominenten hat die Bundespolitik aufgeschreckt. Innenminister Seehofer verspricht "volle Transparenz". Grünen-Chef Habeck zieht drastische Konsequenzen.
Dem BSI wird vorgeworfen, im Fall des Hacks von Politikern unzureichend reagiert zu haben. Die Behörde erkannte jedoch keinen Zusammenhang zwischen den Hackerangriffen auf mehrere Abgeordnete.
Wer steckt hinter dem Leak persönlicher Daten von Politikern und Promis? Die aufwendige Aufbereitung der Daten lässt eine Nutzung für politische Kampagnen vermuten. Doch ein Youtuber soll dahinter stecken, der lediglich Aufmerksamkeit wollte.
Das Kompressionsverfahren Zstandard von Facebook soll einen schnelleren Ersatz für den bisher häufig verwendeten Deflate-Algorithmus bieten. Das wichtige Basisprogramm Tar des GNU-Projekts unterstützt nun erstmals Zstd.
Ein Hacker-Duo übernimmt Tausende Chromecasts. Darauf zeigen sie als Sicherheitshinweis ein Youtube-Video - mit Werbung für den bekannten Youtuber PewDiePie.
Mit einem einfachen Trick können verwaiste Twitter-Accounts übernommen und mit Tweets gefüttert werden. Diese zeigen häufig Propaganda des Islamischen Staates.
35C3
Bluetooth auf einem fremden Smartphone ausknipsen und einen Bluetooth-Lautsprecher zum Schweigen bringen? Mit einer Sicherheitslücke in Bluetooth-Chips von Broadcom ist das möglich.
Nachdem die ersten Tests offenbar erfolgreich verlaufen sind, hat die EU ihr Bug-Bounty-Programm für Open-Source-Software für das Jahr 2019 erweitert. Insgesamt stehen dafür rund 900.000 Euro für 15 Projekte bereit.
Die bisher im Linux-Kernel neben anderen Techniken als Spectre-Schutz eingesetzten Retpolines sollen schneller werden. Ermöglicht werden soll das mit ganz viel Assembler-Code, wobei aber auch alle indirekten Code-Branches gepatcht werden sollen, nicht nur ausgewählte.
In Linux 4.20 gibt es weitere Patches für Spectre v2, einen verbesserten Block-Layer und ein Framework, das Ausfälle früh erkennen soll. Zudem wurde ein Ersatz für die veraltete Dateistruktur Radix-Tree nach langer Entwicklungszeit aufgenommen.
35C3 Anbieter von Krypto-Wallets versprechen, in diesen seien Bitcoins sicher verstaut. Sind sie nicht, zeigten nun Sicherheitsforscher auf dem Kongress des Chaos Computer Clubs.
35C3
Venenerkennungssysteme gelten als eines der sichersten biometrischen Verfahren und kommen im Hochsicherheitsbereich zum Einsatz. Doch sie können mit einfachen Mitteln umgangen werden.
35C3 Nach Ansicht eines Sicherheitsexperten hätten die Zwischenwahlen in den USA durchaus stärker manipuliert werden können. Für 2020 hofft er auf bessere Vorkehrungen der Behörden. Doch das kostet viel Geld.
Schluss mit Google+, Cambridge Analytica und Microsofts deutscher Cloud.
Im Jahr 2018 wurden viele Programme eingestellt, Unternehmen mussten aufgeben und Raketen stillgelegt werden.
Ein Untersuchungsbericht zeigt: Zwei vom US-Militär im Kampfeinsatz genutzte Programme hätten durch schwere Sicherheitslücken theoretisch ausgenutzt werden können. Die Programme zeigen GPS-Daten sowie eigene und feindliche Truppenbewegungen an und integrieren die Kommunikation zwischen Einheiten.
Zwei Jahre nach ihrer besorgniserregenden Recherche zu Sicherheitsmängeln in Industrieanlagen sind die Sicherheitsforscher Sebastian Neef und Tim Philipp Schäfers erneut fündig geworden. Ein Klärwerk hätten sie sogar komplett über das Internet übernehmen können.
Es gibt ihn noch, den alten Internet Explorer und es gibt noch Sicherheitslücken dafür, die gefährlich sind. Microsoft hat ein Update für viele Windows-Systeme veröffentlicht, das ein bereits ausgenutztes Problem beheben soll, bei dem Angreifer beliebigen Code ausführen können.
Auf die Nachfrage eines Echo-Nutzers nach den von ihm gespeicherten Daten hat Amazon ihm rund 1.700 Audiodateien einer völlig fremden Person ausgehändigt. Laut dem Unternehmen handelt es sich um einen Einzelfall, der auf einem menschlichen Fehler beruht.
Das US-Raketenabwehrsystem ist nur unzureichend gegen Angriffe geschützt. Fehlende Antiviren-Software, mangelhaft umgesetzte Zwei-Faktor-Authentifizierung und eine seit 28 Jahren offene Sicherheitslücke sind nur einige der Schwachpunkte, die ein Untersuchungsbericht offenlegt.
Anwendungen, die SQLite einsetzen und von außen SQL-Zugriff darauf bieten, sind offenbar von einem Fehler betroffen, der eine beliebige Codeausführung ermöglicht. Dazu gehören unter anderem Browser auf Chromium-Basis, für die inzwischen Updates bereitstehen.
In einer Software zur Konfiguration von Logitech-Tastaturen und Mäusen klafft ein riesiges Sicherheitsloch. Nutzer von Logitech Options sollten es vorerst deinstallieren: Bisher gibt es keinen Fix.
