Die Bundesrechtsanwaltskammer will im Rahmen einer Veranstaltung namens BeAthon die Sicherheitsprobleme des Besonderen elektronischen Anwaltspostfachs diskutieren. Doch der Hersteller Atos will nicht teilnehmen.
Wer Windows-Apps mit Electron anbietet, sollte das Update auf die aktuellste Version des Frameworks installieren. Sonst kann aus der Ferne Schadcode ausgeführt werden. Betroffen sind Windows-Apps, die als Protokoll-Handler eingetragen sind.
Und sie kommen doch noch: Apple hat die beiden letzten Versionen von MacOS gegen Meltdown gepatcht. Außerdem gibt es eine Reihe von Sicherheitslücken im aktuellen Kernel, die Patches sollten schnell eingespielt werden.
Intel startet einen zweiten Anlauf für Microcode-Updates der Haswell- und Broadwell-CPUs. Innerhalb einer Woche soll es neue Updates geben, die nicht mehr zu unkontrollierten Neustarts führen sollen.
Um Admins ein stressiges Wochenende zu ersparen, werden OpenSSL-Updates künftig dienstags veröffentlicht. Außerdem gibt es nun eine Mailingliste, auf der Projektdetails unabhängig vom Code öffentlich diskutiert werden, und Github wird für das Projekt wichtiger.
Wer sich kurz über den Status der Meltdown- und Spectre-Patches informieren will, der muss nicht unbedingt den aufwendigen Weg über die Powershell unter Windows gehen. Mit zwei kleinen Werkzeugen lassen sich auch Rechner von Familienmitgliedern fix überprüfen. Eines kann die Patches sogar deaktivieren.
Das US-Unternehmen Hacker One hat aktuelle Zahlen vorgestellt: Die meisten Bounties werden nach wie vor von US-Unternehmen gezahlt. Die Daten zeigen außerdem, dass das Finden von Schwachstellen für die meisten ein Nebenberuf oder Hobby ist.
Nach Angaben von Google nehmen nur sehr wenige Gmail-Nutzer die sichere Anmeldung mit einem zweiten Faktor in Anspruch. Auch Passwortmanager sind zumindest in den USA offenbar nicht weit verbreitet.
Update Anwälten, die das besondere elektronische Anwaltspostfach BeA nicht nutzen wollen, will der Kanzleizulieferer Soldan einen besonderen Service bieten: Sie sollen sich nicht selbst um Einrichtung und Abholung kümmern, sondern die Nachrichten ausgedruckt und per Briefpost zugestellt bekommen. Das ist kurios - und mit Risiken verbunden.
Eine neue Funktion in Microsofts Compiler für C und C++ soll Schutzmaßnahmen gegen eine Variante des Spectre-Angriffs in Code einbauen. Diese Vorgehen wird zwar von Intel empfohlen, hat aber offensichtlich Grenzen und wird deshalb von der Linux-Community kritisiert.
Wir haben mit einem der Entdecker von Meltdown und Spectre gesprochen. Er erklärt, was spekulative Befehlsausführung mit Kochen zu tun hat und welche Maßnahmen Unternehmen und Privatnutzer ergreifen sollten.
Derzeit haben einige Apple-Nutzer Probleme mit einem github.io-Link. Dieser kann die in iOS und MacOS integrierte Nachrichtenapp zum Absturz bringen und zu Darstellungsfehlern führen. Nutzer können über Jugendschutzeinstellungen Abhilfe schaffen.
Update Sicherheitslücken in fast allen modernen Prozessoren verunsichern seit der vergangenen Woche Privatanwender und Administratoren. Wir erklären, was Nutzer derzeit unternehmen sollten und wo noch Unklarheit besteht. Dabei konzentrieren wir uns auf Desktop- und Server-Systeme.
214Kommentare/Eine Analyse von Hauke Gierow,Sebastian Grüner
Laut Microsoft können mittlerweile alle unterstützten Windows-PCs das Fall Creators Update installieren. Es sei der schnellste Rollout bisher. Mit dem Hintergrund von Spectre und Meltdown rät das Unternehmen auch dazu, das System immer aktuell zu halten.
MacOS High Sierra hat erneut ein Problem: Nun ist bekanntgeworden, dass die Einstellungen für den eingebauten App Store ohne korrektes Passwort geändert werden können.
Der Softwaredienstleister Atos und damit indirekt auch dessen Partner Governikus werden laut Medienberichten von der Bundesrechtsanwaltskammer nicht mehr für das Besondere elektronische Anwaltspostfach bezahlt. Die mit Sicherheitsproblemen behaftete Lösung für Anwälte soll umfassend geprüft werden.
2017 wurde viel Firmware und andere grundlegende Computertechnik produktiv auseinandergenommen und kaputt gemacht. Gut so, denn die Fundamente moderner Computer sind oft brüchig.
Update Weil einige Athlon-Prozessoren nach dem Update nicht mehr in Windows booten, stoppt Microsoft die Verteilung von Spectre-Patches für betroffene AMD-Systeme. Schuld sollen fehlerhafte Angaben des Prozessorherstellers sein.
CES 2018 In seiner Keynote auf der CES versprach Intel-Chef Krzanich erneut, Intel-CPUs schnell gegen Meltdown und Spectre zu patchen. Krzanich betonte die Zusammenarbeit innerhalb der Industrie - wohl auch, um von Intels eigenen Fehlern abzulenken.
Der US-Geheimdienst NSA versichert, die Prozessor-Sicherheitslücken Meltdown und Spectre nicht zum Ausspähen von Daten genutzt zu haben. In den USA wurden bereits die ersten Sammelklagen gegen Intel eingereicht.
Golem-Wochenrückblick Gleich zu Beginn 2018 gibt es einen Anwärter auf den Titel Sicherheitslücke des Jahres, und im Netz beginnt das große Löschen. Wer kann uns da ein bisschen Eskapismus mit Games und Filmen verübeln?
Update In einer Woche wird Intel den Großteil seiner CPUs der vergangenen fünf Jahre mit einem Update gegen Spectre und Meltdown versehen. Google testet eine eigene Lösung bereits erfolgreich. Die Leistungseinbußen sollen marginal sein.
Man kann sich auf Hardware nicht mehr verlassen - Spectre und Meltdown zeigen das überdeutlich. Bevor neue Grundlagentechniken wie spekulative Befehlsausführung massenhaft eingeführt werden, müssen sie ab jetzt anders getestet werden.
Update Nicht nur Intel ist von der gravierenden Sicherheitslücke in Prozessoren betroffen, durch die Angreifer heikle Daten auslesen können. Googles Project Zero erklärt die Funktionsweise der Speicher-Leaks und Linus Torvalds erwartet Ehrlichkeit. Auch Apple hat sich bereits zu Wort gemeldet.
Das besondere elektronische Anwaltspostfach hat mehr als nur eine Sicherheitslücke. Die Probleme reichen von einer falschen Ende-zu-Ende-Verschlüsselung über Cross Site Scripting bis hin zu ROBOT und veralteten Java-Libraries. Dabei hat die Firma SEC Consult einen Sicherheitsaudit durchgeführt.
Der Client für das Elektronische Gerichts- und Verwaltungspostfach hat ausgedient. Die Software kann nur noch kurze Zeit verwendet werden. Grund ist teilweise das besondere elektronische Anwaltspostfach, das kürzlich mit Sicherheitslücken aufgefallen ist.
Das Update 52.5.2 behebt einen Fehler, der zum Absturz des E-Mail-Programms führen kann. Windows-Nutzer sollten sich das Update installieren. Auch mehrere Sicherheitslücken im RSS Feed werden behoben - das gilt für alle Betriebssysteme.
Update Eine Sicherheitslücke in Apache Struts soll dazu geführt haben, dass 33.000 Daten von Schweizer Kunden des Inkassodienstes Eos kompromittiert wurden. Darunter sollen sich neben Ausweiskopien auch ganze Krankenakten befinden.
Im Rahmen des besonderen elektronischen Anwaltspostfachs (BeA) forderte die Bundesrechtsanwaltskammer ihre Mitglieder dazu auf, ein Root-Zertifikat zu installieren, zu dem der private Schlüssel öffentlich ist. Ein gravierendes Sicherheitsrisiko, das die Funktion von HTTPS aushebelt.
Golem.de hat den Serverhoster Webtropia über eine kritische Schwachstelle informiert: Über eine Lücke in den Ports der Kontrollserver hätten Angreifer ohne Passwort die Kontrolle übernehmen können - zumindest bei einigen Systemen.
Update Wenige Tage, nachdem in der Browsererweiterung des Passwortmanagers Keeper eine kritische Sicherheitslücke gefunden wurde, verklagt dessen Hersteller den Journalisten Dan Goodin. Es ist offenbar nicht das erste Mal, dass Keeper juristisch gegen die Veröffentlichung von Schwachstellen vorgeht.
Mozillas Secure Open Source Fund und der Berliner E-Mail-Anbieter Posteo haben einen Security-Audit für Thunderbird und die Erweiterung Enigmail in Auftrag gegeben. Dabei sind einige kritische und schwerwiegende Lücken gefunden worden.
Im Wall Street Journal macht ein Regierungsvertreter Nordkorea erstmals öffentlich für die Ransomware Wanna Cry verantwortlich. Dabei teilt er die Welt äußerst grob in gute und böse Cyberakteure ein.
Ein Foto aus dem Laserdrucker reicht, um Windows-Hello-Geräte zu entsperren. Tester der Syss GmbH konnten das bei einem Dell-Notebook und dem Surface Pro 4 bestätigen. Sicher sind nur aktuelle Geräte mit aktiviertem Anti-Spoofing.
Keeper-Nutzer sollten unbedingt die gepatchte Version installieren. Der aktuell in Windows 10 vorinstallierte Passwortmanager Keeper hatte einen Fehler, der es bösartigen Webseiten ermöglichte, über Clickjacking beliebige Passwörter auszulesen.
Die Fritzbox bietet in der jüngsten Firmware ein neues Feature: Kunden können sich automatisch Let's Encrypt-Zertifikate für den AVM-eigenen DynDNS-Dienst myfritz.net erstellen lassen. Das hat aber Konsequenzen, über die sich vermutlich nicht alle Kunden im Klaren sind.
Der Bleichenbacher-Angriff gilt unter Kryptographen als Klassiker, trotzdem funktioniert er oft noch. Wie wir herausgefunden haben, gilt das besonders für populäre Webseiten, darunter Facebook, Paypal und Produkte von mindestens acht verschiedenen Herstellern.
Golem-Wochenrückblick Security ist kaputt und ein Tesla-Mietwagen völlig demoliert. Außerdem drehen wir gleich zwölf smarte Lautsprecher - oder besser Lauschsprecher - auf. Sieben Tage und viele Meldungen im Überblick.
Ein IoT-Botnetz greift derzeit weltweit Modems von Huawei über einen Wartungsport an, die Deutsche Telekom spricht von bis zu 100.000 infizierten Geräten. Huawei gibt Sicherheitstipps und will einen Patch bereitstellen.
Erneut trifft es Windows Defender: Ein Speicherfehler kann Angreifer in die Lage versetzen, den Virenscanner zum Ausführen von Code zu nutzen. Microsoft hält aktive Exploits allerdings für unwahrscheinlich, Patches werden verteilt.
Ein Fehler im Homekit-Framework soll dazu geführt haben, dass Smart-Devices von außerhalb gesteuert werden konnten. Apple hat einen Fehler eingestanden und bereits eine Übergangslösung verteilt, wodurch jedoch bestimmte Funktionen von Homekit zunächst eingeschränkt sind.
Sicherheitsforscher demonstrieren einen Angriff auf Intels ME zum Ausführen von beliebigem Code, gegen den weder das sogenannte Kill-Bit noch die von Google geplanten Sicherheitsmaßnahmen für seine Server helfen. Theoretisch lassen sich Geräte so auch aus der Ferne angreifen.
Das Kernel-Team patcht erneut gegen Dirty Cow - allerdings in einer weniger schlimmen Variante. Angreifer können das verwundbare Linux-System gezielt zum Absturz bringen.
Ein Request for Comments aus dem Jahr 1992 ermöglicht einen Angriff auf fast alle Mailclients. So lassen sich glaubhaft aussehende E-Mails mit beliebiger Absenderadresse verschicken.
Google will in dieser Woche aktuelle Sicherheitspatches für Android veröffentlichen. Damit erhalten nun auch Pixel-Smartphones einen Schutz gegen die Krack-Sicherheitslücke. Außerdem müssen weitere Sicherheitslöcher beseitigt werden.
Das Unternehmen TIO-Networks ist erst vor einem halben Jahr von Paypal gekauft worden - jetzt stoppt das Unternehmen die Geschäfte wegen einer Sicherheitslücke. Bis zu 1,6 Millionen Nutzer könnten betroffen sein.
Nach den Ankündigungen der Linux-Hardware-Hersteller Purism und System 76, Intels Management Engine (ME) zu deaktivieren, verweisen Nutzer darauf, dass auch der große kommerzielle Anbieter Dell entsprechende Rechner im Angebot hat. Einfach zu bekommen sind die Geräte aber nicht.
Golem-Wochenrückblick Apple plagt eine Sicherheitslücke, alte LKW stehen unter Strom und wir starren auf ein Notebook und zwei Bildschirme. Sieben Tage und viele Meldungen im Überblick.
Apples Patch für den Root-Bug kann dazu führen, dass File-Sharing-Dienste nicht mehr funktionieren - es gibt aber eine einfache Lösung für das Problem. Das Unternehmen hat sich auch grundsätzlich zu Fehlern in MacOS High Sierra geäußert.
