Sicherheitslücke

Finfisher soll einen 0-Day-Exploit genutzt haben. (Bild: Screenshot Golem.de) (Screenshot Golem.de)

Staatstrojaner: Office 0-Day zur Verbreitung von Finfisher-Trojaner genutzt

0-Days werden deutlich seltener für gezielte Angriffe eingesetzt, als oft gedacht. In einem aktuellen Fall ist aber genau dies geschehen: Staatliche Hacker und Kriminelle nutzten eine Sicherheitslücke in Word aus, um den Finfisher-Trojaner zu installieren.

11 Kommentare

Nutzt kein IOMMU, um den WLAN-Chip zu isolieren: Qualcomms Snapdragon 810 (Bild: Qualcomm) (Qualcomm)

Broadcom-Sicherheitslücke: Vom WLAN-Chip das Smartphone übernehmen

Vor kurzem zeigten Google-Sicherheitsexperten, wie man die Firmware eines Broadcom-WLAN-Chips angreifen kann. Damit lässt sich auch das komplette Smartphone übernehmen - dank weiterer Bugs und weil die Hardware nicht hinreichend isoliert wurde.

6 Kommentare

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Microsoft 365 Copilot sicher administrieren und integrieren

zum Artikel

Karriere Ratgeber: Microsoft Cloud verwalten auf höchstem Niveau

zum Ratgeber

Seminar: Keycloak – Sicheres Identity- & Access-Management: virtueller Drei-Tage-Workshop

zum Kurs

E-Learning: PowerShell Komplettpaket: 3 Kurse im Paket (E-Learning)

zum Kurs

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Kaufmännischer Mitarbeiter (m/w/d) IT-Bereich SEEHAFEN KIEL GmbH & Co. KG, Kiel (öffnet im neuen Fenster)

IT-Spezialist ERP-Schnittstellen (m/w/d) A.T.U Auto-Teile-Unger GmbH & Co. KG, Weiden,Home Office (öffnet im neuen Fenster)

IT-Administrator/in (m/w/d) Microsoft 365 Sekretariat der Ständigen Konferenz der Kultusminister der Länder in der Bundesrepublik Deutschland, Bonn (öffnet im neuen Fenster)

Software Project Manager (m/w/d) Schölly Fiberoptic GmbH, Denzlingen (öffnet im neuen Fenster)

Ausbilder (m/w/d) IT Stiftung ICP München, München (öffnet im neuen Fenster)

Architect SAP Administration (m/w/d) bis zu 100 % remote ALBA Management GmbH, Berlin (öffnet im neuen Fenster)

Referent für ISMS / EASA Part-IS (Nominated Person) (w|m|d) ADAC Luftrettung gGmbH, Weßling (öffnet im neuen Fenster)

Systemingenieur Electronic Warfare Algorithmik (w/m/d) Hensoldt, Ulm (öffnet im neuen Fenster)

Derzeit gibt es aktive Angriffe gegen Office-Nutzer - ohne Makros. (Bild: Microsoft) (Microsoft)

Bürosoftware: Angriff durch Office-Dokumente ohne Makros

Ein Angriff auf Microsofts Office-Suite setzt nicht auf vom Nutzer auszuführende Makros, sondern nutzt eine Sicherheitslücke in der Funktion Windows Object Linking and Embedding. Microsoft hat das entsprechende Update am Patch Tuesday freigegeben.

2 Kommentare

Von einer solchen Fehlermeldung wurde unser Autor kürzlich überrascht. (Bild: Screenshot Hanno Böck) (Screenshot Hanno Böck)

IT-Sicherheit: Wie ich mein Passwort im Stack Trace fand

Unser Autor hat versehentlich das MySQL-Passwort seiner Webseite veröffentlicht. Hier schreibt er, wie es dazu kam. Er berichtet, warum Fehler selbst dann passieren, wenn man denkt, alle Sicherheitsmaßnahmen umgesetzt zu haben und warum es in PHP zu einfach ist, derartige Fehler zu produzieren.

319 Kommentare / Ein Bericht von Hanno Böck

Ein Zeppelin weist auf NSA-Spionage hin. (Bild: Douglas C. Pizac/Greenpeace) (Douglas C. Pizac/Greenpeace)

Equation Group: The Shadow Brokers veröffentlichen NSA-Geheimnisse

The Shadow Brokers haben keine Lust mehr - oder sind von Donald Trump wirklich enttäuscht: Das Passwort zum verschlüsselten Archiv jedenfalls ist jetzt im Netz. Die Gruppe hatte Exploits "besser als Stuxnet" angekündigt und damit wohl etwas übertrieben.

7 Kommentare

Golem.de-Redakteur Hauke Gierow (Bild: Golem.de/Telekom) (Golem.de/Telekom)

Die Woche im Video: Hass und Höhenflüge

Golem-Wochenrückblick Die Regierung ist fleißig und droht den Hatern, die Telekom bleibt womöglich nicht neutral und die AIX-Messe hebt ab. Sieben Tage und viele Meldungen im Überblick.

1 Kommentare

Brickerbot nennt Radware eine Angriffswelle, die versucht, IoT-Geräte zu kapern und unschädlich zu machen. (Bild: Rudolf Ammann/Flickr) (Rudolf Ammann/Flickr)

Brickerbot: Hacker zerstören das Internet of Insecure Things

Unbekannte versuchen zurzeit, sich in ungesicherte IoT-Geräte zu hacken und diese aktiv zu zerstören. Offenbar ein Versuch, die Geräte unschädlich zu machen, bevor sie Teil von Botnetzen wie Mirai werden.

111 Kommentare

Die Zentrale von Ask.com in Oakland (Bild: Coolcaesar) (Coolcaesar)

Datenschutz: Ask.com zeigt auf Apache-Statusseite Suchanfragen an

Update Der Suchmaschinenbetreiber Ask.com gibt mehr Informationen preis, als er eigentlich sollte: Auf einer Apache-Statusseite lassen sich zahlreiche Suchanfragen von Nutzern verfolgen. Seit einem Monat hat das Unternehmen nicht auf die Fehlermeldung reagiert.

25 Kommentare / Von Hauke Gierow

Seminar: IT-Grundschutz-Praktiker mit Zertifikat: Drei-Tage-Workshop

zum Kurs

E-Learning: Linux Administration: Sicherheit (E-Learning)

zum Kurs

E-Learning: Linux Administration: Skripte, Container und Automatisierung (E-Learning)

zum Kurs

Seminar: Advanced Python – Advanced Programming Techniques: 3-Day Virtual Seminar (English)

zum Kurs

Der Dildo von Svakom hat unsichere Software. (Bild: Svakom) (Svakom)

Internet of Things: Dildos sollen smart sein dürfen

Wie mit Sicherheitslücken in Dildos umgehen? Alle smarten Geräte wegschmeißen? Das Internet of Things verbieten? Nein. Dildos sollten smart sein dürfen - und sicher sein.

126 Kommentare / Ein IMHO von Hauke Gierow

Viele Komponenten in Smartphones sind eigene Minicomputer - mit eigenen Sicherheitslücken. (Bild: Köf3/Wikimedia Commons) (Köf3/Wikimedia Commons)

Broadcom-Sicherheitslücke: Angriff über den WLAN-Chip

Googles Project Zero zeigt, wie man ein Smartphone per WLAN übernehmen kann. WLAN-Chips haben heute eigene Betriebssysteme, denen jedoch alle modernen Sicherheitsmechanismen fehlen.

26 Kommentare / Von Hanno Böck

Ein Smartphone mit Tizen (Bild: Karlis Dambrans) (Karlis Dambrans)

Tizen-Betriebssystem: "Könnte der schlechteste Code sein, den ich je gesehen habe"

Samsungs Tizen-Betriebssystem soll zahlreiche Sicherheitslücken haben und schlampig entwickelt worden sein. Ein Sicherheitsforscher kritisiert, dass der Smartphonehersteller gängige Absicherungen nicht verwende und so Speicherfehler und ungesicherte Verbindungen provoziere.

147 Kommentare

Ein Geldautomat. (Bild: Martin Wolf/Golem.de) (Martin Wolf/Golem.de)

Kaspersky: Geldautomaten mit 15-US-Dollar-Bastelcomputer leergeräumt

Am Ende bleibt nur ein golfballgroßes Loch und das Geld ist weg: Kaspersky hat einen neuen Angriff auf Geldautomaten vorgestellt. Bei dem Angriff werden physische Beschädigung und Hacking kombiniert. Betroffen sind weit verbreitete Modelle aus den 90er Jahren.

163 Kommentare

Pegasus auf einer Münze (Bild: Marie-Lan Nguyen) (Marie-Lan Nguyen)

NSO Group: Pegasus-Staatstrojaner für Android entdeckt

Nach der iOS-Version des Staatstrojaners Pegasus haben Sicherheitsforscher auch eine Version für Android gefunden. Diese nutzt keine Zero-Day-Exploits und kann auch ohne vollständige Infektion Daten übertragen.

5 Kommentare

Über HbbTV können Angreifer Schadcode auf Smart-TVs einschleusen. (Bild: Oneconsult) (Oneconsult)

Schwachstelle HbbTV: Smart-TVs aus der Ferne angreifbar

HbbTV ist unzureichend abgesichert. Darüber sind Tausende Smart-TVs offen für Angriffe aus der Ferne. Ein Sicherheitsexperte hat einen funktionierenden Angriff auf einem Gerät von Samsung demonstriert.

16 Kommentare

Woher der Begriff Acid eigentlich kommt, ist etwas unklar. (Bild: Montage: Golem.de) (Montage: Golem.de)

Podcast Besser Wissen: 303 für alle!

Seit Jahrhunderten fragen sich die Menschen, wie weit die Sterne eigentlich entfernt sind. (Bild: Public Domain / Montage: Golem.de) (Public Domain / Montage: Golem.de)

Podcast Besser Wissen: Wie messen wir Entfernungen im Weltraum?

Der VC20 sollte besonders einsteigerfreundlich sein. (Bild: Public Domain / Montage: Golem.de) (Public Domain / Montage: Golem.de)

Podcast Besser Wissen: Volkscomputer - der erste Millionär

Auch eine Strickanleitung ist eine Art Algorithmus. (Bild: Pixabay / Montage: Golem.de) (Pixabay / Montage: Golem.de)

Podcast Besser Wissen: Wie geht Informatik für die moderne Hausfrau?

Der K.I.T.T. von Andreas sieht sehr originalgetreu aus. (Bild: Martin Wolf/Golem.de) (Martin Wolf/Golem.de)

Podcast Besser Wissen: Der eigene K.I.T.T.

Podcast Besser Wissen: Wie man freie Software betreut

Pop-up-Fenster in Safari fürs iPhone werden von Scammern missbraucht. (Bild: FGP) (FGP)

Ransomware: Scammer erpressen Besucher von Pornoseiten

Über einen Fehler in Apples Safari für iPhone blockieren Unbekannte den Browser mit einem immer wiederkehrenden Javascript-Pop-up. Darin werden Nutzer aufgefordert, Lösegeld zu zahlen. Mit einem einfachen Trick lässt sich der Falle aber entgehen.

45 Kommentare

Über mehrere Sicherheitslücken im Passwort-Manager Lastpass kann Schadcode ausgeführt werden. (Bild: Travis Ormandy) (Travis Ormandy)

Passwort-Manager: Lastpass fällt mit gleich drei Sicherheitslücken auf

Gleich drei Sicherheitslücken innerhalb einer Woche wurden im Passwort-Manager Lastpass entdeckt. Der Hersteller reagiert zwar schnell, aber eben deshalb wohl überhastet: Eine Lücke wurde nicht vollständig geschlossen, eine weitere ist noch ganz offen.

10 Kommentare

Nicht im Bild: das Ethernet-Kabel für die Spülmaschine (Bild: Miele) (Miele)

Internet of Things: Fehler in Spülmaschine ermöglicht Zugriff auf Webserver

Update Eine vorhersehbare Sicherheitslücke im Webserver einer Spülmaschine für Labore ermöglicht den Zugriff auf die Daten des Servers. Hersteller Miele hat inzwischen auf den Fehlerbericht reagiert und will einen Patch bereitstellen.

95 Kommentare

Auch Kinox.to verteilte betrügerische Anzeigen. (Bild: Screenshot Golem.de) (Screenshot Golem.de)

Betrugsnetzwerk: Kinox.to-Nutzern Abofallen andrehen

Troopers 2017 Eine Betrugskampagne nutzt Sicherheitslücken im Stock-Browser von Android aus, um Nutzern Abofallen und Premiumdienste zuzuschieben. Die Betrüger bauen gefälschte Webshops auf, um legitim zu erscheinen.

40 Kommentare / Ein Bericht von Hauke Gierow

Überwachungskamera in Hipster-Wohnung (Bild: Nest) (Nest)

Smart Home: Nest-Kamera kann per Bluetooth deaktiviert werden

Probleme für Nest: Überwachungskameras des Smart-Home-Herstellers können in ihrer Funktion gezielt gestört werden. Für ein bis zwei Minuten gibt es dann keinerlei Aufnahmen - genug Zeit, um unentdeckt in die Wohnung einzusteigen.

4 Kommentare

Feuer ist ein ernstzunehmendes Problem für den sicheren Betrieb von Cloud-Servern. (Bild: Fir0002/Wikimedia Commons) (Fir0002/Wikimedia Commons)

BSI: Schützt euer Owncloud vor Feuer und Wasser!

Das Bundesamt für Sicherheit in der Informationstechnik beklagt, dass Nutzer von Owncloud und Nextcloud ihre Installationen nicht aktualisieren. Das liegt aber auch daran, dass die Updatefunktion oft fehlschlägt. Und die Ratschläge des BSI waren in der Vergangenheit auch nicht unbedingt hilfreich.

42 Kommentare / Von Hanno Böck

Jaron Lanier geht mit Facebook hart ins Gericht. (Bild: ShareBW 2016 Byernst) (ShareBW 2016 Byernst)

Technik-Kritiker: Jaron Lanier will Facebook zerschlagen

Die Rastalocken sind sein Markenzeichen: Der Informatiker Jaron Lanier gilt als einer der schärfsten Kritiker des digitalen Kapitalismus und sieht große Plattformen wie Facebook äußerst kritisch. Ein Gespräch über Macht und Ohnmacht im Netz.

67 Kommentare / Ein Interview von

Bezahlung nach TVöD Bund in der Entgeltgruppe 14 und eine tarifliche Sonderzulage von 400 Euro monatlich: Wie wär's mit einem Job beim BND? (Bild: BND/Screenshot: Golem.de) (BND/Screenshot: Golem.de)

Forensik Challenge: Lust auf eine Cyber-Stelle beim BND? Golem.de hilft!

Für eine Stellenanzeige hat sich der Bundesnachrichtendienst etwas Besonderes ausgedacht: eine Forensik Challenge, bei der Interessierte ihre Fähigkeiten testen können. Damit Golem.de-Leser, die sich beim BND bewerben wollen, es etwas leichter haben, haben wir die Challenge gelöst.

179 Kommentare / Von Hanno Böck

Teamviewer wird aus dem Netz von Talk Talk ausgesperrt - zu Unrecht, findet das Unternehmen. (Bild: Martin Wolf/Golem.de) (Martin Wolf/Golem.de)

Scammer-Probleme: Britischer Provider sperrt Teamviewer aus

Wegen massiver Probleme mit Scammern und Betrügern sperrt der britische Provider Talk Talk derzeit Teamviewer aus seinem Netz aus. Kunden und dem Hersteller der Fernwartungssoftware gefällt das nicht.

30 Kommentare

The Legend of Zelda: Breath of the Wild wird schon emuliert... (Bild: Nintendo) (Nintendo)

Nintendo: Hacker beschäftigen sich mit Zelda und Switch

Update Stark ruckelnd und ohne Sound, aber immerhin: Von der Wii-U-Version des neuen The Legend of Zelda gibt es bereits eine frühe Emulation. Gleichzeitig beschäftigen sich Hacker mit den Sicherheitssystemen der Hybridkonsole Switch.

30 Kommentare

Sich selbst zerstörende Nachrichten und schlechte Verschlüsselung: der Messenger Confide. (Bild: Confide) (Confide)

Confide: "Military Grade Encryption" scheitert kläglich

Ein Messenger namens Confide scheint vor allem bei Mitarbeitern des Weißen Hauses beliebt zu sein. Dabei ist das Protokoll alles andere als sicher und der Confide-Server verriet zeitweise die Daten aller Nutzer.

4 Kommentare

NAS mit Vase (Stillleben) (Bild: Western Digital) (Western Digital)

Western Digital My Cloud: NAS-Gerät macht jeden zum Admin

Western Digital hat in der Hackerszene nicht den Ruf, Schwachstellen schnell zu beseitigen. Sicherheitslücken, die den Login-Vorgang und die Ausführung von Code betreffen, wurden daher ohne Responsible Disclosure veröffentlicht - damit die Nutzer handeln können.

36 Kommentare

Eine Sicherheitslücke bei Vodafone wurde ausgenutzt, um Rufnummern zu klauen. (Bild: Danish Siddiqui /Reuters) (Danish Siddiqui /Reuters)

Vodafone: Sicherheitslücke in Kundensystem ermöglicht Rufnummernklau

Ein Händler mit krimineller Energie hat eine Sicherheitslücke in Vodafones Kundendatenbank ausgenutzt, um attraktive Rufnummern zu klauen. Die betrogenen Kunden bekamen neue.

9 Kommentare

Cloudflare schaut, wie schlimm Cloudbleed war. (Bild: Martin Wolf/Golem.de) (Martin Wolf/Golem.de)

Geleakte Kundendaten: Cloudflare zieht Cloudbleed-Bilanz

Wie schlimm war Cloudbleed wirklich? Mit Hilfe einer Analyse der eigenen Datensätze will Cloudflare das beantworten.

9 Kommentare

Cloudflare hat zwar ein Bug-Bounty-Programm, für Entdecker von Sicherheitslücken gibt's jedoch nur ein T-Shirt. (Bild: Cloudflare) (Cloudflare)

Speicherleck: Cloudflare verteilt private Daten übers Internet

Durch einen Bug im HTML-Parser des CDN-Anbieters Cloudflare verteilte dieser private Nachrichten von Datingbörsen, Passwörter und interne Keys über unzählige Webseiten. Vieles davon fand sich in den Caches von Suchmaschinen wieder.

36 Kommentare

Unterschiedlicher Inhalt, identischer SHA-1-Hash - diese PDF-Dokumente zeigen, dass Google SHA-1 gebrochen hat. (Bild: Google) (Google)

Kollisionsangriff: Hashfunktion SHA-1 gebrochen

Forschern von Google und der Universität Amsterdam ist es gelungen, zwei unterschiedliche PDF-Dateien mit demselben SHA-1-Hash zu erzeugen. Dass SHA-1 unsicher ist, war bereits seit 2005 bekannt.

111 Kommentare

Die Einrichtung von Wlan to Go soll sehr einfach sein. (Bild: Telekom) (Telekom)

WLAN to Go: Telekom-Hotspots waren für Fremdsurfer anfällig

Beim Angebot WLAN to Go von der Deutschen Telekom und Fon konnten Angreifer die Anmeldung umgehen und so direkt über den Anschluss des eigentlichen Inhabers surfen. Die Telekom hat den Konfigurationsfehler mittlerweile behoben.

19 Kommentare / Von Hauke Gierow

Dieses Mal reagiert Microsoft erstmal nicht auf Googles Veröffentlichung. (Bild: Lucy Nicholson/Reuters) (Lucy Nicholson/Reuters)

Ungepatchte Sicherheitslücke: Google legt sich erneut mit Microsoft an

Schon im November hatte es Ärger zwischen Microsoft und Google um die Offenlegung einer Sicherheitslücke gegeben. Jetzt legt Project Zero nach und veröffentlicht Details zu einer ungepatchten Lücke im Windows Graphics Device Interface.

55 Kommentare

Auf modernen CPUs lässt sich ASLR mittels Javascript umgehen. (Bild: Forrestal_PL, Wikimedia Commons) (Forrestal_PL, Wikimedia Commons)

ASLR: Speicherrandomisierung mit Javascript umgehen

Mittels eines Cache-Timing-Angriffs gelingt es Forschern, ASLR zu umgehen, einen der wichtigsten Schutzmechanismen gegen Exploits. Das Problem steckt im Hardwaredesign moderner CPUs und lässt sich vermutlich nicht einfach aus der Welt schaffen.

44 Kommentare

Microsoft lässt den Patchday in diesem Monat ausfallen. (Bild: Sam Yeh/AFP/Getty Images) (Sam Yeh/AFP/Getty Images)

Sicherheit: Microsoft lässt Patchday in diesem Monat ausfallen

Im Februar lässt Microsoft den monatlichen Patchday komplett ausfallen. Seit mehr als zehn Jahren hat es keinen vergleichbaren Fall gegeben. Grund dafür ist ein Fehler in einem der Patches, der vorher korrigiert werden muss.

17 Kommentare

Einige Linux-Distributionen haben Probleme mit ihrem NTFS-Treiber. (Bild: Laikolosse/Flickr.com) (Laikolosse/Flickr.com)

Project Zero: NTFS-Treiber ermöglicht Linux-Rootzugriff

Eine fehlerhafte Konfiguration des Userspace-Treibers für NTFS unter Linux ermöglicht einfachen Root-Zugriff. Davon betroffen waren Standardinstallationen von Debian und Ubuntu, Patches stehen dafür inzwischen bereit.

7 Kommentare

Big-IP-Geräte von F5 waren von der Ticketbleed-Lücke betroffen. (Bild: Servershop24/F5) (Servershop24/F5)

Ticketbleed: F5-Firewall hat ein blutendes Herz

Wie Heartbleed, nur in klein und nur bei Produkten von F5: Die Ticketbleed-Schwachstelle ermöglicht einem Angreifer, SSL-Session-IDs auszulesen. Es gibt einen Patch und einen einfachen Workaround.

3 Kommentare

Full Visibility into SSL Traffic - mit solchen Features werben viele Produkte. Oft birgt das schwerwiegende Sicherheitsrisiken. (Bild: Black Hat 2015/Hanno Böck) (Black Hat 2015/Hanno Böck)

HTTPS-Interception: Sicherheitsprodukte gefährden HTTPS

Zahlreiche Sicherheitsprodukte erlauben es, mittels lokal installierter Root-Zertifikate HTTPS-Verbindungen aufzubrechen. In einer Untersuchung sorgten alle getesteten Produkte für weniger Sicherheit. In vielen Fällen gibt es katastrophale Sicherheitslücken.

22 Kommentare / Von Hanno Böck

Hackerone verteilt Bug-Bountys an Sicherheitsforscher. (Bild: Hackerone) (Hackerone)

Bug-Bounty-Programme: Hackerone sammelt 40 Millionen US-Dollar

Mit frischem Geld soll die Entwicklung der Bug-Bounty-Plattform Hackerone gestärkt werden. Zahlreiche Unternehmen sind bereits Kunde bei der Plattform. Kunden von Hackerone sind das Pentagon, Pornhub und GM.

2 Kommentare

Der kleine Androide wird im Februar wieder ordentlich gepatcht. (Bild: Werner Pluta/Golem.de) (Werner Pluta/Golem.de)

Bug in Surfaceflinger: Android-Displayserver kann aus der Ferne Code ausführen

Mit dem Februar-Patch schließt Google zahlreiche Sicherheitslücken in Android. Kritisch sind dabei Lücken im Kernel-Dateisystem, im Displayserver Surfaceflinger und - fast schon traditionell - im Medienserver sowie der Libstagefright.

15 Kommentare

Project Shield schützt jetzt Brian Krebs. (Bild: Google) (Google)

Krebs on Security: Googles Erfahrungen mit dem Mirai-Botnetz

Ein Google-Ingenieur hat seine Erfahrungen im Umgang mit dem Mirai-Botnetz beschrieben. Um das Blog von Brian Krebs zu schützen, verlässt Google sich unter anderem auf die eigene Größe - auch, wenn 175.000 IP-Adressen gleichzeitig angreifen.

8 Kommentare

Eine mit Malware verseuchte Webseite - eine Meldung, die kein Webmaster gerne sieht. (Bild: Screenshot / Google Chrome) (Screenshot / Google Chrome)

Content-Management-Systeme: Wordpress ist sicherer als die Konkurrenz

Kritische Sicherheitslücken werden heutzutage innerhalb von Stunden ausgenutzt. Dagegen helfen schnelle und automatische Updates.

110 Kommentare / Ein IMHO von Hanno Böck

Dank automatischer Updates ist Wordpress eines der sichersten Content-Management-Systeme. (Bild: Wordpress) (Wordpress)

Sicherheitslücke: Wordpress-Sicherheitslücke ermöglicht Änderung von Inhalten

In Wordpress wurde eine Sicherheitslücke entdeckt, mit der ein Angreifer nach Belieben Inhalte ändern kann. Betroffen sind die Versionen 4.7.0 und 4.7.1. Dank der automatischen Update-Funktion von Wordpress sind die meisten Nutzer bereits geschützt.

29 Kommentare

Zimperium will alte Exploits kaufen. (Bild: Zimperium) (Zimperium)

Exploit-Handel: Zimperium will alte Schwachstellen kaufen

Wer alte Exploits rumliegen hat, kann diese jetzt möglicherweise zu Geld machen. Zimperium sucht alte Schwachstellen für iOS und Android und will dafür bis zu 1,5 Millionen US-Dollar ausgeben.

2 Kommentare

Eine Videokonferenz. (Bild: Gemeinfrei/Wikimedia Commons) (Gemeinfrei/Wikimedia Commons)

Webex: Cisco macht den nächsten Patch-Versuch

Nun soll es endlich klappen: Cisco patcht die kritische Sicherheitslücke in der Webex-Telekonferenzlösung erneut. Die ersten Patches waren von Sicherheitsexperten kritisiert worden, außerdem sind offenbar auch der Internet Explorer und Firefox betroffen.

Kommentare

Die Betreiber von Skirt Club haben offenbar keine Ahnung von Security. (Bild: Skirt Club) (Skirt Club)

Skirt Club: Datingseite ließ Nacktfotos ihrer Nutzerinnen ungeschützt

Eine fehlerhafte Htaccess-Datei führte dazu, dass private Fotos Tausender Frauen bei einem Datinganbieter für Frauen frei im Netz verfügbar waren. Der Betreiber Skirt Club hat die Webseite nach Offenlegung der Sicherheitslücke erstmal vom Netz genommen.

57 Kommentare

Sicherheitsforscher von Symatec bei der Arbeit. (Bild: Ho New/Reuters) (Ho New/Reuters)