Sicherheitslücke

AVM: Sicherheitslücke in Fritzbox wird wieder ausgenutzt

Fritzbox-Nutzer, die die gepatchte Sicherheitslücke für unerlaubten Fernzugriff nicht geschlossen haben, werden wieder angegriffen. AVM rät, die Patches jetzt schnell aufzuspielen, doch eine Auto-Updatefunktion gibt es noch nicht lange.

/ 13 Kommentare

Immer mehr Fehler werden im Funktionsparser von Bash gefunden. (Bild: Screenshot / Hanno Böck) (Screenshot / Hanno Böck)

Shellshock: Immer mehr Lücken in Bash

Die ersten Fehlerkorrekturen für die Shellshock-Lücke in Bash waren unvollständig. Inzwischen ist von fünf verschiedenen Sicherheitslücken die Rede.

/ 169 Kommentare

Workshops und Weiterbildungen: Der ultimative Python-Grundkurs im E-Learning-Format

zum Artikel

Karriere Ratgeber: TechRiders Summit – Europas Plattform für digitale Souveränität, IT Strategy & Execution

zum Ratgeber

Seminar: Security Incident Manager (TÜV)

zum Kurs

E-Learning: IT Sicherheitstests und Ethical Hacking mit Kali Linux (E-Learning)

zum Kurs

KI-Produktmanager (Agentic AI, GenAI) (m/w/d) VÖB-Service GmbH, Bonn,Homeoffice (öffnet im neuen Fenster)

Data Quality and BI Governance Manager (w/m/d) Deutsche Glasfaser Unternehmensgruppe, Düsseldorf (öffnet im neuen Fenster)

System- und Netzwerkadministrator (m/w/d) DT Netsolution GmbH, Stuttgart (öffnet im neuen Fenster)

UX/UI Manager Vertriebsplattform (m/w/d) RMV - Rhein-Main-Verkehrsverbund GmbH, Hofheim am Taunus (öffnet im neuen Fenster)

Sachbearbeiter Lagerwirtschaft / Administrator Warehouse Services (m/w/d) HAVI Logistics GmbH, Bingen am Rhein (öffnet im neuen Fenster)

Key User Financial Solutions (w/m/d) HUK-COBURG Versicherungsgruppe', Coburg (öffnet im neuen Fenster)

Informationssicherheitsbeauftragter (m/w/d) Sparkasse Rhein Neckar Nord, Weinheim (öffnet im neuen Fenster)

Laboringenieur*in KI-Infrastruktur und Wissenschaftsverwaltung (w/m/d) Technische Hochschule Wildau, Wildau (öffnet im neuen Fenster)

Inzwischen sind verschiedene Logos für Shellshock im Umlauf. (Bild: shellshocker.net) (shellshocker.net)

Bash-Lücke: Die Hintergründe zu Shellshock

Update Inzwischen wird die Bash-Sicherheitslücke Shellshock zur Verbreitung von Malware ausgenutzt. Die erste Korrektur war offenbar unvollständig. Wir haben die wichtigsten Hintergründe zu Shellshock zusammengefasst.

/ 159 Kommentare

Das veraltete RSA-Padding-Verfahren führt zu Sicherheitsproblemen. (Bild: Hanno Böck) (Hanno Böck)

RSA-Signaturen: Acht Jahre alte Sicherheitslücke kehrt zurück

Update In der NSS-Bibliothek ist eine Sicherheitslücke entdeckt worden, mit der sich RSA-Signaturen fälschen lassen. Betroffen sind die Browser Chrome und Firefox, für die bereits Updates erschienen sind. Es handelt sich um eine Variante der Bleichenbacher-Attacke von 2006.

/ 7 Kommentare

Seit seiner Entlassung aus der Haft ist Mitnick Sicherheitsberater (Bild: Mitnicksecurity) (Mitnicksecurity)

Exploit-Handel: Hacker verkauft Sicherheitslücken für 100.000 US-Dollar

Einst hat er sich bei IBM, Nokia und Motorola Zugriff verschafft. Nun will der bekannte und vorbestrafte Hacker Kevin Mitnick mit Software Exploits Rekordsummen einnehmen.

/ 16 Kommentare

Die Bash-Shell ist die Standard-Kommandozeile unter Linux und Mac OS X. (Bild: Hanno Böck) (Hanno Böck)

Linux-Shell: Bash-Sicherheitslücke ermöglicht Codeausführung auf Servern

Update Eine Sicherheitslücke in der Linux-Shell Bash hat gravierende Auswirkungen. In vielen Fällen lässt sich damit von Angreifern Code auf Servern auch aus der Ferne ausführen.

/ 87 Kommentare

Die jQuery-Bibliothek ist durch ihre Beliebtheit ein attraktives Ziel für Angreifer. (Bild: jQuery) (jQuery)

Websicherheit: Malware auf jQuery-Server entdeckt

Update Eine Sicherheitsfirma will die Einbindung von Malware-Code auf der Webseite der Javascript-Bibliothek jQuery beobachtet haben. Ob die Server von jQuery gehackt worden sind, ist noch unklar.

/ 11 Kommentare

V.l.n.r.: Elyas M'Barek ("Max"), Tom Schilling ("Benjamin"), Wotan Wilke Möhring ("Stephan") und Antoine Monot, Jr. ("Paul") (Bild: Sony Pictures) (Sony Pictures)

Filmkritik Who Am I: Ritalin statt Mate

Hacken sei wie Zaubern, sagt die Hauptfigur des Hacker-Films Who Am I - Kein System ist sicher, der am Donnerstag in die Kinos kommt. Der Plot entspinnt eine zunächst verwirrende Geschichte, die sich später als überdeutliches Filmzitat entpuppt.

/ 164 Kommentare / Von Jörg Thoma

Seminar: BCM: IT-Notfallplanung & -Notfallübungen – Drei-Tage-Workshop

zum Kurs

Seminar: KI-Einsatz in der IT-Sicherheit: Pentesting, Schwachstellenscans, Reporting – virtueller Zwei-Tage-Workshop

zum Kurs

Seminar: Intensivseminar KI-Management

zum Kurs

Seminar: Microsoft Power Automate: Flows erstellen & Prozesse automatisieren – virtueller Zwei-Tage-Workshop

zum Kurs

Erneut gefährdet eine Sicherheitslücke Debians Paketmanagement Apt. (Bild: DebianArt / manel) (DebianArt / manel)

Apt: Buffer Overflow in Debians Paketmanagement

Im von Debian und Ubuntu verwendeten Paketmanagement Apt ist ein sicherheitskritischer Fehler entdeckt worden. Es ist bereits das zweite Mal in kurzer Zeit, dass Apt Sicherheitsprobleme hat.

/ 34 Kommentare

Sendungsverfolgung (Bild: DHL/Screenshot: Golem.de) (DHL/Screenshot: Golem.de)

Deutsche Post: Sicherheitslücke in Sendungsverfolgung von DHL

Bei der mobilen Version der Sendungsverfolgung von DHL führte ein falsch konfigurierter Webserver dazu, dass fremde Paketdaten einsehbar waren. Die Post hat einen Bericht dazu bestätigt.

/ 13 Kommentare

Tanzende HTML-Elemente durch Cross-Site-Scripting (Bild: Screenshot) (Screenshot)

XSS: Cross-Site-Scripting über DNS-Records

Eine besonders kreative Variante einer Cross-Site-Scripting-Lücke macht auf der Webseite Hacker News die Runde: Mittels eines TXT-DNS-Records lässt sich auf zahlreichen Webseiten Javascript einfügen.

/ 44 Kommentare

Die Paketverwaltung Apt von Debian hat Fehler bei der Paket-Validierung. (Bild: Debian) (Debian)

Paketverwaltung: Apt mit Lücken bei der Validierung

Der Paketmanager Apt hat eine Reihe von Lücken bei der Validierung von Paketen. Aktualisierungen für die Linux-Distributionen Debian und Ubuntu stehen inzwischen bereit.

/ 42 Kommentare

FreeBSD hat eine Sicherheitslücke geschlossen, die sich über eine seit zehn Jahren bekannte Schwachstelle ausnutzen lässt. (Bild: FreeBSD) (FreeBSD)

Security: FreeBSD schließt Schwachstelle im TCP-Stack

Das FreeBSD-Team hat eine Sicherheitslücke im TCP-Stack des Kernels geschlossen. Sie hat sich über eine seit zehn Jahren bekannte Schwachstelle im TC-Protokoll ausnutzen lassen.

/ 6 Kommentare

Der AOSP-Browser von Android hat offenbar ein Sicherheitsproblem. (Bild: Tobias Költzsch/Golem.de) (Tobias Költzsch/Golem.de)

Sicherheitslücke bei Android: AOSP-Browser soll über Javascript angreifbar sein

Wegen eines Fehlers in Androids AOSP-Browser soll es möglich sein, über eine präparierte Seite mit Javascript alle aktuellen Tabs und Cookies einsehen zu können. Betroffen sein sollen die Android-Versionen vor Kitkat - also viele Einsteiger- und Mittelklasse-Geräte.

/ 6 Kommentare

Der Whirlwind wurde am MIT entwickelt. (Bild: Montage: Golem.de) (Montage: Golem.de)

Podcast Besser Wissen: Der digitale Wirbelwind

Der Elektor Junior Computer war in Europa sehr erfolgreich. (Bild: Wolfgang Robel / Montage: Golem) (Wolfgang Robel / Montage: Golem)

Podcast Besser Wissen: Eine Platine, viel Potenzial

Lara Croft, wie sie auf dem Cover des ersten Tomb Raider aussah. (Bild: Eidos / Montage: Golem) (Eidos / Montage: Golem)

Podcast Besser Wissen: Happy Birthday, Lara!

Der MUPID war viel mehr als ein BTX-Terminal. (Bild: Montage: Golem.de) (Montage: Golem.de)

Podcast Besser Wissen: Apps und Mail per BTX

Die Chipsätze von 3Dfx waren in den 1990er sehr beliebt - und erleben eine Renaissance. (Bild: Public Domain/Montage: Golem.de) (Public Domain/Montage: Golem.de)

Podcast Besser Wissen: Als Grafikkarten Voodoo waren

Enderal ist eine eigene Welt, die mit der Skyrim-Engine umgesetzt wurde. (Bild: SureAI / Montage: Golem) (SureAI / Montage: Golem)

Podcast Besser Wissen: Die andere Seite von Skyrim

Timing-Angriffe sind ein oft unterschätztes Sicherheitsproblem. (Bild: Wilfredor/Wikimedia Commons) (Wilfredor/Wikimedia Commons)

Verschlüsselung: Encrypt-then-MAC für TLS standardisiert

Eine neue TLS-Erweiterung ermöglicht es, die Reihenfolge zwischen Authentifizierung und Verschlüsselung zu ändern. Die bisherige Methode führte zu Sicherheitsproblemen wie der Lucky-Thirteen-Attacke.

/ Kommentare

Wegen unzureichend abgesicherter Firmware gelang es Datenexperten, Doom auf einem Canon-Drucker zu installieren. (Bild: Context Information Security) (Context Information Security)

IT-Sicherheit: Doom auf gehackten Druckern installiert

Weil ein Firmware-Update auf einigen Druckern von Canon fast ohne Absicherung installiert werden kann, haben IT-Sicherheitsexperten dort als Machbarkeitsnachweis das Ballerspiel Doom installiert.

/ 90 Kommentare

Alt, aber immer noch genutzt: Das IRC-Netzwerk Freenode. (Bild: Screenshot) (Screenshot)

IRC: Chatnetzwerk Freenode gehackt

Die Betreiber des IRC-Netzwerks Freenode haben eine Kompromittierung ihrer Server festgestellt. Alle Nutzer sollten vorsorglich ihr Passwort ändern.

/ 48 Kommentare

Es gebe keine Hinweise, dass die Heartbleed-Lücke vor ihrer Bekanntmachung ausgenutzt wurde. (Bild: EFF) (EFF)

Security: Heartbleed-Lücke war zuvor nicht bekannt

Es gab Gerüchte, Geheimdienste und Hacker hätten von der Heartbleed-Lücke längst gewusst und sie ausgenutzt, bevor sie publik wurde. Dafür gebe es keine Hinweise, heißt es jetzt in einer Studie.

/ 6 Kommentare

Chrome geht bald verschärft gegen SHA-1-signierte Zertifikate vor. (Bild: Google) (Google)

Chrome: Zertifizierungsstellen auf SHA-1-Ende nicht vorbereitet

Google hat seine Pläne zur Abschaffung von SHA-1-Signaturen konkretisiert. Trotz langjähriger Warnungen gibt es noch Tausende Zertifikate mit SHA-1-Signaturen, die bald Probleme bekommen werden.

/ 36 Kommentare

Das FBI machte mit einfachen Mitteln den Silk-Road-Server in Reykjavik ausfindig. (Bild: Matt Cardy/Getty Images) (Matt Cardy/Getty Images)

Silk Road: Wie das FBI den Server trotz Tor lokalisierte

Update Hat das FBI mit Hilfe der NSA den Silk-Road-Server in Island ausfindig gemacht? Diese Vorwürfe will die US-Bundespolizei nun entkräftet haben. Die Anonymisierung durch Tor sei leicht auszuhebeln gewesen.

/ 46 Kommentare

Auch die V722W und V723W waren von der Lücke betroffen. (Bild: Nico Ernst/Golem.de) (Nico Ernst/Golem.de)

Speedport W 504V: Filesharing-Verfahren wegen Router-Sicherheitslücke gewonnen

Eine Sicherheitslücke in einem Router der Deutschen Telekom rettet einen Internetnutzer, der wegen illegalen Filesharings eines Filmes mehr als 1.200 Euro zahlen sollte. Über eine simple PIN konnte sich zeitweise jeder mit dem WLAN des W 504V verbinden, ohne den WLAN-Key zu kennen.

/ 49 Kommentare

Die Programm-Manager-App von Kabel Deutschland hat eine schwere Sicherheitslücke. (Bild: itunes.apple.com/Screenshot: Golem.de) (itunes.apple.com/Screenshot: Golem.de)

Kabel Deutschland: App überträgt Zugangsdaten unverschlüsselt

Update Die Programm-Manager-App von Kabel Deutschland hat eine schwere Sicherheitslücke. Damit kann der Online-Zugang von Kunden gekapert werden.

/ 7 Kommentare

Apple will mögliche Sicherheitslücken in der iCloud untersuchen, die zu einem Datendiebstahl geführt haben sollen. (Bild: Andreas Donath) (Andreas Donath)

Promi-Hack JLaw: Apple will Fotodiebstahl untersuchen

Nach der Veröffentlichung zahlreicher intimer Fotos von US-Prominenten will Apple Berichte überprüfen, wonach sich Datendiebe über eine Sicherheitslücke in der iCloud Zugriff auf Konten verschafft haben.

/ 70 Kommentare

Bei 4Chan sind kompromittierende Fotos zahlreicher Prominenter aufgetaucht. (Bild: 4Chan) (4Chan)

Security: Promi-Bilder angeblich aus der iCloud gestohlen

Update Die bei 4Chan aufgetauchten kompromittierenden Fotos einiger US-Promis sollen angeblich über einen Hack auf Apples iCloud gestohlen worden sein. Wie der Verantwortliche an die Daten herangekommen ist, bleibt unklar.

/ 151 Kommentare

Mozilla muss erneut eine Sicherheitspanne melden. (Bild: Leon Neal/Afp/Getty Images) (Leon Neal/Afp/Getty Images)

Bugzilla-Projekt: Mozilla legt Tausende Nutzerdaten frei

Mozilla hat aus Versehen E-Mail-Adressen und Passwörter von fast 100.000 Bugzilla-Nutzern offengelegt. Für die Mozilla Foundation ist es bereits die zweite Sicherheitslücke innerhalb weniger Wochen.

/ 23 Kommentare

In der Masse der Geräte für die Heimautomatisierung verbergen sich vermutlich zahlreiche Sicherheitslücken. (Bild: Andreas Donath) (Andreas Donath)

Smarthome: Die Ifa wird zur Messe der Sicherheitslücken

Ifa 2014 Auf der Internationalen Funkausstellung in Berlin (Ifa) wird das Smarthome zu einem großen Thema. Kaspersky Lab warnt jetzt erneut vor potenziellen Sicherheitslücken im Heimnetz, und ein Blick in vergangene Meldungen zeigt, dass die Gefahr tatsächlich groß ist.

/ 22 Kommentare

Googles Chrome in 64-Bit für Windows ist stabil verfügbar. (Bild: Google) (Google)

Chrome 37: Besseres Font-Rendering und 64 Bit für Windows

Windows-Nutzer von Chrome 37 erhalten ein besseres Font-Rendering und können eine 64-Bit-Version nutzen. Die Veröffentlichung schließt auch 50 Sicherheitslücken, darunter eine kritische, die Google 30.000 US-Dollar wert ist.

/ 60 Kommentare

Für DSM 5.0 hat Synology ein Sicherheitsupdate bereitgestellt. (Bild: Synology/Screenshot: Golem.de) (Synology/Screenshot: Golem.de)

Gefahr für NAS-Systeme: Synology muss erneut Sicherheitslücken schließen

Synology ist schon länger in den Fokus von Angreifern geraten, daher empfiehlt es sich, das Update 4 des DSM-Builds 4493 einzuspielen. Der schließt unter anderem eine Lücke in OpenSSL im NAS-System.

/ 13 Kommentare

Täglich werden mehr als 400 Millionen Snaps versandt (Bild: Snapchat/Screenshot: Golem.de) (Snapchat/Screenshot: Golem.de)

Sexting-Dienst: Snapchat hat 100 Millionen Nutzer

Bei einer aktuellen Finanzierungsrunde ist herausgekommen, dass Snapchat 100 Millionen Nutzer im Monat hat. Damit kommt der Messenger langsam in den Bereich von Twitter.

/ 85 Kommentare

Ein Fehler in der Glibc-Bibliothek überschreibt ein einzelnes Byte an der falschen Stelle. (Bild: Screenshot) (Screenshot)

Glibc: Fehlerhaftes Null-Byte führt zu Root-Zugriff

Mitgliedern von Googles Project Zero ist es gelungen, einen kleinen Fehler in der Glibc auszunutzen, um unter einem Linux-System Root-Zugriff zu erhalten. Dafür mussten zahlreiche Hürden überwunden werden.

/ 44 Kommentare

Die Fernwartungsserver zahlreicher Provider in Deutschland sollen sicher sein. (Bild: Broadband Forum) (Broadband Forum)

Security: Fernwartungsserver in Deutschland sicher

Update Gegenüber Heise haben mehrere große deutsche Provider erklärt, dass ihre Fernwartungsserver sicher seien. Zuvor hatten Datenexperten Sicherheitslücken im Fernwartungsprotokoll TR-069 im Nahen Osten entdeckt.

/ 5 Kommentare

Die Fritzbox-App ermöglichte Hackern einen Fernzugriff auf den Router. (Bild: itunes.apple.com/Screenshot: Golem.de) (itunes.apple.com/Screenshot: Golem.de)

Router: AVM schließt Sicherheitslücke in MyFritz-App

Über eine Lücke in der Fritzbox-App konnten Hacker den Router übernehmen. Laut AVM war das Risiko für einen möglichen Man-in-the-Middle-Angriff jedoch gering.

/ 5 Kommentare

Google nutzt selbst noch SHA-1, will den Algorithmus aber bis 2017 loswerden. (Bild: Screenshot) (Screenshot)

Zertifikate: Google will vor SHA-1 warnen

Google will Zertifikate, die mit SHA-1 signiert sind, bis spätestens 2017 loswerden. Der Chrome-Browser wird bald entsprechende Warnungen anzeigen. SHA-1 gilt schon seit einigen Jahren als potentiell unsicher.

/ 14 Kommentare

Forscher haben Sicherheitslücken in mehreren tausend Geräten gefunden, unter anderem auch in Überwachungskameras. (Bild: Maximilian Schönherr/CC BY-SA 3.0) (Maximilian Schönherr/CC BY-SA 3.0)

Vernetzte Geräte: Tausende Sicherheitslücken entdeckt

In mehr als 140.000 vernetzten Geräten haben Forscher teils schwerwiegende Sicherheitslücken entdeckt, darunter Zero-Day-Exploits, hartcodierte Passwörter und private Schlüssel.

/ 14 Kommentare

Verräterische elektrische Spannungssignale gefährden Verschlüsselungsalgorithmen. (Bild: Genkin, Pipman, Tromer) (Genkin, Pipman, Tromer)

Seitenkanalangriff: Erdungspotential verrät geheime Schlüssel

Durch Messungen des Erdungspotentials lassen sich geheime Schlüssel von älteren GnuPG-Versionen extrahieren. Das kann durch Messungen an Metallteilen am Gehäuse oder durch Netzwerkkabel geschehen.

/ 34 Kommentare

AVM: Fritzbox bringt neues OS mit Auto-Update-Funktion

Die neue Firmware FritzOS 6.20 ist für die Fritzbox 7490 erhältlich. Ein Upgrade für weitere Modelle solle in wenigen Wochen folgen, verspricht AVM.

/ 13 Kommentare

Das Blackphone (Bild: Blackphone) (Blackphone)

Security: Hacker nehmen sich das Blackphone vor

Def Con 2014 Hacker haben sich das Blackphone vorgenommen und einige Fehler entdeckt. Einer ist längst behoben, andere erfordern einen physischen Zugriff auf das Smartphone und eine Eingabe des Benutzers.

/ 6 Kommentare

Die 22. Def Con ist am Sonntag in Las Vegas zu Ende gegangen. (Bild: Def Con) (Def Con)

Keren Elazari: "Hacker sind das Immunsystem des Internets"

Def Con 22 Keren Elazari sieht die Hackercommunity in der Verantwortung, für positive Veränderungen zu sorgen und das Internet sicherer zu machen. Auf Regierungen und multinationale Konzerne könne man sich dabei nicht verlassen.

/ 1 Kommentare

Das Hue-Beleuchtungssystem von Philips hat ein Timingproblem. (Bild: Philips) (Philips)

Memcmp: Timing-Attacke auf Philips-Lichtschalter

Def Con 22 Mit Hilfe eines Seitenkanalangriffs ist es einem Sicherheitsforscher gelungen, einen geheimen Token eines netzbasierten Lichtschalters herauszufinden. Grund ist ein Timingproblem in der Funktion memcmp(). Solche Angriffe galten bislang als unpraktikabel.

/ 37 Kommentare

Über einen schweren Fehler im Wordpress-Plugin Custom Contacts Form erhält ein Angreifer Adminrechte auf eine Webseite. (Bild: Sucuri) (Sucuri)

Wordpress: Defektes Plugin erlaubt Admin-Zugriff

Das Wordpress-Plugin Custom Contacts Form hat einen Fehler, der es Angreifern erlaubt, administrative Rechte über eine Webseite zu erhalten. Es gibt bereits einen Patch.

/ 6 Kommentare

Dan Geer auf der Black Hat 2014 in Las Vegas (Bild: Reuters/Steve Marcus) (Reuters/Steve Marcus)

Security: Experte rät US-Regierung, alle Sicherheitslücken zu kaufen

Black Hat 2014 Der Sicherheitsexperte Dan Geer macht radikale Vorschläge, wie Politik und Wirtschaft für mehr Sicherheit im Netz sorgen können. Seine persönliche Maßnahme: Rückzug.

/ 31 Kommentare

Im Hotel in den Stockwerken 75 bis 98 konnte ein Sicherheitsforscher die Lichter kontrollieren. (Bild: JJH775/CC BY-SA 3.0) (JJH775/CC BY-SA 3.0)

Gebäudeautomatisierung: Das Licht des Nachbarn steuern

Black Hat 2014 In einem Hotel in China ließen sich Licht und Fernseher mit Hilfe eines iPads steuern. Nach einer kurzen Analyse des Systems stellte der Sicherheitsforscher Jesus Molina fest, dass er ohne viel Aufwand auch die Geräte in allen anderen Zimmern kontrollieren konnte.

/ 24 Kommentare

In den US-Geheimdiensten gibt es offenbar einen zweiten Edward Snowden. (Bild: Wikileaks.org/Screenshot: Golem.de) (Wikileaks.org/Screenshot: Golem.de)

Kurse

Podcast Besser Wissen