Golem.de-Wochenrückblick Netzaktivisten verlieren im EU-Parlament, Knuddels verliert Nutzerdaten, Lara Croft erlebt sogar die Apokalypse - und Apple stellt Geräte vor.

Eine Runderneuerung des Tor Browsers macht eine Sicherheitslücke wertlos. Der Sicherheitslücken-Händler Zerodium veröffentlicht sie nun auf Twitter - nachdem er Monate von ihr wusste.

Ausgerechnet die Datenmanagementfirma Veeam lässt ihre Kundendatenbank öffentlich zugänglich im Internet liegen. Die Kundendaten seien keine sensiblen Daten.

Tesla macht es den Fahrern des Model S einfach. Sie brauchen keinen Schlüssel - ein Chip reicht aus, um das Elektroauto zu öffnen und zu starten. Belgische Forscher haben herausgefunden, dass sich der Chip klonen und das Auto in Sekundenschnelle klauen lässt.

Das Datenleck beim Chatanbieter Knuddels ruft nun auch die Aufsichtsbehörden auf den Plan. Nach der Datenschutz-Grundverordnung sind hohe Bußgelder möglich.

Eine Sicherheitslücke im Anwaltspostfach BeA konnte nicht behoben werden, da es sich um ein grundlegendes Designproblem handelt. Die Bundesrechtsanwaltskammer hat das gelöst, indem sie das Problem wegdefinierte - mit einer abenteuerlichen Begründung: Der Schutz der Nachrichten ist nicht so wichtig, nur die Anhänge müssen geschützt sein.

Epic Games hat es offenbar nicht geschadet, Googles Play Store zu umgehen: Nach eigenen Angaben wurde die APK von Fortnite für Android 15 Millionen Mal heruntergeladen. Das Sicherheitsteam hat im Gegenzug eine Menge mit Fake-Webseiten zu tun, die Malware unter dem Namen Fortnite anbieten.

In der vergangenen Woche wurden fast zwei Millionen Zugangsdaten von Knuddels geleakt. Die Speicherung der Passwörter im Klartext sollte der Sicherheit der Mitglieder dienen. Die Schwachstelle steht möglicherweise fest.

Schwere Sicherheitslücke beim Chat-Anbieter Knuddels: Im Internet sind gehackte Daten von 1,8 Millionen Nutzern aufgetaucht. Die Passwörter sind im Klartext zu lesen, bestimmte Accounts wurden deaktiviert.

Das Android-Sicherheitsupdate für September schließt kritische Sicherheitslücken, darunter eine im Media-Framework.

Durch ein Datenleck im Online-Buchungssystem von British Airways wurden die persönlichen Daten von 380.000 Kunden kompromittiert.

Das besondere elektronische Anwaltspostfach (BeA) soll am heutigen Montag wieder starten. Es war seit Dezember vergangenen Jahres aufgrund zahlreicher Sicherheitslücken offline. Nach wie vor sind viele Fragen in Sachen Sicherheit ungeklärt.
Von Hanno Böck

Um die Sicherheitslücken Meltdown und Spectre zu schließen, hatte Intel den beteiligten Unternehmen aus der Linux-Community verboten, zusammenzuarbeiten - wofür Entwickler Greg Kroah-Hartman Intel stark kritisiert. In Nachhinein profitiert die Community jedoch von den Ereignissen.

Die Sicherheitslücken in aktuellen Prozessoren lassen die Kernel-Entwickler auch in der kommenden Version 4.19 des Linux-Kernels nicht los. Darüber hinaus gibt es etliche Neuerungen, die Datei- und Netzwerkzugriffe verbessern.

Im vergangenen Jahr hat das Team von Positive Technologies gleich mehrere Sicherheitslücken in Intels Management Engine (ME) gefunden. Eine davon führte zum Vollzugriff auf die ME per USB. Das Team stellt nun den Code dafür bereit.

Eine erfolgreiche Cyberattacke gegen einen Mitgliedstaat reiche aus, um den gesamten Prozess der Wahl zum Europäischen Parlament 2019 zu kompromittieren, warnen Mitglieder einer EU-Kooperationsgruppe zur Netzwerksicherheit. Die Funktion der Staatengemeinschaft könnte beeinträchtigt werden.
Von Stefan Krempl

Die Modems in Smartphones lassen sich über sogenannte At-Befehle steuern. Forscher untersuchen in einer ausführlichen Studie nun systematisch die verfügbare Befehle, über die sich auch Android-Systeme manipulieren, die Display-Sperre umgehen oder Daten herausleiten lassen.

Der Postscript-Parser von Ghostscript ist nicht besonders sicher, er wird jedoch an zahlreichen Stellen automatisiert aufgerufen. Damit lassen sich etwa Bildkonvertierungen mittels Imagemagick oder Linux-Dateimanager angreifen.

In einer Datenbank der Berliner Polizei werden sensible Informationen gespeichert. Unzureichender Schutz erleichtert offenbar den Missbrauch.

Verschlüsselungsalgorithmen auf Basis elliptischer Kurven sollen kompakte Geräte im Internet der Dinge sicherer machen. Wir erklären, wie - und wo die Grenzen liegen.
Von Anna Biselli

Trotz modernerer Technik sind Fax-Geräte noch immer weit verbreitet. Wenn diese als Multifunktionsdrucker ans Firmennetzwerk angeschlossen sind, können sie Hackern einen leichten Einstieg bieten.

Die spekulative Ausführung von Code führt erneut zu einer Sicherheitslücke auf Intel-Prozessoren. Mit Foreshadow können Prozesse über den Level-1-Cache unberechtigt Speicher auslesen. Besonders kritisch ist das in virtualisierten Umgebungen.

Mit Linux 4.18 kommt der Berkely Packet Filter als Ersatz für Netfilter erheblich voran. Lustre fliegt raus, ein umstrittener Verschlüsselungsalgorithmus der NSA kommt vermutlich nur vorübergehend rein und die Sicherheitslücke Spectre macht den Kernel-Hackern weiterhin Arbeit.
Von Jörg Thoma

Google-Sicherheitsexpertin Parisa Tabriz eröffnet in Las Vegas die Black-Hat-Konferenz. Sie wünscht sich mehr Transparenz und Zusammenarbeit und erläutert anhand der Site-Isolation in Chrome, welche Herausforderungen manchmal bei größeren Sicherheitsverbesserungen zu überwinden sind.

Elektronische Abstimmungen sind wegen möglicher Manipulationen stark umstritten. Doch nun will ein US-Bundesstaat sogar die Stimmabgabe per Smartphone erlauben.

Die Videoplattform Dailymotion muss ein Bußgeld für den unzureichenden Schutz von über 80 Millionen E-Mail-Adressen bezahlen. Ein im Github-Repository des Unternehmens veröffentlichtes Admin-Passwort hatte Hackern 2016 Tür und Tor geöffnet.

Einen fremden Roboter über das Internet fernzusteuern, ist gar nicht so schwierig, haben US-Forscher festgestellt. Sie fanden diverse Roboter über das Netz und übernahmen die Kontrolle über einen. Die Wissenschaftler warnen vor dieser Schwachstelle.

Subdomain Takeover wird in der IT-Security- und Hacker-Szene immer beliebter. Denn mit der einfachen Übernahme einer verwaisten Subdomain lassen sich schöne Angriffe durchführen oder Bug Bountys von Unternehmen einstreichen.
Von Moritz Tremmel

Durch das Ausnutzen einer Sicherheitslücke konnte ein Forscher bis in Googles internes Netz vordringen und dort auf die Cluster-Verwaltung Borg zugreifen. Die Lücke ist geschlossen, der Forscher hat eine Prämie von Google erhalten.

Mit einer speziellen Variante der Nightly Builds des Firefox-Browses können Nutzer vollständig automatisiert nach Speicherfehlern suchen. Für damit eingereichte Berichte will Mozilla sogar Belohnungen verteilen.

Intel hat Sicherheitslücken in seinen proprietären Firmware-Komponenten ME und AMT geschlossen, die Angreifern das Ausführen von Code ermöglichen. Sicherheitsforscher vermuten, dass das Unternehmen die Veröffentlichung dazu absichtlich verzögert hat.

Wie versprochen, hat der Projekthoster Github seine Funktion zum Suchen nach und Warnen vor Sicherheitslücken auf Code erweitert, der in Python geschrieben ist. Nutzer sollen damit vor allem die Abhängigkeiten ihrer Projekte besser im Blick behalten können.

Zwei Sicherheitslücken im Adobe Reader und in Windows hätten für raffinierte Angriffe auf Windows-Rechner missbraucht werden können. Jedoch verrieten sich die Angreifer dadurch, dass sie ihre exklusiven Zero-Days selbst beim Dienst Virustotal einstellten.

Nutzer von Samsung-Smartphones berichten über einen unangenehmen Bug der Messenger-App: Die Anwendung verschickt offenbar ungewollt und ohne Benachrichtigung an den Nutzer Fotos, teilweise ganze Galerien. Bisher scheint es nur Workarounds zu geben und noch keine echte Lösung.

Eine Sicherheitslücke in Wordpress erlaubt angemeldeten Nutzern, die Installation zu übernehmen und Code auszuführen. Wordpress wusste von dem Problem seit November 2017, hat es aber bisher nicht gefixt.

Das lange versprochene Sicherheitsgutachten zum besonderen elektronischen Anwaltspostfach (BeA) ist veröffentlicht worden. Es zeigt, wie viele Sicherheitsprobleme das BeA nach wie vor hat. Die versprochene Transparenz wird aber kaum hergestellt.
Eine Analyse von Hanno Böck

Besitzer eines Google Home oder Chromecast können von Webseiten auf wenige Meter genau lokalisiert werden. Hintergrund des Angriffs ist eine Technik namens DNS Rebinding.

Mit Linux 4.18 kommt der Berkely Packet Filter als Ersatz für Netfilter erheblich voran. Lustre fliegt raus, ein umstrittener Verschlüsselungsalgorithmus der NSA kommt rein und die Sicherheitslücke Spectre macht den Kernel-Hackern weiterhin Arbeit.
Von Jörg Thoma

Eine Gruppe von Anwälten hat mit Unterstützung der Gesellschaft für Freiheitsrechte eine Klage gegen die Bundesrechtsanwaltskammer eingereicht. Sie wollen eine Ende-zu-Ende-Verschlüsselung im besonderen elektronischen Anwaltspostfach (BeA) erzwingen.

Register der Floating Point Unit in Core i und wohl auch von einigen Xeon-Prozessoren können Ergebnisse vertraulicher Berechnungen verraten. Dazu ist jedoch ein lokaler Angriff mit Malware erforderlich, außerdem ein veraltetes Betriebssystem.

In bestimmten Situationen lässt sich die Signaturprüfung von GnuPG in den Plugins für Thunderbird und Apple Mail austricksen. Der Grund: Über ungefilterte Ausgaben lassen sich Statusmeldungen des Kommandozeilentools fälschen. Doch der Angriff funktioniert nur unter sehr speziellen Bedingungen.

Foscam muss seine IP-Kameras erneut gegen mehrere Sicherheitslücken absichern. Angreifer hätten für eine erfolgreiche Übernahme gleich mehrere Schwachstellen kombinieren müssen.

Flash-Exploits werden mittlerweile immer häufiger über Office-Dokumente verteilt, weil Browser die Inhalte kaum noch anzeigen. In einem aktuellen Fall werden Nutzer im arabischen Raum angegriffen.

Zahlreiche Webseitenbetreiber haben die Patches für kritische Sicherheitslücken in Drupal nicht eingespielt. Viele der Seiten werden für Kryptomining genutzt oder wurden per Defacement verändert.

Die Router-Malware VPN Filter kann mehr als bislang angenommen. Die Software soll neben einem Selbstzerstörungsmodul auch eines zum Aufbrechen verschlüsselter Verbindungen haben.

Eine Sicherheitslücke in Kompressionsbibliotheken ermöglicht Angreifern, Dateien zu verändern und an beliebige Orte zu schreiben. Sind Adminrechte vorhanden, können Exe-Dateien getauscht und Skripte manipuliert werden.

Mehr als zehn Jahre lang hat Valve offenbar eine Sicherheitslücke im Client von Steam übersehen, mit der Fremdcode auf Millionen von Windows-Rechnern hätte ausgeführt werden können.

Ein Seitenkanal in einer CSS-Funktion ermöglicht Rückschlüsse auf die Inhalte von iFrames, die in bösartigen Webseiten eingebaut werden. Forscher konnten so an den Facebook-Namen und das Profilfoto eines Opfers gelangen. Die Lücke ist in Chrome und Firefox behoben.

Nachdem der Forscher Paul Rösler mit seinen Kollegen ein Problem in der Verschlüsselung von Whatsapp gefunden hatte, überschlugen sich die Meldungen vieler Medien. Wir haben mit ihm über die Verantwortung von Forschern, Medien und neue Formen von Öffentlichkeit gesprochen.
Von Hauke Gierow

Eine Sicherheitslücke in der Versionsverwaltung Git ermöglicht es bösartigen Repositorys, unter Umständen Code auf Client-Systemen auszuführen. Patches für Git stehen bereit und verschiedene Hosting-Dienste haben Vorkehrungen gegen die Lücke getroffen.