Sicherheitslücke

Zahlreiche Websites, darunter auch sehr große, geben jedem Einblick in den Status ihrer Apache-Server, bei wenigen tauchen dort auch Passwörter von Nutzern auf.

Höchstens jede zweite Drohne des US-Militärs funkt derzeit verschlüsselt. Alle anderen kommunizieren im Klartext mit der Bodenstation und können abgehört werden. Erst 2014 soll das Problem behoben sein.

Mozilla hat seinen aktuellen Browser Firefox 16 wegen einer Sicherheitslücke am Morgen zurückgezogen. Noch heute soll eine korrigierte Version erscheinen.

Adobe muss erneut den Flash Player aktualisieren. Die neuen Versionen beseitigen gefährliche Sicherheitslücken in den Versionen für Windows, Mac OS X, Linux sowie Android. Anwender sollten möglichst schnell ihren Flash Player austauschen.

Update Ein nicht vom eigentlichen Entwicklerstudio stammendes Chrome-Spiel mit dem Namen Bad Piggies ist gefälscht und stellt ein massives Sicherheitsrisiko dar. Auch andere Programme von Rovio sind betroffen.

Kriminellen ist es laut Kaspersky Labs seit 2011 mehrfach gelungen, nahezu unbemerkt unterschiedliche DSL-Modem-Router in Brasilien anzugreifen. Dank einer Schwachstelle in der Firmware konnten neue Einstellungen vorgenommen und das Passwort neu gesetzt werden.

Update Mit der kostenlosen Android-App NoTelURL wird das Ausführen von USSD-Kommandos blockiert. Damit können Angreifer das Sicherheitsloch in einigen Android-Smartphones von Samsung nicht mehr ausnutzen.

Die Entwickler von PhpMyAdmin warnen vor einer kritischen Sicherheitslücke: Für einige Tage wurde über einen offiziellen Mirror des Projekts eine Version der Software mit einer Backdoor ausgeliefert.

Microsoft hat ein Update zur Schließung der Sicherheitslücke im Internet Explorer veröffentlicht, wenige Tage, nachdem unter anderem das Bundesamt für Sicherheit in der Informationstechnik vor dem Gebrauch des Internet Explorers gewarnt hatte. Zusätzlich wurden gleich noch vier weitere Lücken geschlossen.

Sicherheitsexperten haben eine Sicherheitslücke in bestimmten Fahrkarten mit NFC-Chips gefunden: Sie konnten entwertete Karten so manipulieren, dass sie damit weiterfahren konnten. Trotz ihrer Warnung sind die Fahrkarten weiter im Umlauf.

Microsoft hat ein Fix It für die schwere Sicherheitslücke im Internet Explorer veröffentlicht. Ein reguläres Update soll am morgigen 21. September 2012 erscheinen.

Update Gegen einen bislang nicht reparierten Fehler im Internet Explorer empfiehlt Microsoft die Installation des Enhanced Mitigation Experience Toolkits. Dies soll Angriffe erschweren. Das BSI hatte nach Bekanntwerden der Sicherheitslücke die Nutzung alternativer Browser empfohlen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist auf eine kritische Zero-Day-Schwachstelle im Internet Explorer hin. Die Behörde empfiehlt, vorübergehend einen anderen Browser zu verwenden.

Microsoft will in Kürze für die Windows-8-Version des Internet Explorer 10 einen Patch bereitstellen. Damit werden Sicherheitslücken in Adobes Flash-Komponente des Browsers geschlossen, die seit August 2012 bekannt sind.

In der vergangenen Woche hatte Anonymous 1.000.001 UDIDs von iPhones veröffentlicht, doch diese stammen nicht wie von Anonymous behauptet vom FBI, sondern vom E-Book-Dienstleister Bluetoad, wie das Unternehmen einräumt.

Das FBI hat erklärt, nichts von einem Einbruch in einen Computer zu wissen. Auch von den Daten hat die US-Bundespolizei nach eigenen Angaben keine Kenntnis. Anonymous lästert und droht mit der Veröffentlichung weiterer Daten.

Anonymous hat nach eigenen Angaben 1.000.001 UDIDs von iPhones veröffentlicht, die aus einer Datei mit über 12 Millionen UDIDs stammen sollen, die von einem FBI-Notebook geklaut wurden.

Invisible Things Lab hat sein sicheres Desktopbetriebssystem Qubes in der Version 1.0 veröffentlicht. Qubes bringt jede einzelne Applikation in einer strikt von allen anderen getrennt laufenden virtuellen Maschine unter.

Adobe hat ein Update für Photoshop CS6 bereitgestellt, das zwei kritische Sicherheitslücken beseitigen, aber auch die Stabilität des Programms erhöhen soll. Einige Fehler sind ebenfalls mit dem Update auf Photoshop 13.0.1 behoben worden.

Das von Oracle verteilte Java 7 Update 7, das eine kritische Sicherheitslücke schließen sollte, enthält einen weiteren Fehler, der ebenso gefährlich ist. Anwender sollten deshalb selbst nach dem Einspielen des Updates die Java-Plugins im Browser deaktivieren.

Mit einem Update für Java SE schließt Oracle eine kritische Sicherheitslücke in seiner Software, die bereits seit einigen Tagen aktiv ausgenutzt wird. Das Update sollte schnellstmöglich eingespielt oder Java deaktiviert werden.

Update Über die jetzt aktiv genutzte Sicherheitslücke in Java war Oracle bereits seit mehreren Monaten informiert. Eine Sicherheitsfirma hatte sie Oracle mit 30 weiteren Fehlern im April 2012 gemeldet.

Über eine Sicherheitslücke in allen aktuellen Versionen von Java 7 für Windows können Angreifer über präparierte Webseiten Schadcode auf den Rechner schleusen. Der Exploit wird bereits aktiv ausgenutzt. Es wird empfohlen, Java-Plugins umgehend zu deaktivieren, bis ein Update erhältlich ist.

Mit der Smartscreen-Funktion legt Microsoft keine Datenbank mit den Software-Installationen von Windows-8-Computern an: Das teilt das Unternehmen mit und reagiert damit auf die Entdeckung, dass Windows 8 Software-Installationen an Microsoft sendet.

In der fertigen Version von Windows 8 hat Microsoft den Smartscreen-Filter für Installationen standardmäßig aktiviert. Damit wird die Installation von Anwendungen überwacht. Ein Sicherheitsexperte sieht darin ein Datenschutzrisiko.

Beim Anlegen des Nutzerpassworts unter Windows 7 und 8 können die Anwender einen Hinweis als Gedächtnisstütze hinterlegen, um sich ihre Zugangsdaten leichter zu merken. Mit einem Tool lässt sich der eigentlich unleserliche Kennworthinweis aus der Registry auslesen.

Adobe muss nur wenige Tage nach dem letzten Flash-Player-Update noch einen Sicherheitspatch nachreichen. Erneut werden gefährliche Sicherheitslücken beseitigt.

Die Sicherheitslücke der Schlösser von Onity, die bei Hoteltüren eingesetzt werden, soll bald geschlossen werden. Der Hersteller verlangt für die Schließung der Lücke von den Hotels allerdings Geld - für einen mechanischen Verschluss des Ports hingegen nicht.

Unbekannte sind in die Computersysteme der Nachrichtenagentur Reuters eingedrungen und haben eine Falschmeldung verbreitet. Auch hinter dem dritten Angriff im August 2012 scheinen Anhänger des syrischen Präsidenten Assad zu stehen.

Adobe hat im Rahmen seines monatlichen Patchdays Updates für den Adobe Reader für Windows und Mac OS X bereitgestellt. Ein Update für Linux gibt es nicht. Nutzer sollten den Reader vermeiden, bis es ein Update gibt.

Mit dem August-Patchday verteilt Microsoft fünf als kritisch eingestufte Updates. Sie schließen Sicherheitslücken, die es Angreifern ermöglichen, auf verwundbaren Windows-Rechnern Code auszuführen. Auch der Internet Explorer ist betroffen.

Ein Fehler im Zend-Framework gefährdet Onlineshops auf Basis von Magento. Das Problem ist seit Anfang Juli 2012 bekannt und der Anbieter bietet seitdem eine korrigierte Version an, doch so mancher Shop wurde bislang nicht aktualisiert, so dass Angreifer auf jede Datei auf den Servern per Web zugreifen können.

Mit einem Patch und einem Security Advisory hat Nvidia auf die Veröffentlichung einer Schwachstelle in seinen Grafikkartentreibern für Linux reagiert. Für aktuelle Treiber aus der 295-Reihe stehen Updates noch aus.

Opera Software hat Opera 12.01 veröffentlicht. Das Update beseitigt einige Programmfehler und Sicherheitslücken im Browser. Unter anderem wird ein Sicherheitsloch geschlossen, das bereits in Opera 11.64 korrigiert und in Opera 12.00 vergessen wurde.

Über einen Fehler im Nvidias Linux-Treiber können Angreifer lokal Root-Rechte erlangen. Nvidia soll seit einem Monat von dem Fehler wissen. Einen Patch gibt es noch nicht.

Update Das Kopierschutzsystem Uplay von Ubisoft enthält eine gravierende Sicherheitslücke - das hat offenbar ein für die Datensicherheit zuständiger Google-Angestellter zufällig bei einer Partie Assassin's Creed Revelations herausgefunden.

Cody Brocious kann aus seiner Zeit bei dem Startup Unified Platform Management mit seinem Arduino Hoteltüren mit elektronischen Schlüsselkarten öffnen. Er hatte dort per Reverse Engineering die Schlösser von Onity nachgebaut.

Im Supportforum von Dropbox und über Twitter beklagen sich europäische Nutzer über Spam-Mails. Ein Hack des Onlinedienstes kann nicht ausgeschlossen werden.

Update Hackern ist es gelungen, ein EC-Terminal von Verifone von außen anzugreifen und die Kartendaten sowie Geheimnummern auszulesen. 300.000 dieser Geräte stehen in Geschäften in Deutschland, die Lücke soll seit März 2012 bekannt gewesen sein.

In Windows 8 werden sich keine Gadgets mehr verwenden lassen. Microsoft schiebt Sicherheitsgründe vor und schaltet schon einmal die Gadget-Gallery für Windows Vista und 7 komplett ab.

Microsoft hat einen Patch für das Sicherheitsloch in den XML Core Services veröffentlicht. Das Sicherheitsloch wird bereits aktiv ausgenutzt. Außerdem stehen acht Patches für Windows, den Internet Explorer und Microsofts Office-Paket bereit.

Eine seit Mai 2012 bekannte Sicherheitslücke in den XML-Diensten von Windows wird durch Schädlinge bereits genutzt. Das Aufrufen einer Webseite mit dem Internet Explorer reicht bereits. Einen Hotfix gibt es, aber der muss manuell installiert werden.

Microsoft will am Patchday im Juli 2012 summa summarum 16 Sicherheitslecks beseitigen. Die Fehler finden sich unter anderem in Windows, im Internet Explorer und in Microsofts Office-Paket.