27C3 Ralf-Philipp Weinmann hat sich einen ungewöhnlichen und nahezu ungeschützten Angriffsweg einfallen lassen. Ein Embedded Controller von Notebooks, der eigentlich die Lüfter steuert, lässt sich als Keylogger verwenden und gibt die aufgezeichneten Daten per Lichtsignal an den Angreifer weiter.
27C3 Um die Position eines Netzteilnehmers herauszufinden und seine Gespräche aufzuzeichnen, braucht es nur wenig: die Telefonnummer, etwas freie Software und ein günstiges altes Handy.
Eine Datenbank mit den Daten von rund 44.000 inaktiven Nutzern von addons.mozilla.org lag offen im Netz, warnt Mozilla. Darin enthalten waren immerhin auch die MD5-Hashes der Nutzerpasswörter.
27C3 Vier der fünf Sicherheitslücken, die der Stuxnet-Wurm ausnutzte, waren für Microsoft eine Überraschung - Zeroday-Exploits. Dennoch gelang es den Mitarbeitern des Konzerns recht schnell, eine zur Verfügung gestellte Probe auseinanderzunehmen.
27C3 Nokias im Jahr 2008 entdeckter Curse-of-Silence-Angriff ist kein Einzelfall. Fast alle Handyhersteller haben Probleme mit Fehlern beim Umgang mit dem Short Message Service (SMS). Abstürze und unbrauchbare Handys sind die Folge.
Zum Weihnachtsfest hat eine Hackergruppe mehrere Server diverser Hacker- und Cracker-Gruppierungen geknackt. In einem E-Zine beschreiben die Hacker, die sich als Watchmen der Szene sehen, was sie gegen einige Gruppen getan haben und drohen mit Wiederholung der Angriffe.
Microsoft hat eine Warnung zu der Sicherheitslücke im Internet Explorer veröffentlicht, die diesen Monat bekanntwurde. Obwohl Microsoft bisher keine aktiven Angriffe verzeichnet hat, gibt es bereits Beispielcode, der das Sicherheitsloch ausnutzt.
Adobe hat eine Aktualisierung für Photoshop CS5 veröffentlicht. Ohne dieses Update kann es einem Angreifer gelingen, eigenen Code einzuschleusen. Dazu müsste er nur eine Datei über einen Webdav- oder SMB-Server laden.
Microsoft verteilt nicht mehr den in der vergangenen Woche erschienenen Sicherheitspatch für Outlook 2007. Ein Fehler im Sicherheitspatch verlangsamt Outlook erheblich.
Die Entwickler des freien Ftp-Servers Proftpd haben die Sicherheitslücke geschlossen, die Hacker wenige Tage zuvor nutzten, um im Quellcode eine Hintertür zu platzieren. Zudem wollen die Entwickler die Software mit weiteren Korrekturen stabilisiert haben.
Der aktuelle Sicherheitspatch für den Internet Explorer verträgt sich nicht mit der Yahoo Toolbar, wenn sie nicht in einer aktuellen Version installiert ist. Microsofts Browser gibt dann nach der Einspielung des Sicherheitspatches Fehlermeldungen aus.
Mozilla will künftig regulär auch für Sicherheitslücken Prämien bezahlen, wenn diese in Webdiensten gefunden werden. Bisher galt das Security Bug Bounty Program offiziell nur für Mozilla-Applikationen.
Mit 17 Patches beseitigt Microsoft 40 Sicherheitslücken in Windows, im Internet Explorer, in Microsofts Office-Paket, im Sharepoint Server sowie im Exchange-Server. Ein Großteil der Sicherheitslecks betrifft die Windows-Plattform.
Mit einem Sicherheitsupdate werden fünf Programmfehler in Googles Chrome 8 beseitigt. Keine der Sicherheitslücken kann vermutlich zum Ausführen von Schadcode missbraucht werden.
Im Internet Explorer ist eine bislang nicht bekannte Sicherheitslücke gefunden worden. Angreifer können den Fehler missbrauchen, um Schadcode auszuführen. Microsoft untersucht den Fehler.
Real hat im Realplayer 27 Sicherheitslücken beseitigt. Nach Unternehmensangaben ist es das umfangreichste Sicherheitsupdate, das es jemals für den Realplayer gab.
Für Firefox, Thunderbird und Seamonkey sind jeweils Updates erschienen, um eine Reihe von Sicherheitslücken zu beseitigen. Die Mehrzahl der Fehler kann zur Ausführung von Schadcode missbraucht werden. Weitere Fehlerkorrekturen gibt es nur für Thunderbird 3.1.7.
Mit 17 Patches will Microsoft diesen Monat 40 Sicherheitslöcher in Windows, Office, Internet Explorer, Sharepoint und Exchange beseitigen. Damit wird ein bekanntes Sicherheitsleck im Internet Explorer geschlossen. Außerdem verschwindet ein Sicherheitsloch, das vom Stuxnet-Wurm ausgenutzt wurde.
Mit dem Update auf Wordpress 3.0.3 schließen die Wordpress-Macher eine Sicherheitslücke in ihrer Blogsoftware, die das Verändern oder Veröffentlichen von Artikeln ermöglicht.
Die iPhone-Apps iControl, iOutbanking und S-Banking haben Sicherheitslücken. Im schlimmsten Fall wird sogar die TAN-Liste ohne Verschlüsselung auf dem iPhone abgelegt.
Hacker nutzten vermutlich eine Sicherheitslücke in dem Ftp-Server des Proftpd-Projekts, um Schadcode in die aktuelle Version Proftpd 1.3.3c einzuschleusen. Darüber können sich unautorisierte Benutzer mit Root-Rechten auf Ftp-Servern Zutritt verschaffen, die die manipulierte Version von Proftpd verwenden.
Das BSI behauptet, zusammen mit Siemens und Openlimit Signcubes die Schwachstellen in der AusweisApp für den elektronischen Personalausweis beseitigt zu haben. Eine Testversion für Firmen kommt am 10. Dezember 2010, die Bürgerversion folgt Anfang Januar 2011
Wer die Online-Ausweisfunktion im neuen elektronischen Personalausweis nutzt, kommt kostenlos auf die Cebit 2011. Hinter der Aktion stehen das Bundesinnenministerium und mehrere IT-Konzerne.
Die Postbank hat am Wochenende ohne Vorwarnung Visa- und Mastercard-Kreditkarten ihrer Kunden gesperrt. Bei einem Internetanbieter besteht der Verdacht auf ein Datenleck. Keine Angaben machte die Bank zum Namen des Onlinehändlers und zum Umfang der Aktion.
Ab sofort steht der Adobe Reader X für Windows, Mac OS X und Android zum Download zur Verfügung. Nur auf Windows-Systemen gibt es den neuen Sandbox-Modus, eine Linux-Version wurde nicht veröffentlicht.
Apple beseitigt einige Fehler in seinem Browser Safari. Die Updates auf Safari 5.0.3 und 4.1.3 schließen insgesamt 27 Sicherheitslücken in dem Browser. 24 der Sicherheitslücken eignen sich, um Code auf Opfersystemen einzuschleusen.
Die Pannenserie beim neuen elektronischen Personalausweis reißt offenbar nicht ab. Das ARD-Magazin Monitor berichtet, dass die neue Software der Bundesdruckerei keinen Rufnamen mehr anzeigt, wenn ein Mensch mehrere Vornamen hat. Die Bundesdruckerei verweist auf das Innenministerium.
Adobe hat einen Patch für Adobe Reader und Acrobat veröffentlicht. Damit wird unter anderem eine gefährliche Sicherheitslücke geschlossen, die seit zweieinhalb Wochen bekannt ist. Mit dem Patch werden weitere 18 Sicherheitslücken geschlossen, die zum Großteil als gefährlich eingestuft werden.
Das Video-LAN-Team hat am Wochenende die VLC-Version 1.1.5 veröffentlicht. Die freie Medienwiedergabesoftware VLC wird damit um einige neue Funktionen erweitert und von einigen Fehlern befreit, unter Windows auch von einer Sicherheitslücke.
Erst erwiesen sich die Basislesegeräte ohne eigene Tastatur als unsicher, nun wurde die AusweisApp gehackt. Jan Korte fordert deshalb, das ganze Projekt E-Personalausweis sofort zu beenden.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die am Dienstag bekanntgewordene Sicherheitslücke in der AusweisApp bestätigt. In Kürze soll eine korrigierte Version zum Download bereitgestellt werden.
Nach Bekanntwerden einer Sicherheitslücke in der neuen AusweisApp hat das Bundesamt den Download des Programms für den neuen elektronischen Personalausweis gestoppt.
Für Microsofts Office-Software sind zwei Patches veröffentlicht worden, um insgesamt sieben Sicherheitslücken zu beseitigen. Obwohl alle sieben Fehler zur Ausführung von Schadcode missbraucht werden können, stuft der Hersteller nur einen als gefährlich ein.
Jan Schejbal weist auf eine Sicherheitslücke in der AusweisApp hin, die das Bundesinnenministerium seit kurzem für den neuen elektronischen Personalausweis zum Download anbietet.
In der Exploit-db ist Exploit-Code für eine Sicherheitslücke im Internet Explorer veröffentlicht worden. Das Sicherheitsleck ist seit Anfang November 2010 bekannt. Angreifer können darüber fremde Systeme unter ihre Kontrolle bringen. In diesem Monat ist kein Patch geplant.
Googles Webbrowser Chrome 7.x wurde für Linux, Mac OS X und Windows aktualisiert und sicherer gemacht. Außerdem wurden das noch in Entwicklung befindliche Chrome 9.x überarbeitet.
Adobe warnt vor einem bisher nicht bekannten Sicherheitsleck im Adobe Reader. Beispielcode zur Ausnutzung der Schwachstelle ist bereits in Umlauf. Vorerst ist nur bekannt, dass die Sicherheitslücke nur für einen Denial-of-Service-Angriff verwendet werden kann.
Adobe hat das angekündigte Sicherheitsupdate für den Flash Player zum Teil vorgezogen. Updates für Windows, Mac OS X und Linux beseitigen 18 Sicherheitslücken im Flash Player. 15 Sicherheitslecks können zur Ausführung von Schadcode missbraucht werden. Ein Update für Android folgt erst nächste Woche.
Microsoft hat wie üblich Vorabinformationen für den Patchday in der kommenden Woche veröffentlicht. Demnach wird das diese Woche bekanntgewordene Sicherheitsleck im Internet Explorer erwartungsgemäß nicht geschlossen. Mit zwei Patches sollen vor allem Sicherheitslücken in Microsofts Office-Paket beseitigt werden.
Im Internet Explorer hat Microsoft ein Sicherheitsloch entdeckt, das aktiv ausgenutzt wurde. Über eine Webseite wurde Schadcode verteilt, aber vorerst ist die Seite abgeschaltet. Derzeit sind keine weiteren aktiven Attacken bekannt, ein Patch ist in Arbeit.
Mehrere Facebook-Applikationen haben Nutzerdaten absichtlich ausgelesen und an mindestens einen Datenhändler übertragen. Die entsprechenden Entwickler hat Facebook für mehrere Monate ausgeschlossen.
Adobe hat einen Patch für den Shockwave Player für Windows und Mac OS X veröffentlicht, um insgesamt elf gefährliche Sicherheitslöcher zu beseitigen. Alle Sicherheitslecks können zur Ausführung von Schadcode missbraucht werden.
Adobe warnt vor einem offenen Sicherheitsloch im Flash Player, im Adobe Reader und in Acrobat. Über die PDF-Applikationen laufen bereits Angriffe. Attacken via Flash sind noch nicht bekannt. Patches für die PDF-Applikationen und den Flash Player sind in Arbeit.
Mozilla hat das offene Sicherheitsleck in Firefox 3.5 und 3.6 geschlossen. Außerdem gibt es Updates für Thunderbird, um das Sicherheitsloch auch darin zu beseitigen. Über die Sicherheitslücke wurde bereits aktiv Schadcode verteilt.
Mozilla hat eine offene Sicherheitslücke in Firefox bestätigt, die bereits aktiv ausgenutzt wird. Über die offizielle Webseite des Friedensnobelpreises wurde Schadcode verbreitet. An einem Patch für Firefox wird gearbeitet. Bis dahin hilft es, Javascript abzuschalten.
Die Codesperre von iOS 4.1 hat eine Sicherheitslücke. Sie ermöglicht es auch bei gesperrten iPhones über die Notruffunktion auf die kompletten Telefonfunktionen zuzugreifen.
Dem Mozilla-Team sind fünf gefährliche Sicherheitslücken bekanntgeworden. Als Folge gibt es je zwei neue Versionen von Thunderbird und Firefox, die die Probleme beheben sollen.
Microsoft hat seine eigenen Zahlen ausgewertet und ist dabei zu dem Schluss gekommen, dass Java ein immer beliebteres Angriffsziel wird. Die meisten Angriffe zielen auf eine Sicherheitslücke, die schon vor zwei Jahren gepatcht worden ist.
