Google hat ein Sicherheitsupdate für Chrome 8 veröffentlicht und dabei erstmals für einen einzelnen Fehler eine Belohnung von 3133,7 US-Dollar ausgeschüttet. Insgesamt zahlt Google für das Finden von daraufhin beseitigten Fehlern rund 14.500 US-Dollar.
In diesem Monat beseitigt Microsoft drei Windows-Sicherheitslecks. Das seit Dezember 2010 bekannte Sicherheitsloch im Internet Explorer und die in diesem Monat bekanntgewordene Windows-Sicherheitslücke erhalten vorerst keinen Patch.
Autos, die ohne Zündschlüssel funktionieren, sind anfällig für Angriffe von außen, haben Forscher aus der Schweiz herausgefunden. Sie haben das Auto so manipuliert, dass sie es öffnen und starten konnten.
Microsoft will in diesem Monat zwei Patches für Windows veröffentlichen. Die bekannten Sicherheitslecks in Windows und im Internet Explorer werden nicht geschlossen. Wann dafür Patches erscheinen, ist nicht bekannt.
Die Sandbox von Adobes Flash-Player lässt sich umgehen, so dass Anwender lokale Dateien auf Clients auslesen und an ihre eigenen Server senden können, hat der Sicherheitsexperte Billy Rios herausgefunden.
Microsoft warnt vor einem Sicherheitsleck in Windows, das Angreifer zur Codeausführung missbrauchen können. Bislang wird der Fehler wohl nicht aktiv ausgenutzt. Wann ein Patch erscheint, ist noch nicht bekannt.
Eine einzige Zahl macht es möglich: Die Scriptsprache PHP ist in der 32-Bit-Variante anfällig für DoS-Angriffe. Mittlerweile wurde der Fehler in den aktuellen Entwicklerversionen von PHP beseitigt.
Das BSI bietet die AusweisApp ab sofort in der Version 1.0.2 für Windows zum Download an. Im November 2010 war die AusweisApp für den neuen elektronischen Personalausweis wegen einer Sicherheitslücke zurückgezogen worden.
Der Mediaplayer VLC enthält in der Version 1.1.5 eine möglicherweise kritische Sicherheitslücke. Ein Bufferoverflow könnte zum Ausführen von Code genutzt werden.
27C3 Eigentlich ist die Vorstellung der Security Nightmares 2010 und 2011 eine witzige Veranstaltung. Doch manchmal bleibt dem Zuschauer das Lachen im Hals stecken, denn gut sieht die Zukunft in einer technikabhängigen Welt nicht aus.
27C3 Ralf-Philipp Weinmann hat sich einen ungewöhnlichen und nahezu ungeschützten Angriffsweg einfallen lassen. Ein Embedded Controller von Notebooks, der eigentlich die Lüfter steuert, lässt sich als Keylogger verwenden und gibt die aufgezeichneten Daten per Lichtsignal an den Angreifer weiter.
27C3 Um die Position eines Netzteilnehmers herauszufinden und seine Gespräche aufzuzeichnen, braucht es nur wenig: die Telefonnummer, etwas freie Software und ein günstiges altes Handy.
Eine Datenbank mit den Daten von rund 44.000 inaktiven Nutzern von addons.mozilla.org lag offen im Netz, warnt Mozilla. Darin enthalten waren immerhin auch die MD5-Hashes der Nutzerpasswörter.
27C3 Vier der fünf Sicherheitslücken, die der Stuxnet-Wurm ausnutzte, waren für Microsoft eine Überraschung - Zeroday-Exploits. Dennoch gelang es den Mitarbeitern des Konzerns recht schnell, eine zur Verfügung gestellte Probe auseinanderzunehmen.
27C3 Nokias im Jahr 2008 entdeckter Curse-of-Silence-Angriff ist kein Einzelfall. Fast alle Handyhersteller haben Probleme mit Fehlern beim Umgang mit dem Short Message Service (SMS). Abstürze und unbrauchbare Handys sind die Folge.
Zum Weihnachtsfest hat eine Hackergruppe mehrere Server diverser Hacker- und Cracker-Gruppierungen geknackt. In einem E-Zine beschreiben die Hacker, die sich als Watchmen der Szene sehen, was sie gegen einige Gruppen getan haben und drohen mit Wiederholung der Angriffe.
Microsoft hat eine Warnung zu der Sicherheitslücke im Internet Explorer veröffentlicht, die diesen Monat bekanntwurde. Obwohl Microsoft bisher keine aktiven Angriffe verzeichnet hat, gibt es bereits Beispielcode, der das Sicherheitsloch ausnutzt.
Adobe hat eine Aktualisierung für Photoshop CS5 veröffentlicht. Ohne dieses Update kann es einem Angreifer gelingen, eigenen Code einzuschleusen. Dazu müsste er nur eine Datei über einen Webdav- oder SMB-Server laden.
Microsoft verteilt nicht mehr den in der vergangenen Woche erschienenen Sicherheitspatch für Outlook 2007. Ein Fehler im Sicherheitspatch verlangsamt Outlook erheblich.
Die Entwickler des freien Ftp-Servers Proftpd haben die Sicherheitslücke geschlossen, die Hacker wenige Tage zuvor nutzten, um im Quellcode eine Hintertür zu platzieren. Zudem wollen die Entwickler die Software mit weiteren Korrekturen stabilisiert haben.
Der aktuelle Sicherheitspatch für den Internet Explorer verträgt sich nicht mit der Yahoo Toolbar, wenn sie nicht in einer aktuellen Version installiert ist. Microsofts Browser gibt dann nach der Einspielung des Sicherheitspatches Fehlermeldungen aus.
Mozilla will künftig regulär auch für Sicherheitslücken Prämien bezahlen, wenn diese in Webdiensten gefunden werden. Bisher galt das Security Bug Bounty Program offiziell nur für Mozilla-Applikationen.
Mit 17 Patches beseitigt Microsoft 40 Sicherheitslücken in Windows, im Internet Explorer, in Microsofts Office-Paket, im Sharepoint Server sowie im Exchange-Server. Ein Großteil der Sicherheitslecks betrifft die Windows-Plattform.
Mit einem Sicherheitsupdate werden fünf Programmfehler in Googles Chrome 8 beseitigt. Keine der Sicherheitslücken kann vermutlich zum Ausführen von Schadcode missbraucht werden.
Im Internet Explorer ist eine bislang nicht bekannte Sicherheitslücke gefunden worden. Angreifer können den Fehler missbrauchen, um Schadcode auszuführen. Microsoft untersucht den Fehler.
Real hat im Realplayer 27 Sicherheitslücken beseitigt. Nach Unternehmensangaben ist es das umfangreichste Sicherheitsupdate, das es jemals für den Realplayer gab.
Für Firefox, Thunderbird und Seamonkey sind jeweils Updates erschienen, um eine Reihe von Sicherheitslücken zu beseitigen. Die Mehrzahl der Fehler kann zur Ausführung von Schadcode missbraucht werden. Weitere Fehlerkorrekturen gibt es nur für Thunderbird 3.1.7.
Mit 17 Patches will Microsoft diesen Monat 40 Sicherheitslöcher in Windows, Office, Internet Explorer, Sharepoint und Exchange beseitigen. Damit wird ein bekanntes Sicherheitsleck im Internet Explorer geschlossen. Außerdem verschwindet ein Sicherheitsloch, das vom Stuxnet-Wurm ausgenutzt wurde.
Mit dem Update auf Wordpress 3.0.3 schließen die Wordpress-Macher eine Sicherheitslücke in ihrer Blogsoftware, die das Verändern oder Veröffentlichen von Artikeln ermöglicht.
Die iPhone-Apps iControl, iOutbanking und S-Banking haben Sicherheitslücken. Im schlimmsten Fall wird sogar die TAN-Liste ohne Verschlüsselung auf dem iPhone abgelegt.
Hacker nutzten vermutlich eine Sicherheitslücke in dem Ftp-Server des Proftpd-Projekts, um Schadcode in die aktuelle Version Proftpd 1.3.3c einzuschleusen. Darüber können sich unautorisierte Benutzer mit Root-Rechten auf Ftp-Servern Zutritt verschaffen, die die manipulierte Version von Proftpd verwenden.
Das BSI behauptet, zusammen mit Siemens und Openlimit Signcubes die Schwachstellen in der AusweisApp für den elektronischen Personalausweis beseitigt zu haben. Eine Testversion für Firmen kommt am 10. Dezember 2010, die Bürgerversion folgt Anfang Januar 2011
Wer die Online-Ausweisfunktion im neuen elektronischen Personalausweis nutzt, kommt kostenlos auf die Cebit 2011. Hinter der Aktion stehen das Bundesinnenministerium und mehrere IT-Konzerne.
Die Postbank hat am Wochenende ohne Vorwarnung Visa- und Mastercard-Kreditkarten ihrer Kunden gesperrt. Bei einem Internetanbieter besteht der Verdacht auf ein Datenleck. Keine Angaben machte die Bank zum Namen des Onlinehändlers und zum Umfang der Aktion.
Ab sofort steht der Adobe Reader X für Windows, Mac OS X und Android zum Download zur Verfügung. Nur auf Windows-Systemen gibt es den neuen Sandbox-Modus, eine Linux-Version wurde nicht veröffentlicht.
Apple beseitigt einige Fehler in seinem Browser Safari. Die Updates auf Safari 5.0.3 und 4.1.3 schließen insgesamt 27 Sicherheitslücken in dem Browser. 24 der Sicherheitslücken eignen sich, um Code auf Opfersystemen einzuschleusen.
Die Pannenserie beim neuen elektronischen Personalausweis reißt offenbar nicht ab. Das ARD-Magazin Monitor berichtet, dass die neue Software der Bundesdruckerei keinen Rufnamen mehr anzeigt, wenn ein Mensch mehrere Vornamen hat. Die Bundesdruckerei verweist auf das Innenministerium.
Adobe hat einen Patch für Adobe Reader und Acrobat veröffentlicht. Damit wird unter anderem eine gefährliche Sicherheitslücke geschlossen, die seit zweieinhalb Wochen bekannt ist. Mit dem Patch werden weitere 18 Sicherheitslücken geschlossen, die zum Großteil als gefährlich eingestuft werden.
Das Video-LAN-Team hat am Wochenende die VLC-Version 1.1.5 veröffentlicht. Die freie Medienwiedergabesoftware VLC wird damit um einige neue Funktionen erweitert und von einigen Fehlern befreit, unter Windows auch von einer Sicherheitslücke.
Erst erwiesen sich die Basislesegeräte ohne eigene Tastatur als unsicher, nun wurde die AusweisApp gehackt. Jan Korte fordert deshalb, das ganze Projekt E-Personalausweis sofort zu beenden.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die am Dienstag bekanntgewordene Sicherheitslücke in der AusweisApp bestätigt. In Kürze soll eine korrigierte Version zum Download bereitgestellt werden.
Nach Bekanntwerden einer Sicherheitslücke in der neuen AusweisApp hat das Bundesamt den Download des Programms für den neuen elektronischen Personalausweis gestoppt.
Für Microsofts Office-Software sind zwei Patches veröffentlicht worden, um insgesamt sieben Sicherheitslücken zu beseitigen. Obwohl alle sieben Fehler zur Ausführung von Schadcode missbraucht werden können, stuft der Hersteller nur einen als gefährlich ein.
Jan Schejbal weist auf eine Sicherheitslücke in der AusweisApp hin, die das Bundesinnenministerium seit kurzem für den neuen elektronischen Personalausweis zum Download anbietet.
In der Exploit-db ist Exploit-Code für eine Sicherheitslücke im Internet Explorer veröffentlicht worden. Das Sicherheitsleck ist seit Anfang November 2010 bekannt. Angreifer können darüber fremde Systeme unter ihre Kontrolle bringen. In diesem Monat ist kein Patch geplant.
Googles Webbrowser Chrome 7.x wurde für Linux, Mac OS X und Windows aktualisiert und sicherer gemacht. Außerdem wurden das noch in Entwicklung befindliche Chrome 9.x überarbeitet.
