Mit der Firmware Logitacker und einem USB-Funk-Stick für rund 10 Euro lassen sich kabellose Mäuse und Tastaturen von Logitech leicht hacken. Angreifer können mit der Software Schadcode per Funk eintippen lassen. Logitech wird nur ein Teil der Sicherheitslücken schließen.
Ein eher unbedeutender Fehler in einer Abhängigkeit des VLC-Players wird von Behörden fälschlich als schwere Sicherheitslücke klassifiziert und viele Medien übernehmen dies ungeprüft. Das Videolan-Projekt ist nicht erfreut.
In den vergangenen Jahren wurden mehrere Industriegrößen wie Siemens, BASF und Henkel von der Hackergruppe Winnti attackiert. Sicherheitsforscher konnten die Angriffe aus Schadsoftware-Samples von Winnti herauslesen.
Apples iOS 12.4 beseitigt zahlreiche Sicherheitslücken in dem Mobilsystem. Besonders betroffen ist dieses Mal die Webkit-Engine des Browsers. Zudem ließ sich Verkehr des Samba-Servers abhören.
Apple hat die wegen einer Sicherheitslücke vorübergehend abgeschaltete Walkie-Talkie-Funktion auf der Apple Watch mit WatchOS 5.3 wieder aktiviert.
Ein Fehler im Bootloader der Tegra X1 von Nvidia ermöglicht das komplette Umgehen der Verifikation des Systemboots. Das betrifft wohl alle Geräte außer der Switch. Nvidia stellt ein Update bereit.
In Kasachstan müssen Internetnutzer ab sofort ein spezielles TLS-Zertifikat installieren, um verschlüsselte Webseiten aufrufen zu können. Das Zertifikat ermöglicht eine staatliche Überwachung des gesamten Internetverkehrs in dem Land.
Ein Fehler auf der Petitionsplattform WeAct von Campact ermöglichte den Zugriff auf die Daten der Unterstützer. Rund 1,8 Millionen Unterzeichner sind betroffen. Die Nichtregierungsorganisation hat die Hintergründe des Fehlers veröffentlicht.
Der Quartals-Patchday von Oracle fällt dieses Quartal etwas umfangreicher aus als in den letzten Quartalen. Der Datenbankanbieter schließt an diesem Tag mehr als 300 Sicherheitslücken. Aufgrund von Fehlern in Weblogic musste Oracle aber teils schon vorher patchen.
Eigentlich haben Nutzer sich vom aktuellen Sicherheitspatch für Windows 7 erhofft, nur Security-Fixes zu erhalten. Allerdings hat ein anonymer Nutzer entdeckt, dass Microsoft auch ein Diagnosetool verteilt, das Daten an das Unternehmen schicken kann. ZDnet hält das nicht für einen Zufall.
Der Juli-Patchday von Adobe betrifft dieses Mal keine populären Endanwender. Weder der Flash Player noch die PDF-Werkzeuge haben Sicherheitslücken, die beseitigt werden müssen. Dafür gibt es Lücken in anderen Werkzeugen.
Über das Krankenhausnetzwerk lassen sich Befehle an Anästhesie- und Beatmungsgeräte des Herstellers GE senden. Eine Sicherheitslücke ermöglicht unter anderem, Dosierung und Typ des Narkosemittels zu ändern.
Server für den sogenannten FastCGI Process Manager (FPM) können, wenn sie übers Internet erreichbar sind, unbefugten Zugriff auf Dateien eines Systems geben. Das betrifft vor allem HHVM von Facebook, bei PHP sind die Risiken geringer.
Eine Exklusivmeldung von Hanno Böck
Nutzer der Software Zoom können auf dem Mac ungefragt zu Videokonferenzen hinzugefügt werden - mitsamt Videostream. Selbst das Deinstallieren der Software schützt davor nicht.
Das Github-Konto von Canonical wurde zwischenzeitlich von Angreifern übernommen, diese hätten die dort gehostete Software verändern können. Ubuntus Infrastruktur soll nicht betroffen sein.
Mit der Datenschutzgrundverordnung können Datenschutzverstöße und Datenlecks teurer werden. Die Fluggesellschaft British Airways gibt sich überrascht und will Widerspruch gegen eine Strafzahlung einlegen.
Gleich mehrere Sicherheitslücken in kabellosen Tastaturen und Mäusen von Logitech ermöglichen nicht nur das Mitlesen der Eingaben, es kann auch Schadcode an den Rechner übermittelt werden. Logitech möchte nicht alle Lücken schließen.
Die Daten von Millionen Smart-Home-Geräten und ihren Eigentümern waren öffentlich über das Internet abrufbar. Mit den Zugangsdaten hätten Angreifer die Konten und Geräte übernehmen können. Auch Einbrecher hätten leichtes Spiel gehabt.
Fast jeder Dritte nutzt laut einer Umfrage der KKH eine Gesundheitsapp oder einen Fitnesstracker. Deutlich mehr haben Bedenken beim Datenschutz. Die Krankenkasse KKH findet die Bedenken durchaus berechtigt.
Apple hat in iOS 12.3 eine Lücke geschlossen, die es Angreifern ermöglicht hat, mit einer einzigen iMessage ein iPhone oder iPad vorübergehend unbrauchbar zu machen.
Mit dem Juli-Update patcht Google wieder Sicherheitslücken aus seinem Android-Betriebssystem. Dieses Mal betrifft es vor allem Medien. Wegen Fehlern beim Bounds-Check lässt sich Schadsoftware in HEVC-Dateien verstecken.
Ein SSH-Schlüssel, der einfach extrahiert werden kann. Passwörter, die man leicht auslesen kann. Keine guten Voraussetzungen für ein smartes Türschloss, fanden auch Sicherheitsforscher.
Vor zwei Jahren formulierte das Bundesamt für Sicherheit in der Informationstechnik Anforderungen an sichere Browser. Nun soll das Dokument aktualisiert werden, um Kommentierung wird gebeten.
Fast alle modernen Geräte synchronisieren ihre Uhrzeit übers Internet. Das dafür genutzte Network Time Protocol ist nicht gegen Manipulationen geschützt - bisher. Mit der Erweiterung Network Time Security soll sich das ändern.
Der Chief Technology Officer von Nokia hat in einem Interview die Sicherheit des Konkurrenten Huawei kritisiert. Davon hat sich Nokia öffentlich distanziert, was sehr ungewöhnlich ist.
Google möchte die Apps im Play Store automatisch optimieren - braucht dazu aber Zugriff auf die Signierschlüssel der App-Entwickler. Kritiker sehen darin ein Sicherheitsproblem.
Die Subdomain eaplayinvite.ea.com des Spieleherstellers Electronic Arts ist von Sicherheitsfirmen übernommen worden. Über einen weiteren Angriff konnten die Firmen auch an Nutzerdaten gelangen.
Wie das Vorbild Brickerbot möchte die Schadsoftware Silex unsichere IoT-Geräte zerstören. Auch ungeschützte Linux-Server könnten ihr Opfer werden. Der Entwickler der Schadsoftware arbeitet an weiteren Funktionen.
Eigentlich sollte in E-Mails eingebetteter Javascript-Code nicht ausgeführt werden. Mit der Android-Version von Microsofts Outlook war dies durch einen Trick möglich. Mit einer präparierten E-Mail konnte unter anderem das Mailkonto ausgelesen werden.
Mit dem Dienst Wetransfer können Dateien bequem über die Cloud verschickt werden - allerdings sollten diese auch bei den richtigen Personen ankommen. Aufgrund einer Sicherheitspanne wurden zahlreiche Dateien an die falschen Personen geschickt, die darauf Zugriff hatten.
Eigentlich sollte der ursprüngliche Eigentümer nicht auf die Bilder von gebrauchten Überwachungskameras zugreifen können. Schon gar nicht, wenn sie auf die Werkseinstellungen zurückgesetzt wurden. Bei Nest-Kameras war das dennoch möglich.
Firefox-Hersteller Mozilla hat binnen weniger Tage eine zweite schwere Sicherheitslücke behoben. Die Lücken sind offenbar beide für einen Phishing-Angriff auf Mitarbeiter einer Kryptobörse genutzt worden.
Schutz gegen Microarchitectural Data Sampling wie Zombieload: Wer noch Windows 10 oder Windows Server in einer älteren Version auf einem Intel-Prozessor nutzt, erhält nun direkt über das Betriebssystem passenden Microcode, um das System gegen Seitenkanalangriffe zu härten.
Firefox-Hersteller Mozilla hat eine kritische Sicherheitslücke in seinem Browser geschlossen, die wohl aktiv ausgenutzt wird. Updates stehen bereit und werden von Mozilla bereits verteilt.
Im Linux-Kernel und in FreeBSD sind mehrere Fehler bei der Verarbeitung von TCP-Paketen gefunden worden. Eine Sicherheitslücke in der Funktion Selective Acknowledgement (SACK) kann von Angreifern dazu genutzt werden, bei Linux einen Kernelabsturz zu verursachen.
Der Hersteller Yubico muss einige seiner Sticks zur Zwei-Faktor Authentifizierung wegen Sicherheitslücken zurückziehen und bei Kunden austauschen. Kurioserweise nur jene mit einer besonderen Zertifizierungen der US-Regierung.
Über eine Sicherheitslücke in der Verschlüsselungsbibliothek Symcrypt lassen sich Windows-Server lahmlegen. Project Zero veröffentlichte die Sicherheitslücke nach 90 Tagen. Patches von Microsoft sollen erst im Juli folgen.
Microsoft blockiert mit seinem Juni-Update unsichere Bluetooth-Geräte wie Googles Fido-Stick Titan. Über eine Sicherheitslücke könnten Angreifer ihre Tastatur an einem Rechner oder Smartphone per Bluetooth anmelden.
Mehrere Sicherheitslücken betreffen Adobes Produkte Coldfusion, Flash Player und das Kampagnenwerkzeug Campaign. Entsprechende Patches stehen bereit. Für Coldfusion muss aber auch Java aktualisiert werden.
Einige US-Polizeidienststellen errichten derzeit ein Netz privater Überwachungskameras. Die dafür nötigen Ring-Kameras werden teilweise verschenkt, die örtliche Polizei bittet im Gegenzug um Zugriff auf das Videomaterial, das damit aufgenommen wird.
Mit Angriffen durch RAM-Bitflips lassen sich unberechtigt Speicherinhalte auslesen. Als Demonstration zeigen Forscher, wie sie mit Nutzerrechten einen RSA-Key eines SSH-Daemons auslesen können.
Über ein Bug-Bounty-Programm der EU wurden mehrere Sicherheitslücken im VLC-Player gemeldet und geschlossen. Mit den Bounty Huntern habe man nicht nur gute Erfahrungen gemacht, schreibt ein VLC-Entwickler.
Die Justizminister wollen auch bei autonomen Autos an der Haftung durch den Fahrzeughalter nichts ändern. Das könnte bei Hackerangriffen zum Problem werden.
Eine Sicherheitslücke im Exim-Mailserver lässt sich auch übers Netz zur Codeausführung ausnutzen, der Angriff dauert aber in der Standardkonfiguration mehrere Tage. Lokal ist er trivial und emöglicht es Nutzern, Root-Rechte zu erlangen.
Im Texteditor VIM wurde eine Sicherheitslücke gefunden, bei der ein speziell präpariertes Dokument Code ausführen kann. Die dafür genutzte Funktion der Modelines ist nur auf manchen Systemen aktiv.
Es ist wieder Patchzeit für Android-Nutzer. Im Juni-Update beseitigt Google erneut zahlreiche Sicherheitsprobleme. Zwei der Fehler der höchsten Kategorie betreffen fast alle Anwender neuerer Android-Versionen. Andere wiederum sind nur in Android 9 zu finden.
Die Entwickler des Exim-Mailservers informieren über eine Sicherheitslücke, Details gibt es aber bisher nicht. Die sollen in einer Woche folgen.
Die Angriffsserie Nansh0u nutzt Hacking-Techniken, die sonst eher bei staatlichen Angreifern zu finden sind. Mit signierter Treibersoftware und einem Kernelrootkit schürfen die Angreifer die Kryptowährung Monero. Betroffen waren 50.000 Windows-Datenbankserver.
Knapp eine Million im Internet erreichbare Windows-Computer sind für eine Sicherheitslücke anfällig, die laut Microsoft das Potenzial hat, Schäden wie Wanna Cry zu verursachen.
Im ersten Jahr nach Inkrafttreten der DSGVO haben Nutzer von ihrem Beschwerderecht intensiv Gebrauch gemacht. Die Zahl der gemeldeten Datenpannen ist ebenfalls sehr hoch, vor allem in Deutschland. Auch die Internetbank N26 soll nun ein Bußgeld zahlen.