Kategorie: sicherheit Golem.de – Security

Security: Ungepatchte Flash-Lücke wird aktiv ausgenutzt

Es ist mal wieder Flash-Player-deinstallieren-Tag. Eine derzeit ungepatchte Sicherheitslücke wird aktiv ausgenutzt, immerhin existiert ein Workaround. Adobe will aber bald reagieren. (Flash, Google) Der ganze Artikel: Security: Ungepatchte Flash-Lücke wird aktiv ausgenutzt

Datenschutz: Ich weiß, dass du bei Tinder bist

Nach dem Hack von Ashley Madison mussten sich zahlreiche Nutzer vor ihren Partnern für die Nutzung der Seite rechtfertigen. Jetzt könnte Tinder-Nutzern Ähnliches passieren – ganz ohne Hack. Der Entwickler gibt hehre Motive an. (Datenschutz, Server-Applikationen) Der ganze Artikel: Datenschutz:…

Messenger: Whatsapp verschlüsselt ab sofort alle Inhalte komplett

Dieser Schritt dürfte den Ermittlungsbehörden nicht gefallen: Whatsapp führt nun eine zuverlässige Ende-zu-Ende-Verschlüsselung ein, bei der die Kommunikationspartner sich gegenseitig verifizieren können. (Whatsapp, Instant Messenger) Der ganze Artikel: Messenger: Whatsapp verschlüsselt ab sofort alle Inhalte komplett

Security: Google patcht Android-Stagefright-Bugs und Kernel

Google hat zahlreiche Schwachstellen in Android geschlossen, darunter Fehler in der Medienverwaltung und den entsprechenden Bibliotheken. Auch eine Sicherheitslücke im Kernel wurde behoben. (Security, Android) Der ganze Artikel: Security: Google patcht Android-Stagefright-Bugs und Kernel

Bugcrowd: Hacker und Pentester auf Bestellung

Tesla hat eins. GM hat eins. Und jetzt sogar das Pentagon. Doch nicht für alle Unternehmen sind offene Bug-Bounty-Programme die richtige Wahl, wie Kymberlee Price von der Sicherheitsplattform Bugcrowd im Gespräch mit Golem.de sagt. (Sicherheitslücke, Internet) Der ganze Artikel: Bugcrowd:…

Facebook: Oculus Rift sammelt alles

Körpergröße, Spielesammlung, Standort und die IP-Adresse: Laut den Nutzungsbedingungen von Oculus Rift stimmt der Anwender zu, dass praktisch alle irgendwie greifbaren Daten über ihn an Facebook weitergeleitet werden. Das ist wenig überraschend – ärgert aber trotzdem viele Spieler. (Oculus Rift,…

Datenschutz: FBI hilft Strafverfolgungsbehörden beim iPhone-Entsperren

Die US-Bundespolizei FBI hat anderen Strafverfolgungsbehörden Unterstützung angeboten, wenn ein iPhone für Ermittlungen entsperrt werden muss. Vermutlich macht sich das FBI eine bislang nicht geschlossene Sicherheitslücke zunutze. (Apple vs. FBI, Apple) Der ganze Artikel: Datenschutz: FBI hilft Strafverfolgungsbehörden beim iPhone-Entsperren

Geheimdienste: Regierung und Verfassungsschutz gegen EU-Terrorabwehrzentrum

Datenaustausch: ja – gemeinsames Terrorabwehrzentrum: nein. Die europäischen Geheimdienste trauen sich offenbar nicht genug gegenseitig, um zusammen effektiv den Terrorismus zu bekämpfen. Das belegen neue Enthüllungen zum BND. (Datenschutz, Internet) Der ganze Artikel: Geheimdienste: Regierung und Verfassungsschutz gegen EU-Terrorabwehrzentrum

Datenweitergabe an Regierung: Reddits Kanarienvogel hat ausgezwitschert

Offenbar ist Reddit von der US-Regierung gezwungen worden, Daten seiner Nutzer herauszugeben, ohne darüber informieren zu dürfen. Denn im aktuellen Transparenzbericht fehlt der gegenteilige Hinweis – ein sogenannter Warrant Canary. (Politik/Recht, Datenschutz) Der ganze Artikel: Datenweitergabe an Regierung: Reddits Kanarienvogel…

Security: Apples Rootless-Konzept hat erhebliche Mängel

Apples Sicherheitsmechanismus Rootless soll verhindern, dass mit Rootrechten Systemdateien verändert werden können. Doch er lässt sich leicht austricksen und Apple scheint es nicht eilig zu haben, die Lücken zu schließen. (Security, Apple) Der ganze Artikel: Security: Apples Rootless-Konzept hat erhebliche…

Adblocker-Sperre: Landgericht Hamburg traut Nutzern wenig zu

Ist ein normaler Nutzer in der Lage, die Werbeblockersperre von Bild.de zu umgehen? Das Hamburger Landgericht sieht sich damit überfordert, übersieht dabei aber eine einfache Möglichkeit, die selbst der Axel-Springer-Verlag anbietet. (AdBlocker, Opera) Der ganze Artikel: Adblocker-Sperre: Landgericht Hamburg traut…

Betriebssystem: OpenBSD 5.9 filtert weitgehend Systemaufrufe

Die Funktion zum Filtern und Beschränken von Systemaufrufen ist in OpenBSD 5.9 um viele Anwendungen erweitert worden. Außerdem unterstützt das System nun neuere Laptops besser – dank UEFI und WLAN nach 802.11n. (OpenBSD, Browser) Der ganze Artikel: Betriebssystem: OpenBSD 5.9…

Sicherheitslücken: „Feuchte Farbe“ auf Steam geschmuggelt

Immer wieder klagen Nutzer über Sicherheitslücken auf Steam, jetzt hat ein Student die Sache mal aus Entwicklersicht untersucht – und ein angebliches Programm namens "Watch Paint Dry" ohne Zustimmung von Valve im Store veröffentlicht. (Steam, Valve) Der ganze Artikel: Sicherheitslücken:…

Google-Entwickler: NPM-Malware könnte sich als Wurm verbreiten

Wegen einiger Design-Prinzipien der Node-Paktverwaltung NPM könne sich ein schadhaftes Modul wie ein Wurm im gesamten System verbreiten, warnt ein Google-Entwickler. Gegen die Sicherheitslücke hilft vorerst nur Handarbeit. (Open Source, Virus) Der ganze Artikel: Google-Entwickler: NPM-Malware könnte sich als Wurm…

Oracle: Notfallupdate für Java 7 und 8

Eine gefährliche Sicherheitslücke in Java 7 Update 97 und Java 8 Update 73/74 hat Oracle veranlasst, außerplanmäßig ein Sicherheitsupdate zu veröffentlichen. Server sind nicht betroffen. (Java, Server) Der ganze Artikel: Oracle: Notfallupdate für Java 7 und 8

SMTP STS: Bessere Transportverschlüsselung zwischen Mailservern

Ein Entwurf für einen neuen Standard soll die Kommunikation zwischen Mailservern auf SMTP-Ebene besser absichern. Zwar kann man die auch jetzt schon verschlüsseln, aber für aktive Angreifer ist es einfach, die Verschlüsselung auszuschalten. (E-Mail, DNS) Der ganze Artikel: SMTP STS:…

Apple: Lückenhafte iMessage-Verschlüsselung

Kryptographen haben eine Sicherheitslücke bei der Verschlüsselung des iMessage-Protokolls entdeckt. In der Praxis dürfte diese nur sehr schwer ausnutzbar sein, doch sie zeigt, dass das dahinterstehende Protokoll äußerst fragwürdig ist. (Apple, Packer) Der ganze Artikel: Apple: Lückenhafte iMessage-Verschlüsselung

Palo Alto Networks: VPN-Webinterface mit überlangen Benutzernamen angreifbar

Ein Sicherheitsforscher der Heidelberger Firma ERNW hat eine Remote-Code-Execution-Lücke auf einer Palo-Alto-Appliance gefunden. Verantwortlich dafür war ein fehlender Längencheck bei der Eingabe des Benutzernamens. (Sicherheitslücke, Server) Der ganze Artikel: Palo Alto Networks: VPN-Webinterface mit überlangen Benutzernamen angreifbar

Security: Neuer Stagefright-Exploit betrifft Millionen Android-Geräte

Stagefright bedroht viele nach wie vor ungepatchte Android-Geräte weltweit, gilt aber als schwierig auszunutzen. Eine neue Technik erfordert etwas Infrastruktur, dürfte aber größere praktische Relevanz haben. (Stagefright, Android) Der ganze Artikel: Security: Neuer Stagefright-Exploit betrifft Millionen Android-Geräte

Rowhammer: Auch DDR4-Speicher für Bitflips anfällig

Offenbar sind mehr Arbeitsspeicher-Varianten für den Rowhammer-Angriff verwundbar, als bislang gedacht. Forscher haben jetzt einen Angriff auf DDR4-Speicher vorgestellt, auch professionelle Serverspeicher sollen betroffen sein. (DDR4, Supercomputer) Der ganze Artikel: Rowhammer: Auch DDR4-Speicher für Bitflips anfällig

IT-Planungsrat: Hardware darf keine „schadenstiftende Software“ haben

Der IT-Planungsrat hat neue Vertragsbedingungen für den Kauf von Hardware veröffentlicht. Hersteller müssen nun versichern, dass ihre Geräte keine "Funktionen zum unerwünschten Einleiten von Daten" haben. (Verschlüsselung, Netzwerk) Der ganze Artikel: IT-Planungsrat: Hardware darf keine „schadenstiftende Software“ haben

20.000 Accounts erstellt: Hacker erschleichen sich Uber-Freifahrten

Mit einem einfachen Trick gelingt es, die Verifizierung der Telefonnummer bei neuen Accounts von Uber und ähnlichen Services zu umgehen – und sich etwa Freifahrten zu erschleichen. Beim Uber-Konkurrenten Lyft ist damit sogar die Übernahme bestehender Accounts möglich. (Uber, Server-Applikationen)…

ÖPNV: Das Rhein-Main-E-Ticket gehört abgeschafft!

Es könnte alles so einfach sein – isses aber nicht. Unsere Erfahrung zeigt: Das E-Ticket des Rhein-Main-Verkehrsverbundes macht nichts leichter, günstiger oder gar umweltfreundlicher. (E-Ticket, Security) Der ganze Artikel: ÖPNV: Das Rhein-Main-E-Ticket gehört abgeschafft!

Blizzard: Patches für Diablo 2 und Warcraft 3 verfügbar

Die ersten Updates seit 2011: Blizzard hat Diablo 2 und Warcraft 3 gepatcht. Die Aktualisierungen verbessern die Unterstützung der beiden Klassiker für MacOS X und Windows 10. (Blizzard, Games) Der ganze Artikel: Blizzard: Patches für Diablo 2 und Warcraft 3…

Passwortersatz: Amazon plant Bezahlen per Selfie

Amazon will ein Selfie zur Verifikation eines Bezahlvorgangs nutzen und Passwörter überflüssig machen. So sieht es die Idee eines Patentantrags vor, mit der das Bezahlen einfacher funktionieren soll. (Passwort, Amazon) Der ganze Artikel: Passwortersatz: Amazon plant Bezahlen per Selfie

Teslacrypt: Warum Dettelbach gezahlt hat

Die Lösegeldzahlung der Stadt Dettelbach hat für Diskussionen gesorgt – darf eine staatliche Stelle entsprechende Zahlungen an Kriminelle leisten? Die Bürgermeisterin der Stadt verteidigt ihr Vorgehen jetzt – und spricht von Kostenersparungen. (Security, Verschlüsselung) Der ganze Artikel: Teslacrypt: Warum Dettelbach…

Windows-Stores: Microsoft will keine Bitcoins mehr

Nach der Bitcoin-Euphorie der vergangenen Jahre zieht Ernüchterung ein. Microsoft stellt die Unterstützung der Kryptowährung in seinen Appstores ein – vermutlich auf Grund mangelnder Nutzung. (Bitcoin, Microsoft) Der ganze Artikel: Windows-Stores: Microsoft will keine Bitcoins mehr

Security: Drown gefährdet weiterhin zahlreiche Webdienste

Wie schnell patchen Serverbetreiber die Drown-Sicherheitslücke? Offenbar zu langsam, sagen mehrere Sicherheitsfirmen. Bei Heartbleed lief es deutlich besser. (Sicherheitslücke, Computer) Der ganze Artikel: Security: Drown gefährdet weiterhin zahlreiche Webdienste

Security: Tor-Nutzer über Mausrad identifizieren

Tor verspricht Privatsphäre. Doch auch Nutzer des Anonymisierungsdienstes haben einen eindeutigen Fingerprint. Ein neues Konzept nutzt dazu Mausrad, CPU und DOM-Elemente. (TOR-Netzwerk, Prozessor) Der ganze Artikel: Security: Tor-Nutzer über Mausrad identifizieren

Jabber-Verschlüsselung: Sicherheitslücke in OTR-Bibliothek erlaubt Code-Ausführung

In der Verschlüsselungsbibliothek Libotr wurde ein Integer Overflow gefunden, der Angreifern unter Umständen die Ausführung von bösartigem Code erlaubt. Das sogenannte Off-the-Record-Messaging ist eine beliebte Methode, um Nachrichten in Jabber-Chats zu verschlüsseln. (Instant Messenger, Verschlüsselung) Der ganze Artikel: Jabber-Verschlüsselung: Sicherheitslücke…

Facebook: Landgericht likt den Datenschutz

Sieg für Verbraucherschützer: Wer Facebooks Like-Button auf seiner Website integriert, muss seinen Besuchern erklären, dass Facebook darüber Nutzerdaten sammelt. (Facebook, Soziales Netz) Der ganze Artikel: Facebook: Landgericht likt den Datenschutz

Jailbreak: Linux auf der Playstation 4 für alle

Das Hackerkollektiv Fail0verflow hat die Dateien veröffentlicht, mit denen jedermann Linux auf der Playstation 4 installieren kann – fortgeschrittene Hardware- und Programmierkenntnisse vorausgesetzt. (Playstation 4, Sony) Der ganze Artikel: Jailbreak: Linux auf der Playstation 4 für alle

Security: Erste funktionierende Ransomware für Mac ist im Umlauf

Die Ransomware Keranger hat am Wochenende die Rechner von Mac-Nutzern befallen. Die Malware verschlüsselt die Dateien der Nutzer und umgeht Apples Gatekeeper-Schutz. Verteilt wurde der Schadcode über ein beliebtes Filesharing-Programm. (Malware, Virus) Der ganze Artikel: Security: Erste funktionierende Ransomware für…

Ransomware: Die verschlüsselte Stadt, die zahlte

Die Computer einer unterfränkischen Stadt sind durch Ransomware lahmgelegt worden. Die Verantwortlichen entschieden sich, die geforderten Bitcoin zu zahlen – mit Hilfe einer "Fachfirma". (Verschlüsselung, Internet) Der ganze Artikel: Ransomware: Die verschlüsselte Stadt, die zahlte

Google: Chrome 49 scrollt flüssiger

Pünktlich im Sechs-Wochen-Rhythmus hat Google seinen Browser Chrome in Version 49 veröffentlicht. Herausragende Änderungen sind flüssigeres Scrollen, bessere Datenkompression und Custom CSS für Webentwickler. (Chrome, Google) Der ganze Artikel: Google: Chrome 49 scrollt flüssiger

US-Cryptowars: „Backdoors sind der Pfad zur Hölle“

Die US-Justizministerin glaubt an sichere Backdoors, während Microsofts Chefjurist darin den "Pfad zur Hölle sieht". Auf der RSA-Konferenz wurde eifrig über Hintertüren und Ermittlungsstrategien gestritten. (RSA 2016, Apple) Der ganze Artikel: US-Cryptowars: „Backdoors sind der Pfad zur Hölle“

Apple: Touch-ID lässt sich mit Knete austricksen

Apples Fingerabdrucksensor Touch-ID kann mit Play-Doh hereingelegt werden. Der Angreifer muss allerdings den Fingerabdruck des Opfers abformen, um eine Negativform für die Knete zu bauen. (iPhone, Mobil) Der ganze Artikel: Apple: Touch-ID lässt sich mit Knete austricksen

Security: Angebliche Locky-Warnung vom BKA ist ein Trojaner

Die Angst vor Locky wird jetzt offenbar von Kriminellen ausgenutzt. In einer angeblich vom Bundeskriminalamt stammenden Mail wird vor dem Kryptotrojaner gewarnt und ein Werkzeug zur Entfernung angeboten – das selbst Malware enthält. (Malware, Virus) Der ganze Artikel: Security: Angebliche…

Google: Gmail durchsucht Bilder nach sicherheitsrelevanten Daten

Unternehmen müssen vorsichtig sein, welche Daten sie per E-Mail verschicken – sicherheitsrelevante Informationen sollten nicht versehentlich versendet werden. Google hat die Gmail-Funktion zur Verhinderung derartiger Leaks verbessert: Jetzt werden auch Bilder überprüft. (Gmail, Google) Der ganze Artikel: Google: Gmail durchsucht…

Kryptographie-Preis: Alan Turing Award für Diffie und Hellmann

Die Association for Computing Machinery zeichnet zwei bedeutende Krytographen für ihr Lebenswerk aus: Whitfield Diffie und Martin Hellman bekommen die renommierte Auszeichnung für ihre Beiträge zur asymmetrischen Kryptographie. (Alan Turing, Verschlüsselung) Der ganze Artikel: Kryptographie-Preis: Alan Turing Award für Diffie…

Cachebleed-Angriff: CPU-Cache kann private Schlüssel verraten

Forschern ist es gelungen, RSA-Verschlüsselungsoperationen von OpenSSL mittels eines Cache-Timing-Angriffs zu belauschen und so den privaten Key zu knacken. Der Cachebleed-Angriff nutzt dabei Zugriffskonflikte auf den Cache-Speicher. (OpenSSL, Prozessor) Der ganze Artikel: Cachebleed-Angriff: CPU-Cache kann private Schlüssel verraten

Streit um Whatsapp Daten: Facebook-Manager in Brasilien festgenommen

Ein Facebook-Manager wurde in Brasilien festgenommen, weil Whatsapp sich weigert, einer richterlichen Anordnung nachzukommen. Das Unternehmen soll Gesprächsverläufe von Drogenhändlern herausgeben. (Whatsapp, Verschlüsselung) Der ganze Artikel: Streit um Whatsapp Daten: Facebook-Manager in Brasilien festgenommen

Bleichenbacher-Angriff: Drown entschlüsselt mit uraltem SSL-Protokoll

Kein moderner Browser unterstützt das alte SSL-Protokoll Version 2. Trotzdem kann es zum Sicherheitsrisiko werden, solange Server es aus Kompatibilitätsgründen unterstützen. Es muss nicht einmal derselbe Server sein. (SSL, Technologie) Der ganze Artikel: Bleichenbacher-Angriff: Drown entschlüsselt mit uraltem SSL-Protokoll

iPhone-Streit: Apple gewinnt ein bisschen

Im Streit um das iPhone des Terroristen Farook bekommt Apple indirekt Rückendeckung von einem US-Bundesrichter. Vorbei ist der Streit damit aber noch nicht. Außerdem will Apple seine Position vor dem US-Kongress begründen. (Apple, iPhone) Der ganze Artikel: iPhone-Streit: Apple gewinnt…

Privatsphäre: Klage der Verbraucherschützer gegen Windows 10

Microsoft soll dem Nutzer klarer anzeigen, welche Einwilligung in Datenerhebung und -nutzung für alle Funktionen und Dienste von Windows 10 gefordert wird. Denn ohne diese Zustimmung kann das Update nicht installiert werden. (Windows 10, Microsoft) Der ganze Artikel: Privatsphäre: Klage…

NFC: Was Apple Pay nicht schafft, soll der Nahverkehr bringen

Apple Pay hat nicht gereicht: Jetzt startet der Halbleiterhersteller NXP ein Projekt, um den Funkstandard NFC und das Sicherheitsmodul Secure Element endlich zu etablieren – im öffentlichen Nahverkehr. (NFC, RFID) Der ganze Artikel: NFC: Was Apple Pay nicht schafft, soll…

BND-Auslandsüberwachung: Der kurze Sommer der Weltraumtheorie

Warum sollen für die BND-Abhöranlage in Bad Aibling keine deutschen Gesetze gelten? Nach zahlreichen Sitzungen des NSA-Ausschusses werden die juristischen Tricksereien von Geheimdienst und Regierung verständlich. Sogar ohne Verschwörungstheorie. (NSA, Datenschutz) Der ganze Artikel: BND-Auslandsüberwachung: Der kurze Sommer der Weltraumtheorie

Streit mit FBI: Apple will in seinem Code nicht lügen

Verfassungswidrig und gefährlich nennt Apple die Aufforderung der Regierung, bei der Entschlüsselung des iPhones eines Terroristen zu helfen. Der Konzern beruft sich darauf, dass Code der Meinungsfreiheit unterliegt. (Apple, iPhone) Der ganze Artikel: Streit mit FBI: Apple will in seinem…

Überwachung: Regierung schaut US-Auftragsfirmen genauer auf die Finger

Wenn US-Unternehmen für die US-Armee in Deutschland arbeiten, erhalten sie wirtschaftliche Privilegien. Nach den Enthüllungen von Edward Snowden hat die Regierung die Prüfung der Firmen deutlich verschärft. (NSA, Datenschutz) Der ganze Artikel: Überwachung: Regierung schaut US-Auftragsfirmen genauer auf die Finger

Werbe-Targeting: Mit vier Apps können Nutzer identifiziert werden

Die Liste der auf dem Smartphone installierten Apps ist persönlich – und kann viel über die Nutzer aussagen. Forscher haben jetzt untersucht, wie gut sich einzelne Nutzer mit diesen Informationen identifizieren lassen. (Smartphone, Datenschutz) Der ganze Artikel: Werbe-Targeting: Mit vier…

Ransomware: Locky kommt jetzt auch über Javascript

Eine Spam-Kampagne verteilt die Locky-Ransomware jetzt auch über Javascript-Anhänge in E-Mails – die angeblich von einem Wursthersteller kommen. (Trojaner, Virus) Der ganze Artikel: Ransomware: Locky kommt jetzt auch über Javascript

Bethesda: Beta-Patch 1.4 für Fallout 4

Weitere Gegenstände für den Workshop, dazu Fehlerkorrekturen und Unterstützung für die Addons: Bethesda hat für die PC-Version von Fallout 4 einen neuen Beta-Patch auf Version 1.4 veröffentlicht. (Fallout 4, Rollenspiel) Der ganze Artikel: Bethesda: Beta-Patch 1.4 für Fallout 4

Streit um Terroristen-iPhone: Die iCloud ist nicht genug

Der Streit um das iPhone des Terroristen von San Bernadino verleitet alle Seiten zu vielerlei Spekulationen. Forensik-Experten schlagen weitere Verfahren vor, um Daten zu extrahieren. Und der FBI-Chef empfiehlt: "Einfach mal durchatmen". (iPhone, Apple) Der ganze Artikel: Streit um Terroristen-iPhone:…

Security: Backdoor in Linux-Mint-ISOs

Die Webseite der beliebten Linux-Distribution Linux Mint wurde am Wochenende offenbar kurzfristig übernommen – mindestens einen Tag lang verteilte die Webseite ein kompromittiertes Installations-Image mit Malware. Außerdem wurden Nutzerdaten kopiert. (Linux Mint, Virus) Der ganze Artikel: Security: Backdoor in Linux-Mint-ISOs

Security: Rätselhafter Anstieg von Tor-Adressen

Ein ungewöhnlicher Anstieg von .onion-Adressen im Tor-Netzwerk gibt zurzeit Rätsel auf. Grund für den Anstieg könnte eine neue Messaging-App sein – oder Malware. (TOR-Netzwerk, Virus) Der ganze Artikel: Security: Rätselhafter Anstieg von Tor-Adressen

Privilege Escalation: Schon wieder Sicherheitslücke bei Comodo

Ein unsicheres Standardpasswort in der Comodo-Internet-Security-Suite ermöglicht es Angreifern, ihre Rechte zu erweitern, um beliebige Programme auszuführen. Auf dem Rechner selbst – aber möglicherweise auch aus der Ferne. (Comodo, Google) Der ganze Artikel: Privilege Escalation: Schon wieder Sicherheitslücke bei Comodo