Über eine Million WordPress-Sites von SQL-Injection-Lücke bedroht

Uhr von Björn Greif

Sie steckt laut der Sicherheitsfirma Sucuri in dem Analytics-Plug-in Slimstat 3.9.5 oder früher. Angreifer können die Schwachstelle ausnutzen, um die Kontrolle über eine Website zu übernehmen. Insgesamt wurde die Erweiterung mehr als 1,3 Millionen Mal heruntergeladen. » weiter

Kritische Samba-Lücke gepatcht

Uhr von Stefan Beiersmann

Sie steckt in den Versionen 3.5.0 bis 4.2.0rc4. Ein Angreifer kann mithilfe speziell präparierter Pakete Schadcode auf einem Samba-Server ausführen. Patches liegen unter anderem für die Linux-Distributionen Ubuntu, Debian, Fedora und Suse sowie Red Hat Enterprise Linux vor. » weiter

Gefälschte Amazon-Mails mit korrekten Adressdaten im Umlauf

Uhr von Björn Greif

Mit den personalisierten Phishing-Nachrichten versuchen Kriminelle, an die Kontoinformationen der Empfänger zu kommen. Der Betreff der angeblich von service@amazon.de stammenden Mails lautet "Wichtig: Lastschriftmandat bestätigen". Ein enthaltener Link führt zu einer gefälschten Anmeldeseite. » weiter

Superfish-Adware: Lenovo wegen betrügerischer Geschäftspraktiken verklagt

Uhr von Stefan Beiersmann

Die auf Lenovo-Laptops vorinstallierte Adware soll die Privatsphäre der Klägerin verletzt haben. Lenovo soll zudem Daten über die Internutzung seiner Kunden gesammelt haben, um Geld zu verdienen. Lenovo-CTO Peter Hortensius entschuldigt sich indes in einem offenen Brief für den Einsatz der Adware. » weiter

Avast bringt kostenlose Sicherheitslösung für KMUs

Uhr von Kai Schmerer

Der plattformübergreifende Managed-Security-Dienst "Avast Free Business Security" wird in der Cloud betrieben. Über ein Dashboard erhalten Anwender Informationen zum aktuellen Sicherheitsstatus des gesamten Unternehmens. Eine mobile Version für den Einsatz in BYOD-Umgebungen soll in der zweiten Jahreshälfte verfügbar sein. » weiter

Sicherheitsanbieter Comodo hebelt Zertifikatsvalidierung aus

Uhr von Kai Schmerer

Das Browser-Plug-in PrivDog greift ähnlich wie Superfish in die verschlüsselte Verbindung zweier Computer ein. Dafür installiert es ein Stammzertifikat und ersetzt zudem andere Zertifikate - auch wenn diese nicht gültig sind. Dadurch ist eine sichere Kommunikation nicht mehr gewährleistet. » weiter

Sicherheitslücken 2014: OS X und iOS am häufigsten betroffen

Uhr von Bernd Kling

Das geht aus einer Auswertung von GFI Software auf Basis von Zahlen der National Vulnerability Database hervor. 2014 wurden 7038 neue Sicherheitslücken in diese Datenbank der US-Regierung aufgenommen. Ihre Anzahl ist deutlich höher als 2013 und führt damit den Anstiegstrend fort. » weiter

Windows Defender löscht Superfish [UPDATE]

Uhr von Kai Schmerer

Die aktualisierte Version von Microsofts Anti-Malware-Programm löscht die Adware und das dazugehörige Stammzertifikat. Firefox-Anwender müssen aufgrund der integrierten Zertifikatsverwaltung des Mozilla-Browsers das Zertifikat manuell löschen oder das inzwischen von Lenovo veröffentlichte Uninstaller-Programm nutzen. » weiter

Lenovo will Tool zum Entfernen von Superfish veröffentlichen

Uhr von Bernd Kling

Der Chief Technology Officer von Lenovo spielt die Sicherheitsrisiken immer noch als "theoretische Probleme" herunter. Dennoch kündigt er die kurzfristige Bereitstellung eines Tools zur vollständigen Entfernung der Adware an. Eine einfache Deinstallation behebt die Gefährdung nicht, da das gleichzeitig installierte Root-Zertifikat zurückbleibt. » weiter

Google Cloud Security Scanner prüft Web-Apps auf Sicherheitslücken

Uhr von Björn Greif

Er soll zwei Arten gängiger Schwachstellen erkennen können: Cross-Site-Scripting und gemischte Inhalte. Laut Google eignet sich das Tool auch für Web-Anwendungen, die viel HTML 5 und JavaScript verwenden. Allerdings empfiehlt es zusätzlich noch eine manuelle Überprüfung. » weiter

Sicherheitsrisiko: Lenovo liefert PCs mit Adware aus

Uhr von Bernd Kling

Superfish Visual Discovery wurde seit Mitte letzten Jahres auf Notebooks des chinesischen Herstellers vorinstalliert. Durch ein eigenes Root-Zertifikat kompromittiert die Software die Verbindungsdaten verschlüsselter Websites und schleust zusätzliche Werbung ein. Das Zertifikat könnte auch von bösartigen Hackern für Man-in-the-Middle-Angriffe benutzt werden. » weiter

Dr. Web entdeckt multifunktionalen Linux-Trojaner

Uhr von Rainer Schneider

Das Security-Unternehmen schreibt die "Linux.BackDoor.Xnote.1" genannte Malware der Hackergruppe ChinaZ zu. Die Cyberkriminellen verwenden demnach die SSH-Verbindung, um Malware auf Linux-Systemen einzuschleusen. Die Backdoor soll unter anderem Kommandos von Befehlsservern entgegennehmen und DDoS-Angriffe initiieren können. » weiter

Facebook startet ThreatExchange

Uhr von Florian Kalenda

Firmen können sich dort über Bedrohungen austauschen. Zum Start machen Bitly, Dropbox, Pinterest, Tumblr, Twitter und Yahoo mit. Parallel hat die Google-Tochter VirusTotal zusammen mit Microsoft 6000 False Positives in Antivirenprogrammen identifiziert. » weiter

HP übernimmt Verschlüsselungsspezialisten Voltage Security

Uhr von Florian Kalenda

Seine Technik soll HPs letztes Jahr eingeführtes Atalla ergänzen. Zielgruppe sind exponierte Firmen, die aufgrund ihres Geschäftsmodells wichtige Daten in der Cloud haben müssen - etwa in Form eines Bezahlsystems oder für Hadoop-Analyse. » weiter

Samsung warnt: Smart-TVs hören auch Privatgespräche mit

Uhr von Björn Greif

Außer Seh- und Nutzungsgewohnheiten sowie Hardware- und Browserdaten werden bei aktivierter Spracherkennung auch alle Gespräche aufgezeichnet, die Anwender in der Nähe des Fernsehers führen. Die gesammelten Daten werden dann verschlüsselt an einen Drittanbieter übertragen. Wer das nicht wünscht, kann die Funktion abschalten. » weiter