Google Chrome blockiert ab Januar neue SHA-1-Zertifikate

Uhr von Florian Kalenda

Es lässt sich nicht von seinem Zeitplan abbringen: Nach seinen Recherchen sind mit Cloud-Ressourcen errechnete SHA-1-Collisions schon heute für kriminelle Organisationen erschwinglich. Das mit Microsoft und Mozilla abgestimmte endgültige Aus für SHA-1-Zertifikate - spätestens zum 1. Januar 2017 - erwägt Google auf den 1. Juli 2016 vorzuverlegen. » weiter

Authentifizierungslücke in Linux-Bootloader entdeckt

Uhr von Florian Kalenda

Um die Authentifizierung von GRUB2 zu umgehen, muss man nur 28-mal die Rücktaste drücken. Anschließend sind Booten etwa von einem USB-Stick oder ein Export der kompletten Festplatte möglich. Der Anwender benötigt physischen Zugriff aufs Gerät. Die meisten Linux-Distributionen sind angeblich anfällig. » weiter

Juniper schließt Hintertür in seinem Netzwerkbetriebssystem ScreenOS

Uhr von Björn Greif

Bei einer internen Prüfung hat der Netzwerkausrüster "nicht autorisierten" Code in ScreenOS entdeckt. Dieser ermöglicht Angreifern Administrator-Zugriff und das Belauschen von VPN-Verbindungen. Für die ScreenOS-Versionen 6.2.0r15 bis 6.2.0r18 sowie 6.3.0r12 bis 6.3.0r20 sind bereits Patches verfügbar. » weiter

Tobii-Eyetracker unterstützen Log-in mit Windows Hello

Uhr von Florian Kalenda

Dies gilt sowohl für die Notebook-Nachrüst-Lösung EyeX wie auch das für Integratoren gedachte Modul IS4. Sie erkennen das Gesicht des Anwenders und erlauben zusätzlich Maussteuerung mit den Augen. Auch kann sich der Bildschirm automatisch abdunkeln, sobald der Nutzer wegsieht. » weiter

21-jähriger Brite wegen Hackerangriff auf VTech verhaftet

Uhr von Stefan Beiersmann

Er soll sich unerlaubt Zugang zu Computern, Programmen und Daten verschafft haben. Die Ermittler beschlagnahmen auch mehrere elektronische Geräte des Mannes. VTech steht nach eigenen Angaben mit den Strafverfolgungsbehörden in Kontakt. » weiter

Studie: 33 Prozent aller Torrent-Server verbreiten Malware

Uhr von Florian Kalenda

Eine Infektion ist auch ohne tatsächlichen Download eines Torrents möglich - durch Malvertising. Angeblich sind Torrent-Sites ein Geschäft mit einem Jahresvolumen von 70 Millionen Dollar. Auftraggeber der Studie war die Digital Citizens Alliance, die als Lobby-Organisation der Filmindustrie gilt. » weiter

Lenovo schließt Zero-Day-Lücken im Lenovo Solution Center

Uhr von Stefan Beiersmann

Zwei Schwachstellen ermöglichen das Ausführen von Schadsoftware mit Systemrechten. Sie stecken im Hintergrunddienst des Lenovo Solution Center. Außerdem sind die Versionen 2.8.005 sowie 3.2.0001 und früher auch anfällig für Cross-Site Request-Forgery. » weiter

Microsoft warnt vor „versehentlich offengelegtem“ Xbox-Live-Zertifikat

Uhr von Florian Kalenda

Mit dem Private Key könnten Kriminelle sich als die Domain xboxlive.com ausgeben und etwa Zugangs- oder Zahlungsdaten stehlen. Das scheint Microsoft zufolge nicht der Fall. Es hat dem Zertifikat das Vertrauen entzogen. Sicherheitsforscher sind jedoch irritiert, wie es zu dem Vorfall kommen konnte. » weiter

Symantec will Passwörter durch biometrische Sicherheitsfunktionen ersetzen

Uhr von Björn Greif

Innerhalb des nächsten Jahres sollen Sicherheitslösungen erscheinen, die Biometrie, dynamische Schlüssel oder Geolokalisierung zur Authentifizierung verwenden. Mit VIP Everywhere will Symantec beispielsweise sein Produkt Validation and ID Protection um Ende-zu-Ende-Authentifizierung erweitern. » weiter

Adobe stopft 77 Löcher in Flash Player

Uhr von Stefan Beiersmann

Sie stecken auch in den Plug-ins, die Microsoft und Google in ihre Browser integrieren. Ein Angreifer könnte die vollständige Kontrolle über ein betroffenes System übernehmen. Darüber hinaus sind Air für Windows, OS X und Android sowie Air SDK und Compiler anfällig. » weiter

Besucher von Dailymotion waren Exploitkit Angler ausgesetzt

Uhr von Florian Kalenda

Das Videoportal registriert 128 Millionen Besucher pro Monat. Die Angreifer hatten den Werbeplatz regulär bei WWWPromoter ersteigert. Ihre unscheinbar wirkende Anzeige tarnte sich gegenüber Sicherheitsforschern und Webcrawlern. Auch wurde kein User mehr als einmal angegriffen. » weiter