Oracle stopft kritische Löcher in Java SE und MySQL

Uhr von Stefan Beiersmann

Der April-Patchday bringt Fixes für neun Java-Lücken. Eine davon erlaubt das Einschleusen von Schadcode aus der Ferne ohne Interaktion mit einem Nutzer. In seinen anderen Produkten schließt Oracle weitere 127 Sicherheitslücken. » weiter

Kurz-URLs von Clouddiensten geben persönliche Dateien preis

Uhr von Stefan Beiersmann

Betroffen sind Kurz-URLs von Drittanbietern wie Bit.ly und auch die eigenen Angebote der Cloudprovider. Zu kurze URL-Tokens erlauben es, die ursprünglichen URLS zu erraten. Im Test erzielen Sicherheitsforscher eine Trefferquote von mehr als 40 Prozent. » weiter

Banking-Trojaner GozNym verursacht Millionenschaden

Uhr von Bernd Kling

Angreifer verschmelzen den Code von zwei Trojanern zu einer noch gefährlicheren Malware. Innerhalb von Tagen erbeuten sie Millionen Dollar von über 24 amerikanischen und kanadischen Banken. Zu GozNym kombiniert wurde der zweistufige Malware-Dropper Nymaim mit Code des Trojaners Gozi ISFB, der Bank-Anmeldedaten abfängt. » weiter

Kaspersky: Hacker stehlen Benzin und Kohle im großen Stil

Uhr von Bernd Kling

Hacker helfen kriminellen Banden, indem sie industrielle Steuerungssysteme kompromittieren. Die Sicherheitsfirma beobachtet eine Zunahme von Attacken auf SCADA-Systeme. Kaspersky hält es für eine Frage der Zeit, bis auch Terroristen unsichere Industriesysteme nutzen, um kritische nationale Infrastruktur durch Cyberangriffe zu beschädigen. » weiter

Gefälschtes Flash-Update bedroht Mac-Anwender

Uhr von Bernd Kling

Ein bösartiger Installer gibt sich als Update für Flash Player aus, installiert aber tatsächlich unerwünschte Software. Es handelt sich um eine Variante von OSX/InstallCore, der vor zwei Monaten Scareware verbreitete. Apples integrierten Malwareschutz Gatekeeper umgehen die Angreifer mit einem gültigen Entwicklerzertifikat. » weiter

Kostenlose SSL-Zertifikate: Let’s Encrypt verlässt Betaphase

Uhr von Björn Greif

Seit dem Start der Beta im September 2015 hat es nach eigenen Angaben über 1,7 Millionen Zertifikate für mehr als 3,8 Millionen Websites ausgestellt. Außer dem Ende der Betaphase gab die freie Zertifizierungsstelle auch bekannt, neue Sponsoren gefunden zu haben. » weiter

Badlock-Schwachstellen in Samba und Windows gepatcht

Uhr von Björn Greif

Die vor drei Wochen bekannt gewordenen Lücken erlauben es Angreifern, mittels Man-in-the-Middle-Angriffen Passwörter und andere vertrauliche Daten auf einem anfälligen Server auszuspähen. Betroffen sind vor allem Windows-Server, auf denen Samba läuft, aber auch nahezu jede Linux-Distribution, die Samba enthält. » weiter

Microsoft schließt erneut kritische Lücke in allen Windows-Versionen

Uhr von Stefan Beiersmann

Sie steckt in der Microsoft-Grafikkomponente Win32k. Weitere Patches verteilt Microsoft für Office, Skype for Business, Lync sowie seine Browser Internet Explorer und Edge. Der April-Patchday bringt aber auch einen Fix für eine schon vor drei Wochen angekündigte Lücke im Samba-Server. » weiter

HPE-Studie: So landen mit gestohlenen Karten gekaufte Waren in Osteuropa

Uhr von Florian Kalenda

Mittelsmänner werden auch in Deutschland mit dem Versprechen lukrativer Heimarbeit geworben. In den USA mit gestohlenen Kartendaten gekaufte Waren sollen sie in Länder wie Russland und Ukraine weitersenden, wohin diese sonst nicht geliefert werden. Der Versand wird über Websites koordiniert. » weiter

Verschlüsselung der Ransomware Petya geknackt

Uhr von Björn Greif

Mit einem auf GitHub veröffentlichten Tool lässt sich das zum Entschlüsseln benötigte Passwort generieren. Dazu müssen jedoch einige Datenfragmente manuell per Hex-Editor ausgelesen werden. Letztlich gelangen Opfer auf diese Weise auch ohne Lösegeldzahlung wieder an ihre Daten. » weiter

US-Gesetzentwurf kriminalisiert Verschlüsselung

Uhr von Bernd Kling

Die Vorlage aus dem Geheimdienstausschuss verlangt, dass auf gerichtliche Anordnung hin Informationen und Daten "in lesbarer Form" vorzulegen sind. Auch die Mitwirkungspflicht von Firmen soll verschärft werden. Sicherheitsexperten kritisieren den Entwurf als ebenso widersinnig wie gefährlich. » weiter

Zum Spamversand genutztes Linux-Botnetz Mumblehard zerschlagen

Uhr von Björn Greif

Die gleichnamige Malware suchte gezielt anfällige Server, um sie zum massenhaften Versand von Spam-Mails zu missbrauchen. In einer Gemeinschaftsaktion gelang dem Computer-Notfallteam des BSI, der Cybercrime-Einheit der ukrainischen Polizei, dem CyS Centrum und dem Sicherheitsanbieter Eset die Abschaltung. » weiter