Microsoft schließt erneut kritische Lücke in allen Windows-Versionen

von Stefan Beiersmann

Sie steckt in der Microsoft-Grafikkomponente Win32k. Weitere Patches verteilt Microsoft für Office, Skype for Business, Lync sowie seine Browser Internet Explorer und Edge. Der April-Patchday bringt aber auch einen Fix für eine schon vor drei Wochen angekündigte Lücke im Samba-Server. weiter

Microsoft macht Cloud App Security Service allgemein verfügbar

von Björn Greif

Mit ihm können Unternehmen in ihrem Netzwerk eingesetzte Cloudanwendungen identifizieren, überwachen und absichern. Die zugrunde liegende Technik stammt von Adallom, das Microsoft im September übernommen hatte. Der abobasierte Service kostet 5 Dollar pro Nutzer und Monat. weiter

Featured Whitepaper

Sidestepper: Sicherheitslücke hebelt iOS Gatekeeper aus

von Stefan Beiersmann

Die Kommunikation zwischen iOS-Geräten und MDM-Lösungen ist anfällig für Man-in-the-Middle-Angriffe. Das wiederum erlaubt das Einschleusen bösartiger Unternehmens-Apps. Ein Angreifer muss allerdings einen Nutzer zur Installation eines manipulierten Konfigurationsprofils verleiten. weiter

Microsoft Office 2016 kann jetzt makrobasierte Malware blockieren

von Björn Greif

In den Gruppenrichtlinien lassen sich neuerdings szenarioabhängige Regeln festlegen, um Makros zu sperren und eine erneute Aktivierung durch den Anwender zu verhindern. Das gilt beispielsweise für aus Clouddiensten heruntergeladene Dokumente. Nutzer bekommen dann einen Warnhinweis angezeigt und können die "Geschützte Ansicht" nicht verlassen. weiter

Oracle veröffentlicht Notfall-Patch für Java SE

von Stefan Beiersmann

Anfällig sind Java SE 7 und 8 für Windows, Mac OS X, Linux und Solaris. Oracle stuft die bereits öffentlich bekannte Sicherheitslücke als kritisch ein. Ein Angreifer könnte die vollständige Kontrolle über ein betroffenes System übernehmen. weiter

Google, Microsoft und Yahoo wollen E-Mail-Versand sicherer machen

von Stefan Beiersmann

Sie setzen sich für die neue Technik SMTP Strict Transport Security ein. Sie soll Nachteile des derzeit verwendeten Verfahrens StartTLS beseitigen. Beispielsweise ist damit trotz voreingestellter Verschlüsselung ein Rückfall auf eine unverschlüsselte Verbindung möglich. weiter

Pwn2Own 2016: Hacker knacken auch Microsoft Edge

von Stefan Beiersmann

Sie nutzten zwei neu entdeckte Lücken im Windows-10-Browser aus. In Kombination mit ebenfalls zuvor unbekannten Windows-Schwachstellen erlauben sie das Ausführen von Schadcode. Insgesamt legten Teilnehmer im Lauf des zweitägigen Wettbewerbs 21 neue Anfälligkeiten offen. weiter

Sicherheitsforscher warnt vor Zero-Day-Lücke in Java SE

von Stefan Beiersmann

Betroffen sind die Versionen 7 Update 87 und 8 Update 74. Der Fehler soll auch in aktuellen Builds von Java 9 stecken. Konkret handelt es sich um ein Loch, das Oracle schon 2013 gestopft hat. Der Patch ist allerdings unvollständig und erlaubt weiterhin einen Sandbox-Bypass. weiter

Adobe schließt kritische Zero-Day-Lücke in Flash Player

von Stefan Beiersmann

Sie wird bereits für zielgerichtete Angriffe eingesetzt. Insgesamt stopft Adobe 23 Löcher in Flash Player. Sie stecken in allen unterstützten Versionen für Windows, Mac OS X und Linux sowie Adobe AIR für Windows, Mac OS X, iOS und Android. weiter

Adobe stopft kritische Löcher in Reader und Acrobat

von Stefan Beiersmann

Betroffen sind Reader DC und Acrobat DC sowie Reader und Acrobat XI. Ein Angreifer kann unter Umständen die vollständige Kontrolle über ein betroffenes System übernehmen. In den kommenden Tagen soll auch ein Sicherheitspatch für Flash Player zur Verfügung stehen. weiter

Amazon streicht Unterstützung für Verschlüsselung aus Fire OS

von Stefan Beiersmann

Sie ist nicht mehr Bestandteil des jüngsten Updates für Fire OS 5. Um die Verschlüsselung weiter nutzen zu können, müssen Besitzer von Fire-Tablets auf künftige OS-Updates verzichten. Amazon begründet den Wegfall mit einem geringen Interesse seiner Kunden. weiter

Cachebleed: Intel-Prozessoren geben SSL-Schlüssel preis

von Stefan Beiersmann

Davon betroffen sind in erster Linie CPUs der Sandy-Bridge-Generation. Die Überwachung von Cache-Zugriffen erlaubt es ihnen, 2048-Bit- und 4096-Bit-RSA-Schlüssel auszuspähen. OpenSSL verteilt bereits seit Anfang März einen Patch für die Lücke. weiter

HPE baut Sicherheitsportfolio für Mobile, Cloud und IoT aus

von Björn Greif

Neben einer Cyber-Referenzarchitektur als Teil seines Bedrohungsschutz-Service-Portfolios kündigte es auf der RSA Conference in San Francisco eine Mobilversion seiner datenzentrierten Sicherheitsplattform SecureData an. Letztere ist ab sofort weltweit verfügbar und soll einen Ende-zu-Ende-Schutz in Mobilanwendungen sicherstellen. weiter

Kaspersky startet Unternehmensservice zur Erkennung gezielter Angriffe

von Florian Kalenda

Zielgruppe sind Firmen mit mindestens 1000 Mitarbeitern. Sie erhalten eine mehrschichtige Sensor-Architektur für die Erkennung und eine Sandbox-Umgebung, um verdächtige Dateien ohne Risiko auszuführen. Die intelligente Analyse soll durch Abgleich mehrerer Algorithmen schnell zu präzisen Ergebnissen kommen. weiter

IBM kauft Response-Automatisierer Resilient Systems

von Florian Kalenda

Er vereinfacht gesetzeskonforme Reaktion auf Sicherheitsvorfälle. Die 100 Mitarbeiter werden Teil eines neuen Teams namens X-Force Incident Response Services. Resilient integriert sich seit einigen Monaten in IBMs QRadar-Framework. Weihin bekannt ist auch sein CTO Bruce Schneier. weiter