Intel VISA dient eigentlich der Fehleranalyse während der Produktion. Die Technik hat Zugriff auf die Kommunikation mit der CPU. Angreifer könnten indes beispielsweise Speicherinhalte auslesen. Die Forscher zeigen mehrere Methoden, um Intel VISA zu aktivieren und zu missbrauchen. weiter

Ein Sicherheitsforscher findet Zugangsdaten zu Asus-Systemen auf GitHub. Unter anderem erhält er Zugriff auf ein internes E-Mail-Konto, über das Nightly Builds von Treibern und Software verteilt werden. Asus sucht nun nach weiteren möglichen Datenlecks. weiter

Lockbox macht alle in Firefox gespeicherten Passwörter unter Android verfügbar. Die App übergibt Anmeldedaten auch an mobile Apps von Drittanbietern. Auch eine Authentifizierung per Fingerabdruck oder Gesicht ist möglich. weiter

Der Browser bezieht zusätzliche Software-Bibliotheken von eigenen Update-Servern. Das ist laut den Google-Richtlinien verboten. Zudem kommuniziert er unverschlüsselt mit den eigenen Servern. Der Anbieter UCWeb ignoriert das Problem offenbar. weiter

News+ ist zum Start nur in den USA und Kanada erhältlich. Apple spendiert zudem Safari und iTunes neue Funktionen. Die Schwachstellen erlauben indes unter anderem das Einschleusen und Ausführen von Schadcode. weiter

Das Update bringt auch neue Animojis und erweitert den Funktionsumfang von Apple Pay, Safari und Apple Music. Weitere Neuerungen betreffen die App Bildschirmzeit. Außerdem unterstützt iOS 12.2 nun die zweite Generation der AirPods. weiter

Unbekannte verteilen über Asus' eigene Update Server eine manipulierte Version der Software Asus Live Update. Kaspersky Lab spricht von bis zu einer Million Opfern. Die Operation ShadowHammer richtet sich jedoch nur gegen Nutzer mit vordefinierten MAC-Adressen. weiter

Betroffen ist das Design des Mobilfunkstandards sowie dessen Implementierung durch Chiphersteller, Mobilfunkanbieter und Netzwerkausrüster. Die Fehler finden sie mithilfe eines selbst entwickelten Fuzzing-Tools. Angreifer können Basisstationen stören oder Datenverkehr abhören. weiter

Neue kritische Schwachstellen legen die Teilnehmer auch in Edge, Windows und Firefox offen. An den ersten beiden Tagen schütten die Veranstalter Prämien in Höhe von 510.000 Dollar aus. Mehrfach übernehmen die Hacker die vollständige Kontrolle über ein System und führen Code sogar außerhalb einer virtuellen Maschine aus. weiter

Die Zahl der Betroffenen liegt offenbar im Bereich zwischen 200 und 600 Millionen. Es geht auch um Kennwörter von Instagram-Nutzern. Die unverschlüsselten Passwörter sind zum Teil jahrelang für Tausende Facebook-Mitarbeiter einsehbar. Facebook will bisher keine Anzeichen für einen Missbrauch gefunden haben. weiter

Es ist ein physischer Zugang zu einem Windows-Computer erforderlich. Der Forscher stellt eine feste Verbindung mit TPM-Modul eines PCs her und liest den Bitlocker-Schlüssel aus. Eine Pre-Boot-Authentifizierung schützt vor dem Angriff. weiter

Die Updates stehen zum Teil schon seit Monaten zur Verfügung. Auf die Schwachstellen macht Intel aber erst jetzt aufmerksam. Außerdem kündigt es aufgrund von Sicherheitsmängeln den Intel Matrix Storage Manager ab. weiter

Die Hintermänner nutzen ein legitimes Werbe-SDK zum Einschleusen von Schadcode. Die Entwickler der fraglichen Apps wissen nicht, dass das Werbe-SDK ihre Anwendungen zu Adware macht. Davon betroffen sind 210 im Google Play Store angebotene Apps. weiter

Darunter ist die von Google öffentlich gemachte Schwachstelle. Sie betrifft nur Windows 7 und Server 2008. Die zweite Zero-Day-Lücke bedroht auch Nutzer von Windows 10 und Server 2019. Insgesamt bringt der Patchday Fixes für 64 Anfälligkeiten. weiter

Zu den Betroffenen zählt auch Apple. Forscher entwickeln ein Tool, das Vanity-URLs zu Box-Freigaben aufspürt. Auf diese Art finden sie Finanzunterlagen, Passfotos, Mitarbeiterlisten, Gesprächsprotokolle und sogar Details zu technischen Prototypen. weiter

Drive-by-Downloads verstecken sich in für Anzeigen reservierten iFrames. Werbetreibende machen von der Funktion aber nur selten Gebrauch. Trotzdem soll Chrome solche Downloads künftig blockieren, wenn sie ohne Interaktion mit einem Nutzer erfolgen. weiter

Die Erpressersoftware ist seit rund zwei Monaten im Umlauf. Sie versieht die Dateien ihrer Opfer mit einer 128-Bit-AES-Verschlüsselung. Avast und Emisoft knacken das individuelle Passwort durch den Vergleich einer verschlüsselten Datei mit ihrem unverschlüsselten Original. weiter

Die ungesicherte MongoDB-Datenbank gehört dem Unternehmen Verifications.io. Sie enthält mehr als 800 Millionen eindeutige E-Mail-Adressen. Zu den E-Mail-Adressen liegen zum Teil auch Telefonnummern, IP-Adressen und Postleitzahlen vor. weiter

Forscher geben ein Registrierungssystem für Nutzer eines Sozialen Netzwerks in Auftrag. 18 von 43 freiberuflichen Entwicklern speichern die Kennwörter dabei im Klartext. Insgesamt setzen nur 17 auf als sicher geltende Verschlüsselungsverfahren. weiter

Die Täter erbeuten nicht näher genannte geschäftliche Dokumente. Laut Citrix gibt es keine Beweise für unerlaubte Zugriffe auf Software oder andere Produkte. Die Ermittlungen dauern noch an. Einem Medienbericht zufolge stecken iranische Hacker hinter dem Angriff. weiter

Hacker nutzen sie zusammen mit der kürzlich geschlossenen Zero-Day-Lücke in Chrome für zielgerichtete Angriffe. Google schließt nicht aus, dass sich der Windows-Bug auch mit Lücken in Browsern anderer Hersteller kombinieren lässt. Der Fehler steckt im Kerneltreiber Win32k.sys. weiter

Die meisten Vorfälle ereignen sich in Nordamerika und Asien. Auf die USA und China entfallen alleine 47 Prozent aller Datenverluste. Auch der Handel mit gestohlenen Daten steigt 2018 sprunghaft an. weiter

Die Schwachstelle steckt im Memory Order Buffer. Er ist für die Verwaltung von Speicheroperationen zuständig. Spectre-Patches schützen indes nicht vor Spoiler-Angriffen. Den Forschern zufolge betrifft das Problem Intel-CPUs aber der ersten Core-Generation. weiter

Der Geheimdienst setzt eine Ankündigung von Januar um. Bei Sicherheitsexperten stößt das Tool auf positive Resonanz. Die NSA versieht es mit Modulen für zahlreiche Prozessorarchitekturen und einer umfangreichen Dokumentation. weiter

Die Dienste setzen sowohl auf maschinelles Lernen als auch auf menschliche Expertise. Azure Sentinel und Threat Experts sollen Sicherheitsteams in großen Unternehmen unterstützen, um Bedrohungen entgegenzuwirken. weiter

Die Betreiber stellen den JavaScript basierten Dienst bereits am 8. März ein. Grund dafür ist unter anderem der Kursverfall bei Cryptowährungen. Das aus von Coinhive könnte auch einen Rückgang der Cryptojacking-Kampagnen bedeuten. weiter

Das Protokoll ist bereits in die aktuelle Beta von IOS 12.2 integriert. TLS 1.3 beschleunigt den Aufbau verschlüsselter Verbindungen und entfernt den Support für veraltete Verschlüsselungsalgorithmen. Die neue Version schützt zudem vor Downgrade-Angriffen. weiter

Der Angriff erfolgt mit speziell präparierten PDF-Dateien. Sie sind bereits seit Oktober 2017 in Umlauf. Google kennt das Problem seit Ende Dezember 2018. Ein Patch erscheint allerdings erst Ende April 2019. weiter

Sie nutzen dafür die schon durch Meltdown und Spectre bekannt gewordene spekulative Ausführung. Der Schadcode kann weder in der harmlosen App noch später im Speicher entdeckt werden. Software-Patches halten die Forscher zudem für wirkungslos. weiter

Betroffen sind vor allem ab 2011 gefertigte Macs. Ein Designfehler gibt Peripheriegeräten Zugriff auf den Arbeitsspeicher. Forscher umgehen mit einem Angriff zudem die für diesen Zweck entwickelte Sicherheitsfunktion IOMMU. weiter