Sicherheit

Ein Sicherheitsforscher hat heute Details und Proof-of-Concept-Code für eine Zero-Day-Schwachstelle im Internet Explorer veröffentlicht, die es Hackern ermöglichen kann, Dateien von Windows-Systemen zu stehlen. weiter

Zwei Sicherheitsforscher haben insgesamt fünf Schwachstellen in WPA3 entdeckt. Vier davon können zur Wiederherstellung von Benutzerpasswörtern verwendet werden. Neben WPA3 betreffen die Dragonblood-Schwachstellen auch das Extensible Authentication Protocol (EAP-pwd), das in den bisherigen Wi-Fi-Authentifizierungsstandards WPA und WPA2 unterstützt wird. weiter

Social Engineering gilt heute als eine der größten Sicherheitsbedrohungen für Unternehmen. Im Erfolgsfall ermöglichen viele Social-Engineering-Angriffe einen legitimen, autorisierten Zugriff auf vertrauliche Informationen. weiter

Mit der Übernahme der schweizerischen QuoVadis erweitert Digicert sein Europageschäft. Außerdem investiert der Dienstleister derzeit viel in Forschung und Entwicklung und hat im vergangenen Jahr neue Rechenzentren gebaut und vorhandene modernisiert. weiter

Laut Check Point geschieht ein Update der Virensignaturen über eine ungesicherte HTTP-Verbindung. Problematisch erweist sich die Verwendung von SDKs mehrerer Anbieter, die zusätzliche Gefahren bergen können. weiter

Sicherheitsforscher finden über 540 Millionen Datensätzen von Facebook-Anwendern auf frei zugänglichen AWS-Servern. Sie stammen von Drittanbieter-Apps, denen Facebook Zugriff auf bestimmte Informationen seiner Nutzer gewährt. weiter

Laut der von der britischen Regierung veröffentlichten Cyber Security Breaches Survey 2019 sind Phishing-Angriffe die häufigste Art von Cyberangriffen. Attacken mit Ransomware oder anderer bösartiger Software sind in den letzten Jahren erheblich zurückgegangen. weiter

Intel VISA dient eigentlich der Fehleranalyse während der Produktion. Die Technik hat Zugriff auf die Kommunikation mit der CPU. Angreifer könnten indes beispielsweise Speicherinhalte auslesen. Die Forscher zeigen mehrere Methoden, um Intel VISA zu aktivieren und zu missbrauchen. weiter

Darunter sind Anwendungen von Banken wie Bank of America und Bank of Scotland. Gustuff stiehlt Anmeldedaten und führt sogar automatisch Transaktionen aus. Wie andere Schadprogramme auch bedient er sich dafür der Android-Bedienungshilfen. weiter

Ein Sicherheitsforscher findet Zugangsdaten zu Asus-Systemen auf GitHub. Unter anderem erhält er Zugriff auf ein internes E-Mail-Konto, über das Nightly Builds von Treibern und Software verteilt werden. Asus sucht nun nach weiteren möglichen Datenlecks. weiter

Lockbox macht alle in Firefox gespeicherten Passwörter unter Android verfügbar. Die App übergibt Anmeldedaten auch an mobile Apps von Drittanbietern. Auch eine Authentifizierung per Fingerabdruck oder Gesicht ist möglich. weiter

Unbekannte verteilen über Asus' eigene Update Server eine manipulierte Version der Software Asus Live Update. Kaspersky Lab spricht von bis zu einer Million Opfern. Die Operation ShadowHammer richtet sich jedoch nur gegen Nutzer mit vordefinierten MAC-Adressen. weiter

Die Forscher Amat Cama und Richard Zhu erhalten als Prämie 35.000 Dollar und den gehackten Tesla Model 3. Sie führen Schadcode in der Firmware des Fahrzeugs aus. Mozilla ist indes der erste Anbieter, der einen Patch für eine bei Pwn2Own 2019 demonstrierte Anfälligkeit veröffentlicht. weiter

Neue kritische Schwachstellen legen die Teilnehmer auch in Edge, Windows und Firefox offen. An den ersten beiden Tagen schütten die Veranstalter Prämien in Höhe von 510.000 Dollar aus. Mehrfach übernehmen die Hacker die vollständige Kontrolle über ein System und führen Code sogar außerhalb einer virtuellen Maschine aus. weiter

Die Zahl der Betroffenen liegt offenbar im Bereich zwischen 200 und 600 Millionen. Es geht auch um Kennwörter von Instagram-Nutzern. Die unverschlüsselten Passwörter sind zum Teil jahrelang für Tausende Facebook-Mitarbeiter einsehbar. Facebook will bisher keine Anzeichen für einen Missbrauch gefunden haben. weiter

Die schwerste vom EU-Bug-Bounty-Programms entdeckte Sicherheitslücke betraf allerdings nur eine Entwicklerversion von Putty. Da Teile von Putty auch in Drittanbieter-Anwendungen wie Filezilla oder Winscp verwendet werden, sollten diese durch aktualisierte Varianten, die die Schwachstellen schließen, ersetzt werden. weiter