Ein Sicherheitsforscher informierte die Auktionsplattform am 11. Dezember vertraulich über die Schwachstelle. Sie hätte potentiell Millionen Nutzer Phishing-Kampagnen und Passwort-Diebstahl aussetzen können. Ebay reagierte jedoch erst, als ein Medienbericht angekündigt wurde. weiter
In den USA geben sich Betrüger als Support-Mitarbeiter von Dell aus und versuchen Kunden am Telefon zur Installation einer Fernwartungssoftware zu überreden. Statt ein vermeintliches Problem zu lösen, stehlen sie dann deren Daten. Offenbar verfügen sie über korrekte Informationen wie Serien-, Modell- und Support-Ticket-Nummern. weiter
Ein Unbekannter mit dem Pseudonym "Cracka" leitete eine private Rufnummer Clappers um und gab Daten wie Telefonnummern aus seinem Kontaktverzeichnis heraus. Der Angreifer gehört der Gruppe an, die 2015 erfolgreich CIA-Direktor John Brennan hackte. Die Regierung bestätigt den Vorfall. weiter
Der Januar-Patchday bringt insgesamt neun Sicherheitsupdates. Sechs davon stopfen kritische Löcher in Internet Explorer, Edge, Office, und Windows. Heute endet zudem der Mainstream-Support für Windows 7. weiter
In einem jetzt bekannt geworden Fall wurden entschlüsselte E-Mails als Beweismittel in einem Drogenprozess eingesetzt. Die niederländische Polizei nutzt zur Entschlüsselung Technik des israelischen Unternehmens Cellebrite. Sie wird offenbar auch in den USA und Großbritannien eingesetzt. weiter
Kriminelle wollen so an die Kontoinformationen der Empfänger gelangen. Offenbar verfügen sie über einen anderswo entwendeten Adressbestand. Die Nachrichten weisen auf ein angebliches Problem bei einem Online-Einkauf hin. Ein Link zur Stornierung der Transkation führt zu einer Phishing-Seite. weiter
Das Interesse ist gering und seit zwei Jahren kein Wachtum zu sehen. Nun will Mozilla die nötigen Server nicht mehr bereitstellen: "Einen Dienst mit dem für ein Authentifizierungssystem notwendigen Level an Sicherheit und Verfügbarkeit zu hosten, ist keine kleine Sache." weiter
Sie erlaubte es Angreifern, sich Zugang zu Benutzerkonten und persönlichen Daten zu verschaffen. OAuth kommt bei vielen Angeboten zum Einsatz, die etwa eine Autorisierung via "Log-in mit Facebook" oder "Anmelden mit Google" durchführen. Inzwischen wurde die Schwachstelle behoben. weiter
Ein Angreifer kann unter Umständen Schadcode einschleusen und ausführen. Tavis Ormandy zufolge gibt der Passwortmanager zudem gegenüber Unbefugten alle Passwörter preis. Es liegt inzwischen zwar ein Patch vor, Ormandy stuft das Tool aber weiterhin als unsicher ein. weiter
Modelle, auf denen noch nicht FritzOS 6.30 oder neuer läuft, sind anfällig für Remotecodeausführung über einen Pufferüberlauf. Angreifer können so den Datenverkehr mithören oder sogar auf Kosten des Nutzers telefonieren. Anwender sollten die Router-Firmware daher umgehend aktualisieren. weiter
Dritte könnten durch Ausnutzen der vom Sicherheitsforscher Hanno Heinrichs entdeckten Schwachstelle auf Kosten von O2-Kunden mit VoIP-Anschlüssen telefonieren. O2 sind aber bislang keine solche Fälle bekannt. Es will die Lücke bis Ende des ersten Quartals vollständig schließen. weiter
Sie waren mit der Schadsoftware "Brain Test" infiziert und wurden hunderttausendfach heruntergeladen. Die Malware-Apps tarnten sich als harmlose Spiele. Nachdem sie bereits längere Zeit im Umlauf waren, wurden die Schadfunktionen kurz vor Weihnachten aktiviert. weiter
Sie sollen helfen, die Aktivitäten der Cyberkriminellen zu verschleiern. Let's Encrypt spricht sich zudem gegen die Sperrung der fraglichen Zertifikate aus. Es sieht die Anbieter von Online-Werbung in der Pflicht. weiter
Der Täter versuchte, Geld an eine mit der Terrormiliz Islamischer Staat verbundene Hackergruppe zu überweisen. Trotz aktiver 2-Faktor-Authentifizierung konnte er das Konto durch einen Anruf beim Paypal-Support übernehmen. Für die Passwort-Rücksetzung genügte die Beantwortung weniger Fragen mit leicht zugänglichen Antworten. weiter
Das Betriebssystem führt die CVE-Statistik mit 384 Einträgen an. Auf den weiteren Plätzen folgen iOS sowie Adobe Flash Player. Gegenüber 2014 erhöht sich die Zahl der offiziell erfassten Schwachstellen deutlich. weiter
Anfänglich steht es Forschern nur auf Einladung zur Verfügung. Finanzielle Unterstützung erhält das Tor Project vom Open Technology Fund. Der Exploit-Broker Zerodium zahlt derzeit bis zu 30.000 Dollar für Lücken im Tor-Netzwerk. weiter
Während der zweiten Welle eines Denial-of-Service-Angriffs wurde eine falsche Cache-Konfiguration eingerichtet. Solche Attacken sind für Steam Tagesgeschäft. Die betroffenen Nutzer ermittelt es zusammen mit Caching-Partnern und benachrichtigt sie anschließend. weiter
Laut the Intercept lässt sich dies auch mit Pro- und Enterprise-Versionen von Windows 10 nicht verhindern, wohl aber der Schlüssel anschließend löschen. Theoretisch könnte es dann zu spät sein. Die Archivierung soll verhindern, dass sich User selbst aus ihrem Rechner aussperren. weiter
Tavis Ormandy von Google Project Zero entdeckt Schwachstellen in der Chrome-Erweiterung Web TuneUp, die von AVG ungefragt mit seiner Antiviren-Lösung installiert wurde. Der Sicherheitsforscher sieht durch fehlerhaften Code und JavaScript-APIs die Sicherheit der Nutzer ausgehebelt. Die Erweiterung ist inzwischen in einer fehlerbereinigten Version erhältlich. weiter
Sie enthält nach erster Kritik im Oktober eine Root-Erkennung und sucht nach installierten Frameworks wie Xposed. Beides lässt sich aber durch Umbenennungen umgehen. Das Hauptproblem ist laut Vincent Haupert die Zusammenführung zweier Faktoren auf einem Smartphone. weiter
Der Notefall-Patch soll insgesamt 19 Schwachstellen in Flash Player und Adobe AIR beseitigen, darunter eine Zero-Day-Lücke. Ein Exploit ist bereits in Umlauf und wird "in begrenzten, gezielten Attacken" eingesetzt. Durch einen Integer-Überlauf ist Angreifern die Ausführung beliebigen Codes möglich. weiter
Sie reichen bis 2000 zurück. Das Abstimmungsverhalten wird nicht aufgezeichnet, wohl aber die Teilnahme an Vorwahlen der Parteien. Bisher ist unbekannt, wem der Server und die Datenbank überhaupt gehören. weiter
Etwa eine Stunde lang bekamen manche Anwender Kontodaten von Fremden zu sehen. Steam-Betreiber Valve zufolge handelte es sich um ein Cache-Problem nach einer Konfigurationsänderung. Anwender müssen ihm zufolge keine Maßnahmen ergreifen. weiter
Ihr gehören 627 Hotels in 52 Ländern- darunter fünf in Deutschland. Wo das Schadprogramm im Einsatz war, ist offen. Kunden werden gebeten, ihre Kreditkartenabrechnungen im Auge zu behalten und unberechtigte Buchungen zurückzuweisen. weiter
Der Internetkonzern will Passwörter entbehrlich machen für die Anmeldung bei seinen Diensten. Die Anwender müssen auf PC oder Tablet nur ihre E-Mail-Adresse eingeben und die Anmeldung mit einem Button-Klick auf ihrem Smartphone bestätigen. Das neue Verfahren ist mit Android-Smartphones sowie iPhones möglich. weiter
Werbung muss sich ab 31. März an die vom Browser vorgesehenen Mechanismen halten. Dadurch bleibt die Kontrolle beim Anwender. Auch hofft Microsoft, so die Möglichkeiten von Malvertising über automatisierte Anzeigennetze einschränken zu können. weiter
Es lässt sich nicht von seinem Zeitplan abbringen: Nach seinen Recherchen sind mit Cloud-Ressourcen errechnete SHA-1-Collisions schon heute für kriminelle Organisationen erschwinglich. Das mit Microsoft und Mozilla abgestimmte endgültige Aus für SHA-1-Zertifikate - spätestens zum 1. Januar 2017 - erwägt Google auf den 1. Juli 2016 vorzuverlegen. weiter
Um die Authentifizierung von GRUB2 zu umgehen, muss man nur 28-mal die Rücktaste drücken. Anschließend sind Booten etwa von einem USB-Stick oder ein Export der kompletten Festplatte möglich. Der Anwender benötigt physischen Zugriff aufs Gerät. Die meisten Linux-Distributionen sind angeblich anfällig. weiter
Bei einer internen Prüfung hat der Netzwerkausrüster "nicht autorisierten" Code in ScreenOS entdeckt. Dieser ermöglicht Angreifern Administrator-Zugriff und das Belauschen von VPN-Verbindungen. Für die ScreenOS-Versionen 6.2.0r15 bis 6.2.0r18 sowie 6.3.0r12 bis 6.3.0r20 sind bereits Patches verfügbar. weiter
Anfang 2016 werden etwa einige Zertifikate von CyberTrust, Secom, Serasa und Wells Fargo nicht mehr von Microsoft digital signiert. Strengere Richtlinien, technische Bestimmungen und Prüfverfahren im Rahmen des Programms sollen zu einem sichereren Internet beitragen. weiter
