Sicherheitsmanagement

Google Project Zero macht Schwachstellen generell nach 90 Tagen öffentlich

von Stefan Beiersmann

Eine frühere Bereitstellung eines Patches führt nicht mehr automatisch zu Offenlegung einer Sicherheitslücke. Hersteller sollen mehr Zeit für die Verteilung von Patches erhalten. Google zufolge werden inzwischen fast 98 Prozent aller Anfälligkeiten innerhalb der Frist beseitigt. weiter

HackerOne verliert vertrauliche Fehlerberichte seiner Kunden

von Stefan Beiersmann

Ein Mitarbeiter des Unternehmens gibt ein Session-Cookie an einen externen Hacker weiter. Der erhält somit Zugriff auf Details zu Schwachstellen. Offenbar fehlten einfache Sicherheitsvorkehrungen, die einen Missbrauch des Coookies hätten verhindern können. weiter

OpenTitan: Google macht sichere Siliziumchips zu Open Source

von Stefan Beiersmann

Das von Google initiierte OpenTitan Project entwickelt Standards für sichere Siliziumchips. Sie basieren auf einem Design von lowRISC. Unterstützung erhält Google unter anderem von der ETH Zürich und von Western Digital. weiter

Symantec-Definitionsupdate lässt Windows abstürzen

von Stefan Beiersmann

Endpoint Protection verursacht einen Blue Screen of Death. Auslöser ist ein fehlerhaftes Update der Definitionen für das Intrusion Prevention System. Unter Umständen lässt sich Windows nur über den abgesicherten Modus manuell reparieren. weiter

Tamper Protection für Microsoft Defender ab sofort verfügbar

von Stefan Beiersmann

Der Manipulationsschutz verhindert Änderungen der Sicherheitseinstellungen. Die Funktion ist für den Unternehmenseinsatz optimiert, aber auch für Consumer verfügbar. Derzeit wird mindestens Windows 10 Version 1903 benötigt. weiter

HP schließt schwerwiegende Sicherheitslücke in eigener PC-Bloatware

von Stefan Beiersmann

Der Bug erlaubt eine nicht autorisierte Ausweitung von Nutzerrechten. Er ist für Cyberkriminelle interessant, weil die anfällige Software Touchpoint Analytics auf Millionen von HP-Rechnern vorinstalliert ist. Die App selbst sammelt Diagnosedaten und wird für den Betrieb eines Systems nicht benötigt. weiter

Cisco warnt vor kritischen Schwachstellen in IOS-Routern

von Stefan Beiersmann

Betroffen sind Geräte mit den Betriebssystemen IOS und IOS XE. Unter anderem sind virtuelle Gastbetriebssysteme von 800-Series-Routern und 1000-Series-Routern angreifbar. Cisco deaktiviert zudem die Layer-2-Network-Traceroute-Funktion. weiter

Zero-Day-Lücke in vBulletin betrifft Zehntausende Internet-Foren

von Stefan Beiersmann

Die Schwachstelle erlaubt eine Remotecodeausführung ohne vorherige Authentifizierung. Ein Angreifer kann Shell-Befehle auf einem Server ausführen. Ein unbekannter Sicherheitsforscher macht alle Details der Sicherheitslücke anonym auf einer Mailing-Liste öffentlich. weiter