Sicherheitsmanagement

Adobe schließt 43 kritische Lücken in Reader und Acrobat

Insgesamt bringt der Februar-Patchday Fixes für 71 PDF-Schwachstellen. Ein Angreifer kann Schadcode einschleusen und unter Umständen ohne Wissen des Nutzers ausführen. Im Adobe Flash Player steckt indes nur eine Anfälligkeit. weiter

Schweizer Regierung lädt Hacker zu Angriffen auf E-Voting-System ein

Sie sollen kritische Fehler in dem elektronischen Wahlsystem aufdecken. Dafür erhalten sie Prämien von bis zu 50.000 Franken. Den Höchstbetrag gibt es für Bugs, die eine Manipulation von Stimmen ermöglichen, ohne dass das System die Eingriffe erkennen kann. weiter

Kritische Zero-Day-Lücke in Microsoft Exchange kompromittiert Domänencontroller

Ein niederländischer Forscher kombiniert bekannte Schwachstellen in Exchange Server und Protokollen zu einem neuen Angriff. Ausgehend von einem gehackten E-Mail-Konto erhält er die Rechte eines Administrators des zugehörigen Domänen-Controllers. Das für den Angriff benötigte Python-Tool ist zudem frei verfügbar. weiter

Avast: Anteil veralteter und unsicherer PC-Software nimmt zu

Er steigt 2018 auf 55 Prozent. Im Jahr davor waren es noch 48 Prozent. Häufig sind Anwendungen wie Adobe Shockwave, VLC Media Player, Skype, 7-Zip, Java und Foxit Reader veraltet. Office 2007 Enterprise findet sich noch auf 15 Prozent aller PCs. weiter

Patches für Zero-Day-Bugs in Windows verfügbar

Acros Security liefert die Micropatches über seine Plattform 0patch (Zero Patch) aus. Die im letzten Monat enthüllten Fehler wurden von Microsoft am Januar-Patchday nicht behoben. Ihre tatsächliche Ausnutzung durch Malware wurde noch nicht beobachtet. weiter

Januar-Patchday: Oracle schließt 284 Sicherheitslücken

Fast zehn Prozent der Anfälligkeiten haben einen CVSS-Score von 9,8 und gelten deswegen als kritisch. Das gilt für Fehler in der Enterprise Manager Products Suite, Fusion Middleware und den Communications Applications. Updates stehen außerdem für Java SE und VirtualBox zur Verfügung. weiter

Forscher tricksen Venenscanner mit Wachshand aus

Das eigentliche Venenmuster liefert ein Foto. Es kann aus einer Entfernung von bis zu fünf Metern aufgenommen werden. Die Kamera muss allerdings in der Lage sein, Infrarotbilder aufzunehmen. Die Methode der Forscher funktioniert mit Scannern von Fujitsu und Hitachi. weiter

Bitdefender bietet neuen Überwachungsservice für Unternehmen

Sicherheitsexperten von Bitdefender Labs überwachen im Auftrag Unternehmensumgebungen, um Malware-Kampagnen rechtzeitig aufzudecken. Bitdefender hebt die proaktive Überwachung im Unterschied zu passiven automatisierten Lösungen hervor. weiter

Microsoft warnt vor zwei Apps mit unsicheren Root-Zertifikaten

Sie stammen vom deutschen Anbieter Sennheiser. Das Unternehmen legt den Zertifikaten bei der Installation der Software Headsetup auch die zugehörigen privaten Schlüssel bei. Microsoft entzieht den Zertifikaten zudem das Vertrauen. weiter

BSI nimmt Sicherheit von Windows unter die Lupe

Die Studie soll Gesamtsicherheit und Restrisiken beim Einsatz des Betriebssystems bewerten sowie passende Härtungsempfehlungen geben. Zuerst veröffentlicht wurde jetzt das Projektkapitel zu Microsofts umstrittener Erhebung von Telemetriedaten. weiter

Sicherheitsforscher warnen vor Angriffen auf Drupal-Websites

Hacker nehmen eine seit März bekannte Drupal-Lücke ins Visier. In Kombination mit einem weiteren Exploit erlangen sie unter Umständen Root-Rechte. Diese nutzen sie für die Installation eines SSH-Clients, mit dem sie den Server kontrollieren können. weiter

Microsoft packt Windows Defender in eine Sandbox

Defender setzt als erste Antivirensoftware auf diese Sicherheitstechnik. Sie soll künftig die Folgen von Angriffen auf Windows Defender minimieren. Microsoft testet die Sandbox derzeit noch im Windows Insider Program. weiter

Google nennt Details zu Sicherheitschip Titan M des Pixel 3

Er verbessert die Sicherheit des Bootvorgangs, des Sperrbildschirms und des verschlüsselten Speichers. Google erlaubt aber auch Apps von Drittanbietern, ihre Schlüssel in Titan M abzulegen. Den Chip sieht Google aus als Reaktion auf Angriffe wie Spectre, Meltdown und Rowhammer an. weiter

Oktober-Patchday: Oracle stopft mehr als 300 Sicherheitslöcher

Von 48 Anfälligkeiten geht ein hohes Risiko aus. Die meisten Patches erhält erneut Oracle Fusion Middleware. Aber auch Produkte von PeopleSoft, JD Edwards sowie Java SE und Virtualbox sind fehlerhaft. Insgesamt stopft Oracle in diesem Jahr mehr als 1100 Löcher. weiter

Adobe stopft weitere kritische Sicherheitslöcher

Die meisten Fixes gelten Schwachstellen in der E-Reader-Software Adobe Digital Editions. Die Patches folgen umfangreichen Runden außerplanmäßiger Sicherheitsupdates. Bei seinem Flash Player behebt Adobe diesmal nur Feature- und Performance-Bugs. weiter

Oktober-Patchday: Microsoft schließt Zero-Day-Lücke in Windows

Hacker nutzen die Schwachstelle für zielgerichtete Angriffe im Mittleren Osten. Insgesamt schließt Microsoft 49 Sicherheitslücken, von denen 18 als kritisch gelten. Betroffen sind unter anderem die Browser Edge und Internet Explorer, Windows, Office und Exchange Server. weiter

Integrierte Sicherheit: Angriffsabwehr an fünf Beispielen

Der erste Teil dieser Artikelserie erläuterte, welche Vorteile eine integrierte Sicherheitsarchitektur bietet. Teil 2 beschreibt in fünf Beispielen, wie die Elemente einer solchen Sicherheitsinfrastruktur zusammenwirken, um Angriffe schnellstmöglich zu neutralisieren. weiter

Adobe schließt 86 Sicherheitslücken in Reader und Acrobat

Betroffen sind alle unterstützten Versionen für Windows und macOS. Angreifer können unter Umständen Schadcode einschleusen und ausführen oder gar höhere Rechte als die des angemeldeten Benutzers erlangen. Die Updates veröffentlicht Adobe erneut außerhalb seines regulären Patchdays. weiter

Alphabet-Tochter Chronicle startet VirusTotal Enterprise

Der Dienst kombiniert Funktionen des Gratisdienstangebots und des Bezahldiensts VirusTotal Premium mit neuen Features. Die Entwickler verbessern unter anderem das Analyse-Tool Private Graph. Es visualisiert die Beziehungen von Malware-Samples und zeigt Infektionswege auf. weiter

Apples Device Enrollment Program anfällig für Brute-Force-Angriffe

Die MDM-Lösung meldet neue Geräte bereits nach Eingabe einer gültigen Seriennummer an. Eine gültige Seriennummer lässt sich mithilfe eines speziellen Tools erraten. Apple empfiehlt seinen Kunden, bei der Registrierung eines Geräts auch die Anmeldedaten eines Nutzers abzufragen. weiter

Windows-Patchday: Microsoft schließt 62 Schwachstellen

17 behobene Sicherheitslöcher sind als kritisch eingestuft. Der wichtigste Fix gilt der Zero-Day-Lücke, die Ende August über Twitter öffentlich wurde. Auch bei drei weiteren Sicherheitsfehlern wurden zuvor schon Einzelheiten bekannt. weiter