Sicherheitsmanagement

Die Schwachstelle erlaubt eine Remotecodeausführung ohne vorherige Authentifizierung. Ein Angreifer kann Shell-Befehle auf einem Server ausführen. Ein unbekannter Sicherheitsforscher macht alle Details der Sicherheitslücke anonym auf einer Mailing-Liste öffentlich. weiter

Die Schwachstelle wird bereits aktiv ausgenutzt. Sie erlaubt das Einschleusen und Ausführen von Schadcode. Ein weiterer Patch stopft außer der Reihe ein Loch in Windows Defender. weiter

Die Wasserwirtschaft ist ein Teil unserer lebenswichtigen Infrastruktur. Das Thema ist jedoch breiter aufgestellt, als man erwarten könnte – und fast jede seiner Komponenten kann für unser Überleben von Bedeutung sein. weiter

Die maximale Basisprämie für Schwachstellen in Chrome und Chrome OS steigt von 5000 auf 15.000 Dollar. Hochqualitative Fehlerberichte bringen Forschern nun statt 15.000 Dollar bis zu 30.000 Dollar ein. Eine Remotecodeausführung unter Chrome OS wird indes mit bis zu 150.000 Dollar belohnt. weiter

Ein Spezialist für Datenintegration sicherte Amazon-S3-Buckets nicht ab. Sensible Firmendaten waren dadurch offen im Internet zugänglich. Auffindbar waren E-Mail-Backups, persönliche Daten von Mitarbeitern, System-Passwörter, Vertriebsdaten und mehr. weiter

Das Power-Query-Feature importiert über den dynamischen Datenaustausch DDE Dateien von Remote-Quellen. Damit lässt sich auch bösartiger Code in ein System einschleusen. Solche Attacken setzen nur wenig Interaktion des Nutzers voraus. weiter

Gmail erhält eine Sicherheits-Sandbox. Sie prüft Dateianhänge, bevor sie den Posteingang erreichen. Eine ähnliche Funktion führt Microsoft für Office 365 ein. Google bietet außerdem einen Vertraulichkeitsmodus für Gmail, der die Weitergabe von E-Mails einschränkt. weiter

Das Sicherheitselement SPU230 ist in Qalcomms Smartphone-SoC integriert. Die Zertifizierung nach Common Criteria bestätigt das Sicherheitsniveau einer Smartcard. Das erlaubt Anwendungen mit hohen Anforderungen ohne separaten Sicherheitschip. weiter

Das Secure-Shell-Tool verschlüsselt künftig private Schlüssel im Arbeitsspeicher. Das soll einen Datendiebstahl durch Spectre, Meltdown, Rambleed und Rowhammer verhindern. Ältere Versionen legen die privaten Schlüssel im Klartext im RAM ab. weiter

Der Oracle Weblogic-Server ist ein beliebtes Ziel für Hacker und nun musste der Hersteller ein Sicherheitsupdate außerhalb der Reihe wegen einer besonders heftigen Sicherheitslücke veröffentlichen, das die Kunden unbedingt einspielen sollten. weiter

Das geht aus dem IDC 2019 Global DNS Threat Report hervor. Die zum fünften Mal durchgeführte Studie beruht auf Umfragen in Nordamerika, Europa und Asien-Pazifik. Demnach betragen die weltweiten Durchschnittskosten je DNS-Angriff 952.000 Euro. weiter

Auslöser ist ein Streit mit den Moderatoren des WordPress-Forums. Sie stellen neue Regeln für die Veröffentlichung von Sicherheitslücken auf, an die sich das Unternehmen nicht hält. Die Schwachstellen in den Facebook-Plug-ins erlauben CSRF-Angriffe. weiter

Der Juni-Patchday behebt Schwachstellen in Flash Player, ColdFusion sowie Campaign Classic. Kritische Lücken könnten die Ausführung beliebigen Codes erlauben, wenn sie nicht beseitigt werden. Andere geben Informationen preis. weiter

Insgesamt stehen Fixes für 88 Sicherheitslücken zur Verfügung. 21 Anfälligkeiten stuft Microsoft als kritisch ein. Windows verweigert außerdem nun das Pairing mit bestimmten unsicheren Bluetooth-Geräten, darunter Sicherheitsschlüssel wie Google Titan. weiter

SandboxEscaper findet eine weitere Möglichkeit, einen im April veröffentlichten Patch zu umgehen. In einem Video zeigt sie, wie sich ihr Beispielcode nutzen lässt, um Systemdateien zu löschen. In den kommenden Tagen will sie einen weiteren Bug enthüllen. weiter

Betroffen sind Standorte von Marriott, Hilton, Plaza und Sheraton. Die Daten offenbar möglicherweise Sicherheitslücken. Eigentümer der Elasticsearch-Datenbank ist offenbar ein Hotel-Dienstleister. weiter

Die erste Vorschau stand nur einer begrenzten Auswahl von Nutzern offen. Auch für Mac-Rechner stehen die Kernkomponenten der Plattform für Endpunkt-Sicherheit bereit. Sie wurde von Windows Defender ATP in Microsoft Defender ATP umbenannt. weiter

Allein in den PDF-Anwendungen stecken 83 Bugs, von denen 45 kritisch sind. Sie erlauben jeweils das Einschleusen und Ausführen von Schadcode aus der Ferne. In Flash Player muss Adobe indes nur ein Sicherheitsloch stopfen. weiter

Forscher finden eine Schwachstelle im Sicherheitsmodul bestimmter Cisco-Router. Sie erlaubt Eingriffe in den Bootloader. Die Forscher kombinieren den Bug mit einer Anfälligkeit im Web-Interface der Router, um aus der Ferne die vollständige Kontrolle über das Gerät zu erhalten. weiter

Als weitere Ursprungsländer von Angriffen auf europäische IP-Adressen folgen die USA, China und Frankreich. Laut F5 Labs erfolgen die Angriffe besonders häufig über drei europäische Webhosting-Provider. weiter

Nach Schätzungen von Sicherheitsforschern sind bis zu 50.000 Unternehmen weltweit betroffen. Die Exploits nutzen Konfigurationsfehler aus. Als Folge ist es möglich, zahlreiche SAP-Anwendungen zu kompromittieren und beispielsweise Daten zu löschen oder zu stehlen. weiter

Die Schwachstelle steckt im vorinstallierten Tool SupportAssist. Ein Angreifer muss sein Opfer lediglich auf eine speziell gestaltete Website locken. Von dort erfolgt die Attacke ohne jede weitere Interaktion mit dem Nutzer. weiter

Sie liegt auf einem von Microsoft bereitgestellten Server. Forscher haben Zugriff auf Daten wie Namen, Anschriften, Alter, Geschlecht und Familienstand. Microsoft veranlasst die Entfernung der Daten und die Absicherung des Servers. Der Eigentümer der Daten ist indes nicht bekannt. weiter

Produkte von Avast, Avira, McAfee und Sophos vertragen sich nicht mit den April-Sicherheitspatches. Konkret geht es offenbar um einen Fix für den Client Server Run-Time Subsystem Service. Er kann dazu führen, dass Windows nach einem Neustart nicht mehr reagiert. weiter

Kernstück ist ein System, das die Verarbeitung von Dateien im Arbeitsspeicher überwacht. Es soll die Verschlüsselung von Dateien frühzeitig erkennen und aufhalten. Alternativ will PayPal noch unverschlüsselte Dateien über einen Cloud-Speicherdienst sichern. weiter

Betroffen sind unter anderem Database Server, Fusion Middleware, Virtualisierungsprodukte und MySQL. Oracle warnt aber auch vor einer Schwachstelle in einer Java-Bibliothek für Windows. Einige Anfälligkeiten erlauben das Einschleusen und Ausführen von Schadcode aus der Ferne. weiter

Intel VISA dient eigentlich der Fehleranalyse während der Produktion. Die Technik hat Zugriff auf die Kommunikation mit der CPU. Angreifer könnten indes beispielsweise Speicherinhalte auslesen. Die Forscher zeigen mehrere Methoden, um Intel VISA zu aktivieren und zu missbrauchen. weiter

Ein Sicherheitsforscher findet Zugangsdaten zu Asus-Systemen auf GitHub. Unter anderem erhält er Zugriff auf ein internes E-Mail-Konto, über das Nightly Builds von Treibern und Software verteilt werden. Asus sucht nun nach weiteren möglichen Datenlecks. weiter

Neue kritische Schwachstellen legen die Teilnehmer auch in Edge, Windows und Firefox offen. An den ersten beiden Tagen schütten die Veranstalter Prämien in Höhe von 510.000 Dollar aus. Mehrfach übernehmen die Hacker die vollständige Kontrolle über ein System und führen Code sogar außerhalb einer virtuellen Maschine aus. weiter

Darunter ist die von Google öffentlich gemachte Schwachstelle. Sie betrifft nur Windows 7 und Server 2008. Die zweite Zero-Day-Lücke bedroht auch Nutzer von Windows 10 und Server 2019. Insgesamt bringt der Patchday Fixes für 64 Anfälligkeiten. weiter