Sicherheitsmanagement

Gmail erhält eine Sicherheits-Sandbox. Sie prüft Dateianhänge, bevor sie den Posteingang erreichen. Eine ähnliche Funktion führt Microsoft für Office 365 ein. Google bietet außerdem einen Vertraulichkeitsmodus für Gmail, der die Weitergabe von E-Mails einschränkt. weiter

Das Sicherheitselement SPU230 ist in Qalcomms Smartphone-SoC integriert. Die Zertifizierung nach Common Criteria bestätigt das Sicherheitsniveau einer Smartcard. Das erlaubt Anwendungen mit hohen Anforderungen ohne separaten Sicherheitschip. weiter

Das Secure-Shell-Tool verschlüsselt künftig private Schlüssel im Arbeitsspeicher. Das soll einen Datendiebstahl durch Spectre, Meltdown, Rambleed und Rowhammer verhindern. Ältere Versionen legen die privaten Schlüssel im Klartext im RAM ab. weiter

Der Oracle Weblogic-Server ist ein beliebtes Ziel für Hacker und nun musste der Hersteller ein Sicherheitsupdate außerhalb der Reihe wegen einer besonders heftigen Sicherheitslücke veröffentlichen, das die Kunden unbedingt einspielen sollten. weiter

Das geht aus dem IDC 2019 Global DNS Threat Report hervor. Die zum fünften Mal durchgeführte Studie beruht auf Umfragen in Nordamerika, Europa und Asien-Pazifik. Demnach betragen die weltweiten Durchschnittskosten je DNS-Angriff 952.000 Euro. weiter

Auslöser ist ein Streit mit den Moderatoren des WordPress-Forums. Sie stellen neue Regeln für die Veröffentlichung von Sicherheitslücken auf, an die sich das Unternehmen nicht hält. Die Schwachstellen in den Facebook-Plug-ins erlauben CSRF-Angriffe. weiter

Der Juni-Patchday behebt Schwachstellen in Flash Player, ColdFusion sowie Campaign Classic. Kritische Lücken könnten die Ausführung beliebigen Codes erlauben, wenn sie nicht beseitigt werden. Andere geben Informationen preis. weiter

Insgesamt stehen Fixes für 88 Sicherheitslücken zur Verfügung. 21 Anfälligkeiten stuft Microsoft als kritisch ein. Windows verweigert außerdem nun das Pairing mit bestimmten unsicheren Bluetooth-Geräten, darunter Sicherheitsschlüssel wie Google Titan. weiter

SandboxEscaper findet eine weitere Möglichkeit, einen im April veröffentlichten Patch zu umgehen. In einem Video zeigt sie, wie sich ihr Beispielcode nutzen lässt, um Systemdateien zu löschen. In den kommenden Tagen will sie einen weiteren Bug enthüllen. weiter

Betroffen sind Standorte von Marriott, Hilton, Plaza und Sheraton. Die Daten offenbar möglicherweise Sicherheitslücken. Eigentümer der Elasticsearch-Datenbank ist offenbar ein Hotel-Dienstleister. weiter

Die erste Vorschau stand nur einer begrenzten Auswahl von Nutzern offen. Auch für Mac-Rechner stehen die Kernkomponenten der Plattform für Endpunkt-Sicherheit bereit. Sie wurde von Windows Defender ATP in Microsoft Defender ATP umbenannt. weiter

Allein in den PDF-Anwendungen stecken 83 Bugs, von denen 45 kritisch sind. Sie erlauben jeweils das Einschleusen und Ausführen von Schadcode aus der Ferne. In Flash Player muss Adobe indes nur ein Sicherheitsloch stopfen. weiter

Forscher finden eine Schwachstelle im Sicherheitsmodul bestimmter Cisco-Router. Sie erlaubt Eingriffe in den Bootloader. Die Forscher kombinieren den Bug mit einer Anfälligkeit im Web-Interface der Router, um aus der Ferne die vollständige Kontrolle über das Gerät zu erhalten. weiter

Als weitere Ursprungsländer von Angriffen auf europäische IP-Adressen folgen die USA, China und Frankreich. Laut F5 Labs erfolgen die Angriffe besonders häufig über drei europäische Webhosting-Provider. weiter

Nach Schätzungen von Sicherheitsforschern sind bis zu 50.000 Unternehmen weltweit betroffen. Die Exploits nutzen Konfigurationsfehler aus. Als Folge ist es möglich, zahlreiche SAP-Anwendungen zu kompromittieren und beispielsweise Daten zu löschen oder zu stehlen. weiter

Die Schwachstelle steckt im vorinstallierten Tool SupportAssist. Ein Angreifer muss sein Opfer lediglich auf eine speziell gestaltete Website locken. Von dort erfolgt die Attacke ohne jede weitere Interaktion mit dem Nutzer. weiter

Sie liegt auf einem von Microsoft bereitgestellten Server. Forscher haben Zugriff auf Daten wie Namen, Anschriften, Alter, Geschlecht und Familienstand. Microsoft veranlasst die Entfernung der Daten und die Absicherung des Servers. Der Eigentümer der Daten ist indes nicht bekannt. weiter

Produkte von Avast, Avira, McAfee und Sophos vertragen sich nicht mit den April-Sicherheitspatches. Konkret geht es offenbar um einen Fix für den Client Server Run-Time Subsystem Service. Er kann dazu führen, dass Windows nach einem Neustart nicht mehr reagiert. weiter

Kernstück ist ein System, das die Verarbeitung von Dateien im Arbeitsspeicher überwacht. Es soll die Verschlüsselung von Dateien frühzeitig erkennen und aufhalten. Alternativ will PayPal noch unverschlüsselte Dateien über einen Cloud-Speicherdienst sichern. weiter

Betroffen sind unter anderem Database Server, Fusion Middleware, Virtualisierungsprodukte und MySQL. Oracle warnt aber auch vor einer Schwachstelle in einer Java-Bibliothek für Windows. Einige Anfälligkeiten erlauben das Einschleusen und Ausführen von Schadcode aus der Ferne. weiter