Sicherheitsmanagement

Cryptominer missbrauchen Leck im Oracle-App-Server – 226.000 Dollar Beute

von Martin Schindler

Ein großes Leck in Oracles PeopleSoft-App-Serlver hatte Oracle im vergangen Jahr gepatcht, nun wird die Lücke von Hackern genutzt, um damit Krypto-Währungen zu errechnen. Über das Leck könnten aber auch andere, schwer zu entdeckende Schädlinge in die Infrastruktur von Anwendern gelangt sein. weiter

Dezember-Patchday: Microsoft schließt 34 Sicherheitslücken

von Stefan Beiersmann

Sie stecken unter anderem in Edge und Internet Explorer sowie Office und Exchange Server. 20 Anfälligkeiten stuft Microsoft als kritisch ein. Außerdem steht ein Sicherheitsupdate für Adobe Flash Player zur Verfügung. weiter

Sicherheitslücken in Programmiersprachen machen Apps angreifbar

von Stefan Beiersmann

Betroffen sind die Sprachen JavaScript, Perl, Ruby und Python. Bestimmte Funktionen erlauben unter Umständen ein anderes Verhalten einer App. Die Schwachstellen findet ein Forscher durch den Einsatz eines Fuzzing-Tools gegen diverse Interpreter. weiter

Neue Cyber-Mafia zielt auf Unternehmen

von Martin Schindler

Wie einst im Chicago der 1930 erfährt die Cyber-Mafia derzeit eine neue Blütezeit. Vor allem Unternehmen sind lohnende Ziele und meist müssen die Täter noch nicht einmal Verfolgung fürchten. weiter

Auch Google Home und Amazon Echo anfällig für Bluetooth-Lücke BlueBorne

von Stefan Beiersmann

Beide intelligenten Lautsprecher erhalten derzeit ein Sicherheitsupdate. Darauf macht der Entdecker von BlueBorne aufmerksam. Ihm zufolge lässt sich ein Amazon Echo vollständig übernehmen. Bei Google Home verhindert ein Angriff lediglich die Kommunikation mit anderen Bluetooth-Geräten. weiter

Design-Fehler macht namhafte Antivirenlösungen angreifbar

von Stefan Beiersmann

Malware lässt sich aus der Quarantäne in ein Windows-Verzeichnis wiederherstellen. Ein Angreifer benötigt jedoch physischen Zugriff auf ein lokales System. Allerdings funktioniert der Angriff ohne Administratorrechte. Betroffen sind unter anderem Produkte von Kaspersky, Malwarebytes und Trend Micro. weiter

WordPress schließt kritische SQL-Injection-Lücke

von Stefan Beiersmann

Betroffen sind die Versionen 4.8.2 und früher. Ein Angreifer kann unter Umständen die vollständige Kontrolle über eine Website übernehmen. Das Problem wird durch einen Sicherheitspatch in Version 4.8.2 ausgelöst, der bis zu 1,2 Millionen Zeilen Programmcode unbrauchbar macht. weiter

McAfee: Regierungen dürfen Quellcode nicht mehr überprüfen

von Bernd Kling

Intels frühere Sicherheitstochter traf diese Entscheidung, nachdem sie seit April 2017 wieder als eigenständiges Unternehmen agieren konnte. Jahrelang ließen westliche Sicherheitsfirmen Quellcode prüfen, wenn Regierungen das verlangten. Der russische Anbieter Kaspersky geht jetzt den umgekehrten Weg. weiter

Outlook-Nutzer durch Lücke in Microsoft DDE gefährdet

von Peter Marwan

Das Microsoft-Protokoll Dynamic Data Exchange (DDE) kann missbraucht werden, um mittels manipulierter Office-Anhänge, etwa Word- oder Excel-Dateien, ohne Nutzung von Makros Malware zu starten. Jetzt hat Sophos davor gewarnt, dass über die Lücke auch Angriffe per Outlook-Einladungen möglich sind. weiter