Sicherheitsmanagement

Ein Team aus sechs Forschern kompromittiert Apples Keychain und auch das Prüfverfahren für den App Store. Mithilfe einer manipulierten App erhalten sie Zugriff auf Passwörter und Tokens für iCloud und Facebook. Apple weiß seit Oktober 2014 von den Anfälligkeiten. weiter

Der Fehler steckt in der vorinstallierten Drittanbieter-Software SwiftKey. Sie nutzt für Updates eine unverschlüsselte Verbindung. Darüber lässt sich Schadcode einschleusen und ausführen. Auch das Abhören von Telefonaten ist möglich. weiter

Apple ist die Sicherheitslücke angeblich seit Januar bekannt. Bisher steht kein Patch zur Verfügung. Deswegen hat der Entdecker des Bugs nun Proof-of-Concept-Code auf Github veröffentlicht. weiter

Betroffen sind die Versionen für Windows, OS X und Linux. Ein Angreifer kann unter Umständen Schadcode einschleusen und ausführen. Die Schwachstellen stecken auch in Adobe Air Desktop Runtime sowie SDK und Compiler. weiter

Davon betroffen sind offenbar Macs, die vor Mitte 2014 hergestellt wurden. Nach dem Aufwecken aus dem Ruhezustand erhalten Nutzer Zugriff auf den UEFI-Code. Dem Entdecker der Lücke zufolge lässt sich die Schwachstelle wahrscheinlich auch aus der Ferne ausnutzen. weiter

Befragt wurden je 200 Firmen in Deutschland und Großbritannien mit mindestens 500 Mitarbeitern. Maschinenbauer büßten sogar in 44 Prozent der Fälle Daten ein. Überhaupt einen Angriff gab es bei 76 Prozent. weiter

Sie basiert wie Freak auf schwachen Verschlüsselungstechniken in Export-Produkten. Logjam betrifft rund 8,4 Prozent der populärsten Websites. Auch per TLS gesicherte E-Mail-Server sind unter Umständen anfällig. weiter

Es stuft die Anfälligkeiten unter Windows, Mac OS X und Linux als kritisch ein. Auch Adobe AIR ist betroffen. Fehler in Flash Player erlauben es sogar, den geschützten Modus des Internet Explorer sowie die Windows-Sicherheitsfunktion ASLR auszuhebeln. weiter

Allerdings soll es sich dabei um nicht als geheim eingestufte Nachrichten gehandelt haben. Allerdings enthielten diese durchaus auch als sehr vertraulich eingestufte Informationen. Die Server, über die die Kommunikation mit dem Blackberry des US-Präsidenten abgewickelt wird, wurden nicht kompromittiert. weiter

Sie sollten eigentlich erst nach 2018 aktualisiert werden. Tepco wollte dadurch umgerechnet knapp 28 Millionen Euro einsparen. Aus Sicherheitsgründen und auf Druck der japanischen Rechnungsprüfungsbehörde zieht das Unternehmen die Umstellung nun vor. weiter

Betroffene Geräte treten unter Umständen sogar in eine Reboot-Schleife ein. Die Schwachstelle steckt in iOS 8.2 und früher. iOS 8.3 patcht die Lücke allerdings noch nicht vollständig. weiter

Certicom übernimmt das Public-Key-Management für seine Kunden. Es hat in Großbritannien schon 60 Millionen Schlüssel für Zigbee-Geräte vergeben. Blackberry selbst forscht im Rahmen eines Projekts namens CHACE über Plattformen, die keine Patches erfordern. weiter

Die Lösung erfasst, wie auf Daten zugegriffen wird, wie sie gespeichert und transferiert werden. Auch die Reputation genutzter Netzwerkzugänge und Endpunkte ist Teil der Analyse. Es lassen sich Android- und iOS-Apps sowie firmeneigene Applikationen überwachen. weiter

Adobe hat die Anfälligkeit in Flash Player inzwischen geschlossen. Microsoft arbeitet indes noch an einem Patch für Windows. Es stuft die Schwachstelle aber als weniger schwerwiegend ein als die Flash-Lücke. weiter

Die ISEC7 Group vermarktet das Enterprise Mobility Management von Samsung SDS in Deutschland, Österreich und der Schweiz. Die EMM-Plattform unterstützt insbesondere Android, aber auch iOS und Windows Phone 10. Das vor 30 Jahren gegründete Samsung SDS will bis 2020 zu den zehn weltweit größten IT-Dienstleistern zählen. weiter

Betroffen sind die Versionen für Windows, Mac OS X und Linux. Adobe stopft auch die während des Hackerwettbewerbs Pwn2Own vorgeführten Löcher in Flash Player. Außerdem stehen Patches für ColdFusion und das Flex ASdoc Tool zur Verfügung. weiter

Sie basiert auf einem seit 1997 bekannten und seitdem ungepatchten Fehler in Windows Server Message Block. Ein Angreifer könnte eine Anmeldung an einem SMB-Server erzwingen und Anmeldedaten stehlen. Microsoft stuft das Risiko weiterhin als sehr gering ein. weiter

Die APT30 genannte Gruppe ist mindestens seit 2005 aktiv. Sie geht gegen Regierungen und Unternehmen in Indien und weiteren südostasiatischen Ländern vor. Ihre Werkzeuge haben die Cyberspione seit ihren Anfangstagen praktisch nicht verändert. weiter

Der seit November 2014 bekannte Fehler bleibt in den noch unterstützten OS-X-Versionen 10.9 und 10.8 ungepatcht. Ein Angreifer könnte sich uneingeschränkten Zugriff auf ein System verschaffen. Laut Apple kann ein Fix nicht auf ältere OS-X-Versionen portiert werden. weiter

Die Fehler stecken in den Komponenten ATS, CFURL, CoreAnimation, FontParser, Graphics Driver, Hypervisor, Kernel, LaunchServices und WebKit. Sie erlauben unter anderem DoS-Angriffe und das Ausführen von Schadcode. Apple beseitigt auch Anfälligkeiten in den Drittanbieter-Diensten Apache, OpenSSL und PHP. weiter

Die Sicherheitslücke kann nicht mit der im Google Play Store verfügbaren WebView-Komponente geschlossen werden. Das Galaxy Note Edge ist sogar noch für die 2014 entdeckte Poodle-Schwachstelle anfällig. Auch LG-Telefone sind von der Sicherheitslücke betroffen. Anwender sollten einen alternativen Browser nutzen. weiter

Ein Mitarbeiter der Einwanderungsbehörde verschickt Ausweis- und Visa-Daten der Staatschefs an die Organisatoren der Asien-Fußballmeisterschaft. Grund für das Versehen sei die Autofill-Funktion von Microsoft Outlook. Der Empfänger hat die Nachricht nach eigenen Angaben sofort gelöscht. weiter

Der Browser führt die Statistik mit 504 Schwachstellen an. Microsofts Internet Explorer hatte im vergangenen Jahr 289 Lücken. Die Zahl aller von Secunia in 3870 Anwendungen erfassten Anfälligkeiten steigt um 18 Prozent auf 15.435. weiter

Eine neue Angriffsform könne SSL-geschützte Daten in einem von 16 Millionen RC4-Verschlüsselungsfällen gefährden. Betrachtet man den weltweiten Datenverkehr, wären demnach Tausende von vermeintlich sicheren E-Mails potenziell einfache Angriffsziele von Hackern. Imperva empfielt auf RC4 komplett zu verzichten. weiter

Sicherheitsforscher präsentieren auf dem zweitägigen Hackerwettbewerb insgesamt 21 Lücken. Dafür erhalten sie ein Preisgeld von 557.500 Dollar. Mozilla hat bereits zwei von drei Zero-Day-Lücken in Firefox geschlossen. weiter

Es erlaubt Denial-of-Service-Angriffe. Das OpenSSL-Projekt schließt insgesamt zwölf Sicherheitslücken. Experten stufen sie aber als nicht so schwerwiegend ein wie die Heartbleed-Lücke. weiter

Es ermöglicht Spoofing und Man-in-the-Middle-Angriffe. Davon betroffen sind alle Windows-Versionen von Server 2003 bis windows 8.1 und Server 2012 R2. Ein von Microsoft bereitgestellter Patch verhindert, dass das Betriebssystem das bereits zurückgezogene Zertifikat benutzt. weiter

Details zu der Schwachstelle sind bisher nicht bekannt. Allerdings kündigt das OpenSSL-Project Updates für den 19. März an, die neben mindestens einer kritischen Schwachstelle weitere Sicherheitslücken schließen sollen. weiter

Es soll eine einfache Ende-zu-Ende-Verschlüsselung erlauben. Laut Yahoo bleiben Daten wie Absender, Datum und Betreff jedoch lesbar. Das Plug-in, das einfacher und schneller sein soll als PGP, entwickelt Yahoo in Zusammenarbeit mit Google. weiter

Er steht allerdings nur für das Blackberry Z30 zur Verfügung. Das Unternehmen verspricht Fixes auch für andere Geräte – nennt aber keinen Zeitplan. Außer Blackberry OS ist auch Blackberry Enterprise Service 12 und früher anfällig. weiter