Sicherheitsmanagement

Yoast hat inzwischen einen Patch bereitgestellt. Die CSRF-Lücke erlaubt es einem Angreifer unter Umständen, einen eigenen Administrator zu einer WordPress-Site hinzuzufügen. Anschließend könnte er dann Inhalte manipulieren und Malware einschleusen. weiter

Darunter ist auch eine seit Anfang Februar bekannte Zero-Day-Lücke im Microsoft-Browser. Windows erhält zudem einen Patch für die Freak-Lücke. Insgesamt bringt der März-Patchday 14 Updates. weiter

Das Sicherheitsupdate 2015-002 beseitigt insgesamt 5 Schwachstellen. Darunter ist ein Kernel-Loch, das Apple schon im Januar in iOS 8 gestopft hat. Ein weiteres Sicherheitsupdate behebt 5 Fehler in Xcode. weiter

Der Fehler steckt in der für die Verschlüsselung zuständigen Komponente Secure Channel. Davon betroffen sind alle Versionen von Windows Server 2003 bis RT und RT 8.1. Für alle Versionen ab Windows Vista liegt ein Workaround vor. weiter

Um sich vor Cyber-Angriffen zu schützen, setzen Konzerne wie Microsoft und Daimler zunehmend auf so genannte Red Teams. Fest angestellte Security-Experten übernehmen dabei die Rolle echter Hacker und suchen nach Sicherheitslücken, die zu schwerwiegenden Folgen für die Unternehmen führen könnten. Das Prinzip wird bereits seit längerer Zeit im Militärbereich angewandt – und kann auch kleinere Unternehmen vor großem Schaden bewahren. weiter

Gavin Millard von Tenable Network Security sieht keine große Gefahr durch die von französischen Forschen entdeckte Sicherheitslücke. Ähnlich wie zuvor bei Poodle sei ein Angriff nur schwer zu bewerkstelligen, da zahlreiche Schritte nötig seien, um die Schwachstelle auszunutzen. weiter

Forschern zufolge lassen sich die Browser von iOS und Android zwingen, eine unsichere Verschlüsselung zu benutzen. Sie lässt sich in wenigen Stunden knacken. Hacker können dann Passwörter abfangen und auch die Kontrolle über Elemente der betroffenen Websites übernehmen. weiter

Mit SecureMe für iOS und einer in die Android-Sicherheitslösung Mobile Security integrierten Funktion überprüft Avast WLAN-Router auf schwache Passwörter und ob das Gerät vom Internet aus zugänglich oder mit Malware infiziert ist. Für Android steht das Feature bereits zur Verfügung. SecureMe für iOS soll zusammen mit einem kostenlosen VPN-Dienst in den nächsten Tagen im App Store erscheinen. weiter

FireEye Mobile Threat Prevention untersucht Apps vor abgeschlossener Installation auf ein mögliches Gefahrenpotential. Schädliche Anwendungen werden blockiert und der Nutzer fortlaufend über verdächtige Aktivitäten auf seinem Gerät informiert. Besucher des MWC können FireEye Mobile Threat Prevention mit einer kostenlosen 90-Tage-Lizenz testen. weiter

Für Samsungs Sicherheitslösung Knox stehen zwei neue Blackberry-Dienste zur Verfügung. WorkLife erlaubt eine getrennte Abrechnung der geschäftlichen und privaten Handynutzung. SecuSuite wiederum bietet Knox-Nutzern eine Ende-zu-Ende-Verschlüsselung. weiter

Sie steckt in den Versionen 3.5.0 bis 4.2.0rc4. Ein Angreifer kann mithilfe speziell präparierter Pakete Schadcode auf einem Samba-Server ausführen. Patches liegen unter anderem für die Linux-Distributionen Ubuntu, Debian, Fedora und Suse sowie Red Hat Enterprise Linux vor. weiter

Die auf Lenovo-Laptops vorinstallierte Adware soll die Privatsphäre der Klägerin verletzt haben. Lenovo soll zudem Daten über die Internutzung seiner Kunden gesammelt haben, um Geld zu verdienen. Lenovo-CTO Peter Hortensius entschuldigt sich indes in einem offenen Brief für den Einsatz der Adware. weiter

Der plattformübergreifende Managed-Security-Dienst "Avast Free Business Security" wird in der Cloud betrieben. Über ein Dashboard erhalten Anwender Informationen zum aktuellen Sicherheitsstatus des gesamten Unternehmens. Eine mobile Version für den Einsatz in BYOD-Umgebungen soll in der zweiten Jahreshälfte verfügbar sein. weiter

Das Browser-Plug-in PrivDog greift ähnlich wie Superfish in die verschlüsselte Verbindung zweier Computer ein. Dafür installiert es ein Stammzertifikat und ersetzt zudem andere Zertifikate - auch wenn diese nicht gültig sind. Dadurch ist eine sichere Kommunikation nicht mehr gewährleistet. weiter

Das geht aus einer Auswertung von GFI Software auf Basis von Zahlen der National Vulnerability Database hervor. 2014 wurden 7038 neue Sicherheitslücken in diese Datenbank der US-Regierung aufgenommen. Ihre Anzahl ist deutlich höher als 2013 und führt damit den Anstiegstrend fort. weiter

Die auf Lenovo-Notebooks vorinstallierte Adware nutzt ein SDK einer israelischen Firma. Das SDK wiederum ist auch in anderen Programmen enthalten. Dazu zählen auch mehrere Jugendschutzfilter. weiter

Die aktualisierte Version von Microsofts Anti-Malware-Programm löscht die Adware und das dazugehörige Stammzertifikat. Firefox-Anwender müssen aufgrund der integrierten Zertifikatsverwaltung des Mozilla-Browsers das Zertifikat manuell löschen oder das inzwischen von Lenovo veröffentlichte Uninstaller-Programm nutzen. weiter

Der Chief Technology Officer von Lenovo spielt die Sicherheitsrisiken immer noch als "theoretische Probleme" herunter. Dennoch kündigt er die kurzfristige Bereitstellung eines Tools zur vollständigen Entfernung der Adware an. Eine einfache Deinstallation behebt die Gefährdung nicht, da das gleichzeitig installierte Root-Zertifikat zurückbleibt. weiter

In Exchange 2013 gibt es zahlreiche Sicherheitsfunktionen. Der Praxisleitfaden informiert über die wichtigsten Dienste wie Anti-Spam Protection, Zertifikatsverwaltung und ActiveSync-Gerätezugriffsregeln und zeigt, wie man diese aktiviert und konfiguriert. weiter

Sie werden richtlinienabhängig im Hintergrund verschlüsselt. Nur andere Firmenangestellte können dann darauf zugreifen, auch wenn sie im öffentlichen Raum gespeichert sind. Zudem ist Löschen aus der Ferne möglich - auch zu einem vorab definierten Zeitpunkt. weiter

Staat und Verbände setzen in Deutschland große Hoffnungen in das als "Industrie 4.0" beschriebene Konzept. Olaf Mischkovsky vertritt Symantec in diversen Gremien, wenn es um sogenannte kritische Infrastrukturen oder Industrie 4.0 geht. Im Interview mit ZDNet berichtet er von seinen Erfahrungen und denen seiner Kunden und erklärt, wo unter Sicherheitsaspekten noch Nachholbedarf besteht. weiter

Traditionell bringen die Anbieter von Antiviren-Lösungen im Herbst die neusten Versionen ihrer Security-Suiten auf den Markt. Aktuell sind die 2015er-Editionen für Windows als mehr oder weniger umfassende Sicherheitspakete erhältlich. ZDNet gibt einen Überblick über deren Funktionsumfang und stellt wesentliche Neuerungen heraus. weiter

Das Gesamturteil des Innsbrucker Testlabors AV-Comparatives fällt positiv aus. Abgesehen von einem Produkt bestanden alle Security-Apps die Prüfungen. Das Argument, dass sich Sicherheitssoftware auf die Akkulaufzeit auswirkt, konnten die Anbieter in den Tests größtenteils widerlegen. Probleme hatten die Tools unter Android 4.4.2 dagegen mit dem Blockieren von potenziell schädlichen SMS. weiter

Das geht aus einer von Websense beim Ponemon-Institut in Auftrag gegebenen Studie hervor. Außerdem sind nur 12 Prozent der befragten IT-Security-Verantwortlichen mit ihren Sicherheitssystemen zufrieden. Advanced Persistent Threats und Datenabfluss sehen sie als die größten Cyber-Bedrohungen. weiter

Das Testlabor hat seinen aktuellen, halbjährlich herausgegebenen Testbericht zu Antivirenlösungen veröffentlicht. Von März bis Juni 2014 standen diesmal insgesamt 23 Internet-Security-Suiten auf dem Prüfstand. Am besten abgeschnitten haben Panda, Avira, Bitdefender, Emsisoft, Kaspersky, Qihoo, Eset und Fortinet. weiter

Viele IT-Verantwortliche sehen den nächsten Monaten nervös entgegen. Denn die Bundesregierung arbeitet an einem neuen IT-Sicherheitsgesetz. Das könnte für die CIOs der Unternehmen nicht nur mehr Pflichten, sondern auch höhere IT-Kosten und direkte staatliche Kontrolle ihrer Netzwerke bedeuten. weiter

Es findet sich vorinstalliert im BIOS-ROM zahlreicher Notebooks. Eine unsaubere Implementierung durch die Gerätehersteller verwandelt das laut Kaspersky "eigentlich nützliche Sicherheitswerkzeug in eine leistungsstarke Plattform für Cyberattacken". Angreifer könnten sich so Zugang zu Millionen Rechnern verschaffen. weiter

Immer noch behandeln viele Unternehmen ihre digitalen Daten mit erschreckender Fahrlässigkeit. Verschlüsselung halten sie für kompliziert, unkomfortabel und teuer. Angesichts der jüngsten Ausspäh-Skandale sollten aber auch die Zögerlichsten begreifen: Verschlüsselung tut not - und sie ist weit weniger kompliziert als ihr Ruf. weiter

Smartphones und Tablets werden in vielen Firmen heute gleichwertig neben Laptop und PC genutzt. Allerdings herrscht bei den Mitarbeitern oft Verwirrung darüber, was der Arbeitgeber kontrollieren kann, wie die Studie "Trust Gap Survey" belegt. Erfahrungen von Experten aus der Praxis bestätigen das. weiter

Angesichts der vielfältigen Möglichkeiten von Angriffen auf Webapplikationen scheint Automation durch selbstlernende Filtermechanismen ein Ausweg. Doch die Automatik in Web Application Firewalls kann nicht blindlings angewandt werden. Die Ergebnisse von Lernmechanismen müssen durch die menschlichen Filter von theoretischer Analyse und IT-Erfahrung gehen. weiter