Sie sollen kritische Fehler in dem elektronischen Wahlsystem aufdecken. Dafür erhalten sie Prämien von bis zu 50.000 Franken. Den Höchstbetrag gibt es für Bugs, die eine Manipulation von Stimmen ermöglichen, ohne dass das System die Eingriffe erkennen kann. weiter

Zwei Anfälligkeiten sind als Zero-Day-Lücken einzustufen. Sie stecken in den Komponenten IOKit und Foundation. Ein Angreifer kann Schadcode mit Kernelrechten ausführen. Google hält jedoch alle Details zu den Angriffen zurück. weiter

Cyberkriminelle greifen auf komplexere Angriffstechniken zurück, um die DDoS-Schutzschilder der anvisierten Opferunternehmen zu umgehen. Dies geht unter anderem aus dem aktuellen DDoS-Report für das vierte Quartal 2018 von Kaspersky Lab hervor. weiter

Sie verschicken einen Fragenkatalog an CEO Tim Cook. Sie wollen unter anderem wissen, wie Apple auf die Meldung des Facetime-Bugs reagiert hat. Zudem fordern sie von Apple mehr Transparenz beim Umgang mit solchen Fehlerberichten. weiter

Google unterscheidet als einziger Anbieter nicht zwischen Adressen mit und ohne Punkte im Nutzernamen. Betrüger nutzen den Umstand, um Kreditkarten zu beantragen oder Testkonten bei kostenpflichtigen Diensten anzulegen. weiter

Elf Anfälligkeiten stufen die Entwickler als kritisch ein. Sie stecken unter anderem im Bootloader von Geräten mit Qualcomm-Chipsätzen. Betroffen sind Smartphones und Tablets mit Android 7.x Nougat, 8.x Oreo und 9 Pie. weiter

Sie steckt in macOS 10.14.3 Mojave und früher. Mit einem lokal ausgeführten Exploit liest der Forscher alle im Schlüsselbund hinterlegten Anmeldedaten im Klartext aus – ohne Eingabe eines Passworts. Apple kennt die Details der Anfälligkeit bisher nicht. weiter

Die intelligente Uhr hat gravierende Sicherheitsmängel. Ihre Android- uns iOS-App kommuniziert unverschlüsselt mit den Servern des Anbieters. Dritte können unerlaubt die Träger der Uhr – also Kinder – orten und mit ihnen kommunizieren. weiter

Einfallstor ist das ThinkPHP-Framework. SpeakUp nimmt derzeit sechs Linux-Distributionen ins Visier, darunter auch auf AWS gehostete Maschinen. Zudem verfügt der Trojaner über Exploits für sieben weitere Schwachstellen, um sich im Netzwerk zu verbreiten. weiter

Sie regeln unter anderem, dass untergeordnete Prozesse einen bereits deaktivierten Schutz nicht wieder aktivieren. Die Kernel-Entwickler reagieren damit auf Forderungen von Administratoren. Sie stufen Spectre vielfach als eine bisher rein theoretische Bedrohung ein. weiter

Ein niederländischer Forscher kombiniert bekannte Schwachstellen in Exchange Server und Protokollen zu einem neuen Angriff. Ausgehend von einem gehackten E-Mail-Konto erhält er die Rechte eines Administrators des zugehörigen Domänen-Controllers. Das für den Angriff benötigte Python-Tool ist zudem frei verfügbar. weiter

xDedic war seit 2014 aktiv. Das Angebot umfasst zwischenzeitlich bis zu 85.000 gehackte Server. Die Zugänge verkaufen die Cyberkriminellen schon ab 6 Dollar. Die Ermittler beschlagnahmen nun nicht nur die Domain, sondern auch die Server des Marktplatzes. weiter

Unbekannte kapern eine begrenzte Anzahl von Nutzerkonten. Der Angriff startet bereits am 19. Januar. Dailymotion sperrt seitdem automatisch alle betroffenen Konten und setzt deren Passwörter zurück. weiter

Die neue Sicherheitsfunktion kommt im März oder April mit Chrome 73. Schon jetzt können Nutzer von Chrome Canary den Schutz vor Drive-by-Downloads testen. Das Feature lässt sich jedoch unter Umständen umgehen. weiter

Das in einer Anzeige enthaltene Bild versteckt den eigentlichen JavaScript-Schadcode. Mac-spezifische Schriftarten erlauben es, einzelne Pixel des Bilds in alphanumerische Zeichen zu übersetzen. Daraus entsteht eine Weiterleitung zu einer Website, die einen Trojaner verteilt. weiter

Verbesserungen betreffen das iPad Pro 2018 und die aktuellen iPhone-Modelle XR, XS und XS Max. Die Schwachstellen stecken unter anderem in Bluetooth, FaceTime, Kernel, Safari und WebKit. Einige Anfälligkeiten erlauben das Einschleusen und Ausführen von Schadcode. weiter

URLhaus arbeitet mit 265 Sicherheitsforschern weltweit zusammen. Sie melden täglich rund 300 Malware-Websites. URLhaus beobachtet jedoch täglich zwischen 4000 und 5000 aktive Malware-Seiten. Zudem benötigen vor allem chinesische Hoster im Schnitt mehr als einen Monat, um eine Seite zu sperren. weiter

Er steigt 2018 auf 55 Prozent. Im Jahr davor waren es noch 48 Prozent. Häufig sind Anwendungen wie Adobe Shockwave, VLC Media Player, Skype, 7-Zip, Java und Foxit Reader veraltet. Office 2007 Enterprise findet sich noch auf 15 Prozent aller PCs. weiter

Die Erweiterungen öffnen interne Programmierschnittstellen für Webanwendungen. Eine schädliche Website kann so auf die Daten zugreifen, die der Erweiterung zur Verfügung stehen. Während Firefox und Opera die Add-ons löschen, prüft Google, ob sich die Fehler beheben lassen. weiter

Der Fehler steckt im Echtzeit-Betriebssystem ThreadX. Dessen Implementierung für einen WLAN-Chipsatz von Marvell erlaubt das Einschleusen und Ausführen von Schadcode. Dies ist unter Umständen sogar ohne eine Interaktion mit einem Nutzer möglich, und zwar sobald ein Gerät nach einem WLAN-Netzwerk sucht. weiter

Die Apps Currency Converter und BatterySaverMobi enthalten trotz guter Bewertungen Schadcode. Sie prüfen, ob sie auf einem echten Smartphone ausgeführt werden, bevor sie den Schadcode starten. Dieser lädt die Malware Anubis herunter und greift 377 unterschiedliche Finanz-Apps an. weiter

re:ClaimID steht als Open-Source-Software bereit. Der Dienst ist über den Standard OpenID Connect in Webseiten zu integrieren. Die dezentrale Architektur vermeidet die Risiken, die mit der Nutzung zentraler Identitätsprovider verbunden sind. weiter

Fast zehn Prozent der Anfälligkeiten haben einen CVSS-Score von 9,8 und gelten deswegen als kritisch. Das gilt für Fehler in der Enterprise Manager Products Suite, Fusion Middleware und den Communications Applications. Updates stehen außerdem für Java SE und VirtualBox zur Verfügung. weiter

Ein darin enthaltener Link führt unter Umständen Schadcode aus. Ein Angreifer muss sein Opfer allerdings dazu verleiten, die vCard-Datei zu öffnen und auf den Link zu klicken. Microsoft will erst mit dem nächsten Funktionsupdate für Windows 10 einen Fix bereitstellen. weiter

Ein lokaler Angreifer erhält die vollständige Kontrolle über ein betroffenes System. Für zwei der drei Anfälligkeiten liegen Patches vor. Betroffen sind nahezu alle Linux-Distributionen, die auf Systemd basieren. weiter

Die Schadsoftware stiehlt Daten und meldet Nutzer für teure Premiumdienste an. Außerdem lädt sie Online-Werbung im Hintergrund und erzeugt einen Datenverbrauch von mehreren Gigabyte pro Monat. Betroffen ist unter anderem das hierzulande angebotene Alcatel Pixi 4. weiter

Den Höchstbetrag gibt es, wenn der Jailbreak ohne Interaktion mit einem Nutzer funktioniert. Ansonsten sinkt die Prämie auf 1,5 Millionen Dollar. Lücken in WhatsApp und iMessage, die das Ausführen von Schadcode erlauben, bringen Forschern nun bis zu einer Millionen Dollar ein. weiter

Darunter sind sieben kritische Anfälligkeiten. Updates stehen für alle unterstützten Windows-Versionen sowie Office, Exchange Server und Visual Studio zur Verfügung. Unter anderem erlaubt der Windows-DHCP-Client das Einschleusen und Ausführen von Schadcode aus der Ferne. weiter

Den Werbung einblendenden Schadcode enthalten insgesamt 85 Apps im Play Store. Eine der Apps kommt auf mehr als 5 Millionen Downloads. Den Apps ist gemeinsam, dass sie bildschirmfüllende Werbung anzeigen und sich selbst aus dem App Drawer löschen. weiter

Zwei Schwachstellen erhalten die Bewertung "kritisch". Sie stecken in den OS-Versionen 7.x Nougat, 8.x Oreo und 9 Pie. Auch LG und Samsung kündigen Updates für ihre Android-Geräte an. weiter