Produkte von FireEye und Kaspersky von Sicherheitslücken betroffen

Kasersky hat die Lücke bereits geschlossen. Allerdings sind weitere entdeckt worden. FireEye will die Schwachstellen in Kürze beheben. Bisher habe man noch keine Angriffe registriert. Laut Sicherheitsforscher Hermansen hat er FireEye bereits vor 18 Monaten über die Mängel informiert. weiter

Fahrtdaten von Uber in Google-Suche aufgetaucht

Durch via Twitter verbreitete Links auf trip.uber.com ließen sich Personen und zugehörige Adressen identifizieren. Laut Uber ist dies kein Fehler - die Passagiere selbst haben die Links gepostet. Es reagierte aber dennoch: Ab sofort ist der Zugriff auf veröffentlichte Fahrtdaten nur noch 48 Stunden möglich. weiter

Chrome 45 mit 29 Sicherheitspatches verfügbar

Bisher gingen dafür 40.500 Dollar an ihre Entdecker. Für Diffie-Hellman-Schlüsseltausch wird nun eine Mindest-Schlüssellänge von 1024 Bit spezifiziert, was Ausnutzen der Logjam-Lücke unmöglich macht. Für NPAPI-Plug-ins gibt es keine Ausnahmen mehr, und periphere Flash-Videos werden standardmäßig pausiert. weiter

Webroot macht Sicherheitslösung für Smart-Home-Netze verfügbar

Der Baukasten richtet sich an Hardware-Anbieter, Entwickler und Integratoren. Er umfasst Device Agents und eine Reihe von Clouddiensten zum Filtern von Traffic und Erkennen von Angriffen. Laut Hersteller bewahrt er vor "moderner Malware, Angriffen auf Zero-Day-Lücken und anderen externen Bedrohungen sowie internen Schwachstellen." weiter

Wikipedia blockiert fast 400 Autorenkonten wegen Manipulationen

Darüber liefen vermutlich bezahlte Änderungen mit noch unbekanntem Zweck. Mehr als 200 Seiten wurden in der englischsprachigen Enzyklopädie gelöscht. Seit Juni 2014 müssen Autoren von Wikipedia Arbeitgeber, Kunden und Zugehörigkeit in Bezug auf alle Beiträge offenlegen, für die sie eine Vergütung erhalten oder erwarten. weiter

Uber stellt beide Jeep-Hacker ein

Charlie Miller und Chis Valasek waren im Juli bekannt geworden, als sie einen fahrenden Jeep mit einem 15 Kilometer entfernten Notebook übernahmen. Dazu nutzten sie eine Sicherheitslücke im Unterhaltungssystem. Ab Dienstag sind sie für Ubers Forschungslabor in Pittsburgh tätig. weiter

User Data Manifesto 2.0 fordert Kontrolle über eigene Daten

Es definiert drei Grundrechte: Erstens Kontrolle über den Zugriff auf Nutzerdaten, zweitens Kenntnis, wie und wo Nutzerdaten gespeichert sind und welchen gesetzlichen Vorschriften sie unterliegen. Drittens fordert es freie Plattformwahl, ohne Bindung an einen einzelnen Anbieter. Zu den Unterstützern zählen Netzpolitik.org, KDE und Gnome sowie die FSFE. weiter

Sicherheitslücken in Mobilbrowsern Dolphin und Mercury entdeckt

Bei Dolphin steckt die Schwachstelle im Theme-Download. Heruntergeladene Themes lassen sich durch ein simples Skript ersetzen. Bei Mercury für Android ist die Dateitransferfunktion Wi-Fi Transfer anfällig. Angreifer erhalten auch hier Schreibrechte fürs Browserverzeichnis. weiter

iOS-Sandbox-Lücke steckte in MDM-Verwaltung

Sie wurde mit iOS 8.4.1 Mitte August behoben. Angreifer konnten sich Zugangsdaten zu Firmenservern verschaffen, wenn diese per MDM verteilt wurden. Dieses Verfahren nutzen laut Sicherheitsfirma Appthority 67 Prozent der Firmen-Apps, die Serverzugang benötigen. weiter

Datendiebstahl bei US-Steuerbehörde umfangreicher als bisher bekannt

Statt wie zunächst gemeldet 114.000 Haushalten sind bis zu 330.000 betroffen. Außerdem gab es 280.000 fehlgeschlagene Versuche, Sicherheitsabfragen wie nach dem Mädchennamen der Mutter zu erraten. Zusätzlich nutzten die Angreifer gestohlene Sozialversicherungsnummern für die Authentifizierung. weiter

Cyanogen schließt Stagefright-Lücken komplett

Die Nightly-Builds von CyanogenMod 11.0, 12.0 und 12.1 sind gegenüber den Stagefright-Lücken nicht mehr anfällig. Gegen Ende des Monats plant Cyanogen die Auslieferung von stabilen Versionen seiner Custom-Rom-Varianten. weiter

Forscher meldet Sicherheitslücke in der App Google Admin

Sie dient der Verwaltung von "Google for Work"-Nutzern und -Gruppen in Firmen, Bildungseinrichtungen sowie Behörden. Dritt-Apps können sich ihre Rechte aneignen. Google patchte den Fehler von März bis zur Veröffentlichung nicht, legte aber jetzt ein Update vor. weiter

Salesforce.com flickt Cross-Site-Scripting-Lücke

Sie steckte in der für einen Blog genutzten Subdomain admin.salesforce.com. Code ließ sich auch von anderen Websites injizieren. Angreifer konnten etwa ein Salesforce-Log-in nachbauen und den Link darauf per Phishing verbreiten, um an Daten zu kommen. weiter

Android-Lücke Stagefright: Weiterer Patch nötig

Google räumt ein, dass die Schwachstelle nicht vollständig behoben ist. Es will einen überarbeiteten Patch mit dem monatlichen Sicherheitupdate im September nachliefern. Sicherheitsforscher fanden heraus, dass Android-Smartphones noch immer durch eine manipulierte MP4-Datei zum Absturz gebracht werden können. weiter

Apple schließt Root-Lücke in OS X 10.10 Yosemite

Der Fix ist Bestandteil von OS X 10.10.5. Nutzern älterer OS-X-Version stellt Apple das Sicherheitsupdate 2015-006 zur Verfügung. Insgesamt patcht es 135 Sicherheitslücken in seinem Betriebssystem. weiter

Cisco warnt vor Angriffen auf seine Router-Firmware

Hacker nutzen eine dokumentierte Updatefunktion für das Einschleusen eines manipulierten ROMMON-Image. In den Cisco bekannten Fällen verfügten sie über gültige Anmeldedaten für einen Router oder Switch. Nach Unternehmensangaben handelt es sich nicht um eine Sicherheitslücke. weiter

Dropbox unterstützt ab sofort USB-Sicherheitskeys

Es setzt wie etwa auch Google auf Universal 2nd Factor, kurz U2F - einen Standard der FIDO Alliance. Bekanntester Anbieter solcher Sticks ist Yubico. Anders als SMS- und App-Codes muss nichts eingetippt werden, und der Schlüssel lässt sich weder abfangen noch kopieren. weiter

Microsoft, Symantec und AVG warnen vor IoT-Datenverlust

Sie stellen über den Branchenverband Online Trust Alliance eine Sicherheitsrichtlinie für IoT-Geräte vor. Sie soll Nutzer beispielsweise über die Patch-Strategie eines Herstellers nach Ablauf der Garantie informieren. Der Verband setzt sich auch für eine Verschlüsselung aller persönlichen Daten ein. weiter

Lenovo installierte System-Software per Windows-Rootkit

Die Lenovo Service Engine residiert im BIOS und überschreibt eine Windows-System-Datei. Sie spielt auch nach einer Neuinstallation von Windows Lenovos eigene Software automatisch ein. Inzwischen stuft auch Lenovo die Engine als Sicherheitsrisiko ein. weiter

Twitter meldet 52 Prozent mehr Behördenanfragen nach Kontodaten

Betroffen waren 78 Prozent mehr Konten. Somit erreichen nicht nur die absoluten Werte, sondern auch die Zuwachsquoten Rekordniveau. Die meisten Einsichtnahmen beantragte die US-Regierung, während die Türkei die meisten Löschanträge stellte. weiter

Adobe stopft 35 kritische Sicherheitslöcher in Flash Player

Betroffen sind die Versionen für Windows, Mac OS X und Linux sowie Adobe AIR. Ein Angreifer könnte Schadcode einschleusen und ausführen. Microsoft und Google haben auch schon mit der Verteilung von Patches für die in ihre Browser integrierten Flash-Plug-ins begonnen. weiter

Trend Micro warnt vor weiteren ungepatchten Android-Bugs

Sie stecken in der System-SMS-App. Eine Lücke löst einen Absturz der Anwendung aus, während die andere die Manipulation des Empfangsstatus einer Nachricht erlaubt. Für beide Schwachstellen gibt es Patches, die aber bisher nur im Android Open Source Project enthalten sind. weiter