Die Schwachstelle erlaubt das Einschleusen und Ausführen von Schadcode. Ein Exploit für die Schwachstelle mit der Kennung CVE-2017-7269 ist offenbar schon seit Sommer 2016 verfügbar. Der Extended Support für Windows Server 2003 wurde a ...
IT-News Sicherheitsmanagement
Cloud Access Security Broker und SIEM – Ein kugelsicheres Duo
Ohne eine Lösung für Security Information and Event Management (SIEM) läuft in vielen Unternehmen nichts mehr. Aber bei Anwendungen der Public Cloud stößt das System an seine Grenzen. Daniel Wolf von Skyhigh Networks erklärt, wie ein C ...
MacOS Sierra 10.12.3: Apple schließt 127 Sicherheitslücken
Das Sicherheits-Update wird auch für Mac OS X 10.10 Yosemite und 10.11 El Capitan angeboten. Einige der Lücken erlauben es Unbefugten, Schadcode einzuschleusen und auszuführen. Unter Umständen können Angreifer sogar Kernel- oder Root-R ...
Weitere Sicherheitslücke in LastPass bekannt geworden
Sie steckt in den Browsererweiterungen und erlaubt möglicherweise Phishing-Angriffe auf das Masterpasswort. Entdeckt wurde sie erneut von Tavis Ormandy von Googles Project Zero. Ein Patch ist in Vorbereitung. Bis er verfügbar ist, rät ...
Malware modifiziert Angriffsschema in Abhängigkeit vom Betriebssystem
Verteilt wird sie als Word-Datei mit Makro. Die Schadsoftware ermittelt zunächst, ob Windows oder MacOS auf dem Rechner läuft, auf dem sie gelandet ist. Je nach Ergebnis dieser Prüfung führt sie den Schadcode auf unterschiedliche Weise ...
Microsoft kämpft mit Datenschutzproblemen bei Docs.com
Über die Suchfunktion auf der Sharing-Site für Office-Dokumente konnten Unbefugte auf zahlreiche vertrauliche Dokumente zugreifen, darunter auch Kreditkartenabrechnungen, Passwortlisten und Scheidungsvereinbarungen. Microsoft schaltete ...
Google misstraut von Symantec ausgestellten TLS-Zertifikaten
Google wirft Symantec gravierende Fehler bei deren Vergabe vor. Es stuft in seinem Browser Chrome die Gültigkeit der Symantec-Zertifikate daher schrittweise herunter. Während Chrome 59 sie noch 33 Monate gelten lässt, sind es bei Chrom ...
LastPass patcht kürzlich entdeckte Lücken in Browsererweiterungen
Der Anbieter betont noch einmal, dass keine Nutzerdaten kompromittiert worden seien. Er verspricht zudem, seinen Code künftig besser zu prüfen. Die Lücken stecken in den Browsererweiterungen von LastPass für Firefox, Chrome, Edge und O ...
Mehr als nur Technologie
Skandale über gestohlene und verloren gegangene Daten sorgen immer wieder für Aufruhr. Richard Anstey, CTO bei Intralinks, erklärt, dass es bei Sicherheit aber nicht nur auf die richtigen technologischen Lösungen ankommt.
Hackerwettbewerb Pwn2Own 2017: Lücken in Safari, Firefox, Edge, Windows und MacOS aufgedeckt
Auch im Adobe Flash Player, im Adobe Reader und bei Ubuntu Linux haben die Hacker Sicherheitslücken gefunden. Je nach Schwere der gefundenen Lücken gab es Belohnungen von bis zu 80.000 Dollar.
Adobe patcht gravierende Sicherheitslücken in Flash Player und Shockwave
Insgesamt sieben als kritisch eingestufte Sichehreitslücken stecken in Flash Player 24.0.0.221 für Windows, Mac OS X und Linux. Angreifer könnten die vollständige Kontrolle über ein System übernehmen. Das Update für Shockwave Player fü ...
Microsoft stellt Neuerungen für Advanced Threat Protection vor
Sie werden mit dem Windows 10 Creators Update ausgeliefert. Zu ihnen gehört auch eine verbesserte Bedrohungserkennung durch Speicher- und Kernel-Sensoren. Außerdem soll eine zentrale Ansicht für Meldungen mehrerer Sicherheits-Tools die ...
SAP behebt hochkritisches Leck in HANA
Patchday bei SAP: Im März 2017 gibt es 25 Security Notes und eine "Hot News". SAP-Anwender bekommen damit in den nächsten Tagen wohl einiges zu tun.
Zero-Day-Lücken vom Entdecker im Durchschnitt fast 7 Jahre verwendbar
Zu diesem Ergebnis kommt eine aktuelle Studie der Rand Corp. Sie basiert auf der Datenbank eines Unternehmens, das auf die Entdeckung und den Verkauf von Sicherheitslücken an Behörden spezialisiert ist. Diese Datenbank umfasst rund 200 ...
Zahllose Websites über fehlerhafte JavaScript-Komponenten angreifbar
Zu dem Ergebnis kommen Forscher der in Boston ansässigen Northeastern University nach Untersuchung von 133.000 Websites. Demnach können die Fehler unter Umständen ausgenutzt werden, um über eine alte Cross-Site-Scripting Lücke in jQuer ...
Ransomware kommt jetzt auch als vermeintliche Rechnung via Dropbox
Die Kriminellen machen sich laut Trend Micro damit die zunehmende Nutzung von Dropbox in Firmen zunutze. Deutschland ist den IT-Sicherheitsexperten zufolge am stärksten betroffen. Bisher wurde die nun so verbreitete Malware "TorrentLoc ...
Patch für Apache Struts macht Hacker auf gravierende Sicherheitslücke aufmerksam
Die ersten Angriffe wurden schon wenige Stunden nach Veröffentlichung des Patches bemerkt. Über die Lücke in Apache Struts lässt sich Schadcode aus der Ferne einschleusen und ausführen. Von ihr könnten weltweit über 30 Millionen Weban ...
NAS-Reihe MyCloud von Western Digital weist zahlreiche Sicherheitslücken auf
Unter anderem ist es möglich, die Passwortabfrage zu umgehen und so ohne gültige Anmeldedaten auf die Netzwerkspeicher zuzugreifen. Angreifer können die ungpatchte Schwachstelle den Entdeckern zufolge mit über 80 Lücken kombinieren, di ...
Microsoft verdoppelt Prämien für Hinweise auf Sicherheitslücken in Office 365
Das reguläre Bug-Bounty-Programm belohnt Sichehreitsforscher für Hinweise auf Fehler je nach deren Schwere mit Beträgen zwischen 500 Dollar und 15.000 Dollar. In den kommenden drei Monaten zahlt Microsoft jedoch bis zu 30.000 Dollar fü ...
Forscher belegen Unzulänglichkeit des Hashverfahrens SHA-1
Sie führten dazu einen sogenannten Kollisionsangriff durch. Damit gelang es per SHA-1 signierte Dateien gegen andere, infizierte Dateien auszutauschen. Theoretische Überlegungen für einen derartigen Angriff gibt es schon länger, nun ge ...
Mehr Sicherheit bei Dropbox durch Open-Source-Bot
Ein neues Werkzeugt soll Sicherheitsteams in Unternehmen durch hochwertigere Sicherheitsmeldungen entlasten. Dropbox macht den Bot über Open Source allgemein verfügbar.
HTTPS Interception: Security-Hersteller haben nachgebessert
Anfang Februar sorgte eine Studie für Aufregung, wonach gängige Security-Produkte durch ihren Eingriff in HTTPS zusätzliche Sicherheitsprobleme schaffen. Das stimmt so aber offenbar nur für veraltete Versionen.
Zero-Day-Sicherheitsleck in Windows
Google macht ein Leck in Windows öffentlich, über das Angreifer vertrauliche Informationen aus einem System auslesen können.
Cisco liefert Patches für AnyConnect-VPN und ASA-Firewalls
Der Fehler im VPN-Client AnyConnect kann unter Windows ausgenutzt werden, um den Internet Explorer mit Systemrechten zu starten. Unter gewissen Voraussetzungen sind wegen unzureichender Prüfung von Nutzereingaben in die SSL-VPN-Funktio ...
IBM stellt Watson für Cyber Security vor
Das Angebot richtet sich an SOCs. Dort soll Watson die für die Analyse benötigte Zeit von Wochen auf Minuten reduzieren. Zudem arbeitet IBM an Chat-Bots und einem mit Sprachtechologie befähigten IT-Sicherheitsassistenten.
Ransomware für Industriekontrollsysteme: Forscher legen Proof-of-Concept vor
Sie wollen so vor Gefahren für sogennante "kritische Infrastrukturen" warnen. Dazu skizzieren sie einen Angriff auf eine simulierte Wasseraufbereitungsanlage über speicherprogrammierbare Steuerungen (SPS). Sie nutzen Lücken aus, um Ven ...
Microsoft verschiebt Februar-Patchday auf unbestimmte Zeit
Grund ist ein nicht näher spezifiziertes Problem, das "einige Kunden" betreffen könnte. Damit müssen Nutzer auch noch länger auf den Patch für die Anfang Februar bekannt gewordenen Lücke in Windows SMB warten. Adobe liefert Patches wie ...
Zahlreiche Security-Produkte greifen gefährlich in HTTPS-Verkehr ein
Die Autoren der Studie "The Security Impact of HTTPS Interception" machen Herstellern schwere Vorwürfe: Zahlreiche Antivirus-Suiten und Security-Appliances greifen ihnen zufolge so in verschlüsselten Datenverkehr ein, dass Ansatzpunkte ...
Cisco bringt für SaaS-Nutzer Security-Angebot aus der Cloud
Dazu hat das Unternehmen jetzt einen "Umbrella" genannten, cloudabsierenden Secure Internet Gateway vorgestellt. Mit ihm soll für mobile Nutzer von SaaS-Anwendungen der Zugriff auf das Internet auch ohne VPN geschützt sein. Auch für Zw ...
IT-Security-Markt im Umbruch
Mit Technologien wie Industrie 4.0, IoT, Data Analytics, Mobile Enterprise und Cloud Computing hat sich die Architektur von Sicherheitslösungen stark verändert. Darauf haben sich die Anbieter eingestellt, wie der aktuelle, auf den deut ...