Sicherheitslücke

GitHub (Bild: GitHub)

Github spürt für Entwickler nun auch Sicherheitslücken auf

Die Plattform setzt damit den kürzlich mit der Einführung des Dependency Graph eingeschlagenen Weg fort. Der zeigt – bislang für Javascript und Ruby – Abhängigkeiten des eigenen Codes von anderer Software ab. Nun erhalten Entwickler Benachrichtigungen, wenn in einem dieser Programme eine Schwachstelle gefunden wurde.

Dank einer räumlichen Messung könne Face ID nicht durch Fotografien oder Masken getäuscht werden, hatte Apple bislang erklärt. (Bild: Apple)

Face ID beim iPhone X mit Maske überlistet

Ein Video zeigt die Entsperrung eines iPhone X durch eine Maske. Sicherheitsforscher haben damit die Gesichtserkennung durch eine Schwäche in Apples KI überwunden. Im Laufe der Woche wollen sie weitere Details veröffentlichen.

Tor Project (Grafik: TOR)

Tor-Browser gibt IP-Adressen von Nutzern preis

Der Fehler tritt unter Mac OS X und Linux auf. Er steckt im Mozilla-Browser Firefox, der den Unterbau für den Tor-Browser liefert. Datei-URLs umgehen unter Umständen den Browser und stellen eine direkte Verbindung zwischen Betriebssystem und entferntem Server her.

pwn2own (Bild: Trend Micro)

Hacker decken Schwachstellen in iPhone 7 und Galaxy S8 auf

Beim iPhone 7 mit iOS 11.1 nutzten die Sicherheitsforscher zwei Schwachstellen in der WLAN-Verbindung und im Safari-Browser aus. Beim Samsung Galaxy S8 waren es Schwachstellen im Browser und im Baseband-Chip. Die Hersteller haben nun 90 Tage Zeit, um Patches bereitzustellen bevor die Lücken veröffentlich werden.

Malware (Bild: Shutterstock.com/Maksim Kabakou)

Trojaner für Mac OS X über manipulierte Software verbreitet

Unbekannte schleusten den Trojaner Proton in die Installationsdatei des Elmedia Player ein. Den Download-Server des Anbieters Eltima hacken sie über eine JavaScript-Bibliothek. Proton installiert eine Hintertür, die es dem Angreifer erlaubt, nahezu die vollständige Kontrolle zu übernehmen.

WLAN (Bild: Shutterstock/wwwebmeister)

Erste Hersteller liefern Patches für WPA2-Schwachstelle KRACK aus

Unter anderem gibt es Updates bereits von Cisco, Microsoft, Netgear und mehreren Linux-Anbietern. Google und Apple haben Patches in Aussicht gestellt. AVM und Lancom weisen darauf hin, dass WLAN-Router und WLAN–Access-Points nur eingeschränkt angreifbar sind und beim Aufruf von HTTPS-Seiten die Verschlüsselung dennoch sicher ist.

Adobe Flash: Bombe (Bild: ZDNet.de)

Warnung vor Angriffen über Zero-Day-Lücke im Flash Player

Die Sicherheitslücke steckt in allen Versionen des Adobe Flash Player für Windows, Mac OS X und Linux. Auch die Plug-ins für Chrome, Edge und Internet Explorer sind darüber angreifbar. Über die Lücke lässt sich Schadcode einschleusen und auf dem infizierten System ausführen.

Verschlüsselung (Bild: Shutterstock/Cousin_Avi)

RSA-Schlüssel seit 2012 angreifbar

Der Fehler steckt in einer RSA-Bibliothek von Infineon. Er erlaubt es, die privaten Schlüssels aus dem öffentlichen Schlüsselteil zu errechnen. Bei Schlüsseln mit einer Länge von 2048 Bit ist der Aufwand allerdings weiter sehr hoch, bei einer Schlüssellänge von 1024-Bit dagegen durchaus vertretbar.

Android (Grafik: Google)

Android: Google stellt Oktober-Update bereit

Für Android werden im Oktober Fixes für 14 Schwachstellen ausgeliefert. Ein separater Patch ist nur für Nexus- und Pixel-Geräte verbindlich. Googles Partner dürfen diese 38 Fixes, die unter Umständen auch für ihre Geräte sicherheitsrelevant sein können auslassen. Die aktuellste Sicherheitspatch-Ebene erhalten sie trotzdem.

MacOS High Sierra (Bild: Apple)

Zero-Day-Lücke in MacOS 10.13 High Sierra veröffentlicht

Durch ihn können alle in “Schlüsselbund” gespeicherten Passwörter im Klartext ausgelesen werden. Der Fehler steckt offenbar auch in früheren Versionen des Betriebssystem. Apple wurde bereits Anfang September informiert, hat aber keinen Patch integriert.

Sicherheitslücke BlueBorne (Grafik: Armis)

BSI warnt vor Bluetooth-Schwachstelle BlueBorne

Dem Bundesamt für Sicherheit in der Informationstechnik zufolge sind bis zu fünf Milliarden Geräte mit Bluetooth-Funktion betroffen. Nutzer sollen – sofern vorhanden – Updates umgehend einspielen. Falls noch kein Update verfügbar ist sollten sie die Bluetooth-Funktionen deaktivieren.