Ein Problem mit Passwörtern ist: Sie werden häufig vergessen. Deswegen halten Nutzer auch PIN-Codes für sicherer als Passwörter.
IT-News Sicherheit
Chrome 111 schließt 40 Sicherheitslücken
Das Update beseitigt mindestens acht Anfälligkeiten mit einem hohen Sicherheitsrisiko. Sicherheitsforscher belohnt Google mit insgesamt 92.000 Dollar für die von ihnen eingereichten Fehlerberichte.
Neue Variante des Emotet-Trojaners setzt auf “aufgeblähte” Office-Dateien
Sie verstecken sich in einer kleinen ZIP-Datei und sind mehr als 500 MByte groß. Emotet setzt darauf, dass Sicherheitsanwendungen nur den Anfang von großen Dateien scannen.
Acer bestätigt Hackerangriff
Unbekannte erbeuten rund 160 GByte Daten. Laut Acer sind keine Informationen von Kunden betroffen. Der Täter bietet die Daten in einem Cybercrime-Forum zum Kauf an.
Twitter streicht kostenlose Zwei-Faktor-Authentifizierung per SMS
Nutzer der Anmeldung in zwei Schritten müssen bis 19. März auf eine andere Methode umsteigen. Twitter erlaubt ihnen weiterhin die Nutzung eines Hardware-Schlüssels oder einer App zu Generierung von Einmalkennwörtern.
Citrix schließt schwerwiegende Sicherheitslücken in Workspace und Virtual Apps
Die Schwachstellen erlauben unter anderem eine nicht autorisierte Ausweitung von Benutzerrechten. Auch die Übernahme eines ungepatchten Systems ist möglich.
Firefox 110 erhält GPU-Sandboxing für Windows
Unter macOS und Linux unterstützt der Browser nun GPU-Beschleunigung für Canvas2D. Außerdem importiert Firefox 110 nun Browserdaten von Opera und Vivaldi.
Microsoft überwacht 100 aktive Ransomware-Gruppen
Sie greifen ihre Opfer mit mehr als 50 Ransomware-Familien an. Zugang zu Netzwerken erhalten die Cyberkriminellen häufig per Phishing. Ransomware-as-a-Service trägt zum Erfolg des Geschäftsmodells Cybererpressung bei.
Nach Hackerangriff: GoTo setzt einige Kundenpasswörter zurück
Hackern gelingt es offenbar, Teile der kompromittierten Backups zu entschlüsseln. Sie enthalten auch Passwörter von Kunden, die jedoch per Salt and Hash geschützt sind.
Nach Hackerangriff: PayPal meldet Verlust von Kundendaten
Es sind rund 35.000 Konten betroffen. Unbekannte erbeuten Namen, Anschriften und Sozialversicherungsnummern, aber keine Finanzdaten. Auslöser ist ein Credential-Stuffing-Angriff.
Studie: Ein Drittel der deutschen Angestellten gefährdet die IT-Sicherheit des Unternehmens
Der Anteil der Mitarbeiter mit geringer oder sehr geringer Kompetenz im Bereich IT-Sicherheit steigt deutlich. Nur noch 27 Prozent sprechen sich selbst ein hohe oder sehr hohe Kompetenz zu.
Twitter: Datenleck nicht auf Systemfehler zurückzuführen
Ein geringer Teil der aktuell angebotenen Daten stammt jedoch aus einem früheren Sicherheitsvorfall. Twitter geht davon aus, dass der Leak aus bereits öffentlich verfügbaren Quellen zusammengetragen wurde.
Android-Malware: BaFin warnt vor Godfather
Der Trojaner attackiert auch Apps von deutschen Finanzdienstleistern. Godfather fängt Log-in-Daten und auch SMS und Benachrichtigungen für eine Zwei-Faktor-Authentifizierung ab.
Hacker veröffentlichen E-Mail-Adressen von mehr als 200 Millionen Twitter-Nutzern
In einem Hacker-Forum werden insgesamt 235 Millionen Daten von Twitter-Nutzern angeboten. Laut Sicherheitsexperte Troy Hunt sind rund 98 Prozent der E-Mail-Adressen bereits in älteren Leaks enthalten.
Emisoft: Ransomware bleibt ernste Bedrohung für öffentlichen Sektor
In den USA werden 2022 fast 2000 Schulen Opfer von Ransomware-Angriffen. Das entspricht einem Plus von fast 100 Prozent gegenüber dem Vorjahr. Auch lokale Behörden werden häufiger das Ziel von Cybererpressern.
Mehr als 60.000 Exchange-Server anfällig für ProxyNotShell-Angriffe
Die Zahl sinkt seit Mitte Dezember um rund 23.000. Ein Patch steht bereits seit Anfang November zur Verfügung.
LastPass: Hacker erbeuten auch Passwort-Tresore von Kunden
Die Tresore enthalten auch nicht verschlüsselte Daten. Die liegen jedoch in einem proprietären Format vor. LastPass betont, dass alle Kennwörter durch eine 256-Bit-AES-Verschlüsselung gesichert sind.
Angreifer schleusen QBot-Malware per SVG-Dateien in Windows-Systeme ein
Die Hintermänner nutzen eine HTML-Smuggling genannte Technik. Ein Dateianhang im HMTL-Format enthält eine SVG-Datei, in der der eigentliche Schadcode versteckt ist.
iOS 16.2: Notruf via Satellit und Patches für 46 Sicherheitslücken
Nutzer erhalten außerdem die neue App Freeform und die neue Funktion Apple Music Sing. Apple erweitert iOS 16.2 auch um die neuen Widgets Schlafen und Medikamente.
Microsoft schließt sechs kritische Sicherheitslücken
Der Dezember-Patchday bringt zudem einen Fix für eine Zero-Day-Lücke. Insgesamt beseitigt Microsoft 56 Anfälligkeiten. Betroffen sind unter anderem Windows, Edge, Office, SharePoint, Azure und Hyper-V.
Fortinet stopft Zero-Day-Lücke in FortiOS SSL-VPN
Hackern nutzen die Schwachstelle bereits aktiv aus. Nicht authentifizierte Angreifer können Schadcode aus der Ferne einschleusen und ausführen.
Neue Cyber-Angriffstechnik stiehlt Daten von Air-gapped-Systemen
Die Angreifer nutzen vom Ziel-System erzeugte elektromagnetische Strahlung. Sie benötigen jedoch physischen Zugriff auf das zu kompromittierende System.
Apple kündigt neue Datenschutzfunktionen für die Cloud an
Ende-zu-Ende-Verschlüsselung bietet Apple künftig auch für Backups und Fotos an. Zudem unterstützt die Apple ID ab kommenden Jahr Hardware-Sicherheitschlüssel.
Pwn2Own 2022: Drucker, Router und Samsung Galaxy S22 gehackt
Neu ist die Kategorie SOHO Smashup. Hacker verknüpfen Schwachstellen in unterschiedlichen Office-Geräten, um beispielsweise über einen Router einen Drucker anzugreifen.
Rekordpatchday: Google stopft im Dezember 232 Löcher in Android
Allein 77 Fixes stehen für die Pixel-Geräte zur Verfügung. Insgesamt 20 Anfälligkeiten stuft Google als kritisch ein. Betroffen sind alle unterstützten Versionen von Android.
Google schließt neunte Zero-Day-Lücke in Chrome in diesem Jahr
Der Google-Browser ist über eine manipulierte HTML-Datei angreifbar. Betroffen sind Chrome für Windows, macOS, Linux und Android. Google entwickelt innerhalb von drei Tagen einen Patch.
Google warnt vor neuer kommerzieller Spyware
Heliconia nimmt Browser und Windows Defender ins Visier. Das Exploitation Framework setzt auf in den vergangenen Monaten gepatchte Sicherheitslücken.
Weiterer Sicherheitsvorfall bei LastPass betrifft auch Kundendaten
Cyberkriminelle kompromittieren einen Cloud-Speicher von LastPass. Sie nutzen für ihren Angriff im August 2022 gestohlene Informationen. Zur Art der ausgespähten Kundendaten hält sich LastPass derzeit bedeckt.
Chrome 108: Neues Sicherheitsupdate für Windows, macOS und Linux
Google stopft insgesamt 28 Sicherheitslücken. An Sicherheitsforscher schüttet es Prämien in Höhe von 66.000 Dollar aus.
Fehlende Patches machen Smartphones von Google, Samsung und Xiaomi angreifbar
Die Anfälligkeiten stecken in Grafiktreibern von ARM. ARM wiederum bietet die Patches seit Juli an. Gerätehersteller verzichten indes darauf, die Patches in ihre Android-Builds einzubauen.