Es basiert unter anderem auf Samsungs Sicherheitslösung Knox. Das deutsche Unternehmen Blackned steuert eine hochmobile Netzwerklösung bei. Sie erfüllt zudem die Sicherheitsanforderungen eines militärischen Produkts. weiter
Deutsche Forscher finden Schwachstellen im PDF-Standard. Er erlaubt eine teilweise Verschlüsselung von PDF-Dateien. Das wiederum gibt Angreifern die Möglichkeit, die unverschlüsselten Inhalte zu manipulieren, um Zugriff auf die verschlüsselten Teile zu erhalten. weiter
Betroffen sind Geräte mit den Betriebssystemen IOS und IOS XE. Unter anderem sind virtuelle Gastbetriebssysteme von 800-Series-Routern und 1000-Series-Routern angreifbar. Cisco deaktiviert zudem die Layer-2-Network-Traceroute-Funktion. weiter
Die Schwachstelle erlaubt eine Remotecodeausführung ohne vorherige Authentifizierung. Ein Angreifer kann Shell-Befehle auf einem Server ausführen. Ein unbekannter Sicherheitsforscher macht alle Details der Sicherheitslücke anonym auf einer Mailing-Liste öffentlich. weiter
Die Schwachstelle wird bereits aktiv ausgenutzt. Sie erlaubt das Einschleusen und Ausführen von Schadcode. Ein weiterer Patch stopft außer der Reihe ein Loch in Windows Defender. weiter
Die Wasserwirtschaft ist ein Teil unserer lebenswichtigen Infrastruktur. Das Thema ist jedoch breiter aufgestellt, als man erwarten könnte – und fast jede seiner Komponenten kann für unser Überleben von Bedeutung sein. weiter
Die maximale Basisprämie für Schwachstellen in Chrome und Chrome OS steigt von 5000 auf 15.000 Dollar. Hochqualitative Fehlerberichte bringen Forschern nun statt 15.000 Dollar bis zu 30.000 Dollar ein. Eine Remotecodeausführung unter Chrome OS wird indes mit bis zu 150.000 Dollar belohnt. weiter
Ein Spezialist für Datenintegration sicherte Amazon-S3-Buckets nicht ab. Sensible Firmendaten waren dadurch offen im Internet zugänglich. Auffindbar waren E-Mail-Backups, persönliche Daten von Mitarbeitern, System-Passwörter, Vertriebsdaten und mehr. weiter
Das Power-Query-Feature importiert über den dynamischen Datenaustausch DDE Dateien von Remote-Quellen. Damit lässt sich auch bösartiger Code in ein System einschleusen. Solche Attacken setzen nur wenig Interaktion des Nutzers voraus. weiter
Gmail erhält eine Sicherheits-Sandbox. Sie prüft Dateianhänge, bevor sie den Posteingang erreichen. Eine ähnliche Funktion führt Microsoft für Office 365 ein. Google bietet außerdem einen Vertraulichkeitsmodus für Gmail, der die Weitergabe von E-Mails einschränkt. weiter
Das Sicherheitselement SPU230 ist in Qalcomms Smartphone-SoC integriert. Die Zertifizierung nach Common Criteria bestätigt das Sicherheitsniveau einer Smartcard. Das erlaubt Anwendungen mit hohen Anforderungen ohne separaten Sicherheitschip. weiter
Das Secure-Shell-Tool verschlüsselt künftig private Schlüssel im Arbeitsspeicher. Das soll einen Datendiebstahl durch Spectre, Meltdown, Rambleed und Rowhammer verhindern. Ältere Versionen legen die privaten Schlüssel im Klartext im RAM ab. weiter
Der Oracle Weblogic-Server ist ein beliebtes Ziel für Hacker und nun musste der Hersteller ein Sicherheitsupdate außerhalb der Reihe wegen einer besonders heftigen Sicherheitslücke veröffentlichen, das die Kunden unbedingt einspielen sollten. weiter
Das geht aus dem IDC 2019 Global DNS Threat Report hervor. Die zum fünften Mal durchgeführte Studie beruht auf Umfragen in Nordamerika, Europa und Asien-Pazifik. Demnach betragen die weltweiten Durchschnittskosten je DNS-Angriff 952.000 Euro. weiter
Auslöser ist ein Streit mit den Moderatoren des WordPress-Forums. Sie stellen neue Regeln für die Veröffentlichung von Sicherheitslücken auf, an die sich das Unternehmen nicht hält. Die Schwachstellen in den Facebook-Plug-ins erlauben CSRF-Angriffe. weiter
Der Juni-Patchday behebt Schwachstellen in Flash Player, ColdFusion sowie Campaign Classic. Kritische Lücken könnten die Ausführung beliebigen Codes erlauben, wenn sie nicht beseitigt werden. Andere geben Informationen preis. weiter
Insgesamt stehen Fixes für 88 Sicherheitslücken zur Verfügung. 21 Anfälligkeiten stuft Microsoft als kritisch ein. Windows verweigert außerdem nun das Pairing mit bestimmten unsicheren Bluetooth-Geräten, darunter Sicherheitsschlüssel wie Google Titan. weiter
SandboxEscaper findet eine weitere Möglichkeit, einen im April veröffentlichten Patch zu umgehen. In einem Video zeigt sie, wie sich ihr Beispielcode nutzen lässt, um Systemdateien zu löschen. In den kommenden Tagen will sie einen weiteren Bug enthüllen. weiter
Betroffen sind Standorte von Marriott, Hilton, Plaza und Sheraton. Die Daten offenbar möglicherweise Sicherheitslücken. Eigentümer der Elasticsearch-Datenbank ist offenbar ein Hotel-Dienstleister. weiter
Die erste Vorschau stand nur einer begrenzten Auswahl von Nutzern offen. Auch für Mac-Rechner stehen die Kernkomponenten der Plattform für Endpunkt-Sicherheit bereit. Sie wurde von Windows Defender ATP in Microsoft Defender ATP umbenannt. weiter
Allein in den PDF-Anwendungen stecken 83 Bugs, von denen 45 kritisch sind. Sie erlauben jeweils das Einschleusen und Ausführen von Schadcode aus der Ferne. In Flash Player muss Adobe indes nur ein Sicherheitsloch stopfen. weiter
Forscher finden eine Schwachstelle im Sicherheitsmodul bestimmter Cisco-Router. Sie erlaubt Eingriffe in den Bootloader. Die Forscher kombinieren den Bug mit einer Anfälligkeit im Web-Interface der Router, um aus der Ferne die vollständige Kontrolle über das Gerät zu erhalten. weiter
Als weitere Ursprungsländer von Angriffen auf europäische IP-Adressen folgen die USA, China und Frankreich. Laut F5 Labs erfolgen die Angriffe besonders häufig über drei europäische Webhosting-Provider. weiter
Nach Schätzungen von Sicherheitsforschern sind bis zu 50.000 Unternehmen weltweit betroffen. Die Exploits nutzen Konfigurationsfehler aus. Als Folge ist es möglich, zahlreiche SAP-Anwendungen zu kompromittieren und beispielsweise Daten zu löschen oder zu stehlen. weiter
Die Schwachstelle steckt im vorinstallierten Tool SupportAssist. Ein Angreifer muss sein Opfer lediglich auf eine speziell gestaltete Website locken. Von dort erfolgt die Attacke ohne jede weitere Interaktion mit dem Nutzer. weiter
Sie liegt auf einem von Microsoft bereitgestellten Server. Forscher haben Zugriff auf Daten wie Namen, Anschriften, Alter, Geschlecht und Familienstand. Microsoft veranlasst die Entfernung der Daten und die Absicherung des Servers. Der Eigentümer der Daten ist indes nicht bekannt. weiter
Produkte von Avast, Avira, McAfee und Sophos vertragen sich nicht mit den April-Sicherheitspatches. Konkret geht es offenbar um einen Fix für den Client Server Run-Time Subsystem Service. Er kann dazu führen, dass Windows nach einem Neustart nicht mehr reagiert. weiter
Kernstück ist ein System, das die Verarbeitung von Dateien im Arbeitsspeicher überwacht. Es soll die Verschlüsselung von Dateien frühzeitig erkennen und aufhalten. Alternativ will PayPal noch unverschlüsselte Dateien über einen Cloud-Speicherdienst sichern. weiter
Betroffen sind unter anderem Database Server, Fusion Middleware, Virtualisierungsprodukte und MySQL. Oracle warnt aber auch vor einer Schwachstelle in einer Java-Bibliothek für Windows. Einige Anfälligkeiten erlauben das Einschleusen und Ausführen von Schadcode aus der Ferne. weiter
Intel VISA dient eigentlich der Fehleranalyse während der Produktion. Die Technik hat Zugriff auf die Kommunikation mit der CPU. Angreifer könnten indes beispielsweise Speicherinhalte auslesen. Die Forscher zeigen mehrere Methoden, um Intel VISA zu aktivieren und zu missbrauchen. weiter
