Sie steckt in der Suchfunktion des Social Network. Ein Angreifer kann iFrames im HTML-Code der Suchergebnisse analysieren. Sie geben unter Umständen Informationen über den Nutzer und sogar dessen Freunde preis. weiter

In der Theorie ist der Angriff seit Ende Oktober bekannt. Trend Micro findet nun die erste Schadsoftware, die den Logikfehler ausnutzt. Betroffen ist Word 2013 und neuer. Microsoft zufolge funktioniert die Textverarbeitung jedoch wie vorgesehen. weiter

Laut der jüngsten Erhebung sind Unternehmen im Durchschnitt mit 870 Schwachstellen pro Tag konfrontiert. Darunter befinden sich 100 Schwachstellen, die laut dem Common Vulnerability Scoring System (CVSS) – einem Branchenstandard zur Bewertung von Sicherheitslücken – als kritisch eingestuft werden. weiter

Betroffen ist ein Plug, das bei der Umsetzung der Datenschutzgrundverordnung hilft. Es erlaubt das Ändern wichtiger CMS-Einstellungen. Angreifer können unter anderem ein neues Administrator-Konto einrichten und den Eigentümer der Seite aussperren. weiter

Der Browser erkennt Formulare, die nicht ausreichend über mögliche Kosten und Laufzeit eines Abonnements informieren. Nutzer schützt Chrome mit einer ganzseitigen Warnmeldung. Websitebetreiber können über die Google Search Console prüfen, ob Chrome künftig auch ihre Formulare beanstanden wird. weiter

Unter Android 9 Pie findet Google nur auf 0,06 Prozent aller Geräte mindestens ein möglicherweise schädliches Programm. Spitzenreiter ist Android 5 Lollipop mit einem Anteil von 0,66 Prozent. Es gibt aber auch regionale Unterschiede bei der Verbreitung von Android-Malware. weiter

Microsoft erweitert den Application Guard für den Browser Edge. Offenbar soll das kommende Funktionsupdate den WLAN-Verschlüsselungsstandard WPA3 unterstützen. Neu sind auch ein Helligkeitsregler im Action Center und eine Vorabversion von Emoji 12. weiter

Bösartiger Code entkommt dem Gast-Betriebssystem und infiziert das Host-Betriebssystem. Der Fehler tritt in der Standardkonfiguration einer neu geschaffenen VM auf. Die Offenlegung erfolgt aus Verärgerung über Oracles Umgang mit gemeldeten Sicherheitslücken. weiter

Unbekannte greifen offenbar per Brute-Force-Angriff auf Online-Konten zu. Sie erbeuten persönliche Daten, jedoch offenbar kein Geld. HSBC verbessert als Folge die Authentifizierung für seine Online-Konten. weiter

Darunter sind auch kritische Anfälligkeiten im Media Framework. Zudem verbannt Google die Bibliothek Libxaac aus Android aufgrund von mehreren schwerwiegenden Sicherheitslücken. Auch LG und Samsung kündigen ihre November-Patches an. weiter

Versetzen Sie sich in die Lage eines Analysten in einem Sicherheitskontrollzentrum, der auf Vorfälle reagieren soll. Testen Sie mithilfe des spannenden Quiz von McAfee Ihre Fähigkeiten und Kenntnisse, und stellen Sie fest, ob Sie die besten Signale für die Untersuchung erkennen. Ihre Zeit für den Test wird dabei erfasst, damit Sie sehen, wie schnell Sie reagiert haben. weiter

Forscher weisen den Fehler bei Skylake- und Kaby-Lake-Prozessoren nach. Er steckt offenbar in Intels Hyper-Threading-Architektur. Sie gibt unter Umständen Daten von benachbarten Prozessen preis, die deren Entschlüsselung ermöglichen. weiter

Sie stecken in Access-Points von Cisco, Meraki und Aruba. Die anfälligen Bluetooth-Chips stammen wiederum von Texas Instruments. Angreifer können die vollständige Kontrolle über ein Gerät übernehmen und von dort aus in andere Bereiche eines Unternehmensnetzwerks vordringen. weiter

18 Anfälligkeiten erlauben das Einschleusen und Ausführen von Schadcode mindestens mit Systemrechten. Auch die Komponenten WLAN, CUPS, Dock, Mail und Security sind anfällig. Zudem liefert Apple einen Fix für die Spectre-Variante 4 aus. weiter

Sie stecken in Komponenten wie Kernel, Safari und der Browser-Engine WebKit. Apple verbessert aber auch die Sicherheit der Bluetooth-Funktion. Außerdem verhindert das Update, dass Hacker die AppleID auslesen können. weiter

Sie verzichtet generell auf das Lösen von Rätseln oder andere Aufgaben. Sie werden durch einen verhaltensbasierten Score ersetzt. Damit können Websitebetreiber Aktionen bewerten und zwischen erwünschtem und unerwünschtem Traffic unterscheiden. weiter

Eine aktuelle Analyse beschäftigt sich mit Gehirnimplantaten zur Behandlung von Parkinson und Tremor. Deren Software erlaubt unter Umständen Datendiebstahl oder die Manipulation der Implantate. Per Bluetooth hergestellte Verbindungen sind unter Umständen unsicher und unverschlüsselt. weiter

Defender setzt als erste Antivirensoftware auf diese Sicherheitstechnik. Sie soll künftig die Folgen von Angriffen auf Windows Defender minimieren. Microsoft testet die Sandbox derzeit noch im Windows Insider Program. weiter

Der Fehler steckt im X.Org Server. Ein Angreifer kann unter Umständen beliebige Dateien überschreiben. Betroffen sind unter anderem Red Hat Enterprise Server, OpenBSD, Fedora, Debian und Ubuntu. weiter

Das soll unter anderem ein Vertreter der Polizei im US-Bundesstaat Minnesota bestätigen. GrayKey zieht offenbar nur noch unverschlüsselte Daten von gesperrten iPhones ab. Sie sollen für die meisten Ermittlungen jedoch ohne Bedeutung sein. weiter

Die neuen Vertragsklauseln gelten aber erst ab 31. Januar 2019 ohne Einschränkung. Ab dann müssen Android-Geräte stets vor allen Schwachstellen geschützt sein, die älter sind als 90 Tage. Ausgenommen sind Smartphones und Tablets mit weniger als 100.000 aktivierten Geräten. weiter

Die Spur endet in einem Forschungslabor. Es soll der russischen Regierung gehören. Im Schadcode findet FireEye unter anderem den Nutzernamen eines ehemaligen Mitarbeiters des Labors. weiter

Sie steckt in der Funktion Microsoft Data Sharing. Ein Angreifer kann mit dem bereits verfügbaren Proof-of-Concept Systemdateien ohne Administratorrechte löschen. Betroffen sind Windows 10, Windows Server 2016 und Server 2019. weiter

Der Server-Hersteller schließt die Manipulation seiner Mainboards aus. Dennoch soll eine gründliche Untersuchung erfolgen. Apple-Chef Tim Cook verlangt von Bloomberg Businessweek, den Bericht über eine Hardware-Attacke aus China zu widerrufen. weiter

Er verbessert die Sicherheit des Bootvorgangs, des Sperrbildschirms und des verschlüsselten Speichers. Google erlaubt aber auch Apps von Drittanbietern, ihre Schlüssel in Titan M abzulegen. Den Chip sieht Google aus als Reaktion auf Angriffe wie Spectre, Meltdown und Rowhammer an. weiter

Sie infiziert vor allem Systeme mit Windows Server 2003 und 2008. DarkPulsar ist eine Backdoor mit zugehöriger Administrationsoberfläche. Die Malware gehört zu den Hacking-Tools, die die Shadow Broker im April 2017 öffentlich gemacht haben. weiter

Das ist offenbar das vorläufige Ergebnis von Facebooks Ermittlungen. Das Unternehmen soll vor allem keine Hinweise auf eine staatliche Unterstützung der Hacker gefunden haben. Offiziell äußert sich Facebook bisher jedoch nicht zu möglichen Hintermännern. weiter

Von 48 Anfälligkeiten geht ein hohes Risiko aus. Die meisten Patches erhält erneut Oracle Fusion Middleware. Aber auch Produkte von PeopleSoft, JD Edwards sowie Java SE und Virtualbox sind fehlerhaft. Insgesamt stopft Oracle in diesem Jahr mehr als 1100 Löcher. weiter

Unbekannte erbeuten die Apple IDs von "einer geringen Zahl von Nutzern". Über mit den Konten verknüpfte Bezahldienste stehlen sie Geld. Auch Alipay und WeChat Pay warnen vor der Betrugsmasche. weiter

Betroffen ist diesmal auf die aktuelle Version iOS 12.0.1. Ein Angreifer erhält Zugriff auf Fotos und kann sich diese an seine Handynummer schicken. Der Fehler steckt in der Voice-Over-Funktion. Es muss aber auch Siri auf dem Sperrbildschirm aktiv sein. weiter