Anfang 2016 werden etwa einige Zertifikate von CyberTrust, Secom, Serasa und Wells Fargo nicht mehr von Microsoft digital signiert. Strengere Richtlinien, technische Bestimmungen und Prüfverfahren im Rahmen des Programms sollen zu einem sichereren Internet beitragen. weiter

Das soll Nutzer auch vor Angriffen auf Zero-Day-Lücken schützen. Microsoft nutzt dafür Daten vom Browser, seiner Bing-Suche sowie den Sicherheitslösungen Defender und EMET. SmartScreen blockiert nun außerdem gezielt schädliche Frames. weiter

Betroffen sind die Appliances der Modellreihen NX, EX, FX und AX. Ein Angreifer erhält unter Umständen vollständigen Zugriff auf das gesamte Netzwerk. Die Lücke lässt sich mit einer speziell präparierten E-Mail ausnutzen, die der Empfänger nicht einmal öffnen muss. weiter

Er soll sich unerlaubt Zugang zu Computern, Programmen und Daten verschafft haben. Die Ermittler beschlagnahmen auch mehrere elektronische Geräte des Mannes. VTech steht nach eigenen Angaben mit den Strafverfolgungsbehörden in Kontakt. weiter

Ein Sicherheitsforscher fand einen öffentlichen Zugang zur Datenbank des Herausgebers Kromtech. Das Kölner Unternehmen stopfte das Datenleck nach eigenen Angaben innerhalb weniger Stunden. Es schließt einen Missbrauch der Daten aus. weiter

Die Hacker erbeuteten Daten von Mitarbeitern und Nutzern der ESA-Website. Darunter waren auch unverschlüsselte Passwörter. Der Einbruch erfolgte über eine SQL-Injection-Lücke. Insgesamt sind mehr als 8000 Personen betroffen. weiter

Zwei Schwachstellen ermöglichen das Ausführen von Schadsoftware mit Systemrechten. Sie stecken im Hintergrunddienst des Lenovo Solution Center. Außerdem sind die Versionen 2.8.005 sowie 3.2.0001 und früher auch anfällig für Cross-Site Request-Forgery. weiter

Offenbar sind mindestens elf Twitter-Mitglieder betroffen. Darunter ist auch die deutsche Internetaktivistin Anne Roth. Twitter zufolge hatten es die Angreifer offenbar auf E-Mail-Adressen, IP-Adressen und Telefonnummern abgesehen. weiter

Mit dem Private Key könnten Kriminelle sich als die Domain xboxlive.com ausgeben und etwa Zugangs- oder Zahlungsdaten stehlen. Das scheint Microsoft zufolge nicht der Fall. Es hat dem Zertifikat das Vertrauen entzogen. Sicherheitsforscher sind jedoch irritiert, wie es zu dem Vorfall kommen konnte. weiter

Sie macht Speicheradressen vorhersehbar und hebelt dadurch Sicherheitsfunktionen von Windows aus. Der Fehler steckt auch in Antivirensoftware von AVG und McAfee. Alle drei Anbieter haben die Schwachstelle aber inzwischen beseitigt. weiter

Ein Blog der britischen Zeitung enthält eine manipulierte Anzeige. Sie greift Besucher mit dem Exploitkit Angler an. Das wiederum lädt auf Rechner mit einer veralteten Version von Adobes Flash Player die Erpressersoftware TeslaCrypt. weiter

Laut Amy Hess von der Operational Technology Division geht dem immer die schwierige Erwägung voran, was wichtiger ist - einen Kriminellen fassen oder Käufer eines ungepatchten Softwareprodukts Gefahren auszusetzen. Die US-Polizei führt solche Maßnahmen ihr zufolge nur mit richterlicher Genehmigung durch. weiter

Innerhalb des nächsten Jahres sollen Sicherheitslösungen erscheinen, die Biometrie, dynamische Schlüssel oder Geolokalisierung zur Authentifizierung verwenden. Mit VIP Everywhere will Symantec beispielsweise sein Produkt Validation and ID Protection um Ende-zu-Ende-Authentifizierung erweitern. weiter

Sie stecken auch in den Plug-ins, die Microsoft und Google in ihre Browser integrieren. Ein Angreifer könnte die vollständige Kontrolle über ein betroffenes System übernehmen. Darüber hinaus sind Air für Windows, OS X und Android sowie Air SDK und Compiler anfällig. weiter

OS X 10.11.2 El Capitan soll vor allem die Zuverlässigkeit von WLAN-Verbindungen, Handoff und AirDrop steigern. Auch das neue Mobilbetriebssystem iOS 9.2 soll zahlreiche Fehler beheben. weiter

Im Internet Explorer stecken alleine 30 kritische Anfälligkeiten. Sie erlauben das Einschleusen und Ausführen von Schadcode. Drei Schwachstellen in der Grafikkomponente betreffen alle Windows-Versionen sowie Skype for Business und Lync. weiter

Es sieht die Offenlegung von Cyberangriffen und Datenverlusten vor. Allerdings gilt die Richtlinie nur für bestimmte Branchen und wichtige Diensteanbieter. Sie sieht auch eine engere Zusammenarbeit der Mitgliedstaaten im Bereich Cybersicherheit vor. weiter

Mittels offener APIs können Drittentwickler erstmals das Sicherheitsinformations- und Ereignismanagement von QRadar in ihre Anwendungen integrieren. Diese vertreibt IBM dann über seinen neuen Security App Exchange. Ein Update für QRadar SIEM verbessert zudem die Automatisierung. weiter

Das Videoportal registriert 128 Millionen Besucher pro Monat. Die Angreifer hatten den Werbeplatz regulär bei WWWPromoter ersteigert. Ihre unscheinbar wirkende Anzeige tarnte sich gegenüber Sicherheitsforschern und Webcrawlern. Auch wurde kein User mehr als einmal angegriffen. weiter

Sie stecken in den Komponenten Mediaserver, Skia und Display Driver. Ein Kernellücke erlaubt die Installation von Malware mit Rootrechten. Insgesamt beseitigt Google 19 Sicherheitslücken in seinem Mobil-OS. weiter

Diese bisher nur unter Android 6.0 Marshmallow zu findende Angabe schafft Transparenz: Nutzer können so prüfen, ob der Hersteller ihnen wirklich monatlich Updates verfügbar macht. Zu einem solchen 30-Tage-Zyklus hatten sich Google und Samsung nach Bekanntwerden der Stagefright-Lücke entschlossen. weiter

Das im Oktober gestartete Projekt konnte in den letzten zwei Wochen mehrere Erfolge vorweisen. So spürte es ein Dell-Überwachungszertifikat in einem Wasserkraftwerk auf. Und SEC Consult aus Österreich wies mit der Lösung über 3 Millionen durch Passwort-Wiederholungen anfällige Router nach. weiter

Das Lenovo Solution Center erlaubt das Einschleusen und Ausführen von Schadcode. Das Unternehmen rät, seine Software zumindest vorübergehend zu deinstallieren. Dells System Detect hebelt indes unter Umständen die Benutzerkontensteuerung aus. weiter

Melder erhalten allerdings vorerst nur Sachpreise und Punkte für eine Hall of Fame der EFF. Das Programm deckt auch andere Sicherheitsprogramme der Organisation wie HTTPS Everywhere und ihre Webapps ab. Let's Encrypt ist für Websitebetreiber seit gestern als Public Beta verfügbar. weiter

Sie stecken im Portable SDK für UPnP. Trend Micro findet unsichere Versionen der zugehörigen Bibliothek in 547 Apps. Davon sind 326 im Google Play Store erhältlich. weiter

Es fehlen allerdings die technischen Voraussetzungen für die Umsetzung der Drohung. Chimera bietet darüber hinaus ein Partnerprogramm an. Die Hacker verkaufen die Malware für eine Provision von 50 Prozent als Ransomware-as-a-Service. weiter

Dazu arbeitet Sophos mit dem Fraunhofer SIT zusammen, das die Testplattform entwickelt hat. Sie überprüft Android- und iOS-Apps automatisch auf Sicherheits- und Datenschutzlücken. Die Testergebnisse fließen anschließend in Sophos' EMM-System ein und sind darüber direkt nutzbar. weiter

Insgesamt wurden 41 Lücken gestopft. Google listet aber nur 22 prämierte plus zwei intern entdeckte auf. Die Benachrichtigungszentrale für Plug-ins wurde wie angekündigt aus den Versionen für Linux, Mac OS und Windows entfernt. weiter

Insgesamt verliert VTech die Daten von weltweit fast 6,4 Millionen Kindern. Die Zahl der betroffenen Personen erhöht sich damit auf bis zu 11,68 Millionen. Fotos und Chat-Logs, die angeblich auch gestohlen wurde, waren VTech zufolge per AES-128 verschlüsselt. weiter

Sie erfolgt Ende-zu-Ende auf PC, Notebook, Tablet oder Smartphone - entweder mittels einer Outlook-Erweiterung, einer App oder direkt im Browser. Die monatlichen Kosten liegen bei 7,95 Euro pro Nutzer. Kunden mit einem bestimmten Vodafone-Tarif aus der Reihe Red Business+ können den Dienst zwei Jahre lang gratis verwenden. weiter