Ein Angreifer kann unter Umständen Schadcode einschleusen und ausführen. Tavis Ormandy zufolge gibt der Passwortmanager zudem gegenüber Unbefugten alle Passwörter preis. Es liegt inzwischen zwar ein Patch vor, Ormandy stuft das Tool aber weiterhin als unsicher ein. weiter

Modelle, auf denen noch nicht FritzOS 6.30 oder neuer läuft, sind anfällig für Remotecodeausführung über einen Pufferüberlauf. Angreifer können so den Datenverkehr mithören oder sogar auf Kosten des Nutzers telefonieren. Anwender sollten die Router-Firmware daher umgehend aktualisieren. weiter

Dritte könnten durch Ausnutzen der vom Sicherheitsforscher Hanno Heinrichs entdeckten Schwachstelle auf Kosten von O2-Kunden mit VoIP-Anschlüssen telefonieren. O2 sind aber bislang keine solche Fälle bekannt. Es will die Lücke bis Ende des ersten Quartals vollständig schließen. weiter

Sie waren mit der Schadsoftware "Brain Test" infiziert und wurden hunderttausendfach heruntergeladen. Die Malware-Apps tarnten sich als harmlose Spiele. Nachdem sie bereits längere Zeit im Umlauf waren, wurden die Schadfunktionen kurz vor Weihnachten aktiviert. weiter

Sie sollen helfen, die Aktivitäten der Cyberkriminellen zu verschleiern. Let's Encrypt spricht sich zudem gegen die Sperrung der fraglichen Zertifikate aus. Es sieht die Anbieter von Online-Werbung in der Pflicht. weiter

Sie stecken im Aktualisierungsprozess. Dieser akzeptiert Updates unverschlüsselt von beliebigen Servern. Dies lässt sich per Man-in-the-Middle-Attacke angreifen. Eine Cross-Site-Scripting-Lücke lässt zudem Missbrauch für DoS-Angriffe zu. weiter

Sie steckt in einem Prozess des von Nvidia gefertigten Icera-Modems. Ein Angreifer kann unter Umständen die Kontrolle über einzelne Funktionen des Smartphones übernehmen. Seit Anfang Dezember liegt ein Patch für die Lücke vor. weiter

Eine Anfälligkeit im Mediaserver erlaubt das Einschleusen und Ausführen von Schadcode. Weitere Fehler stecken im Kernel sowie den Komponenten WLAN, Bluetooth, Setup Wizard und SyncManager. Der Januar-Patchday bringt Fixes für insgesamt 12 Schwachstellen. weiter

Das Betriebssystem führt die CVE-Statistik mit 384 Einträgen an. Auf den weiteren Plätzen folgen iOS sowie Adobe Flash Player. Gegenüber 2014 erhöht sich die Zahl der offiziell erfassten Schwachstellen deutlich. weiter

Anfänglich steht es Forschern nur auf Einladung zur Verfügung. Finanzielle Unterstützung erhält das Tor Project vom Open Technology Fund. Der Exploit-Broker Zerodium zahlt derzeit bis zu 30.000 Dollar für Lücken im Tor-Netzwerk. weiter

Einer der Gründe war angeblich die Sorge, die chinesische Regierung zu verärgern. Die Agentur Reuters fragte dazu bei Microsoft nach. Jetzt kündigt das Unternehmen an, wie Google, Facebook und Yahoo User künftig über einen solchen Verdacht zu informieren. weiter

In einem Bekennervideo wird Präsident Recep Tayyip Erdoğan als Helfer der Terrormiliz Islamischer Staat bezeichnet. Die Attacken laufen seit zwei Wochen. Verstärkungen an den Feiertagen nahmen Websites mehrerer Finanzinstitute vom Netz. weiter

Dass der US-Geheimdienst den Code selbst einschleuste, lässt sich mit dem Schriftstück aus dem Fundus von Edward Snowden nicht belegen. Die NSA informierte den US-Anbieter von Netzwerklösungen aber auch nicht. Vielmehr beschreibt er Junipers Sicherheitsbemühungen als "Gefahr für die Signalaufklärung." weiter

Es lässt sich nicht von seinem Zeitplan abbringen: Nach seinen Recherchen sind mit Cloud-Ressourcen errechnete SHA-1-Collisions schon heute für kriminelle Organisationen erschwinglich. Das mit Microsoft und Mozilla abgestimmte endgültige Aus für SHA-1-Zertifikate - spätestens zum 1. Januar 2017 - erwägt Google auf den 1. Juli 2016 vorzuverlegen. weiter

Um die Authentifizierung von GRUB2 zu umgehen, muss man nur 28-mal die Rücktaste drücken. Anschließend sind Booten etwa von einem USB-Stick oder ein Export der kompletten Festplatte möglich. Der Anwender benötigt physischen Zugriff aufs Gerät. Die meisten Linux-Distributionen sind angeblich anfällig. weiter

Bei einer internen Prüfung hat der Netzwerkausrüster "nicht autorisierten" Code in ScreenOS entdeckt. Dieser ermöglicht Angreifern Administrator-Zugriff und das Belauschen von VPN-Verbindungen. Für die ScreenOS-Versionen 6.2.0r15 bis 6.2.0r18 sowie 6.3.0r12 bis 6.3.0r20 sind bereits Patches verfügbar. weiter

Anfang 2016 werden etwa einige Zertifikate von CyberTrust, Secom, Serasa und Wells Fargo nicht mehr von Microsoft digital signiert. Strengere Richtlinien, technische Bestimmungen und Prüfverfahren im Rahmen des Programms sollen zu einem sichereren Internet beitragen. weiter

Das soll Nutzer auch vor Angriffen auf Zero-Day-Lücken schützen. Microsoft nutzt dafür Daten vom Browser, seiner Bing-Suche sowie den Sicherheitslösungen Defender und EMET. SmartScreen blockiert nun außerdem gezielt schädliche Frames. weiter

Betroffen sind die Appliances der Modellreihen NX, EX, FX und AX. Ein Angreifer erhält unter Umständen vollständigen Zugriff auf das gesamte Netzwerk. Die Lücke lässt sich mit einer speziell präparierten E-Mail ausnutzen, die der Empfänger nicht einmal öffnen muss. weiter

Er soll sich unerlaubt Zugang zu Computern, Programmen und Daten verschafft haben. Die Ermittler beschlagnahmen auch mehrere elektronische Geräte des Mannes. VTech steht nach eigenen Angaben mit den Strafverfolgungsbehörden in Kontakt. weiter

Ein Sicherheitsforscher fand einen öffentlichen Zugang zur Datenbank des Herausgebers Kromtech. Das Kölner Unternehmen stopfte das Datenleck nach eigenen Angaben innerhalb weniger Stunden. Es schließt einen Missbrauch der Daten aus. weiter

Die Hacker erbeuteten Daten von Mitarbeitern und Nutzern der ESA-Website. Darunter waren auch unverschlüsselte Passwörter. Der Einbruch erfolgte über eine SQL-Injection-Lücke. Insgesamt sind mehr als 8000 Personen betroffen. weiter

Zwei Schwachstellen ermöglichen das Ausführen von Schadsoftware mit Systemrechten. Sie stecken im Hintergrunddienst des Lenovo Solution Center. Außerdem sind die Versionen 2.8.005 sowie 3.2.0001 und früher auch anfällig für Cross-Site Request-Forgery. weiter

Offenbar sind mindestens elf Twitter-Mitglieder betroffen. Darunter ist auch die deutsche Internetaktivistin Anne Roth. Twitter zufolge hatten es die Angreifer offenbar auf E-Mail-Adressen, IP-Adressen und Telefonnummern abgesehen. weiter

Mit dem Private Key könnten Kriminelle sich als die Domain xboxlive.com ausgeben und etwa Zugangs- oder Zahlungsdaten stehlen. Das scheint Microsoft zufolge nicht der Fall. Es hat dem Zertifikat das Vertrauen entzogen. Sicherheitsforscher sind jedoch irritiert, wie es zu dem Vorfall kommen konnte. weiter

Sie macht Speicheradressen vorhersehbar und hebelt dadurch Sicherheitsfunktionen von Windows aus. Der Fehler steckt auch in Antivirensoftware von AVG und McAfee. Alle drei Anbieter haben die Schwachstelle aber inzwischen beseitigt. weiter

Ein Blog der britischen Zeitung enthält eine manipulierte Anzeige. Sie greift Besucher mit dem Exploitkit Angler an. Das wiederum lädt auf Rechner mit einer veralteten Version von Adobes Flash Player die Erpressersoftware TeslaCrypt. weiter

Laut Amy Hess von der Operational Technology Division geht dem immer die schwierige Erwägung voran, was wichtiger ist - einen Kriminellen fassen oder Käufer eines ungepatchten Softwareprodukts Gefahren auszusetzen. Die US-Polizei führt solche Maßnahmen ihr zufolge nur mit richterlicher Genehmigung durch. weiter

Innerhalb des nächsten Jahres sollen Sicherheitslösungen erscheinen, die Biometrie, dynamische Schlüssel oder Geolokalisierung zur Authentifizierung verwenden. Mit VIP Everywhere will Symantec beispielsweise sein Produkt Validation and ID Protection um Ende-zu-Ende-Authentifizierung erweitern. weiter

Sie stecken auch in den Plug-ins, die Microsoft und Google in ihre Browser integrieren. Ein Angreifer könnte die vollständige Kontrolle über ein betroffenes System übernehmen. Darüber hinaus sind Air für Windows, OS X und Android sowie Air SDK und Compiler anfällig. weiter