Anlass sind Snowdens NSA-Enthüllungen, Lenovos Service Engine und das UEFI-Rootkit von Hacking Team. Die Überprüfung gilt insbesondere eingebettetem Code für Windows. Im BIOS eingeschleuste Schadsoftware übersteht auch Neustarts oder eine komplette Neuinstallation nach dem Löschen aller Datenträger. weiter
Insgesamt zahlte das Unternehmen über 2 Millionen Dollar im Jahr 2015. Der Finder der höchstprämierten Android-Lücke wurde mit 37.500 Dollar belohnt. Insgesamt kam Android innerhalb eines halben Jahres auf 200.000 Dollar Prämien. weiter
Ein Angreifer kann ein betroffenes Gerät unter Umständen aus der Ferne kontrollieren. Der Fehler steckt in der vorinstallierten App Smart Notice. Sie erlaubt das Einschleusen von JavaScript-Code beispielsweise über eine speziell präparierte Visitenkarte. weiter
Ein Angreifer kann unter Umständen den privaten Teil eines Schlüssels ausspähen. Davon ist allerdings nur die Version 1.0.2 betroffen. Der Patch wirkt sich aber möglicherweise negativ auf die Performance eines TLS-Servers aus. weiter
Mit steigenden rechtlichen und unternehmenseigenen Anforderungen kommt dem User Activity Monitoring eine steigende Rolle im Rahmen der umfassenden Gewährleistung von IT-Sicherheit zu. Diese Systeme bieten ein verbessertes Sicherheitsniveau, erfordern aber in hohem Maße eine angemessene Konzeption und Umsetzung. weiter
Websites können Nutzer auch dann beispielsweise über neue E-Mails informieren, wenn sie gar nicht geöffnet sind. Nutzer müssen den Push-Benachrichtigungen jedoch zuvor zustimmen. Firefox 44 stopft außerdem 17 Sicherheitslöcher. weiter
Mit enthalten sind die von Google im Januar bereitgestellten Patches für fünf kritische Sicherheitslücken. Der koreanische Hersteller behebt darüber hinaus Schwachstellen, die nur seine eigenen Geräte betreffen. Die Updates sind für ausgewählte Flaggschiff-Modelle vorgesehen - und außerdem abhängig von der Mitwirkung der Mobilfunkanbieter. weiter
Die Links zu der fraglichen Website werden derzeit über Soziale Netze verbreitet. Es sind aber auch andere Browser und Plattformen betroffen. Unter Windows stürzt beispielsweise auch Google Chrome 48 ab. weiter
Das Protokoll Mikey-Sakke erlaubt unter Umständen eine Entschlüsselung von VoIP-Kommunikation. Laut GCHQ ist dies aber nur dem Betreiber eines VoIP-Diensts möglich. Der Geheimdienst weist deswegen den Vorwurf einer Hintertür zurück. weiter
Der Patch steht ab sofort dem Android Open Source Project und auch Googles Partnern zur Verfügung. Laut Google sind die eigenen Nexus-Geräte nicht betroffen. Red Hat bestreitet jedoch, dass die Sicherheitsfunktion SELinux vor Angriffen auf die Lücke schützt. weiter
Die Patches sind Bestandteil der Final von Chrome 48. Google stopft unter anderem Löcher in der Browserengine Blink und der JavaScript-Engine V8. Neu sind indes anpassbare Web-Benachrichtigungen. weiter
Die "mangelhafte Updatestrategie" des Unternehmens soll gegen Wettbewerbsgesetze verstoßen. Gespräche mit Samsung verliefen im Dezember erfolglos. Seine Vorwürfe richtet Consumentenbond aber auch gegen andere Hersteller. weiter
Die alternative Android-Distribution rät zum Wechsel auf die sichere Messaging-App Signal. Diese bietet Ende-zu-Ende Verschlüsselung nicht nur für Textnachrichten, sondern auch für Telefongespräche. Das von Edward Snowden täglich genutzte Signal wurde von Open Whisper Systems entwickelt, das auch hinter WhisperPush stand. weiter
In iOS 9 stecken insgesamt 13 Schwachstellen. Sie erlauben unter anderem das Einschleusen und Ausführen von Schadcode. OS X 10.11.3 El Capitan enthält indes Fixes für 9 Anfälligkeiten. weiter
Ein Angreifer kann unter Umständen Schadcode mit Root-Rechten ausführen. Er benötigt allerdings einen direkten Zugang zu einem anfälligen Gerät. Betroffen sind alle Linux-Distributionen ab Kernel-Version 3.8. weiter
Die End-of-Life-Version Flash Player 19 wird von Adobe nicht mehr mit Updates versorgt. Das verbreitete Programm erfreut sich großer Beliebtheit bei Datendieben und Hackern, die in neuen Versionen entdeckte Schwachstellen für Angriffe auf ältere Versionen nutzen. Seine Deinstallation empfiehlt sich daher dringend. weiter
Sie erlaubt unter Umständen den Diebstahl aller Passwörter eines Nutzers. Voraussetzung dafür ist jedoch, dass er seinen Passworttresor auch auf den Servern von LastPass abgelegt hat. Einen Patch des Unternehmens hält der Entdecker der Lücke für unzureichend. weiter
Kunden des Unternehmens sollten das Standard-WLAN-Passwort ihres Routers umgehend ändern. Eine ähnliche Warnung gibt der österreichische Provider UPC schon seit vergangenem Mittwoch aus. Demnach ist ein Support-Tool durchgesickert, mit dem sich verlorene Passwörter wiederherstellen lassen. weiter
Auch im zweiten Anlauf beseitigt der Hersteller die Mitte letzten Jahres entdeckte Schwachstelle nicht wirksam. Der Malwareschutz von OS X ist daher auch weiterhin leicht zu umgehen, berichtet der Entdecker der Lücke. Laut Apple ist eine umfassende Lösung in Arbeit. weiter
Der Hersteller kann dadurch auf Aufträge von Behörden, Ministerien und regulierten Sektoren der Wirtschaft hoffen. Bei der chinesischen Prüfbehörde kamen die aktuellen Smartphone-Modelle Galaxy S6 Edge+ und Galaxy Note 5 zum Einsatz. In Frankreich erhielt Knox Workspace 2.3 die höchste Sicherheitseinstufung CSPN. weiter
Betroffen sind zahlreiche Linux Distributionen wie Ubuntu und auch Apples Mac OS X. Ein Fehler in einer experimentellen Funktion erlaubt es einem Angreifer, den Speicher eines SSH-Clients auszulesen. Die Sicherheitsfirma Qualys hat zudem Beispielcode für einen Exploit veröffentlicht. weiter
Sie erlauben es einem Angreifer, aus der Ferne die Kontrolle über ein Gerät zu übernehmen. Betroffen sind Geräte mit der Cisco Identity Services Engine sowie der Software Wireless LAN Controller. Die Modellreihe Aironet 1800 ist zudem über ein voreingestelltes Konto angreifbar. weiter
Erste Hinweise auf die Schwachstelle fanden sich in Unterlagen, die dem Spyware-Hersteller Hacking Team gestohlen wurden. Microsoft verteilt seit Dienstag einen Patch. weiter
Ein Angreifer kann unter Umständen die Kontrolle über ein betroffenes System übernehmen. Anfällig sind neben Acrobat DC und Acrobat Reader DC auch Reader und Acrobat 11.x. Reader und Acrobat 10.x erhalten keine Sicherheitsupdates mehr. weiter
Ein Sicherheitsforscher informierte die Auktionsplattform am 11. Dezember vertraulich über die Schwachstelle. Sie hätte potentiell Millionen Nutzer Phishing-Kampagnen und Passwort-Diebstahl aussetzen können. Ebay reagierte jedoch erst, als ein Medienbericht angekündigt wurde. weiter
Ein Unbekannter mit dem Pseudonym "Cracka" leitete eine private Rufnummer Clappers um und gab Daten wie Telefonnummern aus seinem Kontaktverzeichnis heraus. Der Angreifer gehört der Gruppe an, die 2015 erfolgreich CIA-Direktor John Brennan hackte. Die Regierung bestätigt den Vorfall. weiter
Der Januar-Patchday bringt insgesamt neun Sicherheitsupdates. Sechs davon stopfen kritische Löcher in Internet Explorer, Edge, Office, und Windows. Heute endet zudem der Mainstream-Support für Windows 7. weiter
In einem jetzt bekannt geworden Fall wurden entschlüsselte E-Mails als Beweismittel in einem Drogenprozess eingesetzt. Die niederländische Polizei nutzt zur Entschlüsselung Technik des israelischen Unternehmens Cellebrite. Sie wird offenbar auch in den USA und Großbritannien eingesetzt. weiter
Das Interesse ist gering und seit zwei Jahren kein Wachtum zu sehen. Nun will Mozilla die nötigen Server nicht mehr bereitstellen: "Einen Dienst mit dem für ein Authentifizierungssystem notwendigen Level an Sicherheit und Verfügbarkeit zu hosten, ist keine kleine Sache." weiter
Ein Angreifer kann unter Umständen Schadcode einschleusen und ausführen. Tavis Ormandy zufolge gibt der Passwortmanager zudem gegenüber Unbefugten alle Passwörter preis. Es liegt inzwischen zwar ein Patch vor, Ormandy stuft das Tool aber weiterhin als unsicher ein. weiter
