Forscher meldet Sicherheitslücke in der App Google Admin

Sie dient der Verwaltung von "Google for Work"-Nutzern und -Gruppen in Firmen, Bildungseinrichtungen sowie Behörden. Dritt-Apps können sich ihre Rechte aneignen. Google patchte den Fehler von März bis zur Veröffentlichung nicht, legte aber jetzt ein Update vor. weiter

Salesforce.com flickt Cross-Site-Scripting-Lücke

Sie steckte in der für einen Blog genutzten Subdomain admin.salesforce.com. Code ließ sich auch von anderen Websites injizieren. Angreifer konnten etwa ein Salesforce-Log-in nachbauen und den Link darauf per Phishing verbreiten, um an Daten zu kommen. weiter

Android-Lücke Stagefright: Weiterer Patch nötig

Google räumt ein, dass die Schwachstelle nicht vollständig behoben ist. Es will einen überarbeiteten Patch mit dem monatlichen Sicherheitupdate im September nachliefern. Sicherheitsforscher fanden heraus, dass Android-Smartphones noch immer durch eine manipulierte MP4-Datei zum Absturz gebracht werden können. weiter

Apple schließt Root-Lücke in OS X 10.10 Yosemite

Der Fix ist Bestandteil von OS X 10.10.5. Nutzern älterer OS-X-Version stellt Apple das Sicherheitsupdate 2015-006 zur Verfügung. Insgesamt patcht es 135 Sicherheitslücken in seinem Betriebssystem. weiter

Cisco warnt vor Angriffen auf seine Router-Firmware

Hacker nutzen eine dokumentierte Updatefunktion für das Einschleusen eines manipulierten ROMMON-Image. In den Cisco bekannten Fällen verfügten sie über gültige Anmeldedaten für einen Router oder Switch. Nach Unternehmensangaben handelt es sich nicht um eine Sicherheitslücke. weiter

Dropbox unterstützt ab sofort USB-Sicherheitskeys

Es setzt wie etwa auch Google auf Universal 2nd Factor, kurz U2F - einen Standard der FIDO Alliance. Bekanntester Anbieter solcher Sticks ist Yubico. Anders als SMS- und App-Codes muss nichts eingetippt werden, und der Schlüssel lässt sich weder abfangen noch kopieren. weiter

Microsoft, Symantec und AVG warnen vor IoT-Datenverlust

Sie stellen über den Branchenverband Online Trust Alliance eine Sicherheitsrichtlinie für IoT-Geräte vor. Sie soll Nutzer beispielsweise über die Patch-Strategie eines Herstellers nach Ablauf der Garantie informieren. Der Verband setzt sich auch für eine Verschlüsselung aller persönlichen Daten ein. weiter

Lenovo installierte System-Software per Windows-Rootkit

Die Lenovo Service Engine residiert im BIOS und überschreibt eine Windows-System-Datei. Sie spielt auch nach einer Neuinstallation von Windows Lenovos eigene Software automatisch ein. Inzwischen stuft auch Lenovo die Engine als Sicherheitsrisiko ein. weiter

Twitter meldet 52 Prozent mehr Behördenanfragen nach Kontodaten

Betroffen waren 78 Prozent mehr Konten. Somit erreichen nicht nur die absoluten Werte, sondern auch die Zuwachsquoten Rekordniveau. Die meisten Einsichtnahmen beantragte die US-Regierung, während die Türkei die meisten Löschanträge stellte. weiter

Adobe stopft 35 kritische Sicherheitslöcher in Flash Player

Betroffen sind die Versionen für Windows, Mac OS X und Linux sowie Adobe AIR. Ein Angreifer könnte Schadcode einschleusen und ausführen. Microsoft und Google haben auch schon mit der Verteilung von Patches für die in ihre Browser integrierten Flash-Plug-ins begonnen. weiter

Trend Micro warnt vor weiteren ungepatchten Android-Bugs

Sie stecken in der System-SMS-App. Eine Lücke löst einen Absturz der Anwendung aus, während die andere die Manipulation des Empfangsstatus einer Nachricht erlaubt. Für beide Schwachstellen gibt es Patches, die aber bisher nur im Android Open Source Project enthalten sind. weiter

Firefox 40 mit erweitertem Malware-Schutz verfügbar

Er basiert auf Googles Safe-Browsing-Technik. Firefox 40 warnt zudem vor unerwünschter Software. Der Browser unterstützt nun auch Microsofts neuestes OS und bietet laut Mozilla Nutzern mehr Freiheit bei der Auswahl ihrer Suchmaschine unter Windows 10. weiter

IBM: Schwachstelle in Android lässt Angreifer beliebigen Code ausführen

Die von IBM-Sicherheitsforschern entdeckte Lücke betrifft über 55 Prozent aller Android-Smartphones - von Android 4.3 bis zu 5.1 und der ersten Vorschauversion von Android M. Angreifer können weitreichende Systemrechte erhalten und eine bösartige App als eine Art "Super-App" einsetzen. Google hat den Fehler bereits behoben. weiter

Design-Fehler macht ältere Intel-CPUs anfällig für Rootkits

Betroffen sind Prozessoren aus den Jahren 1997 bis 2010. Sie erlauben die Installation von Schadsoftware in einem Bereich, der eigentlich die Sicherheit auf Firmware-Ebene kontrolliert. Dadurch werden auch Sicherheitsfunktionen wie Secure Boot unwirksam. weiter

Windows-Update-Dienst ermöglicht Einschleusen von Malware in Firmen

Wie Sicherheitsforscher auf der Black-Hat-Konferenz gezeigt haben, lassen sich Admin-Rechte dank einer unsicheren Implementierung des WSUS-Dienstes ausweiten. Das ermöglicht Man-in-the-Middle-Attacken. Die Experten empfehlen, SSL-Verschlüsselung standardmäßig zu aktivieren. weiter

Bericht: Russische Hacker knacken E-Mail-System des Pentagon

Die Ermittler verfolgen angeblich einen Spearphishing-Angriff nach Russland zurück. Für eine direkte Beteiligung der Regierung in Moskau fehlen aber die Beweise. Das betroffene E-Mail-System ist seit fast zwei Wochen abgeschaltet. weiter

Hacking Team schleuste gefälschte Apps auf iOS-Geräte

Mit Doppelgänger-Apps spionierte der Spyware-Hersteller iPhone-Nutzer aus. Laut FireEye wurden Masque-Attack-Apps erstmals "in freier Wildbahn" gesichtet und erlaubten auch Spähangriffe auf Geräte ohne Jailbreak. Für die Angriffe eingesetzt wurden vor allem Apps wie Facebook und Twitter sowie beliebte Messenger wie WhatsApp. weiter

Yahoo-Nutzer über Malvertising-Kampagne angegriffen

Sie begann am 28. Juli und dauerte rund eine Woche. Besucher von Yahoo.com und mehreren Subdomains wurden auf Websites mit dem Exploit Kit Angler weitergeleitet. Yahoo hat den Angriff bestätigt und inzwischen beendet. weiter

BIND-Sicherheitslücke: Denial-of-Service-Attacken auf DNS-Server

Die fehlerhafte Behandlung bestimmter Abfragen kann zum Ausfall von DNS-Servern führen. Hacker nutzen öffentlich verfügbare Exploits bereits für Angriffe aus. Gepatchte Versionen der DNS-Server-Software sind bereits verfügbar und sollten von den Betreibern umgehend installiert werden. weiter

Sicherheitslücke „Stagefright“ lässt sich nicht nur über MMS ausnutzen

Die Sicherheitsforscher finden zwei weitere Angriffsvektoren für die Schwachstelle in über 90 Prozent aller Android-Geräte. Exploits sind demnach auch über manipulierte MP4-Dateien möglich, die in Apps oder Websites eingebettet sind. Google hat die Hersteller mit Patches ausgestattet, die aber erst noch bei den Nutzern ankommen müssen. weiter