SurfWatchs "Personalized Dark Web Intelligence Service" ist Prinzipien des Risikomanagements verpflichtet. Es spürt online gehandelte Daten des Kunden auf und informiert über die allgemeine Bedrohungslage. Je nach Firmengröße fallen etwa 100.000 Dollar jährlich für den Rundum-Service an. weiter

Apple ersetzt den DNS-Dienst "discoveryd" durch "mDNSResponder". Weitere Fixes stehen für die Fotos-App und die Mail-Anwendung zur Verfügung. Das Update beseitigt auch die seit Mai bekannte Logjam-Lücke, die die Verschlüsselung von Datenverkehr schwächt. weiter

Die Fehler wurden im Februar gemeldet und im Mai gepatcht. Jetzt hat MWR Labs sie veröffentlicht. Betroffen sind alle Fire-OS-Versionen vor 6.4.1. Angreifer können Zertifikate installieren und Kommunikation belauschen. Über USB ist zudem Software-Installation auch auf gesperrten Smartphones möglich. weiter

Diese gegen Phishing schützende Absicherung bietet ab sofort auch Apps für Education an. FIDO-Mitglied Google setzt dabei auf das Verfahren "Universal 2nd Factor". Es macht zudem allen Apps-Kunden um 50 Prozent rabattierte Yubico-Security-Keys verfügbar. weiter

Das bisherige Schlüsselsystem war zu schwach. Falsche Schlüssel können zufällig mit echten übereinstimmen. Jetzt wird es ausgetauscht. Um niemanden vor den Kopf zu stoßen, erhalten auch Besitzer falscher Schlüssel ein neues Jahresabo. weiter

Die Aussage kommt vom Geheimdienstverantwortlichen James Clapper. Bisher gaben sich die USA gegenüber China äußerst vorsichtig - ganz anders als etwa im Umgang mit Nordkorea. Auch jetzt macht man sich "Sorgen über nicht beabsichtigte Folgen" eventueller Sanktionen. weiter

Die Anfälligkeit führt zum Absturz des Android-Debuggers. Ein Angreifer erhält so Zugriff auf den Inhalt des Hauptspeichers. Er kann zwar keinen Schadcode ausführen, aber die Lücke mit einem anderen Bug kombinieren und die Schutzfunktion ASLR umgehen. weiter

Sie gehören 47 unterschiedlichen Behörden. Das Start-up Recorded Future hat sie bei einer Analyse von mehr als 680.000 öffentlich zugänglichen Websites, darunter auch Pastebin.com, gefunden. 12 der 47 betroffenen Behörden setzen keine Authentifizierung in zwei Schritten ein. weiter

Alle stecken in Techniken rund um die Schriftartenverwaltung und -anzeige. Adobe und Microsoft haben sie mit jüngsten Updates behoben. Eine besonders mächtige Schwachstelle betrifft alle Versionen von Reader und Windows. weiter

Dazu wird eine separate EXE-Datei von einem Samsung-Server geladen. Sie aktiviert sich dann unabhängig von den Einstellungen bei jedem Start. Samsungs Support sagt, so verhindere man ein Überschreiben eigener Treiber durch Standardtreiber. weiter

Kriminelle dringen wie von FireEye berichtet in E-Mail-Konten von Managern ein, um an Insiderwissen zu kommen. Die SEC versucht, ihre exakte Vorgehensweise zu recherchieren. Auch der Secret Service soll mit dem Fall befasst sein. weiter

Die Schätzung stammt angeblich von FBI-Direktor James Comey. Ihm zufolge erbeuteten die Hacker auch Daten von Bewerbern. Quellen von ZDNet USA sprechen indes von mindestens 10 Millionen entwendeten Personalakten. weiter

Sie steckt in Flash Player für Windows, Mac OS X und Linux. Die Angriffe richten sich bisher aber nur gegen IE 11 unter Windows 7 und Firefox unter Windows XP. FireEye hat die Hintermänner als eine chinesische Hackergruppe namens APT3 identifiziert. weiter

Es sind die Entwicklung eines quelloffenen Systems für automatische Tests, die Initiative Reproducible Builds und das Fuzzing Project des Sicherheitsforschers Hanno Böck. Zusätzlich wurde mit Emily Ratliff eine erfahrene Leiterin der CII eingestellt. weiter

Die Technik stammt aus der Übernahme von Aorato 2014. Das System wird "jedes normale und ungewöhnliche Verhalten automatisch analysieren, kennenlernen und identifizieren können." Einen Preis nennt Microsoft allerdings nicht und spricht nur von einem "erschwinglichen Abonnement". weiter

Die steckt in der 32-Bit-Version des Microsoft-Browsers und betrifft Windows 7 und Windows 8.1. Microsoft ist die Internet-Explorer Lücke bekannt. Laut HP-Tochter Tipping Point will Redmond aber keinen Patch für die Schwachstelle entwickeln. weiter

Die unbekannten Hacker haben das Internetmodul "Kfz-Wunschkennzeichen" angegriffen. Die Attacken begannen bereits in der Nacht von Sonntag auf Montag. Das Landeskriminalamt Hessen hat inzwischen Ermittlungen aufgenommen. weiter

Der Fix steckt in der Version 6.4.9.4. Er verhindert Cross-Site-Request-Forgery-Angriffe auf den Zwischenspeicher des Plug-ins. Google Analyticator integriert Daten von Google Analytics in das WordPress Dashboard. weiter

Die Hintermänner sind offenbar auch für den Einbruch beim US-Versicherer Anthem verantwortlich. Nach Ansicht von Ermittlern sind die in beiden Fällen entwendeten Daten für die Gegenspionage geeignet. Es kamen zudem dieselben Hacker-Tools zum Einsatz. weiter

Der Angriff scheint aber nicht politisch motiviert. Vielmehr wurde Kasino-Spam in die Artikel eingebaut. Digital Constitution lief noch unter Wordpress 4.0.5 mit mehreren inzwischen gepatchten XSS-Anfälligkeiten - aktuell ist Version 4.2.2. weiter

Er soll in wenigen Tagen vorliegen. Besitzer eines anfälligen Galaxy-Modells erhalten ihn Over-the-Air via Samsung Knox - ohne langwierige Freigabe durch Mobilfunkprovider. Bis dahin sollten sie sich von offenen WLAN-netzen fernhalten. weiter

Ein Team aus sechs Forschern kompromittiert Apples Keychain und auch das Prüfverfahren für den App Store. Mithilfe einer manipulierten App erhalten sie Zugriff auf Passwörter und Tokens für iCloud und Facebook. Apple weiß seit Oktober 2014 von den Anfälligkeiten. weiter

Cloudbasierte DDoS-Angriffe nehmen im ersten Quartal 2015 deutlich zu. Bösartige virtuelle Server werden aber auch für die Verbreitung von Junk-E-Mail benutzt. Der Studie zufolge profitieren die Cyberkriminellen von den laschen Sicherheitsvorkehrungen einiger Cloud-Anbieter. weiter

Die Stegoloader genannte Schadsoftware ist seit 2013 im Umlauf. Sie kann persönliche Informationen wie Passwörter stehlen. Um einer Erkennung zu entgehen, speichert Stegoloader keinerlei Daten auf der Festplatte. weiter

Das Android Security Rewards Program gilt aber derzeit nur für Fehler in Nexus 6 und Nexus 9. Für reguläre Schwachstellen erhalten Forscher bis zu 8000 Dollar. Umgeht ein Remote-Exploit auch Sicherheitsfunktionen wie ASLR, erhöht sich die Belohnung um bis zu 30.000 Dollar. weiter

Der Fehler steckt in der vorinstallierten Drittanbieter-Software SwiftKey. Sie nutzt für Updates eine unverschlüsselte Verbindung. Darüber lässt sich Schadcode einschleusen und ausführen. Auch das Abhören von Telefonaten ist möglich. weiter

Google hatte sich 2011 für diesen Schritt entschieden. Yahoo folgte 2013 nach. Somit erhalten Webmaster bei Bing-Verweisen künftig auch keine Suchbegriffe mehr übermittelt. In den Webmaster-Tools stellt Microsoft aber anonymisierte Statistiken bereit. weiter

Über eine Schwachstelle in JSONP lassen sich Identitäten ermitteln, wenn der Anwender bei einem von 15 bekannten chinesischen Diensten angemeldet ist. Fallweise sind es Benutzername und eine ID, in manchen Fällen auch Telefonnummer oder E-Mail-Adresse, die sich abfragen lassen. Das System wird möglicherweise seit 2013 eingesetzt. weiter

Verschlüsselte Übertragung ist jetzt für alle Anwender Standard. Strict Transport Security verhindert zudem ein Ausweichen auf ältere Protokollversionen. Auch die US-Regierung führt HTTPS für Bundes-Websites ein, benötigt dafür aber voraussichtlich bis Ende 2016. weiter

Sie sollen die Unterlagen des Whistleblowers entschlüsselt haben. Die Unterlagen enthalten auch Informationen über die Arbeitsweise von Geheimagenten. Der britische Geheimdienst soll deswegen aus Angst vor deren Enttarnung Agenten aus mehreren Ländern abgezogen haben. weiter