Thema
Sicherheitslücke
Updates schließen kritische ownCloud-Lücken
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen.
Exploit für lokalen Linux-Kernel-Bug im Umlauf
Ein bereits im April im Entwickler-Kernel-Zweig gefixter Fehler wurde nicht als sicherheitsrelevant erkannt und lässt sich deshalb auf vielen Systemen immer noch ausnutzen.
Mozilla-Wartungsdienst verschafft Angreifern Systemrechte
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen.
Microsoft schließt im Mai 33 Sicherheitslücken
Neben einer kritischen Internet-Explorer-Lücke, die bereits für Angriffe missbraucht wird, hat das Unternehmen unter anderem Schwachstellen in sämtlichen Windows-Versionen, Office und den Windows Essentials behoben.
Dringende Sicherheitspatches für ColdFusion, Adobe Reader, Acrobat und Flash
Am Adobe-Mai-Patchday regnet es Sicherheitsupdates, die etliche kritische Lücken abdichten sollen. Admins, die ColdFusion-Server betreuen, müssen sofort handeln. Aber auch die übrigen Updates sollten möglichst bald installiert werden.
CSRF-Lücke im OpenVPN Access Server geschlossen
Durch eine Schwachstelle können sich Angreifer potenziell VPN-Zugänge erschleichen.
Dienstag ist Patchtag bei Microsoft und Adobe
Der Mai macht zwar nicht alles neu, aber vieles: Microsoft bringt zehn Patch-Pakete und schließt damit unter anderem kritische Internet-Explorer-Lücken. Adobe will seinen Reader, Acrobat und ColdFusion abdichten.
Streaming-Mitschnitt: MP3-Leck bei Spotify vorerst gestopft
Spotifys Web-Player ist noch nicht einmal der Beta-Phase entwachsen, da kursieren schon Tools um die Streaming-Dateien aus dem Browser direkt ins lokale MP3-Archiv zu laden.
Kritische Lücke im Webserver nginx
Über einen speziell präparierten Request können Angreifer Code in den Server einschleusen.
Exploit für kritische Zero-Day-Lücke im Internet Explorer 8
Wer mit dem Internet Explorer 8 surft, begibt sich in Gefahr. Darin klafft eine kritische Sicherheitslücke, für die nun auch ein passender Exploit kursiert.
D-Link-Updates sollen ASCII-Voyeure aussperren
D-Link hat nicht nur erneut einen ganzen Schwung seiner Router abgesichert, sondern auch zahlreiche Netzwerkkameras. Die Kameras gewähren unerlaubte Einblicke – als Videostream oder ASCII-Art.
IE8-Lücke für Angriffe auf US-Energiesektor ausgenutzt
Über manipulierte Webseiten scheinen chinesische Hacker gezielt Mitarbeiter von US-Energiekonzernen, Atomkraftwerken und Regierungsmitarbeiter angegriffen zu haben.
Schwere Sicherheitslücke im Internet Explorer 8
Wegen eines Sicherheitsproblems im IE8 empfiehlt Microsoft ein Update auf aktuellere Versionen seines Browsers.
Verwundbare Industrieanlagen 
Im Internet der Dinge verfügen alle möglichen Anlagen über einen eingebauten Webserver. Allein in Deutschland waren – und sind immer noch – Hunderte Anlagen über das Internet erreichbar und verwundbar.
lost+found: Was von der Woche übrig blieb
Heute mit: Browser ID ohne Browser, Meldetipps für DDoS-Angriffe, NASA-Pornos, Schiffsverkehr, vor allem männlichen Telefonabzockern, indiskreten PDF-Dateien, Mainframe-Atttacken und Kali für Blinde.
HD Moore warnt vor "Bergen von Sicherheitslücken"
Der bekannte Hacker und Sicherheitsexperte sieht Probleme bei Industrieanlagen und anderen kritischen ans Netz angeschlossenen Geräten. Diese wurden durch großangelegte Scans offenbart.
Die Mission des HD Moore
Ein amerikanischer IT-Sicherheitsexperte hat in einem privaten Experiment 3,7 Milliarden IP-Adressen angefunkt. Die dabei gesammelten Daten offenbaren massive Sicherheitslücken auch bei kritischen Infrastrukturen.
Kritische Schwachstelle in hunderten Industrieanlagen
heise Security hat etliche deutsche Industrieanlagen entdeckt, die leichtsinnig mit dem Internet verbunden sind. Doch damit nicht genug: Durch eine Schwachstelle kann quasi jeder die Kontrolle über Heizkraftwerke, Rechenzentren oder Brauereien übernehmen.
Viber schließt Sperrbildschirmlücke, aber noch nicht für alle
Viber hat nun doch einen Vorabfix für die Sperrbildschirmprobleme seiner App veröffentlicht. Das Update wird aber nur im Viber-Helpdesk angeboten. Google-Play-Kunden gehen derzeit noch leer aus.
Manipulierte Apache-Binaries laden Schadcode
Sicherheitsunternehmen haben nach eigenen Angaben Hunderte von manipulierten Apache-Servern gefunden, die sich von Angreifern steuern lassen. Sie leiten Requests auf Malware- und Porno-Seiten um.
Niederländer wegen DDoS-Attacke auf Spamhaus festgenommen
Der Angriff auf die Antispam-Organisation Mitte März 2013 wird von Experten als die bislang heftigste Distributed-DoS-Attacke in der Geschichte des Internet angesehen. Ein des Angriffs verdächtigter Niederländer wurde nun in Spanien festgenommen.
"Viber"-App hebelt Sperrbildschirm aus
Über die Push-Benachrichtungen der VoIP-App "Viber" können sich Unbefugte Zugriff auf ein gesperrtes Android-Smartphone verschaffen.
Wordpress: Gefährliche Lücken in Cache-Plug-Ins
Zwei millionenfach genutzte Wordpress-Plug-Ins können für das Ausführen beliebigen Codes ausgenutzt werden. Die Lücken sind gestopft, jetzt muss gepatcht werden!
Neue Java-Sicherheitslücke betrifft Desktop-Systeme und Server
Adam Gowdiak, der Spezialist für Java-Sicherheitsprobleme, hat Oracle eine weitere Lücke gemeldet, über die man aus der Sandbox ausbrechen kann – prinzipiell auch auf einem Server, der Java einsetzt.
Und täglich grüßt die Router-Lücke
Belkin, D-Link, Linksys, Netgear, Sitecom, TP-Link – es gibt kaum Hersteller, die bei der Firmware-Entwicklung nicht patzen. Es ist nach wie vor schockierend, was für mitunter haarsträubende Schwachstellen in verbreiteten Router-Modellen schlummern.
Tricks neu aufgelegt: Vorsicht bei Copy&Paste
Mit einem nicht ganz neuen Trick, der derzeit verstärkt wieder kursiert, können Web-Seiten etwa arglosen Linux-Usern, die zu faul zum Tippen sind, Befehle unterjubeln und deren System kapern.
Vaillant-Heizungen mit Sicherheits-Leck
Die Heizungsanlage ecoPower 1.0 kann man über das Internet steuern – allerdings auch dann, wenn man dazu gar nicht berechtigt ist. Ein Angreifer könnte die Anlage dadurch potenziell dauerhaft beschädigen. Kunden sollen jetzt den Netzwerkstecker ziehen.
Botnet attackiert Wordpress-Installationen weltweit
Ein aus mehr als 90.000 Rechnern bestehendes Botnet versucht, die Passwörter von Wordpress-Nutzern mit Brute-Force-Methoden zu knacken. Ziel könnte der Aufbau eines mächtigeren Botnet sein.
Mehrere DoS-Lücken in Ciscos ASA
Im Betriebssystem für einige Netzwerkgeräte hat Cisco Lücken gefunden, die zu Denial-of-Service-Angriffen ausgenutzt werden könnten. Auch die Firewalls mancher Switches und Router sind betroffen.
App hackt Flugzeug
Der Sicherheitsexperte Hugo Teso hat die Kommunikation von Flugzeugen mit Bodenkontrollsystemen untersucht und dabei hochbrisante Schwachstellen entdeckt. Es gelang ihm, die Kontrolle über realistisch simulierte Flieger zu übernehmen.
heise online Themen