heise Security

Bisher stellten SMS die Default-Einstellung für Googles Verifizierung in zwei Schritten dar. Sie werden jetzt vom so genannten Prompt abgelöst, der ganz ohne Bestätigungscodes auskommt.

Die deutsche Abteilung des Open Web Application Security Project richtet Mitte November ihr alljährliches Treffen zu Themen rund um die Websicherheit aus. Wenige Tickets sind noch verfügbar.

Die Apps Folx und Elmedia Player wurden nach einem Hack über deren Websites inklusive der "Proton"-Malware vertrieben. Der Hersteller empfiehlt eine Neuinstallation betroffener Maschinen.

CSE gilt als besonders schweigsam. Nun überraschen die Spione mit der Herausgabe eines Dateiformats sowie eines Frameworks. Es soll helfen, in vielen Dateien gleichzeitig Malware aufzuspüren.

Mining-Skripte zwacken beim Surfen heimlich Rechenleistung zum Schürfen von Krypto-Währungen ab. Adblocker- und Browser-Hersteller erarbeiten Gegenstrategien. Einige Skript-Entwickler reagieren ihrerseits, indem sie Nutzer künftig um Erlaubnis fragen.

Der Internetkonzern baut sein Bug-Bounty-Programm aus und will künftig auch Prämien für Lücken in eigenen Android-Apps zahlen. Das Programm ist auch für andere, ausgewählte App-Entwickler offen.

Facebooks Sicherheitschef hat erläutert, welche Schwierigkeiten er hat: Lohnendere Angriffsziele als sein Unternehmen gibt es wohl nicht viele, gleichzeitig erwarten die Mitarbeiter viele Freiheiten. Das unter einen Hut zu bringen, sei nicht einfach.

In den USA hat sich die Politik auf Kaspersky eingeschossen, hinzu kommen Berichte über russische Spionage dank des russischen Softwareherstellers. Nun weist Eugene Kaspersky die Vorwürfe noch einmal entschieden zurück und erklärt sie zu Paranoia.

Mit aktuellen Updates schließt Cisco insgesamt 17 Sicherheitslücken. Eine davon ist kritisch und erlaubt den Remote-Zugriff auf die Cloud Services Platform (CSP) 2100.

Sicherheitsmechanismen wie hardwarebasierte Zwei-Faktor-Authentifizierung und die Beschränkung des Datenzugriffs durch Drittanbieter sollen Google-Konten künftig sicherer machen. Advanced Protection ist gratis, erfordert aber zusätzliche Hardware.

Der Einsatz von Komponenten in der Anwendungsentwicklung birgt Risiken. Laut des State of Software Security Report von CA Veracode sind beispielsweise 88 Prozent aller Java-Anwendungen anfällig für Angriffe.

In Jenkins klaffen mehrere Sicherheitslücken. Unter Umständen könnten Angreifer diese zur Ausführung von Schadcode missbrauchen. Es gibt Sicherheitsupdates – eine Lücke bleibt aber vorerst offen.