Google hat mit dem letzten Sicherheits-Update für Chrome 89 zwei 0-Day-Lücken geschlossen. Einige Hersteller anderer Chromium-basierter Browser haben bereits reagiert.

Google hatte sich kurzfristig entschlossen, am 13. April statt der geplanten neuen Hauptversion Chrome 90 erst noch ein Sicherheits-Update für Chrome 89 bereitzustellen. Mit diesem Update hat Google zwei 0-Day-Lücken in Chrome 89 geschlossen. Auf diese Weise hat Google anderen Herstellern Chromium-basierter Browser die Möglichkeit verschafft, mit einem raschen Update nachziehen, um diese Lücken ebenfalls zu stopfen. Die haben diese Chance teilweise schon genutzt.

 https://www.pcwelt.de/

Per KI manipulierte Medieninhalte („Deep Fakes“) haben sich von einer Spielerei zu einer realen Bedrohung für Unternehmen und Politik entwickelt. Die Abteilung Cognitive Security Technologies des Fraunhofer AISEC hat vier Bereiche identifiziert, in denen Deep Fakes schon jetzt eine Herausforderung sind.

Während die Manipulation von Bildmaterial mittlerweile praktisch zum Alltag gehört, ist die Bearbeitung von Audio- und Videoinhalten ungleich komplizierter. Durch KI-Verfahren wie Machine Learning sind nun auch hier automatisiert hergestellte hochwertige Fälschungen möglich – und dank Open Source Software für Jedermann zugänglich. Das Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC) forscht in diesem Bereich und warnt, dass die fortschrittliche Technik schon jetzt zur Sicherheitsherausforderung wird. Ist genügend Audio- und Videomaterial einer Person vorhanden, lässt sich die KI so trainieren, dass überzeugende Deep Fakes entstehen. Derartig professionell manipulierte Inhalte zu erkennen, ist Laien kaum noch möglich.

 https://www.security-insider.de/

Zum Patchday hat Microsoft unter anderem eine Schwachstelle im Desktop Window Manager in Win 10 & Server-Pendants behoben, die derzeit aktiv ausgenutzt wird.

Am Patch Tuesday – dem umfangreichsten seit Jahresanfang – hat Microsoft 108 Schwachstellen aus verschiedenen Produkten beseitigt. 19 Schwachstellen wurden als kritisch eingestuft. 88 weitere Schwachstellen-Fixes gelten als „Important“, eine als „Moderate“. Nutzer von Windows und weiterer Microsoft-Software sollten sicherstellen, dass ihre Systeme die notwendigen Updates erhalten. Via aktivem Windows Update werden die Windows-Aktualisierungen standardmäßig automatisch heruntergeladen.

 https://www.heise.de/

Die Digitalisierung hat während der Corona-Pandemie einen starken Schub erhalten. Dieser geht jedoch oft zu Lasten der Datensicherheit, was Cyberkriminelle verstärkt ausnutzen.

Was Unternehmen jetzt tun können, um die Sicherheit ihrer Daten zu erhöhen, warum wirkungsvolle Strategien nicht zwingend teuer und aufwendig sein müssen – und welche Rolle in diesem Kontext die Mitarbeiter spielen. Häufig spielt die Datensicherheit bei Geschäftsentscheidungen eine untergeordnete Rolle. Zudem machen die Mehrkosten viele Datensicherheitslösungen unattraktiv. Verschärft wird die Situation durch die globale Pandemie und die wirtschaftliche Unsicherheit. Sie zwingt Unternehmen dazu, ungewöhnlichen Maßnahmen zu ergreifen, um das Geschäft am Laufen zu halten.

 https://www.security-insider.de/

Google hat die neue Hauptversion Chrome 90 bereitgestellt. Darin haben die Google-Entwickler 37 Schwachstellen behoben. Chrome 90 nutzt vorzugsweise HTTPS und bringt einen AV1-Encoder mit.

Die neue Browser-Version Chrome 90.0.4430.72 für Windows, macOS und Linux kommt mit einem Tag Verzögerung. Google hatte sich kurzfristig entschlossen, zuerst noch ein Sicherheits-Update für Chrome 89 bereitzustellen. Mit diesem Update hat Google am 13. April zwei 0-Day-Lücken in Chrome 89 geschlossen. So können andere Hersteller Chromium-basierter Browser mit einem raschen Update nachziehen, um diese Lücken ebenfalls zu stopfen. Microsoft Edge und Brave sind inzwischen in diesem Sinne aktualisiert.

 https://www.pcwelt.de/

Nachdem sie zuerst das Covid-19-Virus für Phishing-Angriffe ausgenutzt haben, versuchen Cyberkriminelle jetzt, das Thema Impfstoff zu missbrauchen, um Geld und persönliche Daten abzugreifen. Unternehmen kosten solche Attacken jährlich Unsummen. Skepsis hilft.

Eine Barracuda-Analyse, die zwischen Oktober 2020 und Januar 2021 durchgeführt wurde, zeigt, dass Hacker in ihren gezielten Spear-Phishing-Angriffen zunehmend E-Mails mit Bezug auf Impfstoffe verwenden. Nachdem Pharma-Unternehmen wie Pfizer und Moderna im November 2020 die Verfügbarkeit von Vakzinen angekündigt hatten, stieg die Zahl der Impfstoff-bezogenen Phishing-Angriffe um zwölf Prozent. Von Oktober 2020 bis Ende Januar erhöhte sich die durchschnittliche Anzahl der Impfstoff-bezogenen Spear-Phishing-Angriffe um 26 Prozent. Während der Feiertage flachte die Anzahl ab, wie dies bei Angriffen auf Unternehmen typischerweise der Fall ist

 https://www.security-insider.de/

Wer Android-Anwendungen über APKPure bezieht und dazu die gleichnamige App verwendet, sollte jetzt updaten: Forscher fanden Schadcode in der vorherigen Version.

Nutzer des alternativen Android-App-Stores APKPure, die die APKPure-App für den Store-Zugriff nutzen, sollten sicherstellen, dass sie die aktuellste Version verwenden: Sicherheitsforscher v14on Kaspersky und Doctor Web haben in Version 3.17.18 der Anwendung Schadcode gefunden, der offenbar Daten sammeln, Fenster mit Werbeanzeigen öffnen und weitere Malware nachladen konnte. Nachdem die APKPure-Entwickler über die Entdeckung in Kenntnis gesetzt worden seien, veröffentlichten sie zügig eine neue Version ihrer App: Laut Kaspersky ist APKPure 3.17.19 bereinigt.

 https://www.heise.de/

Der aktuelle Entwurf des IT-Sicherheitsgesetz 2.0 sieht vor, dass nicht nur Unternehmen und Organisationen, die zu den kritischen Infrastrukturen (KRITIS) gehören, Vorkehrungen treffen müssen, um Störungen ihrer IT-Systeme zu vermeiden.

Jetzt kommen „Unternehmen im besonderen öffentlichen Interesse“ neu hinzu. Diese müssen zwar nicht so viele Anforderungen wie die KRITIS-Einrichtungen erfüllen, sind in Zukunft aber auch gezwungen, in dieser Hinsicht aktiv zu werden. Die betroffenen „Unternehmen im besonderen öffentlichen Interesse“ sind im Wesentlichen Rüstungshersteller, Raumfahrtunternehmen, Hersteller von IT-Produkten für die Verarbeitung staatlicher Verschlusssachen, große Unternehmen, die deswegen volkswirtschaftliche Bedeutung haben, sowie Betreiber eines Betriebsbereichs der oberen Klasse im Sinne der Störfall-Verordnung, also beispielsweise Chemieunternehmen. Für letztere herrschen andere Anforderungen, dazu später mehr.

 https://www.security-insider.de/

Auf immer mehr Mobiltelefonen gehen SMS etwa zur Sendungsnachverfolgung ein, über die der Banking-Trojaner FluBot installiert wird. Das BSI mahnt zur Vorsicht.

Seit Tagen erhalten Nutzer von Smartphones und anderen Handys verstärkt Kurznachrichten, die zum Klicken eines Links auffordern. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat dahinter eine „Smishing“-Welle ausgemacht (SMS-Phishing), über die per gefälschten Mitteilungen Zugangsdaten ergaunert werden. Aktuell befinde sich in den Handy-Mitteilungen ein Link, hinter dem sich in den meisten aktuell beobachteten Fällen das Android-Schadprogramm FluBot verberge.

 https://www.heise.de/

Für Prämien von insgesamt über 1 Million US-Dollar demonstrierten Hacker beim Pwn2Own 2021 erneut Sicherheitslücken in wichtigen IT-Produkten.

Die jährliche „Hacking-WM“ Pwn2own lieferte erneut eine spektakuläre Show: Sicherheitsforscher demonstrierten unter real anmutenden Bedingungen inklusive Zeitdruck live Sicherheitslücken und kaperten dabei so gut wie alles, was ihnen vorgesetzt wurde. Früher durfte der Hacker das gekaperte Gerät anschließend behalten, daher der Name Pwn2own: Im Szene-Slang steht „pwn“ für eine erfolgreiche In-Besitznahme, weil es so ähnlich aussieht und ausgesprochen wird wie „own“, also besitzen und „2“ spielt mit dem Gleichklang von „two“ und „to“. Heute zahlen selbst Hersteller oft schon fünf- bis sechsstellige Beträge für das Melden von Sicherheitslücken und der Wettbewerb zog entsprechend nach.

 https://www.heise.de/