Die Chrome-Entwickler haben mehrere Sicherheitslücken in einer aktuellen Version des Webbrowsers geschlossen.

Google warnt vor Attacken auf Chrome. In welchem Umfang die Angriffe laufen, ist derzeit unbekannt. Eine dagegen abgesicherte Version ist erschienen. Wie man einer Sicherheitswarnung entnehmen kann, ist Chrome 91.0.4472.114 für Linux, macOS und Windows erschienen. Wie gewohnt, gibt Google aus Sicherheitsgründen nicht viele Details zu den geschlossenen Lücken bekannt. Darüber hinaus haben die Entwickler noch drei weitere Schwachstellen (CVE-2021-30555), CVE-2021-30556, CVE-2021-30557) mit gleicher Einstufung geschlossen. Auch hier könnte es zu Schadcode-Attacken kommen.

 https://www.heise.de/

Die Umsetzung der Datenschutz-Grundverordnung (DSGVO) bereitet immer noch Schwierigkeiten. Gerade die Einhaltung der Meldepflichten nach DSGVO wirft weiterhin Fragen auf. Welche Cyberattacken müssen gemeldet werden, welche nicht, fragen sich die Unternehmen.

Der Europäische Datenschutzausschuss (EDSA) gibt dazu Hinweise, zum Beispiel für den Fall einer Ransomware-Attacke. Kommt es zu einem Angriff mit Ransomware, können personenbezogene Daten mehrfach in Gefahr sein. Zum einen kann die erzwungene Verschlüsselung die Verfügbarkeit der Daten gefährden, wenn es keine geschützten Backups gibt. Zum anderen gehen die Angreifer dazu über, die ausgespähten und kriminell verschlüsselten Daten an Dritte zu verkaufen oder sie drohen damit. Damit wäre dann auch die Vertraulichkeit der personenbezogenen Daten nicht mehr gewährleistet.

 https://www.security-insider.de/

Betriebssystem-Updates für Qnaps Netzwerkspeicher (NAS) schließen zwei mit „Medium“ bewertete Schwachstellen, von denen eine übers Internet attackierbar ist.

Für Netzwerkspeicher (Network Attached Storage, NAS) von Qnap stehen neue Versionen der Betriebssysteme QTS und QuTS hero bereit; auch das Cloud-optimierte QuTScloud wurde aktualisiert. NAS-Besitzer sollten vorsichtshalber ein Update durchführen: Es beseitigt zwei Schwachstellen, die Angreifer unter bestimmten Voraussetzungen für den Zugriff auf sensible Daten missbrauchen könnten. Zwar schätzt Qnap das Risiko jeweils nur als mittel („Medium“) ein; allerdings ist zumindest eine der Schwachstellen wohl auch aus der Ferne ausnutzbar.

 https://www.heise.de/

Zero Trust ist ein beliebtes Thema in IT-Security-Kreisen, wenn es um die unternehmensinterne Sicherheitsstrategie geht. Doch welche Rolle spielt Zero Trust in Zeiten von Remote Work?

Das Zero-Trust-Prinzip fordert Unternehmen dazu auf, ihre Security-Lösungen so auszuwählen und einzustellen, dass diese gewohnheitsmäßig hinterfragen, wer jemand ist und was er tun will. Der Ansatz eliminiert somit das blinde Vertrauen in jegliche Benutzer, die sich beispielsweise von einem bestimmten Gerät aus einloggen. Im Idealfall vergewissern sich Betriebe bei der Anwendung von Zero Trust kontinuierlich, dass ihre Benutzer die sind, für die sie sich ausgeben, und dass ihr Zugriff auf bestimmte Anwendungen und Systeme immer einwandfrei ist. Einfacher ausgedrückt ist die Idee hinter dem Konzept: „Trust no one“.

 https://www.security-insider.de/

Angriffe mit Ransomware sind auf einem neuen Langzeithoch. So verursachten entsprechende Attacken im Jahr 2020 geschätzte Schäden in Höhe von rund 20 Milliarden US-Dollar.

Hauptgrund dafür war, dass Millionen Arbeitnehmer sich – in den meisten Fällen aufgrund von Lockdowns und anderen Maßnahmen zur Eindämmung der Corona-Pandemie – aus schlecht gesicherten Heimnetzwerken bei Unternehmens- und Regierungsnetzen anmeldeten und so Cyberkriminellen Tür und Tor öffneten. Dabei wird es immer schwieriger, Schadsoftware wirklich von wichtigen Ressourcen fern zu halten. Angesichts der wachsenden Bedrohung durch Ransomware müssen die Verantwortlichen in den Unternehmen aktuell oftmals auf die harte Tour lernen, wie durchtrieben Hacker mittlerweile sind. 

 https://www.security-insider.de/

Jetzt patchen!  Es ist eine gegen verschiedene Attacken abgesicherte Version des Webbrowsers Chrome erschienen.

Wer mit Chrome im Internet surft, sollte den Browser zeitnah auf den aktuellen Stand bringen. Geschieht das nicht, könnten Angreifer Computer attackieren. Für eine Lücke soll es bereits Exploit-Code geben. Angriffe stehen mit hoher Wahrscheinlichkeit kurz bevor. Google hat die dagegen abgesicherte Version Chrome 91.0.4472.101 für Android, Linux, macOS und Windows veröffentlicht. Eine Warnmeldung zufolge ist der kursierende Code auf eine bestimmte Sicherheitslücke (CVE-2021-30551, „hoch„) zugeschnitten. Der Fehler sitzt in der JavaScript-Implementierung V8 des Browsers. 

 https://www.heise.de/

Zum Patchday im Juni 2021 schließt Microsoft insgesamt 50 kritische und wichtige Sicherheitslücken in Windows, Hyper-V, Microsoft Edge, RDP und Hyper-V. Sechs Lücken sind aktuell bereits im Fokus von Hackern. Die Updates eilen also.

Aktuell gibt es sechs Sicherheitslücken in Windows, die Hacker und Malware-Programmierer bereits aktiv nutzen. Dabei handelt es sich vor allem um Lücken im Bereich Remote Code-Ausführung und Erhöhung von Berechtigungen. Betroffen sind nahezu alle Windows-Systeme. Besonders kritisch ist CVE-2021-33742. Angreifer können Code auf dem Ziel-System ausführen, wenn das Update nicht installiert ist. Dabei handelt es sich um eine kritische Sicherheitslücke, die Admins umgehend schließen sollten. Im Fokus der Angreifer steht MSHTML, EdgeHTML und Scripting. Dabei handelt es sich um Elemente des Internet Explorers und von Microsoft Edge. Die Lücke wird aktuell bereits ausgenutzt.

 https://www.security-insider.de/

Seit einiger Zeit versuchen Betrüger an WhatsApp-Accounts zu gelangen. Dabei wird eine vermeintliche Account-Verifizierung per Code vorgegaukelt. Doch dabei handelt es sich nur um eine perfide Masche der Kriminellen. Wie Sie sich davor schützen können, lesen Sie hier.

Die Masche der Kriminellen funktioniert dabei wie folgt: Nutzer erhalten eine Nachricht über WhatsApp. Berichten zufolge kommen diese Nachrichten dabei oft von Nummern aus der eigenen Kontaktliste. Das auf Internetbetrug und Falschmeldungen spezialisierte Portal Mimikama veröffentlichte folgende Beispielnachricht: „Hallo, sorry, ich habe dir versehentlich einen 6-stelligen Code per SMS geschickt. Kannst du ihn mir bitte weitergeben? Es eilt.“ Antwortet der User auf diese Nachricht – beispielsweise mit einer Gegenfrage, wofür der Code denn gebraucht werde, erhielten die betroffenen Nutzer zumeist auch eine schlüssige Antwort darauf, die so auch von einem Freund / einer Freundin kommen könnte.

 https://www.chip.de/

Er soll das Reisen gerade in der anstehenden Urlaubszeit erleichtern – der digitale Impfnachweis. Heute will Bundesgesundheitsminister Spahn Einzelheiten vorstellen. Klar ist: Auch hier ist etwas Geduld gefragt.

Schritt für Schritt soll er ausgerollt werden, der digitale Impfpass. Für alle, die schon vollständig geimpft sind – inzwischen fast 19 Millionen Bundesbürger – soll es die Möglichkeit geben, dies nachträglich digital bestätigt zu bekommen. Apotheken stehen dafür ab kommenden Montag bereit, wie die Bundesvereinigung Deutscher Apothekerverbände mitgeteilt hat. Freilich mit dem Hinweis, dass nicht jede Apotheke dies von Anfang an technisch leisten können wird.

 https://www.tagesschau.de/

Angreifer könnten Android-Geräte attackieren und unter anderem Informationen leaken oder sogar Schadcode ausführen.

Wer ein Android-Smartphone oder -Tablet besitzt, sollte in den Einstellungen das Patch Level prüfen. Aktuelle Sicherheitsupdates schließen mehrere Lücken im Betriebssystem. Wie man aus einer Warnmeldung entnehmen kann, hat Google abgesicherte Versionen von Android 8.1, 9, 10 und 11 veröffentlicht. Wird das Patch Level 2021-06-01 in den Einstellungen angezeigt, ist das System auf dem aktuellen Stand. Die Bezeichnung 2021-06-05 sagt aus, das neben den aktuellen Sicherheitsupdates auch alle älteren installiert sind.

 https://www.heise.de/