Top 25 der gefährlichsten Software-Schwachstellen 2022

cyber crime


Das CWE-Projekt hat eine Liste der 25 gefährlichsten Sicherheitslücken für das Jahr 2022 zusammengestellt. Sie soll helfen, Risiken zu minimieren.

heise security logoDas Common Weakness Enumeration-Projekt (CWE) hat die Liste für das Jahr 2022 der 25 gefährlichsten Softwareschwachstellen zusammengestellt. Die Liste soll die derzeit am meisten vorkommenden Lücken mit den gravierendsten Auswirkungen aufführen. Sie soll unter anderem Softwarearchitekten, Designern, Entwicklern, Testern, Nutzern, Projektmanagern, Sicherheitsforschern, Ausbildern und bei Standard-entwickelnden Organisationen Zuarbeitenden dabei helfen, Risiken einzudämmen. An der diesjährigen Spitzenposition findet sich ein alter Bekannter: die Fehlerkategorie Buffer Overlow.

external link https://www.heise.de/

Ukraine-Krieg: DDoS-Angriffe auf Litauen

Cyber Attacken


Wegen beschränkten Warenverkehrs von Russland nach Kaliningrad hat eine pro-russische Cybergang Überlastungsangriffe auf litauische Webseiten gestartet.

heise security logoDas litauische Verteidigungsministerium meldete in der Nacht auf Dienstag dieser Woche auf Twitter schwere Distributed-Denial-of-Service-Attacken gegen Webseiten staatlicher Einrichtungen und privatwirtschaftlicher Unternehmen. Die schlimmsten Angriffe seien inzwischen unter Kontrolle und die Dienste wiederhergestellt. Da Litauen Transitland für Warenlieferungen von Russland in die russische Exklave Kaliningrad ist und EU-Sanktionen diese einschränken, ist das Land ins Visier russischer Cybergangs geraten.

external link https://www.heise.de/

Das zunehmende Problem mit Cyberattacken

cyber security


Unternehmen und Organisationen werden zunehmend Ziel von Cyberangriffen, wie der jüngste Fall aus Südhessen zeigt, wo ein IT-Dienstleister betroffen war. Es können enorme Schäden entstehen.

security insiderExperten raten deswegen zu strenger Hygiene in der IT-Sicherheit. Der jüngste Hackerangriff auf einen IT-Dienstleister in Südhessen lässt aufhorchen. Denn zu seinen Kunden zählen auch Energieversorger, die wiederum Teil der sogenannten kritischen Infrastruktur sind: Dazu gehört die Versorgung mit Wasser, Gas oder Strom, die aber nach Angaben der betroffenen Unternehmen nicht von der Cyberattacke betroffen war, da sie über andere IT-Systeme betrieben wird. Dennoch nehmen solche Angriffe zu, die Schäden sind beträchtlich.

external link https://www.security-insider.de/

Synology: Aktualisierte Firmware dichtet Sicherheitslecks in Routern ab

network router


In Firmware von Synology-Geräten hat der Hersteller Sicherheitslücken gefunden. Angreifer könnten unter anderem unberechtigt auf Dateien zugreifen.

heise security logoDer Netzwerkausrüster Synology warnt vor Sicherheitslücken im Router-Betriebssystem Synology Router Manager (SRM). Angreifer könnten laut Fehlerbeschreibung mehrere Schwachstellen missbrauchen, um SQL-Befehle einzuschleusen oder beliebige Dateien zu lesen und schreiben. Eine Anmeldung ist dafür erforderlich. Der Hersteller stuft die Sicherheitslücke als „Wichtig“ ein, was auf der üblichen Skala nach CVSS-Risikoeinstufung dem Schweregrad „hoch“ entspricht. In der Sicherheitsmeldung schreibt Synology, dass es keine Workarounds gebe.

external link https://www.heise.de/

Sieg für Verbraucherschützer, Weckruf für Unternehmen

EUGH


Der Europäische Gerichtshof (EuGH) hat Verbraucherschutz­verbände als Wächter bei Datenschutz­verstößen gestärkt. Die Verbraucherzentrale Bundesverband (vzbv) bekam grünes Licht aus Luxemburg, um gegen den Facebook-Mutterkonzern Meta im Falle von Datenschutzverstößen vorzugehen.

security insiderSie müssen dafür nicht von betroffenen Nutzern beauftragt werden. Was große Internetkonzerne und Social-Media-Plattformen dürfen und was nicht, ist immer wieder Gegenstand von Gerichtsentscheidungen auf EU-Ebene. Der vzbv hatte schon im Jahre 2012, damals noch gegen Facebook Irland, beanstandet, dass das Angebot kostenloser Spiele von Drittanbietern in einem App-Zentrum der Plattform gegen Datenschutzrecht und andere Regelungen verstoße. Die Unterlassungsklage der Verbraucherschützer hatte in erster und zweiter Instanz Erfolg. 

external link https://www.security-insider.de/

 

Google schließt 14 Sicherheitslücken in Chrome

chromium


Mit dem Sprung auf das 103er-Release dichtet Google im Webbrowser Chrome 14 Schwachstellen ab. Auch für Android und iOS steht die neue Version bereit.

heise security logoGoogle hat die Version 103.0.5060.53 für Linux, Mac und Windows veröffentlicht und schließt darin insgesamt 14 Sicherheitslücken – davon bewerten die Entwickler mindestens eine als kritisch. Auch für Android (103.0.5060.53) und iOS (103.0.5060.54) stehen die neuen 103er-Versionen bereit. Zudem hat der Hersteller den Browser im Extended-Stable-Channel auf den Stand 102.0.5005.134 gehievt. Da Google zum Schutz der Nutzerinnen und Nutzer Details zu den abgedichteten Sicherheitslücken für einen längeren Zeitraum unter Verschluss hält, lassen sich nur die ausgewählten Kurzbeschreibungen auswerten.

external link https://www.heise.de/

Cyber-Risiken und Geschäftsprozesse korrelieren

cyber attacks

 

Ob großes oder kleines Unternehmen: Welche Cyberrisiken welche Assets betreffen, und welchen Schaden dann bei Angriffen Geschäftsprozesse nehmen können, wissen die meisten nicht.

security insiderAlso fällt es den Firmen schwer, eine stringente Sicherheitsstrategie zu entwickeln. Diesem Problem rückt jetzt das Startup RIMIAN aus dem Allgäu zu Leibe. In dieser Serie stellt Security-Insider innovative, junge Startup-Unternehmen aus Deutschland, Österreich und der Schweiz vor, die mit innovativen Ideen die IT-Sicherheit voran bringen wollen. Das Startup RIMIAN („RIMIAN“ steht für „Risk Mitigate & Analysing“), aus Füssen im Allgäu unterstützt mit seiner Lösung Lifeblood Anwender dabei, Cyberrisiken ins Verhältnis zu den davon betroffenen Geschäftsprozessen zu setzen und die möglichen Schäden hinsichtlich der Wichtigkeit für die Wertschöpfung, aber auch monetär zu bewerten.

external link https://www.security-insider.de/

Patchday Adobe: Schadcode-Lücken in InDesign, Illustrator & Co.

adobe


Mehrere Adobe-Anwendungen sind über als kritisch eingestufte Schwachstellen attackierbar. Sicherheitsupdates schaffen Abhilfe.

heise security logoWer Anwendungen von Adobe nutzt, sollte diese aus Sicherheitsgründen auf den aktuellen Stand bringen. Die meisten Lücken stuft der Softwarehersteller als „kritisch“ ein. In Illustrator haben die Entwickler insgesamt 17 Lücken geschlossen. Setzen Angreifer erfolgreich an den Schwachstellen an, könnten sie in den meisten Fällen Speicherfehler auslösen und Schadcode ausführen. Wie das im Detail funktioniert, führt Adobe in seiner Warnmeldung nicht aus. Gegen solche Attacken sind die Versionen Illustrator 2021 25.4.6 und Illustrator 2022 26.3.1 unter macOS und Windows gerüstet.

external link https://www.heise.de/

Wie verteidigt man sich gegen Cybercrime-Gruppen mit Millionenbudget?

company cyber security


Die Frage aus der Überschrift stellt sich heute wohl jede IT. Es gibt einfache Antworten: „gar nicht“, „Entnetzung / Abhängigkeit von der IT reduzieren“ und „neue Tools kaufen“.

security insiderLeider gilt hier ähnliches, wie bei vielen anderen komplexen Themen: Eine schnelle einfache Lösung („silver bullet“) gibt es nicht. Aber dafür gibt es ein bewährtes, dreistufiges Vorgehen aus dem Krisenmanagement, das sich einfach übertragen lässt. Bevor man anfängt in technischen Lösungen zu denken, ist es wichtig die eigene Gefährdungslage zu kennen. Im Fall von Cybercrime muss man dazu die Täter und die aktuell benutzten Vorgehensweisen kennen. Begriffe wie „initial compromise“, „lateral movement“, „rights elevation“, “data exfiltration” sollten einer IT ebenso geläufig sein wie „Patient Zero“ oder „double extortion scheme”. 

external link https://www.security-insider.de/

PC-WELT spricht mit Enkeltrick-Opfer und erklärt, wie Sie Ihre Liebsten schützen

telefon scam


PC-Welt spricht mit einem Mann, der vor wenigen Tagen Opfer von Telefonbetrug wurde: Von einer roten Ampel, einem über zweistündigen Dauertelefonat mit einem angeblichen Polizisten, dem Abwiegen von Gold mit der Küchenwaage, der Wichtigkeit eines Römertopfes. 

pc weltUnd von einem „Polizei-Kurier“, der kaum Deutsch spricht. So schützen Sie Ihre Eltern und Großeltern vor solchem Telefonbetrug. Morgens um 11.49 Uhr klingelt das Telefon bei Erwin H. Der knapp über 80 Jahre alte Mann lebt allein in einer kleinen Stadt in Bayern. Er nimmt ab, obwohl das Display seines Telefons keine Telefonnummer anzeigt: Der Anruf ist also anonym. Der perfekt Deutsch sprechende Anrufer stellt sich als Polizeibeamter von der Polizeiinspektion einer rund 30 Auto-Minuten entfernten Großstadt vor. Er behauptet, dass die Enkelin des Angerufenen, die tatsächlich mit ihren Eltern in dieser Großstadt lebt, den Tod eines Menschen verursacht habe. 

external link https://www.pcwelt.de/