Adobe schließt jede Menge PDF-Lücken in Acrobat und Reader

Adobe reader


Der Softwarehersteller Adobe hat mehrere Sicherheitsupdates für Acrobat und Reader, After Effects, Commerce und Photoshop veröffentlicht.

heise security logoAngreifer könnten Computer mit Anwendungen von Adobe attackieren und unter Umständen eigenen Code auf Systemen ausführen. So etwas führt in der Regel zur vollständigen Kompromittierung von Computern. Dagegen abgesicherte Versionen stehen zum Download bereit. Wie man einer Warnmeldung entnehmen kann, betreffen die meisten Sicherheitslücken Acrobat und Reader. Der Großteil ist mit dem Bedrohungsgrad “hoch” eingestuft. In den meisten Fällen könnten Angreifer Speicherfehler provozieren und darüber Schadcode ausführen. Wie so ein Angriff aussehen könnte, führt Adobe derzeit nicht aus.

external link https://www.heise.de/

HTML Smuggling greift Netzwerke von innen an

Microsoft


Das Microsoft 365 Defender Threat Intelligence Team bemerkt immer mehr HTML Smuggling-Angriffe. Dabei umgehen Angreifer Sicherheitsfunktionen im Netzwerk, in dem der schädliche Code erst auf den Endpunkten erstellt wird.

security insiderHTML Smuggling, auf Deutsch mit “HTML-Schmuggel” übersetzt, stellt eine immer größere Gefahr für Unternehmen dar, auch wenn Microsoft 365 zum Einsatz kommt. HTML-Schmuggel umgeht Sicherheitslösungen im Netzwerk. Dazu wird schädlicher HTML-Code hinter der Firewall und im Browser von Anwendern generiert. Die Angreifer nutzen dazu HTML5 und Javascript, um auf dem Browser Code zu erstellen, der nicht mehr von Firewalls und anderen Systemen erkannt wird. Zur Erstellung kommt entweder eine URL mit Daten zum Einsatz, oder die Erstellung eines Javascript-Blob mit dem entsprechenden MIME-Typ. Auch das löst einen Download auf dem Client-Gerät aus.

external link https://www.security-insider.de/

Google Chrome: Elf Sicherheitslücken gestopft

chrome browser


Der Webbrowser Chrome schließt in aktueller Version für Linux, Mac und Windows elf Sicherheitslücken. Durch einige könnten Angreifer vermutlich Code ausführen.

heise security logoGoogle hat Version 100.0.4896.88 des Webbrowsers Chrome für Linux, Mac und Windows veröffentlicht und schließt darin elf Sicherheitslücken. Vermutlich könnten Angreifer etwa beim Besuch manipulierter Webseiten durch die Schwachstellen Schadcode einschleusen und ausführen. Wie üblich veröffentlicht Google noch keine näheren Informationen zu den Schwachstellen, um Administratoren und Nutzern Zeit für die Aktualisierung zu verschaffen. Mit solchen Informationen könnten Angreifer sonst schneller Exploits entwickeln, die die Sicherheitslücke ausnutzen.

external link https://www.heise.de/

Mit Windows 11 auf Nummer sicher gehen?


Wenn es nach Microsoft geht, wäre „der PC von gestern“ Geschichte. Mit Windows 11 will der Anbieter eine neue Ära der Cybersicherheit einläuten. Es war mal an der Zeit, einen Gang höher zu schalten. Es könnte jetzt sogar geklappt haben.

security insiderTeure Raubüberfälle, heimtückische Trojaner, vernichtende Viren, hinterhältige Supply-Chain-Machenschaften, Botnet-Hijacking für DDoS-Attacken… Ist das mit Windows 11 jetzt alles wirklich Schnee von gestern? Microsoft hat mit den Chip-Herstellern Intel, AMD und Qualcomm fieberhaft dahingehend zusammengearbeitet. Sicherheitsvorkehrungen in Windows 11 bilden erstmals ein ganzheitliches, systemumfassendes Sicherheitskonzept. Kompatible Komponenten verlassen die Fertigungslinien bereits mit aktivierten Schutzmechanismen und der Benutzer kann sie nicht mehr selbst deaktivieren.

external link https://www.security-insider.de/

Schluss mit Passwortwirtschaft und Login-Chaos

cyber security malware


Bei der Menge an sensiblen Daten, die man Onlinediensten anvertraut, braucht es eine wasserdichte Login-Strategie. c’t gibt Ihnen das Rüstzeug an die Hand, um Ihre Accounts mit sicheren Passwörtern und Zwei-Faktor-Authentifizierung abzusichern. Das ist einfacher als Sie vielleicht vermuten – und Sie können ohne Sorge um Ihre Online-Accounts entspannter surfen.

heise online logoHand aufs Herz: Ist jedes Ihrer Passwörter ausreichend lang? Benutzen Sie ein Passwort für mehrere Logins? Klebt ab und zu ein Post-it mit Zugangsdaten am Monitor? Speichern Sie manchmal Login-Informationen in einer Textdatei? Bereits vor einigen Jahren hatte der durchschnittliche Internetnutzer schätzungsweise etwa 70 Accounts bei Onlinediensten, deren Zugänge alle verwaltet werden wollen. Inzwischen dürften es noch mehr geworden sein – und damit wächst auch das Unbehagen, denn laut einer im Februar durchgeführten Umfrage im Auftrag des E-Mail-Providers Web.de fürchtet sich über die Hälfte der Befragten vor Identitätsdiebstahl im Internet. Nutzer vertrauen Webdiensten sensible Daten an und viele von ihnen sind zum Bestreiten des Alltags unerlässlich geworden. Ein Angreifer, der sich Zugang verschafft, hat die Möglichkeit enormen finanziellen oder sozialen Schaden anrichten.

external link https://www.heise.de/

Wie Cybersecurity richtig funktioniert!

ddos attacke


Viele Unternehmen denken heutzutage leider noch immer, sie werden niemals Opfer einer Cyberattacke. Aber es geht nicht mehr um die Frage „ob“, sondern „wann“ es passieren wird.

security insiderDie Anzahl der Cyberangriffe wächst, die Cyberkriminellen werden immer professioneller. Laut einer Bitkom-Studie lag der Schaden durch Cyberkriminalität auf deutsche Unternehmen bei über 220 Milliarden Euro, eine Verdoppelung zum Vorjahr. Ein erschreckendes Ergebnis, welches Unternehmerinnen und Unternehmern eigentlich signalisieren sollte, jetzt zu handeln und nicht dann, wenn es bereits zu spät ist. Sehen sie IT-Security nicht als eine Kostensäule, sondern als eine Investition in die Zukunft Ihres Unternehmens.

external link https://www.security-insider.de/

Google schließt 44 Sicherheitslücken in Android

android updates


Zum Android-Patchday im April behebt Google zahlreiche sicherheitsrelevante Fehler. Die meisten betreffen Qualcomm-SoCs.

heise security logoAuf insgesamt 44 Sicherheitspatches kommt Google beim April-Patchday dieses Jahr. Zahlreiche der gestopften Sicherheitslecks erlauben Angreifern, ihre Rechte im System auszuweiten, ohne dass es dabei zu Anfragen beim Benutzer käme oder eine Interaktion nötig sei. Wie üblich unterteilt Google die Updates in zwei Teile: Die Updates des Standes 2022-04-01 betreffen das Android-System selbst. Der Patchlevel 2022-04-05 ergänzt dazu Fehlerbehebungen für den Unterbau – unter anderem Hersteller-spezifische Sicherheitsupdates, die etwa das verwendete System-on-a-Chip (SoC) sowie Kernel-Treiber betreffen.

external link https://www.heise.de/

Risiken für die Cybersicherheit

cyber attacks


Bitkom beziffert im Lagebericht der IT-Sicherheit für 2021, dass jedes zehnte Unternehmen in Deutschland seine Existenz durch Cyber-Angriffe als gefährdet betrachtet. Diese Entwicklung wird sich fortsetzen.

security insiderWelche Angriffstaktiken von Cyber-Kriminellen auf die Wirtschaft zu erwarten sind und wie diese weiter optimiert werden, verraten die Prognosen zur Cybersicherheit von VMware. Kreativität ist nicht nur in der Kunst und Musik gefragt, auch bei der Cybersicherheit spielt sie eine wichtige Rolle. Zum einen suchen Angreifer immer neue Wege und Mittel, um sich unerlaubt Zugriff auf vertrauliche Informationen und Systeme zu verschaffen. Zum anderen werden Unternehmen und IT-Entscheider regelmäßig auf die Probe gestellt, wenn es darum geht, auf neuartige Angriffstaktiken zu reagieren. Denn die Konsequenzen eines erfolgreichen Angriffs können schwerwiegend ausfallen. 

external link https://www.security-insider.de/