Entwickler schließen 37 Sicherheitslücken in Chrome 97

chromium


Die Vorgängerversion von Chrome 97 enthielt mindestens eine kritische Sicherheitslücke. Angreifer hätten vermutlich eingeschleusten Code ausführen können.

heise security logoVon 37 Sicherheitslücken, die im Webbrowser Chrome in Version 97.0.4692.71 abgedichtet wurden, stuft Google wenigstens eine als kritisch ein. Mindestens zehn weitere Lücken erachtet das Unternehmen als hohes, weitere zehn als mittleres und drei als niedriges Risiko. In der Release-Meldung listet Google explizit 24 von externen Sicherheitsforschern gemeldete Schwachstellen mit ihrem Schweregrad auf. Zu den weiteren 13 Sicherheitslecks hält sich Google noch mehr bedeckt.

external link https://www.heise.de/

Gefälschte Sprachdateien erkennen

Soundwave


Maschinen können mithilfe von Künstlichen-Intelligenz-Algorithmen Fotos oder Sprachdateien erzeugen, die wie aus dem wahren Leben aussehen oder klingen.

security insiderWie man solche als Deepfakes bezeichneten künstlich erzeugten Daten von echten unterscheiden kann, interessiert Forschende am Horst-Görtz-Institut für IT-Sicherheit der Ruhr-Universität Bochum. Joel Frank vom Lehrstuhl für Systemsicherheit und Lea Schönherr aus der Arbeitsgruppe Kognitive Signalverarbeitung am Horst-Görtz-Institut für IT-Sicherheit der Ruhr-Universität Bochum stellten fest, dass sich echte und gefälschte Sprachdateien im Bereich der hohen Frequenzen unterscheiden. Zuvor waren Deepfakes hauptsächlich bei Bildern untersucht worden. Die neuen Erkenntnisse sollen künftig helfen, auch gefälschte Sprache erkennen zu können.

external link https://www.security-insider.de/

Sicherheitslücke Log4Shell: Internet in Flammen

online security


Die Zero-Day-Sicherheitslücke Log4Shell war zu leicht auszunutzen. Das Ausmaß lässt sich noch immer nicht abschätzen.

heise security logoDie Brisanz lässt sich nicht überschätzen, Vergleiche mit Hafnium, Heartbleed und ShellShock sind durchaus angebracht: Die am 10. Dezember bekannt gewordene Sicherheitslücke Log4Shell zählt zu den schwersten und weitreichendsten der letzten zehn Jahre, deren konkrete Tragweite sich auch Tage und Wochen später noch nicht abschätzen lässt. Die Schwachstelle gibt es seit September 2013 und sie schlummert in unzähligen Java-Apps auf Servern in aller Welt. 

external link https://www.heise.de/

Microsoft liefert weiteren Fix für Exchange-Y2K22-Bug

Microsoft


Ein Überlauf im Malware-Scanning lässt Exchange-Server beim Ausliefern von Mails stocken. Jetzt hat Microsoft einen ersten Fix fertig.

heise security logoPünktlich zum Jahresanfang streikten weltweit Exchange-Server beim Ausliefern von E-Mail-Nachrichten. Betroffen waren dem verbreiteten Eindruck nach solche Server, welche die produkteigene Funktion zum Scannen nach Malware verwendeten. In den Ereignisprotokollen tauchte dann der Hinweis „The FIP-FS Microsoft Scan Engine failed to load.“ auf. Die erste Empfehlung Microsofts lautete: Schalten Sie den Dienst ab. Der Konzern lieferte ein PowerShell-Skript, das das erledigte. Admins berichteten, dass es notwendig sei, den Transport-Dienst oder sogar den ganzen Server neu zu starten.

external link https://www.heise.de/