Cybersicherheit in vernetzten Fahrzeugen

Connected Car Vernetzte Fahrzeuge


Heutige Automobile erzeugen und übertragen enorme Datenmengen. Die Analyse und Nutzung dieser Fahrzeugdaten generiert viele neue Geschäftsmöglichkeiten, schafft jedoch auch eine Reihe neuer Herausforderungen– wie etwa Cybersicherheitsrisiken vernetzter Fahrzeuge.

Die Automobilindustrie muss dies zur Kenntnis nehmen und sich mit den versteckten Datenschutz- und Sicherheitsrisiken auseinandersetzen.

Wenn die Menge und der Wert der Daten steigen, werden leider mit Sicherheit immer ausgefeiltere Formen der Cyberkriminalität folgen. Der Markt für Cyberkriminelle bezüglich Daten über vernetzte Autos steckt heute noch in den Kinderschuhen.

Sobald den Cyberkriminellen klar wird, wieviel Geld sich mit solchen Cyberangriffen verdienen lässt, werden sie erfreut feststellen, dass es bereits mehrere technische Möglichkeiten gibt, auf die Daten zuzugreifen, die sie für ihre Attacken benötigen.

https://www.security-insider.de/cybersicherheitsrisiken-in-vernetzten-fahrzeugen-a-284580e572261f151210496a2109d2c3/

Firefox: Update schließt Sicherheitslücken

firefox browser


Die Mozilla-Entwickler haben zwei kritische Sicherheitslücken mit dem Update auf Firefox 124.0.1 und Firefox ESR 115.9.1 geschlossen.

Das Security-Advisory zu Firefox 124.0.1 listet zwei kritische Sicherheitslücken auf, die die neue Version abdichtet. Angreifer könnten außerhalb der vorgesehenen Speichergrenzen eines Javascript-Objekts lesen oder schreiben.

Das soll mit einer Täuschung eines sogenannten „Range-based bounds check elimination“-Mechanismus (CVE-2024-29943, kein CVSS, Risiko laut Mozilla „kritisch„) gelungen sein. Grundsätzlich verbirgt sich dahinter eine Prüfung, ob Speichergrenzen eingehalten werden.

Die zweite kritische Schwachstelle betrifft ebenfalls Javascript. Angreifer konnten einen Event Handler in ein privilegiertes Objekt einschleusen und so beliebigen Javascript-Code im Parent-Prozess mit hohen Rechten ausführen (CVE-2024-29944, kein CVSS, kritisch). Diese Lücke betrifft lediglich die Desktop-Versionen der Webbrowser, aber neben Firefox 124.0 und älteren Fassungen auch Firefox ESR 115.9 und ältere

https://www.heise.de/news/Firefox-Notfall-Update-schliesst-kritische-Sicherheitsluecken-9664148.html

Microsoft schließt Sicherheitslücke in Xbox-Gaming

XBOX Sicherheit


Microsoft hat eine Sicherheitslücke im Xbox Gaming Service bestätigt und eine Software-Aktualisierung veröffentlicht, die sie stopft. Dem gingen Diskussionen darüber voraus, ob es sich überhaupt um eine Sicherheitslücke handelt.

Die Schwachstelle hat Filip Dragović entdeckt und dazu einen Github-Eintrag mitsamt eines Proof-of-Concept-Exploits (PoC) veröffentlicht. Die Lücke betrifft den Dienst Xbox GamingService, der standardmäßig nicht aktiv ist, sondern in Windows etwa aus dem Microsoft Store nachinstalliert werden kann. 

 Wie Dragović ausführt, können Nutzerinnen und Nutzer mit niedrigen Rechten dadurch an SYSTEM-Rechte gelangen (CVE-2024-28916, CVSS 8.8, Risiko „hoch„). Von Microsoft bekam er als Reaktion auf die Schwachstellenmeldung als Antwort: Es scheint, dass hier keine Sicherheitsgrenze überschritten wurde („It appears, that no security boundary is being broken here“).

https://www.heise.de/news/Microsoft-schliesst-Sicherheitsluecke-in-Xbox-Gaming-Dienst-nach-Hickhack-9662746.html

Abwehrmaßnahmen gegen Cyberattacken in Europa

Sie wurden gehackt


Digitale Angriffe auf Krankenhäuser oder Flughäfen kommen immer öfter vor und sind eine Gefahr für die Demokratie und die Gesellschaft. Häufig geht es dabei um Gelderpressung oder Staatseinmischung. Nun will sich die EU besser schützen.

Cyberattacken stellen in der Gesellschaft eine Bedrohung für die Sicherheit dar. Schon Ende des letzten Jahres hatte die Nato sich während der Cyberkonferenz für einen Ausbau in digitaler Sicherheit mithilfe moderner Technologie ausgesprochen. Nun will auch die EU-Kommission sich besser ausrüsten und Europa in der digitalen Welt widerstandsfähiger machen.

Öffentliche Einrichtungen sind häufig Ziel solcher Angriffe. Hier nutzen Hacker Sicherheitslücken in der IT-Infrastruktur aus, um in die Systeme einzudringen. Wie leicht das Spiel für Cyberkriminelle eigentlich ist, zeigt sich schon im eigenen E-Mail-Postfach: Dabei werden Mails an Bürgerinnen und Bürger oder gar an Mitarbeiter öffentlicher Einrichtungen gesendet, die mit einem Link oder einem Anhang versehen sind und einen Virus enthalten.

Ist der Hacker erst im System, findet er auch Sicherheitslecks – dann noch einen Programmcode installieren, und schon kann über die Fernsteuerung auf fremde Systeme zugegriffen werden.

https://www.security-insider.de/mit-neuen-abwehrmassnahmen-gegen-cyberattacken-in-europa-a-8d5937adbc05207b289bd4c026d541c2/

Microsoft ändert Windows 10 und 11 grundlegend

Microsoft Windows

Bis spätesten Anfang April bekommen alle Nutzer von Windows 10 und Windows 11 eine neue Variante ihres Betriebssystems installiert. Mit gravierenden Änderungen beispielsweise beim Browser und bei der Suche.

Microsoft bringt für den EU-Raum neue Varianten von Windows 11 und Windows 10, wie das Unternehmen mitteilt. Damit reagiert die Redmonder Software-Schmiede auf den Digital Markets Act (DMA) der EU (mehr dazu lesen Sie in Endlich: Schlankes Windows 11 ohne nervige Microsoft-Tools).

Mit dem DMA will die EU marktbeherrschende Unternehmen, die als “Gatekeeper” bezeichnet werden, regulieren und deren Konkurrenten einen leichteren Zugang zum Markt ermöglichen. Als solche Gatekeeper (“Pförtner”) definiert die EU beispielsweise Alphabet (Google), Amazon, Apple, Meta und eben Microsoft.

Ransomware: Lösegeldzahlung lohnt sich nicht

Ransomware Lösegeld Cybercrime

Ransomware-Angriffe nehmen zu – auch bedingt durch den vermehrten Einsatz Künstlicher Intelligenz. Häufig bezahlen Unternehmen das Lösegeld in der Hoffnung, ihre Daten wiederzubekommen. Doch diese Hoffnung ist oft fatal.

63 Prozent der deutschen Unternehmen, die im Rahmen der jährlichen Ransomware-Studie von Cybereason befragt wurden, waren in den vergangenen 24 Monaten von mehr als einem Ransomware-Angriff betroffen.

Geschuldet ist das unter anderem so genannten Ransomware-as-a-Service-Angeboten, über die selbst Bedrohungsakteure ohne technisches Knowhow Angriffe durchführen können.

Erschreckend: Ein knappes Drittel (31 %) der angegriffenen Unternehmen hatte keine Sicherheitskopie der Daten. Deshalb zahlten sie das geforderte Lösegeld. Allerdings erhielten davon nur 32 Prozent ihre Daten unbeschädigt zurück.

https://www.security-insider.de/

Zwangsverkauf von TikTok könnte Hunderte Milliarden Dollar kosten

TikTok USA

In den USA gibt es laut Medienberichten Gespräche unter Unternehmern über einen Kauf von TikTok. Der könnte bald erzwungen werden.

Weil eine politische Entscheidung über die Zukunft von TikTok in den USA unmittelbar bevorsteht, überlegen einige Größen der Tech-Branche gemeinsam, wie ein möglicher Zwangsverkauf abgewickelt werden könnte. Dies berichtet das Wall Street Journal (WSJ) unter Berufung auf namentlich nicht genannte Quellen.

Am Mittwoch der kommenden Woche soll das Repräsentantenhaus über einen Gesetzesvorschlag abstimmen, der den chinesischen Konzern ByteDance dazu zwingen soll, TikTok innerhalb von sechs Monaten zu verkaufen. Erfolgt das nicht, soll die App aus den US-Stores von Apple und Google verschwinden.

Nachdem TikTok seine US-Nutzer sogar per Direktnachricht in der App zu politischer Einflussnahme auf die Abgeordneten aufgefordert hatte, sind die Politiker nun ziemlich erbost, berichtet das Journal. In Washington wird dem WSJ zufolge nach der Aktion von TikTok mit breiter Zustimmung im Repräsentantenhaus gerechnet. Danach muss das Gesetz noch durch den Senat.

https://www.heise.de/news/

Google Chrome: Update dichtet drei hochriskante Sicherheitslecks ab

Google Chrome Sicherheit

Google warnt vor drei Sicherheitslücken im Webbrowser Chrome. Die Entwickler schließen sie mit aktualisierter Software. Nutzerinnen und Nutzer sollten das Update zügig installieren, da sich die Schwachstellen mit dieser Risikoeinschätzung üblicherweise bereits durch Besuchen von sorgsam präparierten Webseiten zum Einschleusen von Schadcode missbrauchen lassen.

Tiefergehende Informationen nennt Google in der Versionsankündigung wie üblich nicht. Immerhin geben die Programmierer aber knappe Hinweise zu allen drei Lücken. Die gravierendste bringt dem Melder 12.000 US-Dollar Belohnung ein. Es handelt sich dabei um einen möglichen Zugriff außerhalb der vorgesehen Speichergrenzen in der Javascript-Engine V8 (CVE-2024-2173, kein CVSS-Wert, Google-Risiko-Einstufung „hoch„).

heise security logo

https://www.heise.de/news/

Top 25 der gefährlichsten Software-Schwachstellen 2022

cyber crime


Das CWE-Projekt hat eine Liste der 25 gefährlichsten Sicherheitslücken für das Jahr 2022 zusammengestellt. Sie soll helfen, Risiken zu minimieren.

heise security logoDas Common Weakness Enumeration-Projekt (CWE) hat die Liste für das Jahr 2022 der 25 gefährlichsten Softwareschwachstellen zusammengestellt. Die Liste soll die derzeit am meisten vorkommenden Lücken mit den gravierendsten Auswirkungen aufführen. Sie soll unter anderem Softwarearchitekten, Designern, Entwicklern, Testern, Nutzern, Projektmanagern, Sicherheitsforschern, Ausbildern und bei Standard-entwickelnden Organisationen Zuarbeitenden dabei helfen, Risiken einzudämmen. An der diesjährigen Spitzenposition findet sich ein alter Bekannter: die Fehlerkategorie Buffer Overlow.

external link https://www.heise.de/

Ukraine-Krieg: DDoS-Angriffe auf Litauen

Cyber Attacken


Wegen beschränkten Warenverkehrs von Russland nach Kaliningrad hat eine pro-russische Cybergang Überlastungsangriffe auf litauische Webseiten gestartet.

heise security logoDas litauische Verteidigungsministerium meldete in der Nacht auf Dienstag dieser Woche auf Twitter schwere Distributed-Denial-of-Service-Attacken gegen Webseiten staatlicher Einrichtungen und privatwirtschaftlicher Unternehmen. Die schlimmsten Angriffe seien inzwischen unter Kontrolle und die Dienste wiederhergestellt. Da Litauen Transitland für Warenlieferungen von Russland in die russische Exklave Kaliningrad ist und EU-Sanktionen diese einschränken, ist das Land ins Visier russischer Cybergangs geraten.

external link https://www.heise.de/