Security Blog

  • Home   /  
  • Archive by category "Security Blog"
    • ( Page5 )

Wichtige Sicherheitsupdates für Android 10, 11 und 12 erschienen

Kommentare deaktiviert für Wichtige Sicherheitsupdates für Android 10, 11 und 12 erschienen
android updates


Google hat sein mobiles Betriebssystem gegen mehrere mögliche Attacken abgesichert. Außerdem können Lückenfinder in Android 13 Beta Millionäre werden.

heise security logoWer ein Android-Gerät besitzt, sollte in den Systemeinstellungen das installierte Patch-Level prüfen. Ist es auf dem Stand Mai 2022, ist die installierte Android-Version aktuell. Neben Google stellen auch etwa LG und Samsung für ausgewählte Geräte monatlich Sicherheitspatches zum Download bereit. Die Updates sind für Android 10, 11, 12 und 12L verfügbar. Einer Warnmeldung von Google zufolge betreffen die Lücken neben dem System auch das Framework und Kernel-, MediaTek- und Qualcomm-Komponenten. Die aktuellen Patch-Level lauten 2022-05-01 und 2022-05-05.

external link https://www.heise.de/

Windows-11-Update sorgt für Probleme

Kommentare deaktiviert für Windows-11-Update sorgt für Probleme
Microsoft Windows 11

Das Windows-11-Update KB5012643 kann von vielen Nutzern nicht installiert werden und sorgt für Probleme.

pc weltMicrosoft hat vor kurzem sein monatliches Windows-11 -Update für PCs mit dem Microsoft-Betriebssystem veröffentlicht. Das Update mit der Versionsnummer KB5012643 macht jedoch bei vielen Nutzern Probleme . Im offiziellen Microsoft-Forum häufen sich seit einigen Tagen Beschwerden rund um die Software-Aktualisierung. Viele Nutzer können das Update nicht installieren. Während bei einigen der Download stecken bleibt und sich nicht fortsetzen lässt, können andere die Installation nach dem Herunterladen nicht starten. 

external link https://www.pcwelt.de/

Wie Ransomware Produktions­umgebungen lahmlegen kann

Kommentare deaktiviert für Wie Ransomware Produktions­umgebungen lahmlegen kann
Ransomware


Haben Hacker gelernt, wie sie Verschlüsselungs-Trojaner auf Produktionsmaschinen schleusen können?

security insiderMüssen sie nicht, weil viele Anlagen ohne unterstützende Server binnen kürzester Zeit aktionsunfähig sind. Wie moderne IT-Schutzsysteme dagegen helfen können. Mitunter mutet es überraschend an, wie eine langjährige Diskussion selbst ausgefuchste Security-Spezialisten auf falsche Wege führen kann. Was die Sicherheit von Produktionsanlagen betrifft – meist unter Labeln wie ‚OT‘ für Operational Technology, ‚ICS‘ für Industrial-Control-Systems und ‚IIoT‘ für Industrial Internet of Things – warten viele Experten gebannt auf den Tag der Ankunft exotischer Malware und Angriffsszenarien in ihren Betrieben, die direkt in die Welt der Maschinensteuerungen und ihre besonderen Protokolle eingreifen (könnten). 

external link https://www.security-insider.de/

Videokonferenzen: Schwachstellen in Zoom

Kommentare deaktiviert für Videokonferenzen: Schwachstellen in Zoom
zoom video conferencing


Mehrere Schwachstellen in der Zoom-Software könnten Angreifern ermöglichen, ihre Rechte im System auszuweiten oder unbefugt Informationen abzugreifen.

heise security logoIn mehreren Softwarepaketen von Zoom hätten Angreifer Sicherheitslücken ausnutzen können, um etwa unbefugt Informationen zuzugreifen, ihre Rechte im System auszuweiten oder die installierte Software durch eine ältere Fassung mit mehr Sicherheitslücken zu ersetzen. Betroffen sind Zoom on-premise Meeting Services, Windows Zoom Clients und der Zoom Client for Meetings für MacOS. Zu den Sicherheitslücken veröffentlicht Zoom nur abstrakte Zusammenfassungen. So könnten passive Angreifer auf Client-Rechnern Fragmente des Prozess-Speichers beobachten und so unbefugt an Informationen gelangen. 

external link https://www.heise.de/

Die gefährlichen Maschen der Cyberbetrüger

Kommentare deaktiviert für Die gefährlichen Maschen der Cyberbetrüger
Cyber Attacken


Die Online-Betrugsversuche in Deutschland sind im vergangenen Jahr rapide angestiegen. Laut dem Branchenverband Bitkom wurden acht von zehn Personen Opfer von Cyberkriminalität; 15 Prozent der Befragten waren von Online-Banking-Betrug betroffen.

security insiderDabei entwickeln die Kriminellen ausgeklügelte Methoden, um ihren Opfern einen hohen finanziellen Schaden zuzufügen. Es gibt viele unterschiedliche Strategien von Cyberkriminellen. Oft beginnen die Attacken mit Social-Engineering und werden durch Phishing begleitet – als Einstiegsszenario für komplexe und mehrstufige Angriffe. Dabei wird der Faktor Mensch als „schwächstes Glied“ in der IT-Sicherheitskette ausgenutzt. Die Opfer erhalten von den Cyberkriminellen gefälschte E-Mails oder SMS („Smishing“) von vermeintlich vertrauenswürdigen Organisationen, Behörden oder Unternehmen, die automatisch einen Schadcode in das Gerät des Benutzers – Desktop oder Handy – einspeisen.

external link https://www.security-insider.de/

Netzwerkspeicher: Apple-Protokolle reißen Sicherheitslücken in Qnap-NAS

Kommentare deaktiviert für Netzwerkspeicher: Apple-Protokolle reißen Sicherheitslücken in Qnap-NAS
network router


Die Unterstützung von Apples Netzwerkprotokollen durch netatalk in Qnap-NAS-Systemen bringt teils kritische Sicherheitslücken mit. Erste Updates stehen bereit.

heise security logoDer Hersteller von Netzwerkspeichersystemen Qnap warnt vor Sicherheitslücken in mehreren Versionen der Betriebssysteme der NAS. Durch das mitgelieferte netatalk unterstützen die Geräte die Apple-Netzwerkprotokolle. Allerdings hat eine veraltete Version von netatalk teils kritische Sicherheitslücken, die damit auch die NAS betreffen. Die Fehlerliste umfasst mehrere Einträge, darunter auch kritische Lecks. Wegen mangelhafter Fehlerhandhabung beim Verarbeiten von AppleDouble-Einträgen könnten Angreifer Schadcode einschleusen, der mit root-Rechten läuft.

external linkhttps://www.heise.de/

Das menschliche Gehirn unhackbar machen

Kommentare deaktiviert für Das menschliche Gehirn unhackbar machen


Mit Brain-Computer-Interfaces können Forscher unter anderem körperliche Defizite ausgleichen. Cochlea-Implantate ermöglichen von Geburt an tauben Menschen beispielsweise das Hören.

security insiderJe weiter die Technologie fortschreitet, umso größer ist allerdings die Gefahr, das Hacker auch hier Daten abgreifen wollen. Deshalb hat die Cyberagentur ein Rahmenwerk für Cybersicherheit in Gehirn-Computer-Schnittstellenanwendungen beauftragt. Die Kombination von „Gehirn“ und „Hacken“ mag vielleicht im ersten Moment wie Science Fiction klingen, an Brain-Computer-Interfaces wird jedoch bereits seit Jahren geforscht. 

external link https://www.security-insider.de/

Vorsicht Windows-Nutzer: gefälschte Upgrade-Webseite installiert Malware

Kommentare deaktiviert für Vorsicht Windows-Nutzer: gefälschte Upgrade-Webseite installiert Malware
Microsoft Windows 11


Wer beim Windows-11-Upgrade nicht aufpasst, fängt sich Schad-Software über eine angebliche Upgrade-Seite von Microsoft ein.

pc weltSicherheitsforscher von CloudSEK informieren derzeit über eine gefälschte Windows-11-Upgrade-Seite, die statt der neuesten Windows-Version eine Malware, die die Forscher „Inno Stealer“ nennen, auf Ihrem PC installiert und dort sensible Daten stiehlt. Die Betrüger nutzen dabei täuschend echt aussehende vermeintliche Microsoft-Webseiten mit passenden Logos, Schriftarten und Grafiken. Nach der Installation lädt das Schadprogramm weitere gefährliche Software auf Ihren PC, die verschiedene Windows-Sicherheitsmaßnahmen deaktivieren, auch direkt in der Registry. Selbst Antiviren-Programme bestimmter Hersteller werden wohl gelöscht.

external link https://www.pcwelt.de/

Cybersicherheit lässt sich nicht vollständig automatisieren

Kommentare deaktiviert für Cybersicherheit lässt sich nicht vollständig automatisieren
cyber attacks


Cybersicherheit hat ihren Preis. Im Jahr 2021 war das durchschnittliche IT-Sicherheitsbudget für Großunternehmen ca. 10 Millionen Euro und für KMU ca. 236.000 Euro.

security insiderDass diese Budgets gerechtfertigt sind, zeigen die durchschnittlichen Kosten einer Datenschutzverletzung von ca. 820.000 Euro bei einem großem Unternehmen. Außerdem können durch einen Sicherheitsvorfall Kunden abwandern und die Reputation Schaden nehmen. Daraus ergibt sich ein Dilemma: Einerseits würden Unternehmen gerne eine Lösung finden, um ihr Budget für Cyberabwehr zu senken, andererseits sind die Kosten für einen Fehler bei der Einführung neuer und billigerer Tools in diesem Bereich viel zu hoch. Eine automatisierte Vorfalls-Prävention kann hierfür theoretisch eine gute Lösung sein, die Kosten senkt und menschliches Fehlverhalten hinsichtlich Cyberbedrohungen eliminieren kann. In der Praxis ist ein wirksamer Cyberschutz jedoch nur durch eine Kombination aus automatisierten Lösungen und menschlicher Expertise möglich.

external link https://www.security-insider.de/

Bug in Java macht digitale Signaturen wertlos

Kommentare deaktiviert für Bug in Java macht digitale Signaturen wertlos
cyber crime


Doctor-Who-Fans wollen es schon lange: „Psychic Paper“ präsentiert dem Opfer scheinbar echte Ausweise aller Art. Ein Fehler in Java macht das zum Kinderspiel.

heise security logoDurch einen dummen Fehler in der Umsetzung von digitalen Signaturen akzeptieren viele Java-Umgebungen gefälschte digitale Unterschriften. Der Entdecker des Problems vergleicht es mit dem legendären Psychic Paper, das dem Gegenüber der britischen Serienheldin aus Doctor Who ein beliebiges Dokument präsentiert – also etwa den Ausweis eines Gerichtsvollziehers. Der Fehler betrifft digitale Signaturen auf Basis des weit verbreiteten Elliptic Curve Digital Signature Algorithms (EDSA). Etwas vereinfacht besteht eine digitale Unterschrift aus zwei ganzen Zahlen r und s, die gemeinsam mit dem involvierten Schlüssel einer Gleichung genügen müssen, damit die Unterschrift gültig ist.

external link https://www.heise.de/