heise Security News
Apache HTTP Server: Hochriskante Lücken ermöglichen Einschleusen von Schadcode
Im Apache HTTP Server 2.4.67 stopfen die Entwickler mehrere Sicherheitslücken, die teils das Einschleusen von Schadcode ermöglichen.
Microsoft 365 soll Vertraulichkeit-Labels besser beachten
In Microsoft-365-Dokumenten lassen sich Vertraulichkeit-Labels vergeben. Künftig sollen die stärker berücksichtigt werden.
Jetzt patchen! Attacken auf WordPress-Plug-in Breeze Cache beobachtet
Derzeit haben Angreifer WordPress-Websites mit dem Plug-in Breeze Cache im Visier und platzieren Hintertüren auf Servern.
IPFire: Neue DNS Firewall soll URL-Filter und Pi-hole ablösen
Die Firewall-Distribution IPFire bringt mit Core Update 201 eine DNS Firewall mit, die unerwünschte Domains schon bei der Namensauflösung blockiert.
Google Chrome für Android: Ungefähren Standort teilen statt präziser Daten
Google verpasst Chrome für Android eine neue Funktion, mit der Nutzer Webseiten auf Wunsch nur noch ihren ungefähren Standort mitteilen können.
FSFE warnt: NHS sollte quelloffenen Code nicht depublizieren
Die Free Software Foundation Europe warnt vor dem Umstellen der NHS-Code-Repositories auf Privat aus Angst vor KI-Schwachstellensuche.
„Pressure Cooker“: Europols geheime Datenverarbeitung ohne Aufsicht
Interne, per Infofreiheit erlangte Warnungen belegen, dass das EU-Polizeiamt lange operative Netzwerke ohne IT-Kontrolle und richtige Protokollierung betrieb.
„Passwort“ Bonusfolge 56a: Hilfreiche ISPs und wenig hilfreiche Response-Center
Der Podcast schiebt eine Bonusfolge ein, um von einer interessanten Android-Malware und von wortwörtlich dramatischen Windows-Exploits zu erzählen.
PAN-OS-Lücke wird angegriffen, Updates erst in Wochen geplant
Palo Alto Networks warnt vor einer bereits angegriffenen kritischen Sicherheitslücke in PAN-OS. Updates kommen frühestens Mitte Mai.
Student konnte nach Einbruch in Funksystem taiwanische Schnellzüge stoppen
Ein 23-jähriger Student nutzte „Software Defined Radio“ und Handfunkgeräte, um vier Schnellzüge per Alarmsignal anzuhalten. Ihm droht nun eine lange Haftstrafe.
DNS-Probleme: .de-Domains nicht erreichbar
Ein Problem im Domain Name System verhindert, dass .de-Domains aufgelöst werden – unabhängig von Providern und DNS-Anbietern.
Behörde für abgesicherte Ausweise geknackt: 15-Jähriger verhaftet
Millionen Datensätze aus französischen „abgesicherten Ausweisen” gerieten in falsche Hände. Kein fremder Geheimdienst, sondern ein Bursche ist verdächtig.
Darknet Diaries Deutsch: Eine Frau, das Netz und der Terror (Teil 1)
Shannen Rossmiller ist Richterin und Mutter aus Montana. Sie begibt sich nach den Anschlägen vom 11. September nebenbei online auf die Suche nach Terroristen.
Daemon Tools Lite: Infizierte Installer durch Supply-Chain-Attacke
Offiziell signierte Daemon-Tools-Installer von der Herstellerseite bringen Malware mit. Offenbar durch einen Lieferkettenangriff.
Patchday: Kritische Schadcode-Lücke bedroht Android 14, 15 und 16
Schadcode kann durch ein fehlerhaftes Debugging-Modul auf Androidgeräte schlüpfen. Nun hat Google die kritische Schwachstelle geschlossen.
Datenschutzvorfall bei Verlag Delius Klasing
Der Verlag Delius Klasing räumt in einer E-Mail an Kunden einen IT-Vorfall ein. Personenbezogene Kundendaten wurden offengelegt.
Sicherheitspatch: Angreifer können auf MOVEit Automation zugreifen
Unter anderem eine kritische Schwachstelle gefährdet die Dateiübertragungssoftware MOVEit Automation.
Microsoft Edge: Passwörter landen als Klartext im Speicher
Der Edge-Passwort-Manager wirkt sicher: Verschlüsselte Speicherung, von Windows Hello gesichert. Im Speicher liegt aber Klartext.
Vimeo-Datenleck: 119.000 E-Mail-Adressen betroffen
Die Cybergang ShinyHunters hat Daten von Vimeo bei Anodot gestohlen und ins Darknet gestellt. Nun hat Have-I-Been-Pwned sie aufgenommen.
Bösartige npm-Pakete: SAP-Software kompromittiert
Mehrere npm-Pakete von SAP waren einer Supply‑Chain‑Attacke ausgesetzt. Dahinter steckt die Hackergruppe TeamPCP, sagen Sicherheitsforscher.