heise Security News
Kriminelle wollten Leistungen der Bundesagentur ergaunern
Kunden der Bundesagentur für Arbeit wurden Ziel von Kriminellen. Mit geänderten Kontonummern wurde offenbar versucht, Leistungen der Agentur abzuzweigen.
Microsoft überarbeitet Log-ins und Anmeldungen
Log-ins und Anmeldungen zu Diensten von Microsoft sollen einfacher werden. Zudem peilt das Unternehmen vereinheitlichte Log-ins an.
Sicherheitslücken Gitlab: Heruntergestufte Admins behalten weitreichende Rechte
Mehrere Schwachstellen bedrohen die Softwareentwicklungsplattform Gitlab. Gegen mögliche Attacken gerüstete Versionen stehen zum Download.
Storage-Appliances: Dell schließt unzählige Sicherheitslücken in Unity-Serien
Die Dell-Entwickler haben unter anderem eine 19 Jahre alte Schwachstelle in diversen Unity-Modellen geschlossen.
Firefox: Mozilla schließt kritische Sandbox-Lücke in Windows-Version
Updates für Firefox schließen eine Sandbox-Lücke unter Windows. Sie ähnelt derjenigen, die in Google Chrome angegriffen wird.
Neue Sicherheitslücken in Photovoltaik-Systemen aufgespürt
IT-Sicherheitsforscher haben sich PV-Systeme angesehen und dabei 46 Schwachstellen aufgedeckt. Sie können Stromnetze gefährden.
Cybercrime-Tool Atlantis AIO soll automatisierte Passwort-Attacken ermöglichen
Leider schläft die organisierte Onlinekriminalität nicht: Sicherheitsforscher sind mit Atlantis AIO auf ein mächtiges Werkzeug zum Kapern von Accounts gestoßen.
Splunk: Teils hochriskante Sicherheitslecks in mehreren Produkten
In der Sicherheits- und Monitoring-Software von Splunk klaffen teils hochriskante Sicherheitslücken. Updates schließen sie.
Admin-Sicherheitslücke gefährdet Backuplösung SnapCenter
Die Entwickler haben eine kritische Schwachstelle in SnapCenter geschlossen. Bislang gibt es keine Berichte zu Attacken.
Datentransfer-Software CrushFTP ermöglicht unbefugten Zugriff
In der Datentransfer-Software CrushFTP klafft eine Sicherheitslücke, die Angreifern aus dem Netz unbefugten Zugriff verschafft.
Sicherheitsupdate: Ghostscript über mehrere Sicherheitslücken attackierbar
Der PostScript- und PDF-Interpreter Ghostscript ist verwundbar. Nutzer sollten die aktuelle Ausgabe installieren.
NGINX Controller for Kubernetes: Kubernetes-Cluster kompromittierbar
Angreifer können an mehreren Sicherheitslücken in NGINX Controller for Kubernetes ansetzen und Schadcode ausführen. Updates sind verfügbar.
Have I Been Pwned: Projektbetreiber Troy Hunt gepwned
Der Betreiber von Have I Been Pwned wurde selbst Opfer eines Phishing-Angriffs. Die E-Mails der Newsletter-Mailingliste wurden gestohlen.
"Passwort" Folge 28: Smartphonedurchsuchung wider Willen
Es geht wieder um die Durchsuchung von Smartphones durch staatliche Stellen, diesmal mit Spezialhardware und mit einem Gast von Reporter ohne Grenzen.
VMware Tools ermöglichen Rechteausweitung in VMs
Aufgrund einer Schwachstelle in den VMware Tools können Angreifer ihre Rechte in einer VM erhöhen. Ein Update korrigiert das.
Jetzt updaten! Zero-Day-Sicherheitslücke in Chrome wird angegriffen
Google hat dem Webbrowser Chrome ein Update spendiert. Es schließt eine Zero-Day-Lücke, die bereits angegriffen wird.
Chinesischer Mini-Satellit sendet Quantenschlüssel über 12.000 km
Ein chinesischer Mikrosatellit hat abhörsichere Quantenschlüssel über eine Entfernung von 12.000 Kilometern zu einer mobilen Bodenstation übertragen.
US-Behörde stoppt Gelder für Let's Encrypt und Tor ‒ Open Tech Fund wehrt sich
Nach einem Dekret von US-Präsident Trump erhält der Open Technology Fund keine Fördermittel mehr. Deswegen zieht die Organisation jetzt vor Gericht.
Cloudflare erlaubt nur noch verschlüsselte Verbindungen mit HTTPS
Klartextkommunikation erlaubt auch Unbefugten Einsicht in Daten. Cloudflare unterstützt daher auch für API-Aufrufe kein HTTP mehr.
Oracle angeblich gehackt: Nutzerdaten im Darknet zum Verkauf
Hat es einen IT-Sicherheitsvorfall bei Oracle gegeben? Sicherheitsforscher sagen ja, Medienberichten zufolge dementiert Oracle eine Attacke.