heise Security News
News und Hintergrund-Informationen zur IT-Sicherheit
2024-05-07T17:16:00+02:00
Aktualisiert: vor 2 Stunden 6 Minuten
"Kryptokalypse": BSI und EU-Partner mahnen quantensichere Verschlüsselung an
Verfahren für den Quantenschlüsselaustausch seien bislang nicht ausgereift, meinen vier Cybersicherheitsbehörden. Post-Quanten-Kryptografie sei der bessere Weg.
Südwestfalen-IT: Angreifer errieten Passwort und kamen über bekannte Cisco-Lücke
Ein nun vorliegender forensischer Bericht stellt dem kommunalen IT-Verbund ein mittelprächtiges Zeugnis aus. Die Krisenbewältigung läuft weiter.
Fehlende MFA, Standardpasswort: So lief der Angriff auf die MS-Securityabteilung
Securityempfehlungen von Microsoft gibt es einige – die müsste der Konzern aber auch selbst umsetzen, wie die Analyse des Midnight-Blizzard-Angriffs zeigt.
Verwirrend: Internet-Domain fritz.box zeigt NFT-Galerie statt Router-Verwaltung
Bereits vor einer Woche haben Unbekannte die Domain "fritz.box" für sich registriert. Ihr Vorhaben ist unklar, Fritz-Besitzer sollten sich vorsehen.
Paketmanager npm: Zur Abwechslung kein Schadcode, sondern Videos eingeschleust
Warum zahlreiche Packages in dem JavaScript Paketmanager kurze Clips aus Filmen enthielten, ist unklar. Legal dürfte es nicht sein.
Schadcode-Attacken auf Onlineshops auf Gambio-Basis möglich
Admins von Onlineshops sollten die Gambio-Software aus Sicherheitsgründen auf den aktuellen Stand bringen.
iOS: Tiktok, X und Meta senden Analytics-Daten mit diesem Benachrichtigungstrick
Bekannte Apps missbrauchen Push-Notifications unter iOS, um Daten an die eigenen Server zu schicken. Dies konnte ein Sicherheitsforscher nachweisen.
Diesmal bitte patchen: Security-Update behebt kritische Schwachstelle in GitLab
GitLab 16.x enthält fünf Schwachstellen, von denen eine als kritisch eingestuft ist. Patchen ist nicht selbstverständlich, wie jüngst eine Untersuchung zeigte.
Hacking-Wettbewerb Pwn2Own: Teilnehmer kombinieren drei Lücken und knacken Tesla
Beim Pwn2Own Automotive geht es um die Sicherheit von E-Autos, Infotainmentsystemen und Ladesäulen. Ein Team kassiert fast eine halbe Million US-Dollar.
Microsoft Edge 121 unterstützt moderne Codecs und stopft Sicherheitslecks
Microsoft hat den Webbrowser Edge in Version 121 herausgegeben. Sie stopft eine kritische Sicherheitslücke und liefert Support für AV1-Videos.
Angreifer können eigene Befehle auf Juniper-Firewalls und Switches ausführen
Entwickler von Juniper haben in Junos OS mehrere Sicherheitslücken geschlossen. Noch sind aber nicht alle Updates verfügbar.
Bluetooth zu unsicher: US Navy sucht Alternative
Weil Bluetooth Sicherheitsprobleme hat, sucht die US-Kriegsmarine nach einem neuen drahtlosen Übertragungsverfahren. Verschlüsselt und energiesparsam, bitte.
Automatisierungstool Jenkins: Codeschmuggel durch Sicherheitslücke möglich
Sicherheitslücken in der Open-Source-Automatisierungssoftware Jenkins erlauben Angreifern, Schadcode einzuschmuggeln. Updates helfen dem ab.
heise-Angebot: secIT 2024: Cyberattacken zügig aufarbeiten und wieder geschäftsfähig werden
Machen sich Angreifer im Firmennetzwerk breit, müssen CISOs flott handeln, um den Schaden einzugrenzen. Dabei hilft das Fachwissen der secIT-Referenten.
Cisco: Lücke erlauben komplette Übernahme von Unified Communication-Produkten
Cisco warnt vor einer kritischen Lücke in Unified Communication-Produkten, durch die Angreifer die Kontrolle übernehmen können.
Cybercrime: Hewlett Packard Enterprise legt Attacke auf E-Mail-System offen
Kriminelle hatten monatelang Zugriff auf interne Daten von Hewlett Packard Enterprise.
Gitlab-Kontoklau-Lücke: Tausende verwundbare Server im Netz
IT-Forscher haben das Netz durchforstet und dabei mehr als 5000 verwundbare Gitlab-Server gefunden. Angreifer können dort einfach Konten übernehmen.
heise-Angebot: iX-Workshop: Microsofts Entra ID (AAD) erfolgreich gegen Angriffe absichern
Lernen Sie, wie Sie Entra ID (Azure Active Directory) einschließlich Azure-Diensten härten und effektiv gegen Angriffe schützen. (10% Rabatt bis 11.02.)
Trend Micro Apex Central: Update schließt im zweiten Anlauf Sicherheitslücken
Mehrere Sicherheitslücken in Trend Micros Apex Central ermöglichen Angreifern etwa, Schadcode einzuschleusen. Ein erstes Update machte Probleme.
Codeschmuggel-Lücke in HPE Oneview
Mehrere Sicherheitslücken in der IT-Infrastrukturverwaltung HPE Oneview ermöglichen Angreifern, etwa Schadcode einzuschleusen. Updates stehen bereit.