heise Security News

News und Hintergrund-Informationen zur IT-Sicherheit
2021-01-20T10:16:00+01:00
Aktualisiert: vor 1 Stunde 44 Minuten
Kasachstan: Browser-Hersteller blockieren unsicheres staatliches Zertifikat
Die Regierung will den HTTPS-Verkehr der Bürger per Root-Zertifikat mitlesen. Mozilla, Apple, Google und Microsoft unterbinden das in einer Gemeinschaftsaktion.
Cyberangriff auf USA: Trump spielt Gefahr herunter und nimmt Russen in Schutz
Angreifer haben die Systeme von US-Regierung und Firmen infiltriert. Präsident Trump widerspricht seinem Außenminister und sendet eine eigenwillige Botschaft.
US-Außenminister macht Russen für Hackerangriff auf US-Regierung verantwortlich
Laut Außenminister Pompeo ist "ziemlich klar", dass Russland hinter dem Hackerangriff auf US-Behörden steckt. Details nennt er nicht, sie sind ohnehin geheim.
Crypto Wars: Europol startet mit Entschlüsselungsplattform durch
Nach dreijähriger Aufbauzeit hat bei Europol offiziell eine Stelle zur Entschlüsselung ihre Arbeit aufgenommen. Die Kritik am EU-Krypto-Kurs wächst.
Sicherheitsmängel in Kartenterminals in Arztpraxen und Krankenkassen-Apps
Schutzvorkehrungen von Kartenterminals in Arztpraxen halten Angreifer nicht lange auf. c't fand zudem Mängel in knapp zwei Dutzend Krankenkassen-Apps.
IT-Sicherheit: gründlich geschult und trotzdem geklickt
Trotz Awareness-Schulung fiel einer von fünf Mitarbeitern bei einer großen Simulation auf Phishing-Mails herein.
Krypto-API Bouncy Castle: Angreifer könnten Passwort-Check stören
Es gibt ein wichtiges Sicherheitsupdate für Bouncy Castle.
Angreifer könnten Schadcode auf Millionen WordPress-Websites hochladen
Eine Schwachstelle im WordPress-Plug-in Contact Form 7 gefährdet Websites. Ein Sicherheitsupdate steht zum Download bereit.
US-Sicherheitsbehörde sieht Cyberangriff auf US-Regierung als "ernste Gefahr"
Die US-Sicherheitsbehörde CISA bescheinigt den Cyberangreifern auf US-Regierungseinrichtungen eine "komplexe Handwerkskunst". Deren Auswirkungen sind groß.
Root-Lücke in Trend Micro InterScan Web Security Virtual Appliance geschlossen
Ein Sicherheitsupdate schließt mehrere gefährliche Sicherheitslücken in einer Schutzsoftware von Trend Micro.
heise-Angebot: Online-Workshop: E-Mail mit DANE und DNSSEC absichern
Der eintägige Onlinekurs vermittelt Admins, wie man Mailserver mit DANE, TLS/SSL und DNSSEC absichert. Bei Buchung bis 8.1.2021 gibt es Frühbucherrabatt.
SolarWinds: FireEye, Microsoft & GoDaddy bauen "Killswitch" für Sunburst-Malware
Eine umfunktionierte Domain der SolarWinds-Orion-Angreifer kann bestehende Sunburst-Infektionen unter Umständen lahmlegen, die Gefahr aber nicht restlos bannen.
Webbrowser-Erweiterungen für Chrome und Edge schnorcheln Daten ab
Sicherheitsforscher sind auf gefährliche Add-ons für Chrome und Edge gestoßen. Davon sind potenziell 3 Millionen Nutzer gefährdet.
HPE Systems Insight Manager: Kritische Lücke ohne Patch gefährdet Server
Admins sollten ihre HPE Server mit einem Workaround gegen Schadcode-Attacken absichern.
Tails 4.14: Sicherheits-Fixes und Linux-Kernel-Update fürs anonymisierende OS
Die Entwickler des Debian-basierten Live-Systems raten angesichts überschaubarer, aber sicherheitsrelevanter Aktualisierungen zum Umstieg auf die neue Version.
Sicherheitsrisiko Homeoffice
Eine Studie zeigt, dass das Sicherheitsbewusstsein bei Heimarbeitern nur gering ausgeprägt ist.
Thunderbird, Firefox und Tor Browser in abgesicherten Versionen verfügbar
Firefox 84, Firefox ESR und Thunderbird 78.6 sowie der Tor Browser 10.0.7 wurden unter anderem gegen dieselbe kritische Sicherheitslücke abgesichert.
Bundesregierung: BSI soll mit IT-Sicherheitsgesetz 2.0 hacken dürfen
Das Bundeskabinett hat den Entwurf zur Reform des IT-Sicherheitsgesetzes befürwortet. Aus der Wirtschaft kommt massive Kritik.
Cyberangriffe via SolarWinds-Software – neue Entwicklungen im Überblick
FTP-Zugangsdaten für SolarWinds Update-Server standen wohl offen im Netz. Außerdem gibt es neue Informationen zu Angriffsweg und potenziell Betroffenen.
Pwnie Awards: Epische Jailbreaks und One-Click-Exploits
Sicherheitsforscher freuen sich über den Hacker-Oscar, Microsoft & Co. fürchten sich vor der negativen Variante der Auszeichnung.