Heise security
News und Hintergrund-Informationen zur IT-Sicherheit
2020-08-03T16:02:00+02:00
Aktualisiert: vor 1 Stunde 50 Minuten
Payback: Nutzer klagen zunehmend über Punkte-Diebstahl
Kriminelle greifen offenbar immer häufiger Punkte fremder Payback-Konten ab und kaufen damit ein. Payback sieht bei sich kein Sicherheitsleck, aber beim Nutzer.
TCC-Absicherung in macOS "komplett geknackt"
Einem Sicherheitsexperten ist es gelungen, Apples eigentlich drakonische "Entitlement Checks" zu umgehen. Das Problem wurde gepatcht.
Linux-Desktop KDE: Sicherheitslücke in Ark erlaubte Angriffe aus der Ferne
Ein Ark-Update auf Version 20.08.0 beseitigt Angriffsmöglichkeiten mittels präparierter Archive.
RHEL, CentOS und weitere Linux-Distributionen: "BootHole"-Fixes blockieren Grub2
Besser nicht einspielen: Updates gegen die BootHole-Sicherheitslücken für RHEL, CentOS, Debian und Ubuntu verursachen auf einigen Systemen schwere Probleme.
Emotet: Trickbot nimmt Linux-Systeme ins Visier
Schlechte Nachrichten: Forscher entdecken Linux-Versionen einer Schadsoftware der Trickbot-Gang.
Zoom-Meeting-Passwörter geknackt
Zoom vergab standardmäßig Passwörter aus 6 Ziffern; und die ließen sich einfach durchprobieren.
Update für KeePass-Plugin KeepassRPC beseitigt kritische Sicherheitslücke
Über Sicherheitslücken in KeePassRPC könnten Angreifer über eine manipulierte Website sämtliche Passwörter aus allen offenen Datenbanken auslesen.
IT-Sicherheitskonferenz Black Hat USA 2020 startet am Samstag
Für die vom 1. bis 6. August online stattfindende Black Hat-Konferenz sind noch Tickets verfügbar. Ab dem 7.8. folgt die virtuelle, diesmal kostenlose Def Con.
EU sanktioniert erstmals russische und chinesische Cyberkriminelle
Der europäische Rat verhängt Sanktionsmaßnahmen gegen Organisationen und Personen, die an Cyberangriffen beteiligt waren - etwa an WannaCry und NotPetya.
Kritische Sicherheitslücken in Drupal-Modulen
Schwachstellen in den Modulen Group und Hostmaster (Aegir) machen das Content Management Systems Drupal angreifbar.
Bitcoin-Betrugswelle: Twitter-Mitarbeiter per Spear-Phishing angegriffen
Twitter hat neue Details zu dem Angriff veröffentlicht, bei dem Hacker Promi-Accounts kapern konnten. Demnach gelangten die per Phishing an interne Tools.
Entwicklungsplattform GitHub sagt zum Passwort leise Servus
Für die REST API der Plattform ist die Token-basierte Authentifizierung ab November Pflicht und bei anderen Git-Operationen für Mitte 2021 vorgesehen.
heise-Angebot: Online-Workshop: OWASP Top 10 – Sicherheitsrisiken für Webanwendungen vermeiden
In einem interaktiven Online-Workshop zeigt der zertifizierte Pentester Tobias Glemser, welchen Sicherheitsrisiken Webanwendungen am häufigsten ausgesetzt sind.
BootHole: Bugs im Bootloader Grub gefährden Linux und Windows
Angreifer könnten sich in den Boot-Prozess einklinken und quasi unsichtbare Schadsoftware einschleusen – trotz Secure Boot.
Hacker verteilt Millionen von Nutzerdaten aus 18 Leaks als kostenlosen Download
Achtung: Sensible Nutzerdaten aus – in einigen Fällen zuvor unbekannten – Leaks der letzten Monate stehen zum Gratis-Download in einem Untergrundforum.
SIEM: Integrierte Sicherheitsplattform LogRythm bindet Cloud-Services ein
Die neue Version der integrierten Sicherheitsplattform von LogRythm vereinfacht das Einbinden von Cloud-Datenquellen und bietet neue Visualisierungsfunktionen.
Jetzt patchen: Gefährliche Lücken in Magento erlauben unbefugte Zugriffe
Adobe hat vier Sicherheitslücken in Magento Commerce 2 und Open Source 2 geschlosssen, von denen zwei als kritisch gelten.
Sicherheitsupdates: Gefährliche Lücken in Cisco SD-WAN und Data Center
Angreifer könnten durch Schwachstellen in Cisco-Software ganze Netzwerke übernehmen.
Kritische Lücke mit Höchstwertung in WordPress-Plugin wpDiscuz
Zehntausende WordPress-Websites mit dem Plugin wpDiscuz könnten Schadcode auf Web-Server lassen.
heise-Angebot: #ISDdigital: Schwerpunkte der Internet Security Days 2020
Im September finden die Internet Security Days erstmals virtuell statt. Es geht um Cybercrime, Human Factor, Internet Everywhere und Best Practices.